Partilhar via


Prepare sua zona de desembarque para a migração

Este artigo descreve como preparar sua zona de aterrissagem do Azure para uma migração. Ele também lista as principais tarefas que você deve executar para garantir que as configurações estejam em vigor para seu projeto de migração.

Independentemente de qual implementação de referência de zona de aterrissagem do Azure você usou, você deve executar algumas tarefas para preparar sua zona de aterrissagem para um projeto de migração bem-sucedido.

Se você não usou uma implementação de referência de zona de aterrissagem do Azure, ainda precisará executar as etapas neste artigo. No entanto, você pode ter tarefas de pré-requisito para executar primeiro, ou pode ter que adaptar recomendações específicas ao seu design.

Este artigo descreve as tarefas que você deve executar para sua zona de aterrissagem do Azure existente após sua implantação. Algumas tarefas se concentram em implantações automatizadas. É observado se uma tarefa não é relevante para ambientes implantados e gerenciados manualmente.

Estabeleça conectividade híbrida

Durante uma implantação de zona de aterrissagem do Azure, você pode implantar uma assinatura de Conectividade com uma rede virtual de hub e gateways de rede, como gateways de VPN do Azure, gateways de Rota Expressa do Azure ou ambos. Após a implantação da zona de aterrissagem do Azure, você ainda deve configurar a conectividade híbrida desses gateways para se conectar aos dispositivos de datacenter existentes ou ao circuito da Rota Expressa.

Na fase pronta, você planejou sua conectividade com o Azure. Use este plano para determinar as conexões que você precisa incorporar. Por exemplo, se você usa a Rota Expressa, deve trabalhar com seu provedor para estabelecer seu circuito de Rota Expressa.

Para obter orientação técnica para cenários específicos, consulte:

Nota

Para obter orientações adicionais, consulte também a documentação específica do seu provedor.

Se você estabelecer sua conectividade híbrida com o Azure por meio de um dispositivo virtual (NVA) de rede de terceiros implantado em sua rede virtual, revise suas diretrizes específicas e nossa orientação geral para NVAs altamente disponíveis.

Preparar identidade

Durante a implantação da zona de aterrissagem do Azure, você também deve implantar uma arquitetura de suporte para sua plataforma de identidade. Você pode ter uma assinatura de identidade dedicada ou grupos de recursos e uma rede virtual ou sub-redes para as máquinas virtuais (VMs) que você usa para identidade. No entanto, você deve implantar os recursos de identidade após a implantação da zona de aterrissagem do Azure.

As seções a seguir fornecem orientações relacionadas ao Ative Directory. Se você usar um provedor de identidade diferente para autenticação e autorizações, deverá seguir as orientações sobre como estender sua identidade para o Azure.

Antes de implementar essas diretrizes, revise as decisões de identidade híbrida e do Ative Directory que você tomou quando planejou sua zona de destino.

Você também deve revisar sua linha de base de identidade a partir da fase de governança para determinar se precisa fazer alterações no ID do Microsoft Entra.

Estender controladores de domínio do Ative Directory

Na maioria dos cenários de migração, as cargas de trabalho que você migra para o Azure já estão associadas a um domínio existente do Ative Directory. O Microsoft Entra ID oferece soluções para modernizar o gerenciamento de identidades, mesmo para cargas de trabalho de VM, mas pode interromper a migração. Rearquitetar o uso de identidade para cargas de trabalho geralmente é realizado durante iniciativas de modernização ou inovação.

Como resultado, você precisa implantar controladores de domínio no Azure dentro da área de rede de identidade que você implantou. Depois de implantar VMs, você deve seguir seu processo normal de promoção do controlador de domínio para adicioná-las ao domínio. Esse processo pode incluir a criação de sites adicionais para dar suporte à topologia de replicação.

Para obter um padrão de arquitetura comum para implantar esses recursos, consulte Implantar os Serviços de Domínio Ative Directory (AD DS) em uma rede virtual do Azure.

Se você implementar a arquitetura de escala empresarial para pequenas empresas, os servidores AD DS geralmente estarão em uma sub-rede no hub. Se você implementar a arquitetura hub-and-spoke em escala empresarial ou a arquitetura WAN virtual em escala empresarial, os servidores geralmente estarão em sua rede virtual dedicada.

Microsoft Entra Connect

Muitas organizações já têm o Microsoft Entra Connect para preencher serviços do Microsoft 365, como o Exchange Online. Se sua organização não tiver o Microsoft Entra Connect, talvez seja necessário instalá-lo e implantá-lo após a implantação da zona de aterrissagem para que possa replicar identidades.

Ativar DNS híbrido

A maioria das organizações precisa ser capaz de resolver solicitações de DNS (Sistema de Nomes de Domínio) para namespaces que fazem parte de ambientes existentes. Esses namespaces geralmente exigem integração com servidores do Ative Directory. E os recursos no ambiente existente devem ser capazes de resolver recursos no Azure.

