Vorbereiten der Zielzone für die Migration

  • Artikel

Dieser Artikel beschreibt, wie Sie Ihre Azure Zielzone auf eine Migration vorbereiten. Außerdem werden die wichtigsten Aufgaben aufgeführt, die Sie durchführen müssen, um sicherzustellen, dass die Konfigurationen für Ihr Migrationsprojekt vorhanden sind.

Unabhängig davon, welche Azure-Zielzonen-Referenzimplementierung Sie verwendet haben, müssen Sie einige Aufgaben ausführen, um Ihre Zielzone für ein erfolgreiches Migrationsprojekt vorzubereiten.

Wenn Sie keine Referenzimplementierung für Azure-Zielzonen verwendet haben, müssen Sie die Schritte in diesem Artikel ausführen. Es kann jedoch sein, dass Sie zuerst bestimmte Aufgaben erledigen müssen oder dass Sie bestimmte Empfehlungen an Ihren Entwurf anpassen müssen.

Dieser Artikel beschreibt die Aufgaben, die Sie für Ihre bestehende Azure-Zielzone durchführen müssen. Einige Aufgaben konzentrieren sich auf automatisierte Bereitstellungen. Es wird vermerkt, wenn eine Aufgabe für manuell bereitgestellte und verwaltete Umgebungen nicht relevant ist.

Einrichten von hybrider Konnektivität

Bei einer Azure Zielzonen-Bereitstellung können Sie ein Konnektivitäts-Abonnement mit einem virtuellen Hub-Netzwerk und Netzwerk-Gateways wie Azure VPN-Gateways, Azure ExpressRoute-Gateways oder beides bereitstellen. Nach der Bereitstellung Ihrer Azure Zielzone müssen Sie noch eine hybride Konnektivität von diesen Gateways aus konfigurieren, um eine Verbindung zu Ihren bestehenden Rechenzentrums-Appliances oder Ihrer ExpressRoute-Schaltung herzustellen.

In der Vorbereitungsphase haben Sie Ihre Konnektivität zu Azure geplant. Verwenden Sie diesen Plan, um die Verbindungen zu ermitteln, die Sie integrieren müssen. Wenn Sie zum Beispiel ExpressRoute nutzen, müssen Sie mit Ihrem Provider zusammenarbeiten, um Ihre ExpressRoute-Schaltkreis einzurichten.

Informationen zu technischen Anleitungen für bestimmte Szenarien finden Sie unter:

Hinweis

Weitere Anleitungen finden Sie auch in der spezifischen Dokumentation Ihres Anbieters.

Wenn Sie Ihre Hybridkonnektivität mit Azure mithilfe eines in Ihrem virtuellen Netzwerk bereitgestellten Netzwerkgeräts (Network Virtual Appliances, NVA) eines Drittanbieters einrichten, lesen Sie den spezifischen Leitfaden und unseren allgemeinen Leitfaden für hochverfügbare NVAs.

Vorbereiten der Identität

Während der Bereitstellung der Azure-Zielzone sollten Sie auch eine unterstützende Architektur für Ihre Identitätsplattform bereitstellen. Sie können ein spezielles Identitätsabonnement oder Ressourcengruppen und ein virtuelles Netzwerk oder Subnetze für die virtuellen Maschinen (VMs) haben, die Sie für die Identität verwenden. Sie müssen die Identitätsressourcen jedoch nach der Bereitstellung der Azure Zielzone bereitstellen.

In den folgenden Abschnitten finden Sie Anleitungen zu Active Directory. Wenn Sie einen anderen Identitätsanbieter für die Authentifizierung und Autorisierung verwenden, müssen Sie dessen Anleitung zur Erweiterung Ihrer Identität auf Azure befolgen.

Bevor Sie diese Anleitung implementieren, sollten Sie die Entscheidungen für Active Directory und hybride Identitäten überprüfen, die Sie bei der Planung Ihrer Zielzone getroffen haben.

