Перенос облачных рабочих нагрузок между клиентами безопасности

Microsoft Entra ID

Azure DevOps

Azure Resource Manager

Azure Backup

Идеи решения

В этой статье описывается идея решения. Ваш архитектор облака может использовать это руководство, чтобы визуализировать основные компоненты для типичной реализации этой архитектуры. Используйте эту статью в качестве отправной точки для разработки хорошо спроектированного решения, которое соответствует конкретным требованиям рабочей нагрузки.

Для решения бизнес-преобразований, таких как приобретения или расхождения, команды должны планировать разделение или присоединение облачных рабочих нагрузок от существующего клиента Microsoft Entra к новому клиенту. В этой статье описывается, как определить и реализовать стратегию миграции между клиентами.

Архитектура

На этой схеме описан процесс миграции ресурсов. Сначала файлы шаблона и конфигурации Azure Resource Manager извлекаются и хранятся в репозитории исходного кода или репозитории конфигурации. Затем эти файлы развертываются в целевых группах ресурсов в новом клиенте. Временная подписка, известная как подписка на боковую подписку, создается в исходном клиенте для хранения резервных копий и клонированных ресурсов службы данных. Затем ресурсы клонируются с помощью таких средств, как Фабрика данных Azure или AzCopy. После клонированных ресурсов подписка перемещается в новый клиент. Наконец, ресурсы переносятся или восстанавливаются в целевых группах до удаления временной подписки.

Скачайте файл Visio для этой архитектуры.

Поток данных

Следующий поток данных соответствует предыдущей схеме:

1. Подготовьте артефакты инфраструктуры и конфигурации:

   1. Извлеките артефакты шаблона и конфигурации Azure Resource Manager и сохраните их в репозитории исходного кода или репозитории конфигурации. Этот шаг соответствует инфраструктуре в качестве методов кода и помогает гарантировать, что перенесенные ресурсы имеют то же определение развертывания ресурсов. Она также упрощает автоматизацию развертывания.

   2. Разверните артефакты инфраструктуры и конфигурации в целевой группе ресурсов или группах в новой подписке клиента.

2. Создайте подписку на боковую машину в существующем клиенте для размещения клонированных ресурсов службы данных и резервных копий виртуальных машин. Большинство организаций имеют команду облачной платформы или вендинг по подписке процесс, который может создать эту подписку.

3. Клонируйте ресурсы с помощью средства, например Фабрики данных Azure, AzCopy для миграции данных или собственных возможностей резервного копирования и восстановления.

4. Переместите подписку на новый клиент.

5. Переместите ресурсы в целевую группу ресурсов или перенесите данные в предварительно созданные ресурсы в целевой группе ресурсов. Кроме того, восстановите виртуальные машины из резервных копий. План реализации должен описать метод подготовки.

6. Удалите подписку на боковую подписку.

Компоненты

• Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом. Клиент Microsoft Entra представляет вашу организацию и помогает управлять экземпляром облачных служб для внутренних и внешних гостей.

• Подписка Azure — это логический контейнер для ресурсов. Каждый ресурс Azure связан только с одной подпиской. Создание подписки — это первый шаг внедрения Azure.

• Azure DevOps предоставляет службы разработчиков, которые помогут командам планировать работу, сотрудничать с разработкой кода и создавать и развертывать приложения.

• Azure Backup предоставляет экономичные решения для резервного копирования данных и его восстановления из Azure.

• Служба приложений Azure — это служба на базе HTTP для размещения веб-приложений, интерфейсов REST API и серверной части мобильных решений. Он предоставляет непрерывное развертывание и другие возможности DevOps.

• База данных SQL Azure — это полностью управляемая и интеллектуальная служба реляционной базы данных, созданная для облака. С помощью База данных SQL можно создать высокопроизводительный уровень хранения данных для современных облачных приложений.

• Платформа служба хранилища Azure — это облачное решение Майкрософт для современных сценариев хранения данных. Служба хранилища Azure предоставляет высокодоступное, масштабируемое и устойчивое хранилище для различных объектов данных в облаке.

• Azure Synapse Analytics — это корпоративная служба аналитики, которая ускоряет анализ между хранилищами данных и системами больших данных.

• Машинное обучение Azure — это облачная служба для ускорения жизненного цикла проекта машинного обучения и управления ими. Специалисты по машинному обучению, специалисты по обработке и анализу данных и инженеры могут использовать его в своих повседневных рабочих процессах.

• Azure Databricks предоставляет единый набор средств, которые можно использовать для создания, развертывания, совместного использования и обслуживания решений данных корпоративного уровня в большом масштабе.