Para habilitar essas funções, você precisa configurar os serviços DNS para oferecer suporte a fluxos comuns. Você pode usar as zonas de aterrissagem do Azure para implantar muitos dos recursos necessários. Para tarefas adicionais para as quais revisar e se preparar, consulte Resolução de DNS no Azure.

Resolução DNS personalizada

Se você usar o Ative Directory para seu resolvedor de DNS ou se implantar uma solução de terceiros, deverá implantar VMs. Você pode usar essas VMs como seus servidores DNS se os controladores de domínio forem implantados em sua assinatura de identidade e rede falada. Caso contrário, você deve implantar e configurar as VMs para abrigar esses serviços.

Depois de implantar as VMs, você deve integrá-las à sua plataforma DNS existente para que elas possam realizar pesquisas em seus namespaces existentes. Para servidores DNS do Ative Directory, essa integração é automática.

Você também pode usar o Resolvedor Privado de DNS do Azure, mas esse serviço não é implantado como parte da implantação da zona de aterrissagem do Azure.

Se o seu design usa zonas DNS privadas, planeje de acordo. Por exemplo, se você usar zonas DNS privadas com pontos de extremidade privados, consulte Especificar servidores DNS. As zonas DNS privadas são implantadas como parte da sua zona de aterrissagem. Se você também usar pontos de extremidade privados para executar esforços de modernização, deverá ter uma configuração adicional para eles.

Proxy DNS do Firewall do Azure

Você pode configurar o Firewall do Azure como um proxy DNS. O Firewall do Azure pode receber tráfego e encaminhá-lo para um resolvedor do Azure ou seus servidores DNS. Essa configuração pode permitir que pesquisas sejam realizadas do local para o Azure, mas elas não podem ser encaminhadas condicionalmente de volta para servidores DNS locais.

Se precisar de resolução DNS híbrida, você pode configurar o proxy DNS do Firewall do Azure para encaminhar o tráfego para seus servidores DNS personalizados, como seus controladores de domínio.

Esta etapa é opcional, mas tem vários benefícios. Ele reduz as alterações de configuração posteriormente se você alterar os serviços DNS e habilita as regras de FQDN (nome de domínio totalmente qualificado) no Firewall do Azure.

Configurar servidores DNS de rede virtual personalizados

Depois de concluir as atividades anteriores, você pode configurar os servidores DNS para suas redes virtuais do Azure para os servidores personalizados que você usa.

Para obter mais informações, consulte Configurações de DNS do Firewall do Azure.

Configurar firewall de hub

Se você implantou um firewall em sua rede de hub, há algumas considerações que você deve abordar para estar pronto para migrar cargas de trabalho. Se você não abordar essas considerações no início da implantação, poderá ter problemas de roteamento e acesso à rede.

Como parte da execução dessas atividades, revise a área de design de rede, especialmente as diretrizes de segurança de rede.

Se você implantar um NVA de terceiros como seu firewall, consulte as orientações do fornecedor e nossas orientações gerais para NVAs altamente disponíveis.

Implantar conjuntos de regras padrão

Se você usar um firewall do Azure, todo o tráfego do firewall será bloqueado até que você adicione regras de permissão explícitas. Muitos outros firewalls NVA funcionam de forma semelhante. O tráfego é negado até que você defina regras que especifiquem o tráfego permitido.

Você deve adicionar regras individuais e coleções de regras com base nas necessidades de carga de trabalho. Mas você também deve planejar ter regras padrão, como acesso ao Ative Directory ou outras soluções de identidade e gerenciamento, que se apliquem a todas as cargas de trabalho habilitadas.

Encaminhamento

O Azure fornece roteamento para os seguintes cenários sem configuração adicional:

  • Roteamento entre recursos na mesma rede virtual
  • Roteamento entre recursos em redes virtuais emparelhadas
  • Roteamento entre recursos e um gateway de rede virtual, seja em sua própria rede virtual ou em uma rede virtual emparelhada configurada para usar o gateway

Dois cenários de roteamento comuns precisam de configuração adicional. Ambos os cenários têm tabelas de rotas atribuídas a sub-redes para roteamento de formas. Para obter mais informações sobre roteamento do Azure e rotas personalizadas, consulte Roteamento de tráfego de rede virtual.

Roteamento entre raios

Para a área de design de rede, muitas organizações usam uma topologia de rede hub-spoke.

Você precisa de rotas que transfiram o tráfego de um falado para outro. Para maior eficiência e simplicidade, use a rota padrão (0.0.0.0/0) para o firewall. Com essa rota estabelecida, o tráfego para qualquer local desconhecido vai para o firewall, que inspeciona o tráfego e aplica suas regras de firewall.

