案例：將沒有管理群組的單一訂用帳戶轉換為 Azure 登陸區域概念架構

本文說明將 Azure 環境移轉至 Azure 登陸區域概念架構的考慮和指示。 此案例涵蓋沒有管理群組的單一訂用帳戶。

在此案例中，客戶已使用 Azure，且已在平台內裝載一些應用程式或服務。 但其目前的實作會限制其 與雲端優先 策略相關的延展性和成長性。

作為此擴充的一部分，他們計劃從內部部署數據中心移轉至 Azure。 在移轉期間，他們會帶領其應用程式或服務現代化並加以轉換，以盡可能使用雲端原生技術。 例如，他們可能會使用 Azure SQL 資料庫 和 Azure Kubernetes Service （AKS）。 他們知道這需要相當長的時間和精力，所以他們計劃 解除和轉移 開始。 一開始，此方案需要透過 Azure VPN 閘道 或 Azure ExpressRoute 等服務進行混合式連線。

客戶想要從現有的方法移至企業級架構。 此架構支援其 雲端優先 策略，且具有強大的平臺，可隨著客戶消除其內部部署數據中心而進行調整。

目前狀態

在此案例中，客戶的 Azure 環境目前狀態包含：

• 單一 Azure 訂用帳戶。
• 沒有自定義管理群組。
• 非統一資源散發。 平臺和工作負載資源會部署在相同的 Azure 訂用帳戶中。
• 最少使用 Azure 原則。 原則指派，例如稽核效果和拒絕效果，會針對每個資源群組執行，但例外狀況。
• 被視為管理和調整單位的資源群組。
• 每個資源群組的角色型訪問控制角色指派。
• 單一虛擬網路。
  • 沒有透過 Azure VPN 閘道 或 Azure ExpressRoute 等服務進行混合式連線。
  • 系統會為每個應用程式建立新的子網。
• 每個 app-xx-rg 資源群組中的多個獨立應用程式。 應用程式是由不同的應用程式或服務小組所控制及操作。

下圖顯示此案例的目前狀態。

轉換至 Azure 登陸區域概念架構

在實作此方法之前，請先檢閱 Azure 登陸區域概念架構 和 Azure 登陸區域設計區域。

若要從此案例的目前狀態轉換為 Azure 登陸區域概念架構，請使用此方法：

1. 將 Azure 登陸區域加速器 部署至與目前環境平行的相同 Microsoft Entra ID 租使用者。 此方法提供順暢且分階段的轉換至新的登陸區域架構，且對作用中工作負載的中斷最少。

   此部署會建立新的管理群組結構。 此結構與 Azure 登陸區域設計原則和建議一致。 它也可確保這些變更不會影響現有的環境。

2. （選擇性）請與應用程式或服務小組合作，將原始訂用帳戶中部署的工作負載移轉至新的 Azure 訂用帳戶。 如需詳細資訊，請參閱 將現有的 Azure 環境轉換為 Azure 登陸區域概念架構。 您可以將工作負載放入新部署的 Azure 登陸區域概念架構管理群組階層中，位於正確的管理群組之下，例如 公司 或 在線 圖表。

   如需移轉時對資源影響的詳細資訊，請參閱 原則。

   最後，您可以取消現有的 Azure 訂用帳戶，並將它放在已解除委任的管理群組中。

   注意

   您不一定必須將現有的應用程式或服務移轉至新的登陸區域或 Azure 訂用帳戶。

3. 建立新的 Azure 訂用帳戶，以提供可從內部部署支援移轉專案的登陸區域。 將它們放在適當的管理群組底下，例如 公司 或 在線 ，如下圖所示。

   如需詳細資訊，請參閱 準備登陸區域以進行移轉指引。

下圖顯示移轉期間此案例的狀態。

摘要

在此案例中，客戶藉由平行部署 Azure 登陸區域概念架構 ，在 Azure 中完成其擴充和調整計劃。