你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

方案：将管理组转换为 Azure 登陆区域概念体系结构

本文介绍将现有环境迁移到 Azure 登陆区域的概念体系结构的注意事项和说明。 此方案涵盖单个或多个管理组。

在此方案中，假定客户已使用 Azure。 它们具有一个管理组层次结构，其中包含多个订阅，这些订阅在平台中托管了一些应用程序或服务。 但是，他们的当前实现限制了与 云优先 策略相关的可伸缩性和增长。

作为此扩展的一部分，他们计划从本地数据中心迁移到 Azure。 在迁移过程中，他们可引导实现应用程序或服务的现代化并转换，以尽可能使用云原生技术。 例如，他们可能会使用 Azure SQL 数据库和 Azure Kubernetes 服务 (AKS)。 他们知道这需要相当长的时间和精力，所以他们计划 解除和转变 开始。 最初，此计划需要通过 Azure VPN 网关 或 Azure ExpressRoute 等服务实现混合连接。

客户希望将其现有环境迁移到 Azure 登陆区域概念体系结构。 此体系结构支持其 云优先 策略，并且有一个可靠的平台，随着客户停用其本地数据中心而缩放。

当前状态

在此方案中，客户的 Azure 环境的当前状态包括：

• 一个或多个管理组。
• 基于组织结构或地理位置的管理组层次结构。
• 每个应用程序环境的 Azure 订阅，例如开发、测试或生产（开发/测试/prod）。
• 非统一资源分布。 单个环境的平台和工作负荷资源部署在同一 Azure 订阅中。
• 具有审核效果的策略分配和拒绝在管理组和订阅级别分配的效果。
• 每个订阅和资源组的基于角色的访问控制角色分配。
• 用于混合连接的中心虚拟网络，例如 Azure VPN 网关 或 Azure ExpressRoute。
• 每个应用程序环境的虚拟网络。
• 基于其环境分类（例如开发、测试或生产）部署到相应订阅中的应用程序。
• 一个控制并运行环境的中心 IT 团队。

下图显示了此方案的当前状态。

过渡到 Azure 登陆区域概念体系结构

在实现此方法之前，请查看 Azure 登陆区域概念体系结构、 Azure 登陆区域设计原则和 Azure 登陆区域设计区域。

若要从此方案的当前状态过渡到 Azure 登陆区域概念体系结构，请使用以下方法：

1. 将 Azure 登陆区域加速器 与当前环境并行部署到同一个 Microsoft Entra ID 租户中。 此方法提供平稳和分阶段的过渡到新的登陆区域体系结构，尽量减少对活动工作负荷的中断。

   此部署将创建新的管理组结构。 此结构符合 Azure 登陆区域设计原则和建议。 它还可确保这些更改不会影响现有环境。

   有关详细信息，请参阅 如何处理开发/测试/生产工作负荷登陆区域。

2. （可选）与应用程序或服务团队协作，将原始订阅中部署的工作负载迁移到新的 Azure 订阅。 有关详细信息，请参阅 将现有 Azure 环境过渡到 Azure 登陆区域概念体系结构。 可以将工作负荷放入新部署的 Azure 登陆区域概念体系结构管理组层次结构中的正确管理组下，例如 公司 或 联机 。

   有关迁移时对资源的影响的详细信息，请参阅 “策略”。

   最终，可以取消现有的 Azure 订阅，并将其置于已解除授权的管理组中。

   注意

   不必将现有应用程序或服务迁移到新的登陆区域或 Azure 订阅。

3. 创建新的 Azure 订阅，以提供支持本地迁移项目的登陆区域。 将它们放置在适当的管理组下，如 公司 或 联机 在下图中。

   有关详细信息，请参阅 准备登陆区域进行迁移。

下图显示了迁移过程中此方案的状态。

总结

在此方案中，客户通过在 Azure 中并行部署 Azure 登陆区域概念体系结构 来实现其扩展和缩放计划。