• службы ИИ Azure — это набор облачных служб ИИ, которые могут помочь разработчикам создавать когнитивный интеллект в приложениях, даже если у них нет навыков ИИ или знаний.

• Azure Cosmos DB — это полностью управляемая база данных NoSQL и реляционная база данных для современной разработки приложений.

• Центры событий Azure — это платформа потоковой передачи больших данных и служба приема событий.

• Azure Key Vault — это облачная служба, которую можно использовать для предоставления доступа к секретам и хранения их с повышенной безопасностью.

• Azure Виртуальные машины — это один из нескольких типов вычислительных ресурсов по запросу, масштабируемых вычислительных ресурсов, которые предоставляет Azure. Обычно вы используете виртуальную машину, если требуется больше контроля над вычислительной средой, чем другие варианты.

• Группы ресурсов — это логические контейнеры для ресурсов Azure. Эта архитектура использует группы ресурсов для упорядочивания всех ресурсов.

Подробности сценария

Для решения таких бизнес-преобразований, как приобретение или погружение, группа переходных рабочих нагрузок, включая разработчиков, архитекторов, операций и технических решений, должна планировать разделение и присоединение облачных рабочих нагрузок от существующего клиента Microsoft Entra к новому клиенту Microsoft Entra. Это планирование может помочь обеспечить надежную миграцию, защиту и изоляцию всех служб данных и приложений в соответствующие бизнес-границы.

Если рабочая нагрузка существует в одной подписке, во многих случаях можно использовать встроенную функцию перемещения подписки для передачи всей подписки в новый клиент Microsoft Entra. Тем не менее, поскольку большинство рабочих нагрузок организации погружения связаны с сохранением рабочих нагрузок организации до разделения, достижение готовности к миграции требует другого подхода.

В этом сценарии компания здравоохранения, которая имеет несколько глобальных бизнес-подразделений, хочет отвести бизнес. Чтобы перенести данные, им необходимо определить и реализовать стратегию миграции рабочей нагрузки между каталогами.

Для начала компания классифицирует ресурсы рабочей нагрузки в три категории. Одна группа включает вычислительные ресурсы, управляемые с помощью PaaS. Вторая группа включает службы данных, требующие поддержки PaaS и IaaS. Последняя группа включает вычислительные ресурсы, управляемые с помощью IaaS. Для каждого типа ресурсов они используют следующие подходы.

• Для PaaS или вычислительных ресурсов, выполняемых на основе логики и конфигурации, повторно создайте эти ресурсы в целевом клиенте. Используйте процессы DevOps.

  Вычислительные ресурсы PaaS включают Key Vault, Машинное обучение, Фабрику данных Azure и Azure Databricks.

• Для PaaS и IaaS или службы данных, ресурсы, которые хранят данные, перемещают подписки Azure из одного клиента Microsoft Entra в другой. Переместите эти ресурсы в новый клиент через подписку на боковую подписку. Перед их перемещением необходимо тщательно оценить ресурсы. Например, база данных SQL Azure с включенной интеграцией проверки подлинности Microsoft Entra не может быть перемещена в существующем состоянии. Вместо этого используйте резервное копирование и восстановление. Этот процесс удаляет все назначения управления доступом на основе ролей (RBAC). После перемещения ресурса в новый клиент необходимо восстановить эти назначения RBAC.

  Данные PaaS и IaaS включают такие службы, как База данных SQL Azure, Azure Data Lake Storage и Azure Cosmos DB.

• Для IaaS или вычислительных ресурсов, которые предоставляют размещение для настраиваемой логики, создают резервные копии и восстанавливают ресурсы в целевой среде.

  Вычислительные ресурсы IaaS включают такие ресурсы, как виртуальные машины, в которых размещаются приложения или базы данных.

Потенциальные варианты использования

• Руководство по анализу и приобретению организации
• Внутренние спин-офф организации
• Инвестиции в Azure и переход от модели поставщика услуг

Соавторы

Корпорация Майкрософт поддерживает эту статью. Следующие авторы написали эту статью.

Автор субъекта:

• Лалит Патель | Главный архитектор облачных решений

Чтобы просмотреть неопубликованные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

• Документация по Azure RBAC
• Перенос подписки Azure
• Запрос к списку затронутых ресурсов при передаче подписки Azure
• Что такое Microsoft Entra ID?
• Документация по службе архивации Azure
• Что такое База данных SQL Azure
• Безопасное удостоверение с нулевой доверием

Связанный ресурс

• Архитектура непрерывной интеграции и непрерывной доставки с помощью Azure Pipelines

Идеи решения

В этой статье описывается идея решения. Ваш архитектор облака может использовать это руководство, чтобы визуализировать основные компоненты для типичной реализации этой архитектуры. Используйте эту статью в качестве отправной точки для разработки хорошо спроектированного решения, которое соответствует конкретным требованиям рабочей нагрузки.

