Uw landingszone voorbereiden voor migratie

In dit artikel wordt beschreven hoe u uw Azure-landingszone voorbereidt op een migratie. Ook worden de belangrijkste taken vermeld die u moet uitvoeren om ervoor te zorgen dat configuraties aanwezig zijn voor uw migratieproject.

Ongeacht de implementatie van de Azure-landingszone die u hebt gebruikt, moet u enkele taken uitvoeren om uw landingszone voor te bereiden op een geslaagd migratieproject.

Als u geen referentie-implementatie van een Azure-landingszone hebt gebruikt, moet u de stappen in dit artikel nog steeds uitvoeren. Mogelijk hebt u echter vereiste taken om eerst uit te voeren, of moet u mogelijk specifieke aanbevelingen aanpassen aan uw ontwerp.

In dit artikel worden de taken beschreven die u moet uitvoeren voor uw bestaande Azure-landingszone nadat deze is geïmplementeerd. Sommige taken richten zich op geautomatiseerde implementaties. Dit wordt aangegeven als een taak niet relevant is voor handmatig geïmplementeerde en beheerde omgevingen.

Hybride connectiviteit tot stand brengen

Tijdens de implementatie van een Azure-landingszone kunt u een Verbinding maken iviteitsabonnement implementeren met een virtueel hubnetwerk en netwerkgateways, zoals Azure VPN-gateways, Azure ExpressRoute-gateways of beide. Na de implementatie van uw Azure-landingszone moet u nog steeds hybride connectiviteit van deze gateways configureren om verbinding te maken met uw bestaande datacenterapparaten of uw ExpressRoute-circuit.

In de gereede fase hebt u uw connectiviteit met Azure gepland. Gebruik dit plan om de verbindingen te bepalen die u moet opnemen. Als u bijvoorbeeld ExpressRoute gebruikt, moet u samenwerken met uw provider om uw ExpressRoute-circuit tot stand te brengen.

Voor technische richtlijnen voor specifieke scenario's raadpleegt u:

• Maak een VPN-verbinding vanuit uw Azure VPN-gateway.
• Maak een ExpressRoute-circuit.
• Maak een ExpressRoute-verbinding van uw ExpressRoute-gateway naar uw circuit.
• Azure Virtual WAN-gatewayinstellingen beheren.

Notitie

Raadpleeg ook de specifieke documentatie van uw provider voor aanvullende richtlijnen.

Als u uw hybride connectiviteit met Azure tot stand brengt via een virtueel netwerkapparaat (NVA) van derden dat in uw virtuele netwerk is geïmplementeerd, raadpleegt u de specifieke richtlijnen en onze algemene richtlijnen voor maximaal beschikbare NVA's.

Identiteit voorbereiden

Tijdens de implementatie van uw Azure-landingszone moet u ook een ondersteunende architectuur implementeren voor uw identiteitsplatform. Mogelijk hebt u een toegewezen identiteitsabonnement of resourcegroepen en een virtueel netwerk of subnetten voor de virtuele machines (VM's) die u voor identiteit gebruikt. U moet de identiteitsbronnen echter implementeren na de implementatie van de Azure-landingszone.

De volgende secties bevatten richtlijnen met betrekking tot Active Directory. Als u een andere id-provider gebruikt voor verificatie en autorisaties, moet u de richtlijnen voor het uitbreiden van uw identiteit naar Azure volgen.

Voordat u deze richtlijnen implementeert, bekijkt u de Active Directory- en hybride identiteitsbeslissingen die u hebt genomen toen u de landingszone had gepland.

U moet ook uw identiteitsbasislijn controleren vanuit de governancefase om te bepalen of u wijzigingen moet aanbrengen in Microsoft Entra-id.

Active Directory-domeincontrollers uitbreiden

In de meeste migratiescenario's zijn de workloads die u naar Azure migreert, al gekoppeld aan een bestaand Active Directory-domein. Microsoft Entra ID biedt oplossingen voor het moderniseren van identiteitsbeheer, zelfs voor VM-workloads, maar kan de migratie verstoren. Het opnieuw ontwerpen van identiteitsgebruik voor workloads wordt vaak uitgevoerd tijdens moderniserings- of innovatieinitiatieven.

