案例:將管理群組轉換至 Azure 登陸區域概念架構
本文說明將現有環境移轉至 Azure 登陸區域概念架構的考慮和指示。 此案例涵蓋單一或多個管理群組。
在此案例中,假設客戶已使用 Azure。 其管理群組階層具有多個訂用帳戶,可在平臺內裝載一些應用程式或服務。 但其目前的實作會限制其 與雲端優先 策略相關的延展性和成長性。
作為此擴充的一部分,他們計畫從內部部署資料中心移轉至 Azure。 在移轉期間,他們會帶領其應用程式或服務現代化並加以轉換,以盡可能使用雲端原生技術。 例如,他們可能會使用 Azure SQL 資料庫 和 Azure Kubernetes Service (AKS)。 他們知道這需要相當長的時間和精力,所以他們計畫 解除和轉移 開始。 一開始,此方案需要透過 Azure VPN 閘道 或 Azure ExpressRoute 等服務進行混合式連線。
客戶想要將其現有的環境移至 Azure 登陸區域概念架構。 此架構支援其 雲端優先 策略,且具有強大的平臺,可隨著客戶淘汰其內部部署資料中心而進行調整。
目前狀態
在此案例中,客戶的 Azure 環境目前狀態包含:
- 一或多個管理群組。
- 以組織結構或地理位置為基礎的管理群組階層。
- 每個應用程式環境的 Azure 訂用帳戶,例如開發、測試或生產環境(開發/測試/生產環境)。
- 非統一資源散發。 單一環境的平臺和工作負載資源會部署在相同的 Azure 訂用帳戶中。
- 稽核效果和拒絕在管理群組和訂用帳戶層級指派的原則指派。
- 每個訂用帳戶和資源群組的角色型存取控制角色指派。
- 用於混合式連線的中樞虛擬網路,例如 Azure VPN 閘道或 Azure ExpressRoute。
- 每個應用程式環境的虛擬網路。
- 根據其環境分類部署到個別訂用帳戶的應用程式,例如開發、測試或生產環境。
- 控制及操作環境的中央 IT 小組。
下圖顯示此案例的目前狀態。
轉換至 Azure 登陸區域概念架構
在實作此方法之前,請先檢閱 Azure 登陸區域概念架構 、 Azure 登陸區域設計原則 ,以及 Azure 登陸區域設計區域 。
若要從此案例的目前狀態轉換為 Azure 登陸區域概念架構,請使用下列方法:
將 Azure 登陸區域加速器 部署至與目前環境平行的相同 Microsoft Entra ID 租使用者。 此方法提供順暢且分階段的轉換至新的登陸區域架構,且對作用中工作負載的中斷最少。
此部署會建立新的管理群組結構。 此結構與 Azure 登陸區域設計原則和建議一致。 它也可確保這些變更不會影響現有的環境。
如需詳細資訊,請參閱 如何處理開發/測試/生產工作負載登陸區域 。
(選擇性)請與應用程式或服務小組合作,將原始訂用帳戶中部署的工作負載移轉至新的 Azure 訂用帳戶。 如需詳細資訊,請參閱 將現有的 Azure 環境轉換為 Azure 登陸區域概念架構 。 您可以將工作負載放入新部署的 Azure 登陸區域概念架構管理群組階層中,位於正確的管理群組之下,例如 公司 或 線上 圖表。
如需移轉時對資源影響的詳細資訊,請參閱 原則 。
最後,您可以取消現有的 Azure 訂用帳戶,並將它放在已解除委任的管理群組中。
注意
您不一定必須將現有的應用程式或服務移轉至新的登陸區域或 Azure 訂用帳戶。
建立新的 Azure 訂用帳戶,以提供支援從內部部署移轉專案的登陸區域。 將它們放在適當的管理群組底下,例如 公司 或 線上 ,如下圖所示。
如需詳細資訊,請參閱 準備您的登陸區域以進行移 轉。
下圖顯示移轉期間此案例的狀態。
摘要
在此案例中,客戶藉由部署 平行于其現有環境的 Azure 登陸區域概念架構 ,在 Azure 中完成其擴充和調整計畫。