Se quiser permitir a saída da Internet, você também pode atribuir outra rota para seu espaço IP privado ao firewall, como 10.0.0.0/8. Essa configuração não substitui rotas mais específicas. Mas você pode usá-lo como uma rota simples para que o tráfego inter-falado possa rotear corretamente.

Para obter mais informações sobre a rede spoke-to-spoke, consulte Padrões e topologias para comunicação interfalada.

Roteamento a partir da sub-rede do gateway

Se você usa redes virtuais para seu hub, precisa planejar como lidar com a inspeção do tráfego proveniente de seus gateways.

Se você pretende inspecionar o tráfego, precisará de duas configurações:

  • Na sua assinatura de conectividade, você precisa criar uma tabela de rotas e vinculá-la à sub-rede do gateway. A sub-rede do gateway precisa de uma rota para cada rede spoke que você pretende anexar, com um próximo salto do endereço IP do seu firewall.

  • Em cada uma das suas assinaturas de zona de destino, você precisa criar uma tabela de rotas e vinculá-la a cada sub-rede. Desative a propagação do protocolo BGP (Border Gateway Protocol) nas tabelas de rotas.

Para obter mais informações sobre rotas personalizadas e definidas pelo Azure, consulte Roteamento de tráfego de rede virtual do Azure.

Se você pretende inspecionar o tráfego para pontos de extremidade privados, habilite a política de rede de roteamento apropriada na sub-rede onde os pontos de extremidade privados estão hospedados. Para obter mais informações, consulte Gerenciar políticas de rede para pontos de extremidade privados.

Se você não pretende inspecionar o tráfego, nenhuma alteração será necessária. No entanto, se você adicionar tabelas de rotas às sub-redes de rede faladas, habilite a propagação BGP para que o tráfego possa ser roteado de volta ao gateway.

Configurar monitoramento e gerenciamento

Como parte da implantação de sua zona de aterrissagem, você provisionou políticas que registram seus recursos nos Logs do Azure Monitor. Mas você também deve criar alertas para os recursos da sua zona de pouso.

Para implementar alertas, você pode implantar a linha de base do Azure Monitor para zonas de aterrissagem. Use essa implantação para obter alertas com base em cenários comuns para o gerenciamento da zona de aterrissagem, como recursos de conectividade e integridade do serviço.

Você também pode implantar seu próprio alerta personalizado para recursos se suas necessidades se desviarem do que está na linha de base.

Prepare sua zona de desembarque para migrações de carga de trabalho soberana

Se você precisar atender aos requisitos de soberania, poderá avaliar se o Microsoft Cloud for Sovereignty atende aos seus requisitos. O Microsoft Cloud for Sovereignty fornece uma camada adicional de recursos de política e auditoria que atendem às necessidades individuais dos clientes do setor público e do governo.

Você pode habilitar esses recursos implantando a zona de pouso soberano. A arquitetura da zona de aterrissagem soberana está alinhada com os designs recomendados da zona de pouso do Azure.

Portfólio de políticas do Microsoft Cloud for Sovereignty

Usando a política do Azure, você pode habilitar o controle centralizado entre os recursos do Azure para impor configurações específicas. Pode atribuir as iniciativas de política do Microsoft Cloud for Sovereignty às suas zonas de aterragem para se certificar de que cumpre as políticas locais e os requisitos regulamentares no seu país/região.

Se essas iniciativas políticas ainda não estiverem atribuídas à implantação da sua zona de pouso soberano, considere atribuir as iniciativas que correspondem aos seus requisitos regulamentares.

Ativar venda automática de subscrição

Esta seção se aplica a organizações que desejam automatizar seu processo de provisionamento de assinatura. Se você gerenciar manualmente sua zona de destino e a criação de assinaturas, deverá estabelecer seu próprio processo de criação de assinaturas.

Ao começar a migrar, você deve criar assinaturas para suas cargas de trabalho. Habilite a venda automática de assinaturas para automatizar e acelerar esse processo. Quando a venda automática de assinaturas é estabelecida, você deve ser capaz de criar assinaturas rapidamente.

Prepare-se para o Microsoft Defender for Cloud

Ao implantar sua zona de destino, você também define políticas para habilitar o Defender for Cloud para suas assinaturas do Azure. O Defender for Cloud fornece recomendações de postura de segurança em sua pontuação segura, que avalia os recursos implantados em relação à linha de base de segurança da Microsoft.

Você não precisa implementar configurações técnicas adicionais, mas deve revisar as recomendações e projetar um plano para melhorar sua postura de segurança à medida que migra recursos. Quando começar a migrar recursos para o Azure, você deve estar pronto para implementar melhorias de segurança como parte de sua otimização de migração.

Considere estes recursos adicionais para se preparar para a migração:

Próximos passos