Als gevolg hiervan moet u domeincontrollers implementeren in Azure in het identiteitsnetwerkgebied dat u hebt geïmplementeerd. Nadat u VM's hebt geïmplementeerd, moet u uw normale promotieproces voor domeincontrollers volgen om deze toe te voegen aan het domein. Dit proces kan bestaan uit het maken van extra sites ter ondersteuning van uw replicatietopologie.

Zie Deploy Active Directory-domein Services (AD DS) in een virtueel Azure-netwerk voor een algemeen architectuurpatroon voor het implementeren van deze resources.

Als u de architectuur op ondernemingsniveau implementeert voor kleine ondernemingen, bevinden de AD DS-servers zich vaak in een subnet in de hub. Als u de hub-and-spoke-architectuur op ondernemingsniveau of de virtuele WAN-architectuur op ondernemingsniveau implementeert, bevinden de servers zich vaak in hun toegewezen virtuele netwerk.

Microsoft Entra Connect

Veel organisaties hebben al Microsoft Entra Verbinding maken om Microsoft 365-services te vullen, zoals Exchange Online. Als uw organisatie geen Microsoft Entra-Verbinding maken heeft, moet u deze mogelijk installeren en implementeren na de implementatie van uw landingszone, zodat u identiteiten kunt repliceren.

Hybride DNS inschakelen

De meeste organisaties moeten DNS-aanvragen (Domain Name System) kunnen omzetten voor naamruimten die deel uitmaken van bestaande omgevingen. Voor deze naamruimten is vaak integratie met Active Directory-servers vereist. En resources in de bestaande omgeving moeten resources in Azure kunnen oplossen.

Als u deze functies wilt inschakelen, moet u DNS-services configureren ter ondersteuning van algemene stromen. U kunt Azure-landingszones gebruiken om veel van de resources te implementeren die u nodig hebt. Zie DNS-omzetting in Azure voor aanvullende taken die u kunt controleren en voorbereiden.

Aangepaste DNS-resolutie

Als u Active Directory gebruikt voor uw DNS-resolver of als u een oplossing van derden implementeert, moet u VM's implementeren. U kunt deze VM's gebruiken als uw DNS-servers als uw domeincontrollers zijn geïmplementeerd in uw identiteitsabonnement en netwerkspaak. Anders moet u de VM's implementeren en configureren om deze services te huiseren.

Nadat u de VM's hebt geïmplementeerd, moet u deze integreren in uw bestaande DNS-platform, zodat ze zoekacties kunnen uitvoeren op uw bestaande naamruimten. Voor Active Directory DNS-servers is deze integratie automatisch.

U kunt ook Azure DNS Private Resolver gebruiken, maar deze service wordt niet geïmplementeerd als onderdeel van de implementatie van uw Azure-landingszone.

Als uw ontwerp gebruikmaakt van privé-DNS-zones, moet u dienovereenkomstig plannen. Als u bijvoorbeeld privé-DNS-zones met privé-eindpunten gebruikt, raadpleegt u DNS-servers opgeven. Privé-DNS zones worden geïmplementeerd als onderdeel van uw landingszone. Als u ook privé-eindpunten gebruikt om moderniseringsinspanningen uit te voeren, moet u er een extra configuratie voor hebben.

Azure Firewall DNS-proxy

U kunt Azure Firewall configureren als een DNS-proxy. Azure Firewall kan verkeer ontvangen en doorsturen naar een Azure-resolver of uw DNS-servers. Met deze configuratie kunnen zoekopdrachten van on-premises naar Azure worden uitgevoerd, maar ze kunnen niet voorwaardelijk worden doorgestuurd naar on-premises DNS-servers.

Als u hybride DNS-omzetting nodig hebt, kunt u de Azure Firewall DNS-proxy configureren om verkeer door te sturen naar uw aangepaste DNS-servers, zoals uw domeincontrollers.

Deze stap is optioneel, maar heeft verschillende voordelen. Het vermindert later configuratiewijzigingen als u DNS-services wijzigt en FQDN-regels (Fully Qualified Domain Name) inschakelt in Azure Firewall.