Для решения бизнес-преобразований, таких как приобретения или расхождения, команды должны планировать разделение или присоединение облачных рабочих нагрузок от существующего клиента Microsoft Entra к новому клиенту. В этой статье описывается, как определить и реализовать стратегию миграции между клиентами.

Архитектура

На этой схеме описан процесс миграции ресурсов. Сначала файлы шаблона и конфигурации Azure Resource Manager извлекаются и хранятся в репозитории исходного кода или репозитории конфигурации. Затем эти файлы развертываются в целевых группах ресурсов в новом клиенте. Временная подписка, известная как подписка на боковую подписку, создается в исходном клиенте для хранения резервных копий и клонированных ресурсов службы данных. Затем ресурсы клонируются с помощью таких средств, как Фабрика данных Azure или AzCopy. После клонированных ресурсов подписка перемещается в новый клиент. Наконец, ресурсы переносятся или восстанавливаются в целевых группах до удаления временной подписки.

Скачайте файл Visio для этой архитектуры.

Поток данных

Следующий поток данных соответствует предыдущей схеме:

1. Подготовьте артефакты инфраструктуры и конфигурации:

   1. Извлеките артефакты шаблона и конфигурации Azure Resource Manager и сохраните их в репозитории исходного кода или репозитории конфигурации. Этот шаг соответствует инфраструктуре в качестве методов кода и помогает гарантировать, что перенесенные ресурсы имеют то же определение развертывания ресурсов. Она также упрощает автоматизацию развертывания.

   2. Разверните артефакты инфраструктуры и конфигурации в целевой группе ресурсов или группах в новой подписке клиента.

2. Создайте подписку на боковую машину в существующем клиенте для размещения клонированных ресурсов службы данных и резервных копий виртуальных машин. Большинство организаций имеют команду облачной платформы или вендинг по подписке процесс, который может создать эту подписку.

3. Клонируйте ресурсы с помощью средства, например Фабрики данных Azure, AzCopy для миграции данных или собственных возможностей резервного копирования и восстановления.

4. Переместите подписку на новый клиент.

5. Переместите ресурсы в целевую группу ресурсов или перенесите данные в предварительно созданные ресурсы в целевой группе ресурсов. Кроме того, восстановите виртуальные машины из резервных копий. План реализации должен описать метод подготовки.

6. Удалите подписку на боковую подписку.

Компоненты

• Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом. Клиент Microsoft Entra представляет вашу организацию и помогает управлять экземпляром облачных служб для внутренних и внешних гостей.

• Подписка Azure — это логический контейнер для ресурсов. Каждый ресурс Azure связан только с одной подпиской. Создание подписки — это первый шаг внедрения Azure.

• Azure DevOps предоставляет службы разработчиков, которые помогут командам планировать работу, сотрудничать с разработкой кода и создавать и развертывать приложения.

• Azure Backup предоставляет экономичные решения для резервного копирования данных и его восстановления из Azure.

• Служба приложений Azure — это служба на базе HTTP для размещения веб-приложений, интерфейсов REST API и серверной части мобильных решений. Он предоставляет непрерывное развертывание и другие возможности DevOps.

• База данных SQL Azure — это полностью управляемая и интеллектуальная служба реляционной базы данных, созданная для облака. С помощью База данных SQL можно создать высокопроизводительный уровень хранения данных для современных облачных приложений.

• Платформа служба хранилища Azure — это облачное решение Майкрософт для современных сценариев хранения данных. Служба хранилища Azure предоставляет высокодоступное, масштабируемое и устойчивое хранилище для различных объектов данных в облаке.

• Azure Synapse Analytics — это корпоративная служба аналитики, которая ускоряет анализ между хранилищами данных и системами больших данных.

• Машинное обучение Azure — это облачная служба для ускорения жизненного цикла проекта машинного обучения и управления ими. Специалисты по машинному обучению, специалисты по обработке и анализу данных и инженеры могут использовать его в своих повседневных рабочих процессах.

• Azure Databricks предоставляет единый набор средств, которые можно использовать для создания, развертывания, совместного использования и обслуживания решений данных корпоративного уровня в большом масштабе.

