A célzóna előkészítése a migráláshoz
Ez a cikk azt ismerteti, hogyan készítheti fel az Azure-beli célzónát a migrálásra. Emellett felsorolja azokat a fő feladatokat is, amelyeket el kell végeznie annak érdekében, hogy a migrálási projekt konfigurációi érvényben legyenek.
Függetlenül attól, hogy melyik Azure-beli célzóna-referencia-implementációt használta, el kell végeznie néhány feladatot, hogy előkészítse a célzónát egy sikeres migrálási projekthez.
Ha nem azure-beli célzóna-referencia-implementációt használt, akkor is el kell végeznie a cikkben szereplő lépéseket. Előfordulhat azonban, hogy előbb előfeltételként el kell végeznie a feladatokat, vagy adott javaslatokat kell igazítania a tervhez.
Ez a cikk a meglévő Azure-beli célzóna üzembe helyezését követően végrehajtandó feladatokat ismerteti. Egyes feladatok az automatizált üzembe helyezésre összpontosítanak. Feljegyezhető, hogy egy tevékenység nem releváns a manuálisan üzembe helyezett és felügyelt környezetek esetében.
Hibrid kapcsolat létrehozása
Az Azure-beli célzóna üzembe helyezése során üzembe helyezhet egy Csatlakozás ivity-előfizetést egy központi virtuális hálózattal és hálózati átjárókkal, például Azure VPN-átjárókkal, Azure ExpressRoute-átjárókkal vagy mindkettővel. Az Azure-beli célzóna üzembe helyezése után is konfigurálnia kell az átjárók hibrid kapcsolatát a meglévő adatközponti berendezésekhez vagy az ExpressRoute-kapcsolatcsoporthoz való csatlakozáshoz.
A kész fázisban az Azure-hoz való kapcsolódást tervezte. Ezzel a csomaggal meghatározhatja a beépítendő kapcsolatokat. Ha például az ExpressRoute-ot használja, a szolgáltatóval együtt kell létrehoznia az ExpressRoute-kapcsolatcsoportot.
Ha technikai útmutatást szeretne kapni adott forgatókönyvekhez, tekintse meg a következőt:
- Hozzon létre egy VPN-kapcsolatot az Azure VPN-átjáróból.
- Hozzon létre egy ExpressRoute-kapcsolatcsoportot.
- ExpressRoute-kapcsolatot hozhat létre az ExpressRoute-átjáró és a kapcsolatcsoport között.
- Az Azure Virtual WAN-átjáró beállításainak kezelése.
Feljegyzés
További útmutatásért tekintse meg a szolgáltató konkrét dokumentációját is.
Ha a virtuális hálózatban üzembe helyezett külső hálózati virtuális berendezésen (NVA) keresztül létesít hibrid kapcsolatot az Azure-hoz, tekintse át az adott útmutatást és a magas rendelkezésre állású NVA-kra vonatkozó általános útmutatónkat.
Identitás előkészítése
Az Azure-beli célzóna üzembe helyezése során egy támogató architektúrát is üzembe kell helyeznie az identitásplatformhoz. Lehet, hogy rendelkezik dedikált identitás-előfizetéssel vagy erőforráscsoportokkal, valamint az identitáshoz használt virtuális gépek (virtuális gépek) virtuális hálózatával vagy alhálózatával. Az identitáserőforrásokat azonban az Azure-beli célzóna üzembe helyezése után kell üzembe helyeznie.
A következő szakaszok az Active Directoryval kapcsolatos útmutatást nyújtanak. Ha más identitásszolgáltatót használ a hitelesítéshez és az engedélyezéshez, kövesse az identitás Azure-ra való kiterjesztésére vonatkozó útmutatást.
Mielőtt megvalósítja ezt az útmutatót, tekintse át az Active Directory és a hibrid identitással kapcsolatos döntéseket, amelyeket a célzóna tervezésekor hozott.
Az identitás alapkonfigurációját a szabályozási fázisból is át kell tekintenie annak megállapításához, hogy módosítania kell-e a Microsoft Entra-azonosítót.
Active Directory-tartományvezérlők kiterjesztése
A legtöbb migrálási forgatókönyvben az Azure-ba migrálandó számítási feladatok már csatlakoznak egy meglévő Active Directory-tartományhoz. A Microsoft Entra ID megoldásokat kínál az identitáskezelés modernizálására még a virtuálisgép-számítási feladatok esetében is, de megzavarhatja a migrálást. A számítási feladatok identitáshasználatának újratervezése gyakran történik a modernizálási vagy innovációs kezdeményezések során.
