Cenário: fazer a transição de um ambiente duplicando um grupo de gerenciamento de zona de aterrissagem
Este artigo descreve uma abordagem de exemplo que faz a transição de um ambiente para a arquitetura conceitual da zona de aterrissagem do Azure duplicando o grupo de gerenciamento da zona de aterrissagem com políticas no modo somente auditoria. Com essa abordagem, você pode acessar rapidamente a nova arquitetura de destino desejada e, em seguida, avaliar a conformidade das assinaturas de aplicativo ou carga de trabalho. Essa abordagem elimina o risco de afetar as equipes de aplicativos porque as políticas estão no modo somente auditoria.
Transição para a arquitetura conceitual da zona de destino do Azure
Antes de implementar essa abordagem, revise a arquitetura conceitual da zona de aterrissagem do Azure, os princípios de design da zona de aterrissagem do Azure e as áreas de design da zona de aterrissagem do Azure.
Use esta abordagem para fazer a transição para a arquitetura conceitual da zona de aterrissagem do Azure:
Implante o acelerador de zona de aterrissagem do Azure no mesmo locatário do Microsoft Entra ID em paralelo com o ambiente atual. Esse método fornece uma transição suave e em fases para a nova arquitetura de zona de aterrissagem com o mínimo de interrupção nas cargas de trabalho ativas.
Essa implantação cria uma nova estrutura de grupo de gerenciamento. Essa estrutura se alinha aos princípios e recomendações de design da zona de aterrissagem do Azure. Ele também garante que essas alterações não afetem o ambiente existente.
Para obter informações sobre como minimizar a interrupção de aplicativos e serviços durante a migração, consulte Adotar guardrails orientados por políticas.
Para duplicar o grupo de gerenciamento da zona de aterrissagem e seus filhos (corp e online no diagrama a seguir), incluindo todas as atribuições de política, configure-os para o modo somente auditoria. Nas atribuições de política, defina a propriedade enforcementMode como
DoNotEnforceouDisabled.Essa abordagem fornece acesso rápido à nova arquitetura de destino desejada. Em seguida, as equipes de aplicativos podem avaliar as políticas sem o risco de afetar os aplicativos ativos.
Observação
Essa abordagem não tem custo adicional porque apenas duplica a hierarquia do grupo de gerenciamento e as políticas atribuídas, não as cargas de trabalho.
(Opcional) Trabalhe com equipes de aplicativos ou serviços para migrar as cargas de trabalho implantadas nas assinaturas originais para novas assinaturas do Azure. Para saber mais, confira Transição de ambientes existentes do Azure para a arquitetura conceitual de zona de destino do Azure. Você pode colocar cargas de trabalho na hierarquia do grupo de gerenciamento recém-duplicado no grupo de gerenciamento correto, como brownfield corporativo ou brownfield online neste exemplo.
Para obter informações sobre o efeito nos recursos durante a migração, consulte Políticas.
Eventualmente, você pode cancelar a assinatura existente do Azure e colocá-la no grupo de gerenciamento desativado.
Observação
Você não precisa necessariamente migrar os aplicativos ou serviços existentes para novas zonas de aterrissagem ou assinaturas do Azure.
Depois que as equipes de aplicativos trabalham com as equipes de plataforma para obter a conformidade com a política no estado necessário, suas assinaturas são movidas para o grupo de gerenciamento adequado, como corporativo ou online no diagrama a seguir. Eles são cobertos pelas políticas atribuídas e sua equipe pode operar sua carga de trabalho de forma eficiente e em conformidade.
Para obter mais informações, consulte Preparando sua zona de aterrissagem para obter orientação sobre migração.
O diagrama a seguir mostra o estado desse cenário durante a migração.
Resumo
Você usou essa abordagem para migrar com segurança suas cargas de trabalho no Azure implantando a arquitetura conceitual da zona de aterrissagem do Azure em paralelo com seu ambiente existente com o mínimo de interrupção.