Przygotowywanie strefy docelowej do migracji

W tym artykule opisano sposób przygotowania strefy docelowej platformy Azure do migracji. Zawiera również listę głównych zadań, które należy wykonać, aby upewnić się, że konfiguracje są wprowadzone dla projektu migracji.

Niezależnie od używanej implementacji referencyjnej strefy docelowej platformy Azure należy wykonać kilka zadań w celu przygotowania strefy docelowej do pomyślnego projektu migracji.

Jeśli nie użyto implementacji referencyjnej strefy docelowej platformy Azure, nadal musisz wykonać kroki opisane w tym artykule. Jednak może być wymagane wstępne zadanie do wykonania jako pierwsze lub może być konieczne dostosowanie określonych zaleceń do projektu.

W tym artykule opisano zadania, które należy wykonać dla istniejącej strefy docelowej platformy Azure po jej wdrożeniu. Niektóre zadania koncentrują się na zautomatyzowanych wdrożeniach. Zanotowano, że zadanie nie jest istotne dla środowisk wdrożonych ręcznie i zarządzanych.

Uwaga / Notatka

Przed wykonaniem zadań opisanych na tej stronie przed kontynuowaniem upewnij się, że wdrożono strefę docelową platformy Azure i przejrzeliśmy zarówno obszary projektowe , jak i zasady projektowania .

Ustanawianie łączności hybrydowej

Podczas wdrażania strefy docelowej platformy Azure można wdrożyć subskrypcję łączności z siecią wirtualną koncentratora i bramami sieci, takimi jak bramy sieci VPN platformy Azure, bramy usługi Azure ExpressRoute lub obie te bramy. Po wdrożeniu strefy docelowej platformy Azure należy nadal skonfigurować łączność hybrydową z tych bram, aby połączyć się z istniejącymi urządzeniami centrum danych lub obwodem usługi ExpressRoute.

W fazie gotowości planowane jest połączenie z platformą Azure. Użyj tego planu, aby określić połączenia, które należy uwzględnić. Jeśli na przykład używasz usługi ExpressRoute, musisz współpracować z dostawcą w celu ustanowienia obwodu usługi ExpressRoute.

Aby uzyskać wskazówki techniczne dotyczące określonych scenariuszy, zobacz:

• Utwórz połączenie sieci VPN z bramy sieci VPN platformy Azure.
• Utwórz obwód ExpressRoute.
• Utwórz połączenie ExpressRoute od bramy ExpressRoute do swojego obwodu.
• Zarządzanie ustawieniami bramy usługi Azure Virtual WAN.

Uwaga / Notatka

Aby uzyskać dodatkowe wskazówki, zapoznaj się również z konkretną dokumentacją dostawcy.

Jeśli ustanawiasz łączność hybrydową z platformą Azure za pośrednictwem zewnętrznego wirtualnego urządzenia sieciowego (NVA), które jest wdrożone w twojej sieci wirtualnej, zapoznaj się z konkretnymi wskazówkami tej firmy oraz naszymi ogólnymi wskazówkami dotyczącymi wysoce dostępnych urządzeń NVA.

Przygotowywanie tożsamości

Podczas wdrażania strefy docelowej platformy Azure należy również wdrożyć architekturę pomocniczą dla platformy tożsamości. Możesz mieć dedykowaną subskrypcję dla usług tożsamości lub grupy zasobów, a także sieć wirtualną lub podsieci dla maszyn wirtualnych, które wykorzystujesz do obsługi tożsamości. Zasoby tożsamości należy jednak wdrożyć po wdrożeniu strefy docelowej platformy Azure.

Poniższe sekcje zawierają wskazówki dotyczące usługi Active Directory. Jeśli używasz innego dostawcy tożsamości do uwierzytelniania i autoryzacji, musisz postępować zgodnie ze wskazówkami dotyczącymi rozszerzania tożsamości na platformę Azure.

Przed wdrożeniem tych wskazówek zapoznaj się z usługą Active Directory i decyzjami dotyczącymi tożsamości hybrydowej , które podjęto podczas planowania strefy docelowej.

Należy również przejrzeć swoją bazę tożsamości z fazy zarządzania, aby ustalić, czy musisz wprowadzić zmiany w Microsoft Entra ID.

Rozszerzanie kontrolerów domeny usługi Active Directory

W większości scenariuszy migracji obciążenia migrowane na platformę Azure są już przyłączone do istniejącej domeny usługi Active Directory. Microsoft Entra ID oferuje rozwiązania do modernizacji zarządzania tożsamościami, nawet w przypadku obciążeń maszyn wirtualnych, ale może zakłócić migrację. Zmiana architektury użycia tożsamości dla obciążeń jest często wykonywana podczas inicjatyw związanych z modernizacją lub innowacjami.