Ennek eredményeképpen tartományvezérlőket kell üzembe helyeznie az Azure-ban az üzembe helyezett identitáshálózati területen belül. A virtuális gépek üzembe helyezése után a normál tartományvezérlő-előléptetési folyamatot kell követnie ahhoz, hogy hozzáadja őket a tartományhoz. Ez a folyamat magában foglalhat további helyeket a replikációs topológia támogatásához.
Az erőforrások üzembe helyezésének gyakori architektúramintája: Active Directory tartományi szolgáltatások (AD DS) üzembe helyezése Azure-beli virtuális hálózaton.
Ha a nagyvállalati szintű architektúrát kisvállalkozások számára valósítja meg, az AD DS-kiszolgálók gyakran a központ alhálózatán találhatók. Ha a nagyvállalati szintű küllős architektúrát vagy a nagyvállalati szintű Virtual WAN-architektúrát implementálja, a kiszolgálók gyakran a dedikált virtuális hálózatukban találhatók.
Microsoft Entra Csatlakozás
Számos szervezet már rendelkezik Microsoft Entra Csatlakozás a Microsoft 365-szolgáltatások, például az Exchange Online feltöltéséhez. Ha szervezete nem rendelkezik Microsoft Entra Csatlakozás, előfordulhat, hogy telepítenie kell és telepítenie kell a kezdőzóna üzembe helyezése után, hogy replikálhassa az identitásokat.
Hibrid DNS engedélyezése
A legtöbb szervezetnek képesnek kell lennie a meglévő környezetek részét képező névterek tartománynévrendszer-(DNS-) kéréseinek feloldására. Ezek a névterek gyakran integrálást igényelnek az Active Directory-kiszolgálókkal. A meglévő környezetben lévő erőforrásoknak pedig képesnek kell lenniük az Azure-beli erőforrások feloldására.
A függvények engedélyezéséhez konfigurálnia kell a DNS-szolgáltatásokat a gyakori folyamatok támogatásához. Az Azure-beli célzónák használatával számos szükséges erőforrást üzembe helyezhet. További áttekintési és előkészítési feladatokért tekintse meg az Azure-beli DNS-feloldás című témakört.
Egyéni DNS-feloldás
Ha az Active Directoryt használja a DNS-feloldóhoz, vagy ha külső megoldást helyez üzembe, virtuális gépeket kell üzembe helyeznie. Ezeket a virtuális gépeket használhatja DNS-kiszolgálóként, ha a tartományvezérlők az identitás-előfizetésben és a hálózati küllőn vannak üzembe helyezve. Ellenkező esetben üzembe kell helyeznie és konfigurálnia kell a virtuális gépeket ezeknek a szolgáltatásoknak a megvalósításához.
A virtuális gépek üzembe helyezése után integrálnia kell őket a meglévő DNS-platformba, hogy a meglévő névtereken is elvégezhessenek kereséseket. Az Active Directory DNS-kiszolgálók esetében ez az integráció automatikus.
Az Azure DNS Private Resolvert is használhatja, de ez a szolgáltatás nincs üzembe helyezve az Azure-beli célzóna üzembe helyezésének részeként.
Ha a terv privát DNS-zónákat használ, ennek megfelelően tervezze meg. Ha például privát DNS-zónákat használ privát végpontokkal, olvassa el a DNS-kiszolgálók megadása című témakört. saját DNS zónák a célzóna részeként vannak üzembe helyezve. Ha privát végpontokat is használ a modernizálási műveletek végrehajtásához, további konfigurációval kell rendelkeznie hozzájuk.
Azure Firewall DNS-proxy
Az Azure Firewallt DNS-proxyként is konfigurálhatja. Az Azure Firewall képes fogadni a forgalmat, és továbbítani egy Azure-feloldónak vagy a DNS-kiszolgálóknak. Ez a konfiguráció lehetővé teszi a helyszíni keresések végrehajtását az Azure-ba, de feltételesen nem továbbíthatók a helyszíni DNS-kiszolgálókra.
Ha hibrid DNS-feloldásra van szüksége, konfigurálhatja az Azure Firewall DNS-proxyját az egyéni DNS-kiszolgálókra, például a tartományvezérlőkre irányuló forgalom továbbítására.
Ez a lépés nem kötelező, de számos előnnyel jár. Később csökkenti a konfigurációs módosításokat, ha módosítja a DNS-szolgáltatásokat, és engedélyezi a teljes tartománynévre (FQDN) vonatkozó szabályokat az Azure Firewallban.