Sie sollten auch Ihre Identitätsbaseline aus der Governance-Phase überprüfen, um festzustellen, ob Sie Änderungen in Microsoft Entra ID vornehmen müssen.

Erweitern des Active Directory-Domänencontrollers

In den meisten Migrationsszenarien sind die Workloads, die Sie zu Azure migrieren, bereits mit einer bestehenden Active Directory-Domäne verbunden. Microsoft Entra ID bietet Lösungen für die Modernisierung des Identitätsmanagements, auch für VM-Workloads, kann aber die Migration stören. Die Umgestaltung der Identitätsnutzung für Workloads wird häufig im Rahmen von Modernisierungs- oder Innovationsinitiativen durchgeführt.

Daher müssen Sie Domänencontroller in Azure innerhalb des Identitätsnetzwerkbereichs bereitstellen, den Sie bereitgestellt haben. Nachdem Sie VMs bereitgestellt haben, müssen Sie den normalen Beförderungsprozess für Domänencontroller durchführen, um sie der Domäne hinzuzufügen. Dieser Prozess kann die Einrichtung zusätzlicher Standorte zur Unterstützung Ihrer Replikationstopologie beinhalten.

Ein allgemeines Architekturmuster für die Bereitstellung dieser Ressourcen finden Sie unter Bereitstellung von Active Directory Domain Services (AD DS) in einem virtuellen Azure-Netzwerk.

Wenn Sie die Unternehmensarchitektur für kleine Unternehmen implementieren, befinden sich die AD DS-Server häufig in einem Subnetz im Hub. Wenn Sie die Hub-and-Spoke-Architektur des Unternehmens oder die virtuelle WAN-Architektur auf Unternehmensmaßstab implementieren, befinden sich die Server häufig in ihrem dedizierten virtuellen Netzwerk.

Microsoft Entra Connect

Viele Organisationen verfügen bereits über Microsoft Entra Connect, um Microsoft 365-Dienste wie Exchange Online einzusetzen. Wenn Ihr Unternehmen nicht über Microsoft Entra Connect verfügt, müssen Sie es möglicherweise installieren und nach der Bereitstellung der Zielzonen einsetzen, damit Sie Identitäten replizieren können.

Aktivieren des Hybrid-DNS

Die meisten Organisationen müssen in der Lage sein, Domain Name System (DNS)-Anforderungen für Namespaces aufzulösen, die Teil der vorhandenen Umgebungen sind. Diese Namespaces erfordern häufig eine Integration in Active Directory-Server. Und Ressourcen müssen in der vorhandenen Umgebung in der Lage sein, Ressourcen in Azure aufzulösen.

Um diese Funktionen zu aktivieren, müssen Sie die DNS-Dienste so konfigurieren, dass sie gemeinsame Datenflüsse unterstützen. Sie können Azure-Zielzonen verwenden, um viele der benötigten Ressourcen bereitzustellen. Weitere Aufgaben zum Überprüfen und Vorbereiten finden Sie unter DNS-Lösung in Azure.

Benutzerdefinierte DNS-Auflösung

Wenn Sie Active Directory für Ihren DNS-Resolver verwenden oder wenn Sie eine Lösung eines Drittanbieters einsetzen, müssen Sie VMs einsetzen. Sie können diese VMs als Ihre DNS-Server verwenden, wenn Ihre Domänencontroller für Ihr Identitätsabonnement und Ihre Netzwerk-Spoke eingesetzt werden. Andernfalls müssen Sie die VMs, die diese Dienste beherbergen sollen, bereitstellen und konfigurieren.

Nachdem Sie die VMs bereitgestellt haben, müssen Sie sie in Ihre bestehende DNS-Plattform integrieren, damit sie Verweise zu Ihren bestehenden Namespaces herstellen können. Bei Active Directory DNS-Servern erfolgt diese Integration automatisch.