W związku z tym należy wdrożyć kontrolery domeny na platformie Azure w wdrożonym obszarze sieci tożsamości. Po wdrożeniu maszyn wirtualnych należy postępować zgodnie z normalnym procesem podwyższania poziomu kontrolera domeny, aby dodać je do domeny. Ten proces może obejmować tworzenie dodatkowych lokacji w celu obsługi topologii replikacji.

Aby uzyskać typowy wzorzec architektury wdrażania tych zasobów, zobacz Wdrażanie usług Active Directory Domain Services (AD DS) w sieci wirtualnej platformy Azure.

W przypadku implementowania architektury w skali przedsiębiorstwa dla małych przedsiębiorstw serwery usług AD DS są często w podsieci w centrum. W przypadku zaimplementowania architektury typu piasta i szprychy w skali przedsiębiorstwa lub architektury wirtualnej sieci WAN w skali przedsiębiorstwa serwery często znajdują się w dedykowanej sieci wirtualnej.

Microsoft Entra Connect

Wiele organizacji ma już Microsoft Entra Connect do zarządzania usługami Microsoft 365, takimi jak Exchange Online. Jeśli twoja organizacja nie ma programu Microsoft Entra Connect, może być konieczne jej zainstalowanie i wdrożenie po wdrożeniu strefy docelowej, aby można było replikować tożsamości.

Włączanie hybrydowej usługi DNS

Większość organizacji musi mieć możliwość rozpoznawania żądań systemu nazw domen (DNS) dla przestrzeni nazw, które są częścią istniejących środowisk. Te przestrzenie nazw często wymagają integracji z serwerami usługi Active Directory. Zasoby w istniejącym środowisku muszą być w stanie rozwiązywać zasoby na platformie Azure.

Aby włączyć te funkcje, należy skonfigurować usługi DNS do obsługi typowych przepływów. Strefy docelowe platformy Azure umożliwiają wdrażanie wielu potrzebnych zasobów. Aby znaleźć dodatkowe zadania do przejrzenia i przygotowania, sprawdź Rozpoznawanie nazw DNS na platformie Azure.

Niestandardowe rozpoznawanie nazw DNS

Jeśli używasz usługi Active Directory do rozpoznawania nazw DNS lub jeśli wdrażasz rozwiązanie innej firmy, musisz wdrożyć maszyny wirtualne. Tych maszyn wirtualnych można używać jako serwerów DNS, jeśli kontrolery domeny są wdrażane w ramach subskrypcji tożsamości i szprychy sieciowej. W przeciwnym razie należy wdrożyć i skonfigurować maszyny wirtualne do obsługi tych usług.

Po wdrożeniu maszyn wirtualnych należy je zintegrować z istniejącą platformą DNS, aby umożliwić im wyszukiwanie w istniejących przestrzeniach nazw. W przypadku serwerów DNS usługi Active Directory ta integracja jest automatyczna.

Możesz również użyć Prywatnego resolvera DNS w Azure, ale ta usługa nie jest wdrażana w ramach wdrożenia strefy docelowej Azure.

Jeśli projekt używa prywatnych stref DNS, należy odpowiednio zaplanować. Jeśli na przykład używasz prywatnych stref DNS z prywatnymi punktami końcowymi, zobacz Określanie serwerów DNS. Prywatne strefy DNS są wdrażane w ramach strefy docelowej. Jeśli używasz również prywatnych punktów końcowych do wykonywania działań związanych z modernizacją, musisz mieć dla nich dodatkową konfigurację.

Firewall usługi Azure z serwerem proxy DNS

Usługę Azure Firewall można skonfigurować jako serwer proxy DNS. Usługa Azure Firewall może odbierać ruch i przekazywać dalej do resolvera DNS platformy Azure lub Twoich serwerów DNS. Ta konfiguracja może zezwalać na wykonywanie wyszukiwań ze środowiska lokalnego na platformę Azure, ale nie można ich warunkowo przekazywać z powrotem do lokalnych serwerów DNS.

Jeśli potrzebujesz hybrydowego rozpoznawania nazw DNS, możesz skonfigurować DNS proxy w Azure Firewall, aby przekazywać ruch do niestandardowych serwerów DNS, takich jak kontrolery domen.

