Fazer a transição de um ambiente existente do Azure para a arquitetura conceitual da zona de aterrissagem do Azure

  • Artigo

Muitas organizações têm uma pegada existente do Azure, uma ou mais assinaturas e, potencialmente, uma estrutura de grupo de gerenciamento existente. Dependendo de seus requisitos de negócios e cenários, eles podem ter recursos do Azure implantados, como o Gateway de VPN do Azure ou o Azure ExpressRoute para conectividade híbrida.

Este artigo fornece recomendações para ajudar sua organização a navegar pelas alterações com base em seu ambiente existente do Azure que está fazendo a transição para a arquitetura conceitual da zona de aterrissagem do Azure. Este artigo também descreve considerações para mover recursos no Azure, por exemplo, mover uma assinatura de um grupo de gerenciamento existente para outro grupo de gerenciamento. Considere estas recomendações para ajudá-lo a avaliar e planejar a transição do seu ambiente existente do Azure.

Mover recursos no Azure

Você pode mover alguns recursos no Azure após a criação. Há diferentes abordagens que estão sujeitas às permissões RBAC (controle de acesso baseado em função) do Azure de um usuário em e entre escopos. A tabela a seguir descreve quais recursos você pode mover, em qual escopo e os prós e contras associados a cada recurso.

Âmbito Destino Pro Con
Recursos em grupos de recursos. Você pode mover para um novo grupo de recursos na mesma assinatura ou em uma assinatura diferente. Você pode modificar a composição de recursos em um grupo de recursos após a implantação. Não suportado por todos os resourceTypes.

Alguns resourceTypes têm limitações ou requisitos específicos.

resourceIds são atualizados e afetam o monitoramento, alertas e operações de plano de controle existentes.

Os grupos de recursos são bloqueados durante o período de movimentação.

Requer uma avaliação das políticas e da operação RBAC pré e pós-movimento.
Subscrições num inquilino. Você pode mover para diferentes grupos de gerenciamento. Nenhum efeito sobre os recursos existentes na assinatura porque os valores resourceId não são alterados. Requer uma avaliação das políticas e da operação RBAC pré e pós-movimento.

Para determinar qual estratégia de movimentação você deve usar, considere os exemplos a seguir.

Mover subscrições

Normalmente, você move assinaturas para organizá-las em grupos de gerenciamento ou para transferir assinaturas para um novo locatário do Microsoft Entra ID. Mover uma assinatura para um novo locatário é principalmente para transferir a propriedade da cobrança. Para obter mais informações sobre como mover assinaturas entre grupos de gerenciamento no mesmo locatário, consulte Movendo grupos de gerenciamento e assinaturas.

Requisitos do RBAC do Azure

Para avaliar uma assinatura antes de uma mudança, é importante que o usuário tenha o RBAC do Azure apropriado. O usuário pode ser um proprietário na assinatura (atribuição direta de função) e ter permissão de gravação no grupo de gerenciamento de destino. As funções internas que oferecem suporte à permissão de gravação no grupo de gerenciamento de destino são a função de proprietário, a função de colaborador e a função de colaborador do grupo de gerenciamento.

Se o usuário tiver uma permissão de função de proprietário herdada na assinatura de um grupo de gerenciamento existente, você só poderá mover a assinatura para o grupo de gerenciamento no qual o usuário recebeu a função de proprietário.

Políticas

As subscrições existentes podem estar sujeitas a políticas do Azure atribuídas diretamente ou atribuídas no grupo de gestão onde estão atualmente localizadas. É importante avaliar as políticas atuais e as políticas que podem existir no novo grupo de gerenciamento ou na hierarquia do grupo de gerenciamento.

Você pode usar o Azure Resource Graph para executar um inventário de recursos existentes e comparar sua configuração com as políticas existentes no destino.

Depois de mover assinaturas para um grupo de gerenciamento com o RBAC do Azure existente e políticas em vigor, considere os seguintes fatores:

  • Para qualquer RBAC do Azure herdado para as assinaturas movidas, os tokens de usuário no cache do grupo de gerenciamento podem levar até 30 minutos para serem atualizados. Para agilizar esse processo, você pode atualizar o token saindo e entrando ou solicitando um novo token.

  • Uma política na qual o escopo da atribuição inclui as assinaturas movidas executa uma auditoria somente nos recursos existentes. Um recurso existente na subscrição que está sujeito a:

    • DeployIfNotExists O efeito da política aparece como não compatível e não é corrigido automaticamente. Um usuário deve executar manualmente a correção.

    • Deny O efeito da política aparece como não compatível e não é rejeitado. Um usuário deve atenuar manualmente esse resultado, conforme apropriado.

    • Append e Modify o efeito da política aparece como não compatível e exige que o usuário atenue.

    • Audit e AuditIfNotExist o efeito da política aparece como não compatível e exige que o usuário atenue.

  • Todas as novas gravações em recursos na assinatura movida estão sujeitas às políticas atribuídas em tempo real, como é normal.

Mover recursos

Normalmente, você move recursos quando deseja consolidar recursos no mesmo grupo de recursos se eles compartilharem o mesmo ciclo de vida. Ou se você quiser mover recursos para uma assinatura diferente devido a custo, propriedade ou requisitos do RBAC do Azure.

Quando você move recursos, o grupo de recursos de origem e o grupo de recursos de destino são bloqueados durante a operação de movimentação. Não é possível adicionar, atualizar ou excluir recursos nos grupos de recursos. Uma operação de movimentação de recursos não altera o local dos recursos.

Para obter mais informações sobre como mover recursos entre grupos de recursos e assinaturas no mesmo locatário, consulte Mover recursos para um novo grupo de recursos ou assinatura.

Gorjeta

Para minimizar o efeito de interrupções regionais, recomendamos que você coloque os recursos na mesma região que o grupo de recursos. Para obter mais informações, consulte Alinhamento de local do grupo de recursos.

Se você tiver recursos em regiões diferentes dentro do mesmo grupo de recursos, considere mover seus recursos para um novo grupo de recursos ou assinatura.

Para determinar se o recurso suporta a mudança para outro grupo de recursos, inventarie os recursos fazendo referência cruzada a eles. Certifique-se de atender aos pré-requisitos apropriados.

Antes de mover recursos

Antes de uma operação de movimentação, você deve verificar se os recursos são suportados e avaliar seus requisitos e dependências. Por exemplo, quando você move uma rede virtual emparelhada, você precisa desabilitar o emparelhamento de rede virtual primeiro e reativar o emparelhamento após a conclusão da operação de movimentação. Planeje com antecedência a desativação e reative a dependência para entender o efeito nas cargas de trabalho existentes que podem estar conectadas às suas redes virtuais.

Depois de mover recursos

Quando você move os recursos para um novo grupo de recursos na mesma assinatura, qualquer RBAC do Azure herdado e políticas do grupo de gerenciamento ou assinatura ainda se aplicam. Isso também se aplica se você mudar para um grupo de recursos em uma nova assinatura em que a assinatura pode estar sujeita a outro RBAC do Azure e atribuição de política. Você precisa validar a conformidade de recursos e os controles de acesso.

Cenários

Os cenários a seguir descrevem como migrar e fazer a transição de um ambiente existente para a arquitetura conceitual da zona de aterrissagem do Azure.

Jornada em direção à arquitetura de destino