• службы ИИ Azure — это набор облачных служб ИИ, которые могут помочь разработчикам создавать когнитивный интеллект в приложениях, даже если у них нет навыков ИИ или знаний.

• Azure Cosmos DB — это полностью управляемая база данных NoSQL и реляционная база данных для современной разработки приложений.

• Центры событий Azure — это платформа потоковой передачи больших данных и служба приема событий.

• Azure Key Vault — это облачная служба, которую можно использовать для предоставления доступа к секретам и хранения их с повышенной безопасностью.

• Azure Виртуальные машины — это один из нескольких типов вычислительных ресурсов по запросу, масштабируемых вычислительных ресурсов, которые предоставляет Azure. Обычно вы используете виртуальную машину, если требуется больше контроля над вычислительной средой, чем другие варианты.

• Группы ресурсов — это логические контейнеры для ресурсов Azure. Эта архитектура использует группы ресурсов для упорядочивания всех ресурсов.

Подробности сценария

Для решения таких бизнес-преобразований, как приобретение или погружение, группа переходных рабочих нагрузок, включая разработчиков, архитекторов, операций и технических решений, должна планировать разделение и присоединение облачных рабочих нагрузок от существующего клиента Microsoft Entra к новому клиенту Microsoft Entra. Это планирование может помочь обеспечить надежную миграцию, защиту и изоляцию всех служб данных и приложений в соответствующие бизнес-границы.

Если рабочая нагрузка существует в одной подписке, во многих случаях можно использовать встроенную функцию перемещения подписки для передачи всей подписки в новый клиент Microsoft Entra. Тем не менее, поскольку большинство рабочих нагрузок организации погружения связаны с сохранением рабочих нагрузок организации до разделения, достижение готовности к миграции требует другого подхода.

В этом сценарии компания здравоохранения, которая имеет несколько глобальных бизнес-подразделений, хочет отвести бизнес. Чтобы перенести данные, им необходимо определить и реализовать стратегию миграции рабочей нагрузки между каталогами.

Для начала компания классифицирует ресурсы рабочей нагрузки в три категории. Одна группа включает вычислительные ресурсы, управляемые с помощью PaaS. Вторая группа включает службы данных, требующие поддержки PaaS и IaaS. Последняя группа включает вычислительные ресурсы, управляемые с помощью IaaS. Для каждого типа ресурсов они используют следующие подходы.

• Для PaaS или вычислительных ресурсов, выполняемых на основе логики и конфигурации, повторно создайте эти ресурсы в целевом клиенте. Используйте процессы DevOps.

  Вычислительные ресурсы PaaS включают Key Vault, Машинное обучение, Фабрику данных Azure и Azure Databricks.

• Для PaaS и IaaS или службы данных, ресурсы, которые хранят данные, перемещают подписки Azure из одного клиента Microsoft Entra в другой. Переместите эти ресурсы в новый клиент через подписку на боковую подписку. Перед их перемещением необходимо тщательно оценить ресурсы. Например, база данных SQL Azure с включенной интеграцией проверки подлинности Microsoft Entra не может быть перемещена в существующем состоянии. Вместо этого используйте резервное копирование и восстановление. Этот процесс удаляет все назначения управления доступом на основе ролей (RBAC). После перемещения ресурса в новый клиент необходимо восстановить эти назначения RBAC.

  Данные PaaS и IaaS включают такие службы, как База данных SQL Azure, Azure Data Lake Storage и Azure Cosmos DB.

• Для IaaS или вычислительных ресурсов, которые предоставляют размещение для настраиваемой логики, создают резервные копии и восстанавливают ресурсы в целевой среде.

  Вычислительные ресурсы IaaS включают такие ресурсы, как виртуальные машины, в которых размещаются приложения или базы данных.

Потенциальные варианты использования

• Руководство по анализу и приобретению организации
• Внутренние спин-офф организации
• Инвестиции в Azure и переход от модели поставщика услуг

Соавторы

Корпорация Майкрософт поддерживает эту статью. Следующие авторы написали эту статью.

Автор субъекта:

• Лалит Патель | Главный архитектор облачных решений

Чтобы просмотреть неопубликованные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

• Документация по Azure RBAC
• Перенос подписки Azure
• Запрос к списку затронутых ресурсов при передаче подписки Azure
• Что такое Microsoft Entra ID?
• Документация по службе архивации Azure
• Что такое База данных SQL Azure
• Безопасное удостоверение с нулевой доверием

Связанный ресурс

• Архитектура непрерывной интеграции и непрерывной доставки с помощью Azure Pipelines