Ten krok jest opcjonalny, ale ma kilka korzyści. Zmniejsza to zmiany konfiguracji później, jeśli zmienisz usługi DNS i włączysz w pełni kwalifikowane reguły nazwy domeny (FQDN) w usłudze Azure Firewall.

Konfigurowanie niestandardowych serwerów DNS sieci wirtualnej

Po wykonaniu powyższych działań można skonfigurować serwery DNS dla sieci wirtualnych platformy Azure na używanych serwerach niestandardowych.

Aby uzyskać więcej informacji, zobacz Ustawienia dns usługi Azure Firewall.

Konfigurowanie zapory koncentratora

W przypadku wdrożenia zapory w sieci koncentratora należy wziąć pod uwagę kilka kwestii, które należy rozwiązać, aby można było przystąpić do migracji obciążeń. Jeśli nie rozwiążesz tych problemów na wczesnym etapie wdrażania, możesz napotkać problemy z routingiem i dostępem do sieci.

W ramach wykonywania tych działań przejrzyj obszar projektowania sieci, zwłaszcza wskazówki dotyczące zabezpieczeń sieci.

Jeśli wdrożysz urządzenie NVA innej firmy jako zaporę, zapoznaj się ze wskazówkami dostawcy i naszymi ogólnymi wskazówkami dotyczącymi urządzeń NVA o wysokiej dostępności.

Wdrażanie standardowych zestawów reguł

Jeśli używasz zapory Azure, cały ruch jest blokowany, dopóki nie dodasz jawnych reguł zezwalania. Wiele innych zapór NVA działa podobnie. Ruch jest blokowany do momentu zdefiniowania reguł określających dozwolony ruch.

Należy dodać poszczególne reguły i kolekcje reguł zgodnie z potrzebami obciążenia. Jednak należy również zaplanować stosowanie standardowych reguł, takich jak dostęp do usługi Active Directory lub innych rozwiązań do zarządzania tożsamościami i zarządzaniem, które mają zastosowanie do wszystkich z włączonymi obciążeniami.

Trasowanie

Platforma Azure udostępnia routing dla następujących scenariuszy bez dodatkowej konfiguracji:

• Routing między zasobami w tej samej sieci wirtualnej
• Routing między zasobami w równorzędnych sieciach wirtualnych
• Trasowanie między zasobami a bramą sieci wirtualnej — we własnej sieci wirtualnej lub w połączeniu równorzędnym sieci wirtualnej skonfigurowanym do korzystania z bramy.

Dwa typowe scenariusze routingu wymagają dodatkowej konfiguracji. Oba scenariusze mają tabele tras przypisane do podsieci w celu kształtowania routingu. Aby uzyskać więcej informacji na temat routingu i tras niestandardowych platformy Azure, zobacz Routing ruchu w sieci wirtualnej.

Routing między szprychami

W przypadku obszaru projektowania sieci wiele organizacji korzysta z topologii sieci piasty i szprych.

Potrzebujesz ścieżek, które przesyłają ruch z jednego węzła do drugiego. Aby zapewnić wydajność i prostotę, skorzystaj z domyślnej trasy (0.0.0.0/0) do zapory sieciowej. Dzięki tej trasie ruch do dowolnej nieznanej lokalizacji przechodzi do zapory, która sprawdza ruch i stosuje reguły zapory.

Jeśli chcesz zezwolić na ruch wychodzący z Internetu, możesz również przypisać inną trasę dla prywatnej przestrzeni IP do zapory, na przykład 10.0.0.0/8. Ta konfiguracja nie zastępuje bardziej szczegółowych tras. Można jednak użyć go jako prostej trasy, aby ruch między węzłami mógł być prawidłowo przekierowany.

Aby uzyskać więcej informacji na temat komunikacji między szprychami, zobacz Wzorce i topologie komunikacji między szprychami.

Routing z podsieci bramy sieciowej

Jeśli używasz sieci wirtualnych dla centrum, musisz zaplanować sposób obsługi inspekcji ruchu pochodzącego z bram.

Jeśli zamierzasz sprawdzić ruch, potrzebne są dwie konfiguracje:

• W ramach subskrypcji łączności musisz utworzyć tabelę tras i połączyć ją z subnetem bramy. Podsieć bramy wymaga trasy dla każdej sieci szprychy, którą zamierzasz dołączyć, z następnym przeskokiem adresu IP zapory.

• W każdej subskrypcji strefy docelowej należy utworzyć tabelę tras i połączyć ją z każdą podsiecią. Wyłącz propagację protokołu BGP (Border Gateway Protocol) w tabelach tras.