Sie können auch Azure DNS Private Resolver verwenden, aber dieser Dienst wird nicht als Teil Ihrer Azure Zielzonen-Bereitstellung bereitgestellt.

Wenn Ihr Entwurf private DNS-Zonen verwendet, planen Sie entsprechend. Wenn Sie zum Beispiel private DNS-Zonen mit privaten Endpunkten verwenden, lesen Sie den Abschnitt DNS-Server angeben. Private DNS-Zonen werden als Teil Ihrer Zielzone bereitgestellt. Wenn Sie auch private Endpunkte verwenden, um Modernisierungsmaßnahmen durchzuführen, sollten Sie eine zusätzliche Konfiguration für diese vornehmen.

Azure Firewall DNS-Proxy

Sie können Azure Firewall als DNS-Proxy konfigurieren. Azure Firewall kann Datenverkehr empfangen und an einen Azure Resolver oder Ihre DNS-Server weiterleiten. Mit dieser Konfiguration können Suchvorgänge von vor Ort zu Azure durchgeführt werden, aber sie können nicht bedingungslos an lokale DNS-Server zurückgeleitet werden.

Wenn Sie eine hybride DNS-Auflösung benötigen, können Sie den Azure Firewall DNS-Proxy so konfigurieren, dass er den Datenverkehr an Ihre benutzerdefinierten DNS-Server weiterleitet, z. B. an Ihre Domaincontroller.

Dieser Schritt ist optional, hat aber mehrere Vorteile. Es reduziert spätere Konfigurationsänderungen, wenn Sie DNS-Dienste ändern, und aktiviert vollqualifizierter Domänennamen-Regeln (Fully Qualified Domain Name, FQDN) in Azure Firewall.

Konfigurieren Sie benutzerdefinierte virtuelle Netzwerk-DNS-Server

Nachdem Sie die vorangegangenen Aktivitäten abgeschlossen haben, können Sie die DNS-Server für Ihre virtuellen Azure-Netzwerke auf die von Ihnen verwendeten benutzerdefinierten Server konfigurieren.

Weitere Informationen finden Sie unter DNS-Einstellungen für Azure Firewall.

Konfigurieren der Hubfirewall

Wenn Sie in Ihrem Hub-Netzwerk eine Firewall eingesetzt haben, sollten Sie einige Überlegungen anstellen, damit Sie für die Migration von Workloads bereit sind. Wenn Sie sich nicht frühzeitig mit diesen Überlegungen auseinandersetzen, kann es zu Routing- und Netzwerkzugangsproblemen kommen.

Überprüfen Sie im Rahmen dieser Aktivitäten den Bereich Netzwerkdesign, insbesondere den Leitfaden zur Netzwerksicherheit.

Wenn Sie eine NVA eines Drittanbieters als Firewall einsetzen, lesen Sie die Hinweise des Herstellers und unsere allgemeinen Hinweise für hochverfügbare NVAs.

Bereitstellen von Standardregelsätzen

Wenn Sie eine Azure-Firewall verwenden, wird der gesamte Firewall-Datenverkehr blockiert, bis Sie explizite Zulassungsregeln hinzufügen. Viele andere NVA-Firewalls funktionieren auf ähnliche Weise. Der Datenverkehr wird so lange verweigert, bis Sie Regeln definieren, die den erlaubten Datenverkehr festlegen.

Sie sollten einzelne Regeln und Regelsammlungen je nach Workload-Aufkommen hinzufügen. Sie sollten aber auch Standardregeln einplanen, wie z. B. den Zugriff auf Active Directory oder andere Identitäts- und Verwaltungslösungen, die für alle aktivierten Arbeitslasten gelten.