Aangepaste DNS-servers voor virtuele netwerken configureren

Nadat u de voorgaande activiteiten hebt voltooid, kunt u de DNS-servers voor uw virtuele Azure-netwerken configureren op de aangepaste servers die u gebruikt.

Zie Dns-instellingen voor Azure Firewall voor meer informatie.

Hubfirewall configureren

Als u een firewall hebt geïmplementeerd in uw hubnetwerk, zijn er enkele overwegingen die u moet aanpakken, zodat u klaar bent om workloads te migreren. Als u deze overwegingen niet vroeg in uw implementatie aanpakt, ondervindt u mogelijk problemen met routering en netwerktoegang.

Als onderdeel van het uitvoeren van deze activiteiten bekijkt u het ontwerpgebied voor netwerken, met name de richtlijnen voor netwerkbeveiliging.

Als u een NVA van derden als uw firewall implementeert, raadpleegt u de richtlijnen van de leverancier en onze algemene richtlijnen voor maximaal beschikbare NVA's.

Standaardregelsets implementeren

Als u een Azure-firewall gebruikt, wordt al het firewallverkeer geblokkeerd totdat u expliciete regels voor toestaan toevoegt. Veel andere NVA-firewalls werken op dezelfde manier. Verkeer wordt geweigerd totdat u regels definieert waarmee het verkeer wordt opgegeven dat is toegestaan.

U moet afzonderlijke regels en regelverzamelingen toevoegen op basis van de behoeften van de workload. Maar u moet ook standaardregels hebben, zoals toegang tot Active Directory of andere identiteits- en beheeroplossingen, die van toepassing zijn op alle ingeschakelde workloads.

Routering

Azure biedt routering voor de volgende scenario's zonder extra configuratie:

• Routering tussen resources in hetzelfde virtuele netwerk
• Routering tussen resources in gekoppelde virtuele netwerken
• Routering tussen resources en een virtuele netwerkgateway, in een eigen virtueel netwerk of in een gekoppeld virtueel netwerk dat is geconfigureerd voor het gebruik van de gateway

Twee veelvoorkomende routeringsscenario's hebben aanvullende configuratie nodig. In beide scenario's zijn routetabellen toegewezen aan subnetten voor shaperoutering. Zie Routering van virtueel netwerkverkeer voor meer informatie over Azure-routering en aangepaste routes.

Routering tussen spokes

Voor het ontwerpgebied van het netwerk gebruiken veel organisaties een sternetwerktopologie.

U hebt routes nodig waarmee verkeer van de ene spoke naar de andere wordt overgedragen. Gebruik voor efficiëntie en eenvoud de standaardroute (0.0.0.0/0) naar uw firewall. Met deze route gaat verkeer naar een onbekende locatie naar de firewall, die het verkeer inspecteert en uw firewallregels toepast.

Als u uitgaand internetverkeer wilt toestaan, kunt u ook een andere route voor uw privé-IP-ruimte toewijzen aan de firewall, zoals 10.0.0.0/8. Deze configuratie overschrijft geen specifiekere routes. Maar u kunt het gebruiken als een eenvoudige route, zodat inter-spoke-verkeer correct kan worden gerouteerd.

Zie Patronen en topologieën voor communicatie tussen spokes voor meer informatie over spoke-to-spoke-netwerken.

Routering vanuit het gatewaysubnet

Als u virtuele netwerken voor uw hub gebruikt, moet u plannen hoe u de inspectie van verkeer dat afkomstig is van uw gateways afhandelt.

Als u verkeer wilt inspecteren, hebt u twee configuraties nodig:

• In uw Verbinding maken iviteitsabonnement moet u een routetabel maken en deze koppelen aan het gatewaysubnet. Het gatewaysubnet heeft een route nodig voor elk spoke-netwerk dat u wilt koppelen, met een volgende hop van het IP-adres van uw firewall.

• In elk van uw landingszoneabonnementen moet u een routetabel maken en deze koppelen aan elk subnet. Schakel BGP-doorgifte (Border Gateway Protocol) uit op de routetabellen.

Zie Routering van verkeer van virtuele Netwerken in Azure voor meer informatie over aangepaste en door Azure gedefinieerde routes.

Als u verkeer naar privé-eindpunten wilt controleren, schakelt u het juiste routeringsnetwerkbeleid in op het subnet waar de privé-eindpunten worden gehost. Zie Netwerkbeleid voor privé-eindpunten beheren voor meer informatie.