Egyéni virtuális hálózati DNS-kiszolgálók konfigurálása
Az előző tevékenységek elvégzése után konfigurálhatja az Azure-beli virtuális hálózatok DNS-kiszolgálóit a használt egyéni kiszolgálókra.
További információ: Azure Firewall DNS-beállítások.
Központi tűzfal konfigurálása
Ha tűzfalat helyezett üzembe a központi hálózaton, érdemes megfontolnia néhány szempontot, hogy készen álljon a számítási feladatok migrálására. Ha nem foglalkozik ezekkel a szempontokval az üzembe helyezés korai szakaszában, útválasztási és hálózati hozzáférési problémákba ütközhet.
Ezen tevékenységek végrehajtásának részeként tekintse át a hálózattervezési területet, különösen a hálózati biztonsági útmutatást.
Ha külső NVA-t helyez üzembe tűzfalként, tekintse át a gyártó útmutatását és a magas rendelkezésre állású NVA-kra vonatkozó általános útmutatónkat.
Standard szabálykészletek üzembe helyezése
Ha Azure-tűzfalat használ, az összes tűzfalforgalom le lesz tiltva, amíg explicit engedélyezési szabályokat nem ad hozzá. Sok más NVA-tűzfal is hasonlóan működik. A forgalom megtagadva, amíg meg nem határozza az engedélyezett forgalmat meghatározó szabályokat.
Egyéni szabályokat és szabálygyűjteményeket kell hozzáadnia a számítási feladatok igényei alapján. Emellett olyan szabványos szabályokat is terveznie kell, mint például az Active Directoryhoz való hozzáférés vagy más identitáskezelési és felügyeleti megoldások, amelyek az összes engedélyezett számítási feladatra vonatkoznak.
Útválasztás
Az Azure a következő forgatókönyvekhez biztosít útválasztást további konfiguráció nélkül:
- Útválasztás ugyanazon a virtuális hálózaton lévő erőforrások között
- Útválasztás társhálózatokban lévő erőforrások között
- Útválasztás az erőforrások és a virtuális hálózati átjáró között, akár a saját virtuális hálózatában, akár az átjáró használatára konfigurált társhálózatban
Két gyakori útválasztási forgatókönyv további konfigurációt igényel. Mindkét forgatókönyvben az alhálózatokhoz rendelt útvonaltáblák vannak hozzárendelve az alakzatalapú útválasztáshoz. További információ az Azure-útválasztásról és az egyéni útvonalakról: Virtuális hálózati forgalom útválasztása.
Küllős útválasztás
A hálózattervezési területen számos szervezet használ küllős hálózati topológiát.
Olyan útvonalakra van szüksége, amelyek az egyik küllőről a másikra továbbítják a forgalmat. A hatékonyság és az egyszerűség érdekében használja az alapértelmezett útvonalat (0.0.0.0/0
) a tűzfalhoz. Ha ez az útvonal a helyén van, az ismeretlen helyre történő forgalom a tűzfalra kerül, amely ellenőrzi a forgalmat, és alkalmazza a tűzfalszabályokat.
Ha engedélyezni szeretné az internetes kimenő forgalmat, másik útvonalat is hozzárendelhet a privát IP-címtartományhoz a tűzfalhoz, például 10.0.0.0/8
. Ez a konfiguráció nem bírálja felül a konkrétabb útvonalakat. De használhatja egyszerű útvonalként, így a küllős forgalom megfelelően irányítható.
A küllős hálózatkezeléssel kapcsolatos további információkért lásd a küllők közötti kommunikáció mintáit és topológiáit.
Útválasztás az átjáró alhálózatáról
Ha virtuális hálózatokat használ a központhoz, meg kell terveznie, hogyan kezelheti az átjárókból érkező forgalom ellenőrzését.
Ha meg szeretné vizsgálni a forgalmat, két konfigurációra van szüksége:
A Csatlakozás ivity-előfizetésben létre kell hoznia egy útvonaltáblát, és hozzá kell kapcsolnia az átjáró alhálózatához. Az átjáró alhálózatának minden csatlakoztatni kívánt küllős hálózathoz szüksége van egy útvonalra a tűzfal IP-címének következő ugrásával.
Minden kezdőzóna-előfizetésben létre kell hoznia egy útvonaltáblát, és össze kell kapcsolnia az egyes alhálózatokkal. Tiltsa le a Border Gateway Protocol (BGP) propagálását az útvonaltáblákon.
Az egyéni és az Azure által definiált útvonalakról további információt az Azure-beli virtuális hálózati forgalom útválasztása című témakörben talál.