Aby uzyskać więcej informacji na temat tras niestandardowych i zdefiniowanych przez platformę Azure, zobacz Routing ruchu w sieci wirtualnej platformy Azure.

Jeśli zamierzasz sprawdzić ruch do prywatnych punktów końcowych, włącz odpowiednie zasady sieci routingu w podsieci, w której są hostowane prywatne punkty końcowe. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami sieci dla prywatnych punktów końcowych.

Jeśli nie zamierzasz sprawdzać ruchu, nie są potrzebne żadne zmiany. Jeśli jednak dodasz tabele tras do podsieci sieci szprych, włącz propagację protokołu BGP, aby ruch mógł wrócić do bramy.

Konfigurowanie monitorowania i zarządzania

W ramach wdrażania strefy docelowej masz aprowizowane zasady, które rejestrują zasoby w dziennikach usługi Azure Monitor. Należy jednak również utworzyć alerty dla zasobów strefy docelowej.

Aby zaimplementować alerty, możesz wdrożyć punkt odniesienia usługi Azure Monitor dla stref docelowych. Użyj tego wdrożenia, aby uzyskać alerty na podstawie typowych scenariuszy zarządzania strefami docelowymi, takich jak zasoby łączności i kondycja usługi.

Możesz również wdrożyć własny niestandardowy system powiadomień dla zasobów, jeśli Twoje potrzeby różnią się od tego, co jest określone w standardowych ustawieniach.

Przygotowywanie strefy docelowej do migracji suwerennych obciążeń

Jeśli musisz spełnić wymagania dotyczące niezależności, możesz ocenić, czy chmura firmy Microsoft dla suwerenności spełnia Twoje wymagania. Chmura firmy Microsoft dla suwerenności zapewnia dodatkową warstwę zasad i możliwości inspekcji, które zaspokajają potrzeby poszczególnych sektorów publicznych i klientów rządowych.

Te możliwości można włączyć, wdrażając suwerenną strefę docelową. Architektura suwerennej strefy docelowej jest zgodna z zalecanymi projektami stref docelowych platformy Azure .

Portfolio polityk Microsoft Cloud for Sovereignty

Za pomocą zasad platformy Azure można włączyć scentralizowaną kontrolę między zasobami platformy Azure, aby wymusić określone konfiguracje. Możesz przypisać inicjatywy zasad Microsoft Cloud for Sovereignty do stref lądowania, aby upewnić się, że przestrzegasz lokalnych zasad i wymagań prawnych w Twoim kraju/regionie.

Jeśli te inicjatywy polityki nie zostały jeszcze przypisane do wdrożenia suwerennej strefy lądowania, rozważ przypisanie inicjatyw odpowiadających wymaganiom prawnym.

Włącz sprzedaż subskrypcji

Ta sekcja dotyczy organizacji, które chcą zautomatyzować proces aprowizacji subskrypcji. Jeśli ręcznie zarządzasz strefą docelową i tworzeniem subskrypcji, należy ustanowić własny proces tworzenia subskrypcji.

Po rozpoczęciu migracji należy utworzyć subskrypcje dla obciążeń. Włącz sprzedaż subskrypcji , aby zautomatyzować i przyspieszyć ten proces. Po ustanowieniu automatu subskrypcji powinno być możliwe szybkie tworzenie subskrypcji.

Przygotowanie do usługi Microsoft Defender dla chmury

Podczas wdrażania strefy docelowej należy również ustawić zasady, aby włączyć usługę Defender for Cloud dla subskrypcji platformy Azure. Usługa Defender for Cloud udostępnia zalecenia dotyczące stanu zabezpieczeń w swoim wskaźniku bezpieczeństwa, który ocenia wdrożone zasoby względem punktu odniesienia zabezpieczeń firmy Microsoft.

Nie musisz implementować dodatkowych konfiguracji technicznych, ale należy przejrzeć zalecenia i zaprojektować plan poprawy stanu zabezpieczeń podczas migrowania zasobów. Po rozpoczęciu migracji zasobów na platformę Azure należy przystąpić do implementowania ulepszeń zabezpieczeń w ramach optymalizacji migracji.

Powiązane zasoby

Rozważ następujące dodatkowe zasoby, aby przygotować się do migracji:

• Przygotowanie początkowych zasad firmowych, które są zdefiniowane i zrozumiałe
• Tworzenie odpowiedniego planu na potrzeby rozliczeń platformy Azure
• Upewnij się, że masz odpowiednie dopasowanie organizacyjne i plan zarządzania nim
• Definiowanie konwencji nazewnictwa i strategii tagowania