Als u niet van plan bent verkeer te inspecteren, zijn er geen wijzigingen nodig. Als u echter routetabellen toevoegt aan uw spoke-netwerksubnetten, schakelt u BGP-doorgifte in, zodat verkeer terug kan worden gerouteerd naar uw gateway.

Bewaking en beheer configureren

Als onderdeel van het implementeren van uw landingszone hebt u beleidsregels ingericht die uw resources registreren in Azure Monitor-logboeken. Maar u moet ook waarschuwingen maken voor uw landingszone-resources.

Als u waarschuwingen wilt implementeren, kunt u de Azure Monitor-basislijn implementeren voor landingszones. Gebruik deze implementatie om waarschuwingen te krijgen op basis van veelvoorkomende scenario's voor landingszonebeheer, zoals connectiviteitsbronnen en servicestatus.

U kunt ook uw eigen aangepaste waarschuwingen voor resources implementeren als uw behoeften afwijken van wat er in de basislijn staat.

Uw landingszone voorbereiden op soevereine workloadmigraties

Als u moet voldoen aan soevereiniteitsvereisten, kunt u evalueren of Microsoft Cloud for Sovereignty aan uw vereisten voldoet. Microsoft Cloud for Sovereignty biedt een extra laag van beleids- en controlemogelijkheden die voldoen aan de behoeften van individuele openbare sector en overheidsklanten.

U kunt deze mogelijkheden inschakelen door de onafhankelijke landingszone te implementeren. De architectuur van de onafhankelijke landingszone is afgestemd op de aanbevolen azure-landingszoneontwerpen .

Portfolio van Microsoft Cloud for Sovereignty-beleid

Met behulp van Azure Policy kunt u gecentraliseerd beheer inschakelen over Azure-resources om specifieke configuraties af te dwingen. U kunt de microsoft Cloud for Sovereignty-beleidsinitiatieven toewijzen aan uw landingszones om ervoor te zorgen dat u voldoet aan lokale beleidsregels en wettelijke vereisten in uw land/regio.

Als deze beleidsinitiatieven nog niet zijn toegewezen aan de implementatie van uw soevereine landingszone, kunt u overwegen de initiatieven toe te wijzen die overeenkomen met uw wettelijke vereisten.

Abonnementsautomaat inschakelen

Deze sectie is van toepassing op organisaties die hun inrichtingsproces voor abonnementen willen automatiseren. Als u uw landingszone en het maken van abonnementen handmatig beheert, moet u uw eigen proces instellen voor het maken van abonnementen.

Wanneer u begint met migreren, moet u abonnementen voor uw workloads maken. Schakel abonnementsautomaat in om dit proces te automatiseren en te versnellen. Wanneer abonnementsautomaat tot stand is gebracht, moet u snel abonnementen kunnen maken.

Voorbereiden op Microsoft Defender voor Cloud

Wanneer u uw landingszone implementeert, stelt u ook beleid in om Defender voor Cloud in te schakelen voor uw Azure-abonnementen. Defender voor Cloud biedt aanbevelingen voor de beveiligingspostuur in de beveiligingsscore, waarmee geïmplementeerde resources worden geëvalueerd op basis van de Microsoft-beveiligingsbasislijn.

U hoeft geen aanvullende technische configuraties te implementeren, maar u moet de aanbevelingen bekijken en een plan ontwerpen om uw beveiligingspostuur te verbeteren wanneer u resources migreert. Wanneer u begint met het migreren van resources naar Azure, moet u klaar zijn om beveiligingsverbeteringen te implementeren als onderdeel van uw migratieoptimalisatie.

Verwante resources

Overweeg deze aanvullende resources om u voor te bereiden op migratie:

• Een eerste bedrijfsbeleid voorbereiden dat is gedefinieerd en goed begrepen
• Een geschikt plan maken voor Azure-facturering
• Zorg ervoor dat u de juiste organisatie-uitlijning en een plan hebt om deze te beheren
• Standaarden voor naamgeving en tags ontwikkelen

Volgende stappen

Hulpprogramma's en een initiële migratieachterstand voorbereiden