Förbereda landningszonen för migrering

  • Artikel

Den här artikeln beskriver hur du gör din Azure-landningszon redo för en migrering. Den visar också de viktigaste uppgifter som du måste utföra för att säkerställa att konfigurationer finns på plats för migreringsprojektet.

Oavsett vilken referensimplementering av Azure-landningszonen som du använde måste du utföra vissa uppgifter för att förbereda landningszonen för ett lyckat migreringsprojekt.

Om du inte använde en referensimplementering för Azure-landningszonen måste du fortfarande utföra stegen i den här artikeln. Du kan dock ha nödvändiga uppgifter att utföra först, eller så kan du behöva anpassa specifika rekommendationer till din design.

Den här artikeln beskriver de uppgifter som du måste utföra för din befintliga Azure-landningszon när den har distribuerats. Vissa uppgifter fokuserar på automatiserade distributioner. Det noteras om en uppgift inte är relevant för manuellt distribuerade och hanterade miljöer.

Upprätta hybridanslutning

Under en distribution i Azure-landningszonen kan du distribuera en Anslut ivity-prenumeration med ett virtuellt hubbnätverk och nätverksgatewayer, till exempel Azure VPN-gatewayer, Azure ExpressRoute-gatewayer eller båda. Efter distributionen av Azure-landningszonen måste du fortfarande konfigurera hybridanslutningar från dessa gatewayer för att ansluta till dina befintliga datacenterenheter eller din ExpressRoute-krets.

I den färdiga fasen planerade du för anslutningen till Azure. Använd den här planen för att fastställa de anslutningar som du behöver införliva. Om du till exempel använder ExpressRoute måste du arbeta med din leverantör för att upprätta din ExpressRoute-krets.

Information om hur du får teknisk vägledning för specifika scenarier finns i:

Kommentar

Ytterligare vägledning finns i leverantörens specifika dokumentation.

Om du upprättar din hybridanslutning till Azure via en virtuell nätverksinstallation från tredje part som distribueras i ditt virtuella nätverk kan du läsa deras specifika vägledning och vår allmänna vägledning för nva:er med hög tillgänglighet.

Förbereda identitet

Under distributionen av Azure-landningszonen bör du även distribuera en stödarkitektur för din identitetsplattform. Du kan ha en dedikerad identitetsprenumeration eller resursgrupper och ett virtuellt nätverk eller undernät för de virtuella datorer som du använder för identitet. Du måste dock distribuera identitetsresurserna efter distributionen av Azure-landningszonen.

Följande avsnitt innehåller vägledning om Active Directory. Om du använder en annan identitetsprovider för autentisering och auktoriseringar måste du följa deras vägledning om hur du utökar din identitet till Azure.

Innan du implementerar den här vägledningen bör du granska de Beslut om Active Directory- och hybrididentiteter som du fattade när du planerade för landningszonen.

Du bör också granska din identitetsbaslinje från styrningsfasen för att avgöra om du behöver göra ändringar i Microsoft Entra-ID.

Utöka Active Directory-domänkontrollanter

I de flesta migreringsscenarier är de arbetsbelastningar som du migrerar till Azure redan anslutna till en befintlig Active Directory-domän. Microsoft Entra ID erbjuder lösningar för att modernisera identitetshantering, även för VM-arbetsbelastningar, men det kan störa migreringen. Omarbetning av identitetsanvändning för arbetsbelastningar utförs ofta under moderniserings- eller innovationsinitiativ.

Därför måste du distribuera domänkontrollanter till Azure i det identitetsnätverksområde som du distribuerade. När du har distribuerat virtuella datorer måste du följa den normala processen för befordran av domänkontrollanter för att lägga till dem i domänen. Den här processen kan omfatta att skapa ytterligare webbplatser som stöder replikeringstopologin.

Ett vanligt arkitekturmönster för att distribuera dessa resurser finns i Distribuera Active Directory-domän Services (AD DS) i ett virtuellt Azure-nätverk.

Om du implementerar arkitekturen i företagsskala för små företag finns AD DS-servrarna ofta i ett undernät i hubben. Om du implementerar hub-and-spoke-arkitekturen i företagsskala eller virtual WAN-arkitekturen i företagsskala finns servrarna ofta i sitt dedikerade virtuella nätverk.

Microsoft Entra Connect

Många organisationer har redan Microsoft Entra Anslut för att fylla i Microsoft 365-tjänster, till exempel Exchange Online. Om din organisation inte har Microsoft Entra-Anslut kan du behöva installera den och distribuera den efter distributionen av landningszonen så att du kan replikera identiteter.

Aktivera hybrid-DNS

De flesta organisationer måste kunna matcha DNS-begäranden (Domain Name System) för namnområden som ingår i befintliga miljöer. Dessa namnområden kräver ofta integrering med Active Directory-servrar. Och resurser i den befintliga miljön måste kunna lösa resurser i Azure.

