通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为迁移准备着陆区

本文介绍如何使 Azure 登陆区域 准备好进行迁移。 它还列出了必须执行的主要任务,以确保迁移项目配置已到位。

无论使用哪种 Azure 登陆区域引用实现 ,都必须执行一些任务,以便为成功的迁移项目准备登陆区域。

如果未使用 Azure 登陆区域引用实现,仍需执行本文中的步骤。 但是,可能需要先执行先决条件任务,或者可能需要根据设计调整特定建议。

本文介绍部署现有 Azure 登陆区域后必须执行的任务。 某些任务侧重于自动部署。 如果任务与手动部署和管理的环境无关,则说明这一点。

注释

在完成本页详述的任务之前,请确保已实现 Azure 着陆区,并在继续之前查看 设计区域设计原则

建立混合连接

在 Azure 着陆区域部署期间,可以部署一个连接订阅,包含中心虚拟网络和网络网关,比如 Azure VPN 网关、Azure ExpressRoute 网关或两者兼有。 在 Azure 登陆区域部署后,仍必须从这些网关配置混合连接,以连接到现有的数据中心设备或 ExpressRoute 线路。

在就绪阶段,计划连接到 Azure。 使用此计划确定需要合并的连接。 例如,如果使用 ExpressRoute,则必须与提供商合作来建立 ExpressRoute 线路。

若要获取特定方案的技术指南,请参阅:

注释

有关其他指南,另请参阅提供商的特定文档。

如果通过虚拟网络中部署的第三方网络虚拟设备(NVA)建立与 Azure 的混合连接,请查看其特定指南和我们 针对高可用性 NVA 的一般指南

准备标识

在 Azure 登陆区域部署期间,还应为标识平台部署支持体系结构。 你可能拥有一个专门用于身份识别的标识订阅或资源组,以及用于身份识别的虚拟机(VM)的虚拟网络或子网。 但是,必须在 Azure 登陆区域部署后部署标识资源。

以下部分提供了与 Active Directory 相关的指导。 如果使用其他标识提供者进行身份验证和授权,则必须遵循有关将标识扩展到 Azure 的指南。

在实施本指南之前,请查看你在计划登陆区域时做出的 Active Directory 和混合标识 决策。

你还应从治理阶段查看标识基线,以确定是否需要在 Microsoft Entra ID 中进行更改。

扩展 Active Directory 域控制器

在大多数迁移方案中,迁移到 Azure 的工作负荷已加入现有 Active Directory 域。 Microsoft Entra ID 提供用于现代化标识管理的解决方案,甚至适用于 VM 工作负荷,但可能会中断迁移。 在现代化或创新计划期间,通常会重新架构工作负载的标识使用情况。

因此,需要在部署的标识网络区域中将域控制器部署到 Azure。 部署 VM 后,必须按照正常的域控制器升级过程将其添加到域。 此过程可能包括创建其他站点以支持复制拓扑。

有关部署这些资源的常见体系结构模式,请参阅在 Azure 虚拟网络中部署 Active Directory 域服务(AD DS)。

如果 为小型企业实现企业级体系结构,AD DS 服务器通常位于中心的子网中。 如果实现 企业规模中心辐射型体系结构企业规模的虚拟 WAN 体系结构,则服务器通常位于其专用虚拟网络中。

Microsoft Entra Connect

许多组织已经使用 Microsoft Entra Connect 同步 Microsoft 365 服务,例如 Exchange Online。 如果组织没有Microsoft Entra Connect,则可能需要在登陆区域部署后 安装并部署它 ,以便可以复制标识。

启用混合 DNS

大多数组织都需要能够解析属于现有环境的命名空间的域名系统(DNS)请求。 这些命名空间通常需要与 Active Directory 服务器集成。 现有环境中的资源必须能够解析 Azure 中的资源。

若要启用这些函数,需要配置 DNS 服务以支持常见流。 可以使用 Azure 登陆区域部署所需的许多资源。 有关查看和准备的其他任务,请参阅 Azure 中的 DNS 解析

自定义 DNS 解析

如果将 Active Directory 用于 DNS 解析程序,或者部署第三方解决方案,则必须部署 VM。 如果你的域控制器已部署到标识订阅和网络辐射中,你可以将这些虚拟机用作 DNS 服务器。 否则,必须部署和配置 VM 以容纳这些服务。

部署 VM 后,必须将这些 VM 集成到现有的 DNS 平台中,这样它们就可以对现有命名空间执行查找。 对于 Active Directory DNS 服务器,此集成是自动的。

也可以使用 Azure DNS 专用解析程序,但该服务并未包含在 Azure 登陆区域的部署中。

如果设计使用专用 DNS 区域,请相应地进行规划。 例如,如果将专用 DNS 区域用于专用终结点,请参阅指定 DNS 服务器。 专用 DNS 区域已部署为登陆区域的一部分。 如果还使用专用终结点来执行现代化工作,则应为它们提供额外的配置。

Azure 防火墙 DNS 代理

可以将 Azure 防火墙配置为 DNS 代理。 Azure 防火墙可以接收流量并将其转发到 Azure 解析程序或 DNS 服务器。 此配置可以允许从本地执行到 Azure 的查找,但不能有条件地将查找转发回本地 DNS 服务器。