Ha meg szeretné vizsgálni a privát végpontok felé irányuló forgalmat, engedélyezze a megfelelő útválasztási hálózati házirendet azon az alhálózaton, ahol a privát végpontok üzemelnek. További információt a privát végpontok hálózati házirendjeinek kezelése című témakörben talál.
Ha nem szeretné megvizsgálni a forgalmat, nincs szükség módosításra. Ha azonban útvonaltáblákat ad hozzá a küllős hálózati alhálózatokhoz, engedélyezze a BGP-propagálást, hogy a forgalom vissza tudjon irányítani az átjáróra.
Monitorozás és felügyelet konfigurálása
A célzóna üzembe helyezésének részeként kiépített szabályzatokat, amelyek regisztrálják az erőforrásokat az Azure Monitor-naplókban. De riasztásokat is létre kell hoznia a kezdőzóna erőforrásaihoz.
A riasztások implementálásához üzembe helyezheti az Azure Monitor alapkonfigurációt a kezdőzónákhoz. Ezzel az üzembe helyezéssel riasztásokat kaphat a kezdőzóna-kezelés gyakori forgatókönyvei, például a kapcsolati erőforrások és a szolgáltatás állapota alapján.
Saját egyéni riasztásokat is üzembe helyezhet az erőforrásokhoz, ha az igényei eltérnek az alapkonfigurációban szereplőtől.
A célzóna előkészítése szuverén számítási feladatok migrálásához
Ha meg kell felelnie a szuverenitási követelményeknek, kiértékelheti, hogy a Microsoft Cloud for Sovereignty megfelel-e a követelményeknek. A Microsoft Cloud for Sovereignty további szakpolitikai és naplózási képességeket biztosít, amelyek az egyes állami szektorok és kormányzati ügyfelek igényeinek kielégítésére szolgálnak.
Ezeket a képességeket a szuverén célzóna üzembe helyezésével engedélyezheti. A szuverén célzóna architektúrája összhangban van az Ajánlott Azure-beli célzóna-kialakításokkal .
A Microsoft Cloud for Sovereignty szabályzatportfóliója
Az Azure Policy használatával engedélyezheti a központosított vezérlést az Azure-erőforrások között adott konfigurációk kikényszerítéséhez. A Microsoft Cloud for Sovereignty szabályzatkezdeményezéseit hozzárendelheti a kezdőzónákhoz, így meggyőződhet arról, hogy betartja a helyi szabályzatokat és szabályozási követelményeket az országában/régiójában.
Ha ezek a szakpolitikai kezdeményezések még nincsenek hozzárendelve a szuverén célzónához, fontolja meg a szabályozási követelményeknek megfelelő kezdeményezések hozzárendelését.
Előfizetéses értékesítés engedélyezése
Ez a szakasz azokra a szervezetekre vonatkozik, amelyek automatizálni szeretnék az előfizetés-kiépítési folyamatot. Ha manuálisan kezeli a kezdőzónát és az előfizetés létrehozását, saját folyamatot kell létrehoznia az előfizetések létrehozásához.
Az áttelepítés megkezdésekor előfizetéseket kell létrehoznia a számítási feladatokhoz. Engedélyezze a előfizetéses értékesítés a folyamat automatizálásához és felgyorsításához. A előfizetéses értékesítés létrehozásakor gyorsan létre kell tudnia hozni az előfizetéseket.
Felkészülés a Felhőhöz készült Microsoft Defender
A célzóna üzembe helyezésekor szabályzatokat is beállít, amelyek engedélyezik Felhőhöz készült Defender az Azure-előfizetésekhez. Felhőhöz készült Defender biztonsági helyzetre vonatkozó javaslatokat nyújt a biztonsági pontszámban, amely kiértékeli az üzembe helyezett erőforrásokat a Microsoft biztonsági alapkonfigurációja alapján.
Nem kell további technikai konfigurációkat implementálnia, de tekintse át a javaslatokat, és tervezzen meg egy tervet, amely javítja a biztonsági helyzetet az erőforrások migrálása során. Amikor megkezdi az erőforrások Azure-ba való migrálását, készen kell állnia arra, hogy biztonsági fejlesztéseket implementáljon a migrálás optimalizálása részeként.
Kapcsolódó erőforrások
Fontolja meg ezeket a további erőforrásokat a migrálásra való felkészüléshez:
- Egy definiált és jól érthető kezdeti vállalati szabályzat előkészítése
- Megfelelő csomag létrehozása az Azure-számlázáshoz
- Győződjön meg arról, hogy megfelelő szervezeti igazítással rendelkezik, és rendelkezik egy kezelési tervvel
- Elnevezési és címkézési szabványok kifejlesztése