För att aktivera dessa funktioner måste du konfigurera DNS-tjänster för att stödja vanliga flöden. Du kan använda Azure-landningszoner för att distribuera många av de resurser du behöver. Ytterligare uppgifter att granska och förbereda för finns i DNS-matchning i Azure.

Anpassad DNS-matchning

Om du använder Active Directory för DNS-matcharen eller om du distribuerar en lösning från tredje part måste du distribuera virtuella datorer. Du kan använda dessa virtuella datorer som DNS-servrar om dina domänkontrollanter distribueras till din identitetsprenumeration och nätverksekern. Annars måste du distribuera och konfigurera de virtuella datorerna så att de rymmer dessa tjänster.

När du har distribuerat de virtuella datorerna måste du integrera dem i din befintliga DNS-plattform så att de kan utföra sökningar mot dina befintliga namnområden. För Active Directory DNS-servrar sker den här integreringen automatiskt.

Du kan också använda Azure DNS Private Resolver, men den här tjänsten distribueras inte som en del av distributionen av Din Azure-landningszon.

Om din design använder privata DNS-zoner planerar du därefter. Om du till exempel använder privata DNS-zoner med privata slutpunkter läser du Ange DNS-servrar. Privat DNS zoner distribueras som en del av landningszonen. Om du också använder privata slutpunkter för att utföra moderniseringsåtgärder bör du ha ytterligare en konfiguration för dem.

Azure Firewall DNS-proxy

Du kan konfigurera Azure Firewall som en DNS-proxy. Azure Firewall kan ta emot trafik och vidarebefordra den till en Azure-matchare eller dina DNS-servrar. Den här konfigurationen kan tillåta att sökningar utförs lokalt till Azure, men de kan inte vidarebefordras villkorligt tillbaka till lokala DNS-servrar.

Om du behöver DNS-hybridmatchning kan du konfigurera DNS-proxyn för Azure Firewall för att vidarebefordra trafik till dina anpassade DNS-servrar, till exempel dina domänkontrollanter.

Det här steget är valfritt, men det har flera fördelar. Det minskar konfigurationsändringarna senare om du ändrar DNS-tjänster och aktiverar fullständigt kvalificerade domännamnsregler (FQDN) i Azure Firewall.

Konfigurera anpassade DNS-servrar för virtuella nätverk

När du har slutfört föregående aktiviteter kan du konfigurera DNS-servrarna för dina virtuella Azure-nätverk till de anpassade servrar som du använder.

Mer information finns i DNS-inställningar för Azure Firewall.

Konfigurera hubbens brandvägg

Om du har distribuerat en brandvägg i hubbnätverket finns det några saker du bör tänka på så att du är redo att migrera arbetsbelastningar. Om du inte tar itu med dessa överväganden tidigt i distributionen kan det uppstå problem med routning och nätverksåtkomst.

Som en del av att utföra dessa aktiviteter går du igenom designområdet för nätverk, särskilt vägledningen för nätverkssäkerhet.

Om du distribuerar en NVA från tredje part som brandvägg läser du leverantörens vägledning och vår allmänna vägledning för nva:er med hög tillgänglighet.

Distribuera standardregeluppsättningar

Om du använder en Azure-brandvägg blockeras all brandväggstrafik tills du lägger till explicita tillåtna regler. Många andra NVA-brandväggar fungerar på samma sätt. Trafiken nekas tills du definierar regler som anger vilken trafik som tillåts.

Du bör lägga till enskilda regler och regelsamlingar baserat på arbetsbelastningsbehov. Men du bör också planera att ha standardregler, till exempel åtkomst till Active Directory eller andra identitets- och hanteringslösningar, som gäller för alla aktiverade arbetsbelastningar.

Routning

Azure tillhandahåller routning för följande scenarier utan ytterligare konfiguration:

  • Routning mellan resurser i samma virtuella nätverk
  • Routning mellan resurser i peer-kopplade virtuella nätverk
  • Routning mellan resurser och en virtuell nätverksgateway, antingen i ett eget virtuellt nätverk eller i ett peer-kopplat virtuellt nätverk som är konfigurerat för att använda gatewayen

Två vanliga routningsscenarier behöver ytterligare konfiguration. Båda scenarierna har routningstabeller tilldelade till undernät till formroutning. Mer information om Azure-routning och anpassade vägar finns i Trafikdirigering för virtuella nätverk.

Routning mellan ekrar

För nätverksdesignområdet använder många organisationer en nätverkstopologi med nav-ekrar.

Du behöver vägar som överför trafik från en eker till en annan. För effektivitet och enkelhet använder du standardvägen (0.0.0.0/0) till brandväggen. Med den här vägen på plats går trafik till en okänd plats till brandväggen, som inspekterar trafiken och tillämpar brandväggsreglerna.

Om du vill tillåta utgående internet kan du även tilldela en annan väg för ditt privata IP-utrymme till brandväggen, till exempel 10.0.0.0/8. Den här konfigurationen åsidosätter inte mer specifika vägar. Men du kan använda den som en enkel väg så att trafik mellan ekrar kan dirigeras korrekt.

Mer information om spoke-to-spoke-nätverk finns i Mönster och topologier för kommunikation mellan ekrar.

Routning från gatewayundernätet

Om du använder virtuella nätverk för din hubb måste du planera hur du ska hantera kontrollen av trafik som kommer från dina gatewayer.

Om du tänker inspektera trafiken behöver du två konfigurationer:

  • I din Anslut ivity-prenumeration måste du skapa en routningstabell och länka den till gatewayundernätet. Gateway-undernätet behöver en väg för varje ekernätverk som du tänker ansluta, med ett nästa hopp av brandväggens IP-adress.

  • I var och en av dina prenumerationer i landningszonen måste du skapa en routningstabell och länka den till varje undernät. Inaktivera BGP-spridning (Border Gateway Protocol) i routningstabellerna.

Mer information om anpassade och Azure-definierade vägar finns i Trafikdirigering för virtuella Azure-nätverk.

Om du tänker inspektera trafik till privata slutpunkter aktiverar du lämplig routningsnätverksprincip i det undernät där de privata slutpunkterna finns. Mer information finns i Hantera nätverksprinciper för privata slutpunkter.

Om du inte tänker inspektera trafiken behövs inga ändringar. Men om du lägger till routningstabeller i dina ekernätverksundernät aktiverar du BGP-spridning så att trafiken kan dirigeras tillbaka till din gateway.

Konfigurera övervakning och hantering

Som en del av distributionen av landningszonen har du etablerade principer som registrerar dina resurser i Azure Monitor-loggar. Men du måste också skapa aviseringar för dina landningszonresurser.

Om du vill implementera aviseringar kan du distribuera Azure Monitor-baslinjen för landningszoner. Använd den här distributionen för att få aviseringar baserat på vanliga scenarier för hantering av landningszoner, till exempel anslutningsresurser och tjänsthälsa.

Du kan också distribuera dina egna anpassade aviseringar för resurser om dina behov avviker från vad som finns i baslinjen.

Förbereda landningszonen för migreringar av nationella arbetsbelastningar

Om du behöver hantera suveränitetskrav kan du utvärdera om Microsoft Cloud for Sovereignty uppfyller dina krav. Microsoft Cloud for Sovereignty tillhandahåller ytterligare ett lager av princip- och granskningsfunktioner som tillgodoser enskilda offentliga sektors- och myndighetskunders behov.

Du kan aktivera dessa funktioner genom att distribuera den nationella landningszonen. Arkitekturen för den nationella landningszonen överensstämmer med de rekommenderade designerna för Azure-landningszoner .

Principportfölj för Microsoft Cloud for Sovereignty

Genom att använda Azure Policy kan du aktivera centraliserad kontroll över Azure-resurser för att framtvinga specifika konfigurationer. Du kan tilldela initiativ för Microsoft Cloud for Sovereignty-policyn till dina landningszoner för att se till att du följer lokala principer och regelkrav i ditt land/din region.

Om dessa principinitiativ ännu inte har tilldelats distributionen av din nationella landningszon kan du överväga att tilldela de initiativ som motsvarar dina regelkrav.

Aktivera prenumerationsförsäljning

Det här avsnittet gäller för organisationer som vill automatisera prenumerationsetableringsprocessen. Om du manuellt hanterar din landningszon och skapande av prenumerationer bör du upprätta en egen process för att skapa prenumerationer.

När du börjar migrera måste du skapa prenumerationer för dina arbetsbelastningar. Aktivera prenumerationsförsäljning för att automatisera och påskynda den här processen. När prenumerationsförsäljning har upprättats bör du kunna skapa prenumerationer snabbt.

Förbered för Microsoft Defender för molnet

När du distribuerar landningszonen anger du även principer för att aktivera Defender för molnet för dina Azure-prenumerationer. Defender för molnet ger säkerhetsstatusrekommendationer i säkerhetspoängen, som utvärderar distribuerade resurser mot Microsofts säkerhetsbaslinje.

Du behöver inte implementera ytterligare tekniska konfigurationer, men du bör granska rekommendationerna och utforma en plan för att förbättra din säkerhetsstatus när du migrerar resurser. När du börjar migrera resurser till Azure bör du vara redo att implementera säkerhetsförbättringar som en del av migreringsoptimeringen.

Överväg dessa ytterligare resurser för att förbereda migreringen:

Nästa steg

Förbereda verktyg och en inledande kvarvarande migreringslogg