Routing

Azure bietet Routing für die folgenden Szenarien ohne zusätzliche Konfiguration:

  • Routing zwischen Ressourcen im selben virtuellen Netzwerk
  • Routing zwischen Ressourcen in virtuellen Netzwerken mit Peering
  • Routing zwischen Ressourcen und einem virtuellen Netzwerk-Gateway, entweder in einem eigenen virtuellen Netzwerk oder in einem gepeerten virtuellen Netzwerk, das für die Verwendung des Gateways konfiguriert ist

Zwei häufige Routing-Szenarien erfordern eine zusätzliche Konfiguration. In beiden Szenarien sind den Subnetzen Routingtabellen zugewiesen, um das Routing zu gestalten. Weitere Informationen über Azure-Routing und benutzerdefinierte Routen finden Sie unter Routing des virtuellen Netzwerkverkehrs.

Inter-Spoke-Routing

Im Bereich Netzwerkdesign verwenden viele Organisationen eine Hub-Spoke-Netzwerktopologie.

Sie benötigen Routen, die den Datenverkehr von einer Spoke zur anderen weiterleiten. Verwenden Sie aus Gründen der Effizienz und Einfachheit die Standardroute (0.0.0.0/0) zu Ihrer Firewall. Wenn diese Route eingerichtet ist, wird der Datenverkehr zu jedem unbekannten Standort an die Firewall weitergeleitet, die den Datenverkehr prüft und Ihre Firewall-Regeln anwendet.

Wenn Sie ausgehenden Internetzugriff zulassen möchten, können Sie der Firewall auch eine andere Route für Ihren privaten IP-Raum zuweisen, z. B. 10.0.0.0/8. Diese Konfiguration setzt keine spezifischeren Routen außer Kraft. Aber Sie können sie als einfache Route verwenden, damit der Verkehr zwischen den Speichen ordnungsgemäß geleitet werden kann.

Weitere Informationen Spoke-to-Spoke-Netzwerken finden Sie unter Muster und Topologien für die Inter-Spoke-Kommunikation.

Routing aus dem Gatewaysubnetz

Wenn Sie virtuelle Netzwerke für Ihren Hub verwenden, müssen Sie planen, wie Sie mit der Überprüfung des Datenverkehrs umgehen, der von Ihren Gateways kommt.

Wenn Sie den Datenverkehr überprüfen möchten, sind zwei Konfigurationen erforderlich:

  • In Ihrem Konnektivitätsabonnement muss eine Routingtabelle erstellt und mit dem Gateway-Subnetz verknüpft werden. Das Gateway-Subnetz benötigt eine Route für jedes Spoke-Netzwerk, das Sie anschließen möchten, mit einem Next Hop der IP-Adresse Ihrer Firewall.

  • In jedem Ihrer Zielzonenabonnements muss eine Routingtabelle müssen Sie eine Routentabelle erstellen und sie mit jedem Subnetz verknüpfen. Deaktivieren der BGP-Routenverteilung (Border Gateway Protocol) in den Routingtabellen

Weitere Informationen über benutzerdefinierte und von Azure definierte Routen finden Sie unter Routing von Datenverkehr für Azure Virtual Network.

Wenn Sie beabsichtigen, den Datenverkehr zu privaten Endpunkten zu überprüfen, aktivieren Sie die entsprechende Routing-Netzwerkrichtlinie in dem Subnetz, in dem die privaten Endpunkte gehostet werden. Weitere Informationen finden Sie unter Verwalten von Netzwerkrichtlinien für private Endpunkte.

Wenn Sie den Datenverkehr nicht überprüfen möchten, sind keine Änderungen erforderlich. Wenn Sie jedoch Routentabellen zu den Subnetzen Ihres Spoke-Netzwerks hinzufügen, aktivieren Sie die BGP-Propagierung, damit der Datenverkehr zu Ihrem Gateway zurückgeführt werden kann.

Konfigurieren von Überwachung und Verwaltung

Im Rahmen der Bereitstellung Ihrer Zielzone haben Sie Richtlinien erstellt, die Ihre Ressourcen in Azure Monitor Protokollen registrieren. Aber Sie müssen auch Warnungen für Ihre Zielzonen-Ressourcen erstellen.