如果需要混合 DNS 解析,可以将 Azure 防火墙 DNS 代理配置为将流量转发到自定义 DNS 服务器,例如域控制器。

此步骤是可选的,但它有几个好处。 如果更改 DNS 服务并在 Azure 防火墙中启用完全限定的域名(FQDN)规则,则以后会减少配置更改。

配置自定义虚拟网络 DNS 服务器

完成上述活动后,可以将 Azure 虚拟网络的 DNS 服务器配置为使用的自定义服务器。

有关详细信息,请参阅 Azure 防火墙 DNS 设置

配置中心防火墙

如果在中心网络中部署了防火墙,应注意一些注意事项,以便可以迁移工作负载。 如果在部署早期未解决这些注意事项,可能会遇到路由和网络访问问题。

在执行这些活动时,请查看 网络设计区域,特别是 网络安全指南

如果将第三方 NVA 部署为防火墙,请查看供应商的指导和我们 针对高可用性 NVA 的一般指南

部署标准规则集

如果使用 Azure 防火墙,则会阻止所有防火墙流量,直到添加显式允许规则。 许多其他 NVA 防火墙的工作方式类似。 在定义指定允许的流量的规则之前,系统将拒绝流量。

应根据工作负荷需求添加单个规则和规则集合。 但是,还应计划制定适用于所有已启用工作负载的标准规则,例如访问 Active Directory 或其他标识和管理解决方案。

路线规划

Azure 为以下方案提供路由,无需其他配置:

  • 在同一虚拟网络中的资源之间路由
  • 在对等虚拟网络中资源之间的路由
  • 资源与虚拟网络网关之间的路由,无论是在其自己的虚拟网络中,还是在配置为使用网关的对等互连虚拟网络中

两种常见的路由方案需要其他配置。 这两种方案都通过将路由表分配给子网来控制路由。 有关 Azure 路由和自定义路由的详细信息,请参阅 虚拟网络流量路由

辐射间路由

对于 网络设计区域,许多组织都使用 中心辐射型网络拓扑

你需要将流量从一个辐射传输到另一个辐射的路由。 为了提高效率和简单性,请使用默认路由(0.0.0.0/0)到防火墙。 在此路由到位后,任何未知位置的流量将转到防火墙,该防火墙会检查流量并应用防火墙规则。

如果要允许 Internet 出口,还可以将专用 IP 空间的另一个路由分配给防火墙,例如 10.0.0.0/8。 此配置不会替代更具体的路由。 但你可以将其用作简单的路由,以便辐射间流量可以正确路由。

有关分支到分支网络通信的详细信息,请参阅 分支间通信的模式和拓扑。

从网关子网路由

如果您使用虚拟网络作为中心,则需要计划如何处理来自您的网关的流量检测。

如果要检查流量,需要两种配置:

  • 在连接服务订阅中,需要创建路由表并将其链接到网关子网。 网关子网需要要附加的每个辐射网络的路由,以及防火墙 IP 地址的下一跃点。

  • 在每个登陆区域订阅中,需要创建路由表并将其链接到每个子网。 禁用路由表上的边界网关协议(BGP)传播。

有关自定义路由和 Azure 定义的路由的详细信息,请参阅 Azure 虚拟网络流量路由

如果打算检查到专用终结点的流量,请对托管专用终结点的子网启用适当的路由网络策略。 有关详细信息,请参阅管理专用终结点的网络策略

如果不打算检查流量,则无需更改。 但是,如果将路由表添加到辐射网络子网,请启用 BGP 传播,以便流量可以路由回网关。

配置监视和管理

部署登陆区域时,已预配策略,用于在 Azure Monitor 日志中注册资源。 但还必须为登陆区域资源创建警报。

若要实现警报,可以 部署用于登陆区域的 Azure Monitor 基线。 通过使用此部署,您可以根据着陆区管理的常见方案(例如连接资源和服务健康状况)获取警报。

如果需要偏离基线中的内容,还可以为资源部署自己的自定义警报。

为主权工作负载迁移准备登陆区域

如果需要满足主权要求,可以评估 Microsoft Cloud for Sovereignty 是否符合要求。 Microsoft云主权版提供了一层额外的政策和审核功能,可满足各个公共部门和政府客户需求。

可以通过部署 主权登陆区域来启用这些功能。 主权登陆区域的体系结构与建议的 Azure 登陆区域 设计保持一致。

Microsoft Cloud for Sovereignty 策略组合

通过使用 Azure 策略,可以跨 Azure 资源启用集中控制,以强制实施特定配置。 可以将 Microsoft Cloud for Sovereignty 策略计划 分配给登陆区域,以确保遵守所在国家/地区的本地策略和法规要求。

如果这些政策计划尚未分配至您的主权降落区部署,请考虑分配与您的监管要求相符的计划。

启用订阅自动售货

本部分适用于希望自动执行其订阅预配过程的组织。 如果手动管理登陆区域和订阅创建,则应建立自己的创建订阅过程。

开始迁移时,必须为工作负载创建订阅。 启用订阅自动售货以加速此过程。 建立订阅售货后,应能够快速创建订阅。

准备 Microsoft Defender for Cloud

部署登陆区域时,还会设置策略,为 Azure 订阅启用 Defender for Cloud 。 Defender for Cloud 在其安全功能分数中提供安全状况建议,评估部署的资源是否符合 Microsoft 安全基线的要求。

无需实施其他技术配置,但应在迁移资源时查看建议并设计一个计划来 改善安全状况 。 开始将资源迁移到 Azure 时,应准备好在迁移优化过程中 实现安全改进

请考虑以下其他资源来准备迁移: