你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍将现有环境迁移到 Azure 登陆区域的概念体系结构的注意事项和说明。 此方案涵盖单个或多个管理组。
在此方案中,假定客户已使用 Azure。 它们具有一个管理组层次结构,其中包含多个订阅,这些订阅在平台中托管了一些应用程序或服务。 但是,他们的当前实现限制了与 云优先 策略相关的可伸缩性和增长。
作为此扩展的一部分,他们计划从本地数据中心迁移到 Azure。 在迁移过程中,他们可引导实现应用程序或服务的现代化并转换,以尽可能使用云原生技术。 例如,他们可能会使用 Azure SQL 数据库和 Azure Kubernetes 服务 (AKS)。 他们知道这需要相当长的时间和精力,所以他们计划 解除和转变 开始。 最初,此计划需要通过 Azure VPN 网关 或 Azure ExpressRoute 等服务实现混合连接。
客户希望将其现有环境迁移到 Azure 登陆区域概念体系结构。 此体系结构支持其 云优先 策略,并且有一个可靠的平台,随着客户停用其本地数据中心而缩放。
当前状态
在此方案中,客户的 Azure 环境的当前状态包括:
- 一个或多个管理组。
- 基于组织结构或地理位置的管理组层次结构。
- 每个应用程序环境的 Azure 订阅,例如开发、测试或生产(开发/测试/prod)。
- 非统一资源分布。 单个环境的平台和工作负荷资源部署在同一 Azure 订阅中。
- 具有审核效果的策略分配和拒绝在管理组和订阅级别分配的效果。
- 每个订阅和资源组的基于角色的访问控制角色分配。
- 用于混合连接的中心虚拟网络,例如 Azure VPN 网关 或 Azure ExpressRoute。
- 每个应用程序环境的虚拟网络。
- 基于其环境分类(例如开发、测试或生产)部署到相应订阅中的应用程序。
- 一个控制并运行环境的中心 IT 团队。
下图显示了此方案的当前状态。
过渡到 Azure 登陆区域概念体系结构
在实现此方法之前,请查看 Azure 登陆区域概念体系结构、 Azure 登陆区域设计原则和 Azure 登陆区域设计区域。
若要从此方案的当前状态过渡到 Azure 登陆区域概念体系结构,请使用以下方法:
将 Azure 登陆区域加速器 与当前环境并行部署到同一个 Microsoft Entra ID 租户中。 此方法提供平稳和分阶段的过渡到新的登陆区域体系结构,尽量减少对活动工作负荷的中断。
此部署将创建新的管理组结构。 此结构符合 Azure 登陆区域设计原则和建议。 它还可确保这些更改不会影响现有环境。
有关详细信息,请参阅 如何处理开发/测试/生产工作负荷登陆区域。
(可选)与应用程序或服务团队协作,将原始订阅中部署的工作负载迁移到新的 Azure 订阅。 有关详细信息,请参阅 将现有 Azure 环境过渡到 Azure 登陆区域概念体系结构。 可以将工作负荷放入新部署的 Azure 登陆区域概念体系结构管理组层次结构中的正确管理组下,例如 公司 或 联机 。
有关迁移时对资源的影响的详细信息,请参阅 “策略”。
最终,可以取消现有的 Azure 订阅,并将其置于已解除授权的管理组中。
注意
不必将现有应用程序或服务迁移到新的登陆区域或 Azure 订阅。
创建新的 Azure 订阅,以提供支持本地迁移项目的登陆区域。 将它们放置在适当的管理组下,如 公司 或 联机 在下图中。
有关详细信息,请参阅 准备登陆区域进行迁移。
下图显示了迁移过程中此方案的状态。
总结
在此方案中,客户通过在 Azure 中并行部署 Azure 登陆区域概念体系结构 来实现其扩展和缩放计划。