Um Warnungen zu implementieren, können Sie die Azure Monitor-Basislinie für Zielzonen einsetzen. Verwenden Sie diese Bereitstellung, um Warnmeldungen auf der Grundlage gängiger Szenarien für die Zielzonenverwaltung zu erhalten, z. B. zu Konnektivitätsressourcen und zum Zustand der Dienste.

Sie können auch Ihre eigenen benutzerdefinierten Warnungen für Ressourcen bereitstellen, wenn Ihre Anforderungen von den Inhalten der Baseline abweichen.

Bereiten Sie Ihre Zielzone auf souveräne Workload-Migrationen vor

Wenn Sie Anforderungen an die Souveränität erfüllen müssen, können Sie prüfen, ob Microsoft Cloud for Sovereignty Ihren Anforderungen entspricht. Microsoft Cloud for Sovereignty bietet eine zusätzliche Ebene von Richtlinien- und Audit-Funktionen, die auf die individuellen Bedürfnisse von Kunden aus dem öffentlichen Sektor und von Behörden zugeschnitten sind.

Sie können diese Funktionen aktivieren, indem Sie die souveräne Zielzone bereitstellen. Die Architektur der souveränen Zielzone richtet sich an die empfohlenen Azure Zielzonen-Designs.

Richtlinienportfolio für Microsoft Cloud for Sovereignty

Durch die Verwendung von Azure-Richtlinien können Sie eine zentrale Kontrolle über Azure-Ressourcen ermöglichen, um bestimmte Konfigurationen durchzusetzen. Sie können Ihren Zielzonen die Richtlinieninitiativen von Microsoft Cloud for Sovereignty zuweisen, um sicherzustellen, dass Sie die lokalen Richtlinien und gesetzlichen Anforderungen in Ihrem Land/Ihrer Region einhalten.

Wenn diese Richtlinieninitiativen noch nicht Ihrer souveränen Zielzone zugewiesen sind, sollten Sie die Initiativen zuweisen, die Ihren gesetzlichen Anforderungen entsprechen.

Aktivieren des Abonnementverkaufs

Dieser Abschnitt gilt für Organisationen, die ihren Abonnementbereitstellungsprozess automatisieren möchten. Wenn Sie Ihre Zielzone und die Abonnementerstellung manuell verwalten, sollten Sie einen eigenen Prozess zum Erstellen von Abonnements einrichten.

Wenn Sie mit der Migration beginnen, müssen Sie Abonnements für Ihre Workloads erstellen. Aktivieren Sie den Abonnementverkauf, um diesen Schritt zu automatisieren und den Prozess zu beschleunigen. Wenn der Abonnementverkauf eingerichtet ist, sollten Sie in der Lage sein, schnell Abonnements zu erstellen.

Vorbereiten von Microsoft Defender for Cloud

Wenn Sie Ihre Zielzone bereitstellen, legen Sie auch Richtlinien fest, um Defender for Cloud für Ihre Azure-Abonnements zu aktivieren. Defender for Cloud liefert Empfehlungen zur Sicherheitslage in seiner Sicherheitsbewertung, die die bereitgestellten Ressourcen anhand der Microsoft-Sicherheits-Baseline bewertet.

Sie müssen keine zusätzlichen technischen Konfigurationen implementieren, aber Sie sollten die Empfehlungen prüfen und einen Plan zur Verbesserung Ihrer Sicherheitslage bei der Migration von Ressourcen erstellen. Wenn Sie mit der Migration von Ressourcen zu Azure beginnen, sollten Sie bereit sein, Sicherheitsverbesserungen im Rahmen Ihrer Migrationsoptimierung zu implementieren.

Erwägen Sie, die folgenden zusätzlichen Ressourcen zur Migration vorzubereiten:

Nächste Schritte

Vorbereiten von Tools und einem anfänglichen Migrationsrückstands