Umstellung einer vorhandenen Azure-Umgebung zur konzeptionellen Azure-Zielzonenarchitektur
Viele Organisationen verfügen über einen vorhandenen Azure-Speicherbedarf, ein oder mehrere Abonnements und potenziell eine vorhandene Verwaltungsgruppenstruktur. Je nach ihren geschäftlichen Anforderungen und Szenarien sind möglicherweise Azure-Ressourcen bereitgestellt, z. B. Azure VPN Gateway oder Azure ExpressRoute für hybride Konnektivität.
Dieser Artikel enthält Empfehlungen, die Ihrer Organisation helfen sollen, Änderungen basierend auf Ihrer vorhandenen Azure-Umgebung zu navigieren, die auf die konzeptionelle Azure-Zielzonenarchitektur umgestellt wird. Dieser Artikel beschreibt auch Überlegungen zum Verschieben von Ressourcen in Azure beschrieben, z. B. das Verschieben eines Abonnements von einer vorhandenen Verwaltungsgruppe in eine andere Verwaltungsgruppe. Berücksichtigen Sie diese Empfehlungen, um Ihnen bei der Bewertung und Planung des Übergangs Ihrer vorhandenen Azure-Umgebung zu helfen.
Verschieben von Ressourcen nach Azure
Sie können einige Ressourcen nach der Erstellung nach Azure verschieben. Es gibt unterschiedliche Ansätze, die den Azure-Berechtigungen für die rollenbasierte Zugriffssteuerung (RBAC) eines Benutzers in und über Bereiche hinweg abhängen. In der folgenden Tabelle wird aufgeführt, welche Ressourcen Sie verschieben können, in welchem Umfang, und welche Vor- und Nachteile den einzelnen Ressourcen zugeordnet sind.
| `Scope` | Destination | Pro | Contra |
|---|---|---|---|
| Ressourcen in Ressourcengruppen. | Sie können zu einer neuen Ressourcengruppe im selben oder in einem anderen Abonnement wechseln. | Sie können die Ressourcenkomposition in einer Ressourcengruppe nach der Bereitstellung ändern. | Wird nicht von allen resourceTypes unterstützt. Einige resourceTypes haben bestimmte Einschränkungen oder Anforderungen. resourceIds werden aktualisiert, und dies wirkt sich auf die vorhandene Überwachung, auf Warnungen und Vorgänge auf der Steuerungsebene aus. Ressourcengruppen sind während der Dauer der Verschiebung gesperrt. Erfordert eine Bewertung von Richtlinien und von RBAC für Vorgänge vor und nach dem Verschieben. |
| Abonnements in einem Mandanten. | Sie können zu verschiedenen Verwaltungsgruppen wechseln. | Keine Auswirkung auf vorhandene Ressourcen innerhalb des Abonnements, da sich die resourceId-Werte nicht ändern. | Erfordert eine Bewertung von Richtlinien und von RBAC für Vorgänge vor und nach dem Verschieben. |
Um zu bestimmen, welche Verschiebungsstrategie Sie verwenden sollten, berücksichtigen Sie die folgenden Beispiele.
Verschieben von Abonnements
In der Regel verschieben Sie Abonnements, um sie in Verwaltungsgruppen zu organisieren oder an einen neuen Microsoft Entra ID-Mandanten zu übertragen. Das Verschieben eines Abonnements in einen neuen Mandanten dient hauptsächlich der Übertragung des Abrechnungsbesitzes. Weitere Informationen zum Verschieben von Abonnements zwischen Verwaltungsgruppen im selben Mandanten finden Sie unter Verschieben von Verwaltungsgruppen und Abonnements.
Azure RBAC-Anforderungen
Um ein Abonnement vor einer Verschiebung zu bewerten, ist es wichtig, dass der Benutzer über die entsprechend Azure RBAC verfügt. Der Benutzer ist möglicherweise Besitzer des Abonnements (direkte Rollenzuweisung) und verfügt über Schreibberechtigungen für die Zielverwaltungsgruppe. Integrierte Rollen, die Schreibberechtigungen für die Zielverwaltungsgruppe unterstützen, sind die Rollen „Besitzer“, „Mitwirkender“ und die „Mitwirkender der Verwaltungsgruppe“.
Wenn der Benutzer die Berechtigungen der Rolle „Besitzer“ für das Abonnement von einer vorhandenen Verwaltungsgruppe geerbt hat, können Sie das Abonnement nur in die Verwaltungsgruppe verschieben, in der dem Benutzer die Rolle „Besitzer“ zugewiesen ist.
Richtlinien
Vorhandene Abonnements unterliegen möglicherweise Azure-Richtlinien, die direkt oder an der Verwaltungsgruppe zugewiesen sind, in der sie sich derzeit befinden. Es ist wichtig, die derzeitigen Richtlinien zu bewerten und die Richtlinien, die eventuell in der neuen Verwaltungsgruppe oder der Verwaltungsgruppenhierarchie vorhanden sind.
Sie können Azure Resource Graph verwenden, um ein Inventar der vorhandenen Ressourcen durchzuführen und ihre Konfiguration mit den am Ziel vorhandenen Richtlinien zu vergleichen.
Nachdem Sie Abonnements in eine Verwaltungsgruppe mit bestehender Azure RBAC und bestehenden Richtlinien verschoben haben, sollten Sie die folgenden Faktoren berücksichtigen:
Für alle Azure RBAC, die an die verschobenen Abonnements vererbt werden, kann es bis zu 30 Minuten dauern, bis die Benutzertoken im Cache der Verwaltungsgruppe aktualisiert werden. Um diesen Prozess zu beschleunigen, können Sie das Token aktualisieren, indem Sie sich abmelden und wieder anmelden, oder ein neues Token anfordern.
Jede Richtlinie, bei welcher der Zuweisungsbereich die verschobenen Abonnements einschließt, führt eine Überprüfung nur für die vorhandenen Ressourcen durch. Eine vorhandene Ressource im Abonnement, die Folgendem unterliegt:
Ein
DeployIfNotExists-Richtlinieneffekt erscheint als nicht konform und wird nicht automatisch behoben. Ein Benutzer muss die Wartung manuell durchführen.Der
Deny-Richtlinieneffekt erscheint als nicht konform und wird nicht abgelehnt. Ein Benutzer muss dieses Ergebnis gegebenenfalls manuell korrigieren.Der
Append- undModify-Richtlinieneffekt erscheint als nicht konform und erfordert, dass ein Benutzer die Korrektur durchführt.Der
Audit- undAuditIfNotExist-Richtlinieneffekt erscheint als nicht konform und erfordert, dass ein Benutzer die Korrektur durchführt.
Alle neuen Schreibvorgänge für Ressourcen im verschobenen Abonnement unterliegen den zugewiesenen Richtlinien wie üblich in Echtzeit.
Verschieben von Ressourcen
In der Regel verschieben Sie Ressourcen, wenn Sie Ressourcen in derselben Ressourcengruppe konsolidieren möchten, wenn sie denselben Lebenszyklus teilen. Oder wenn Sie Ressourcen aufgrund von Kosten-, Eigentums- oder Azure RBAC-Anforderungen in ein anderes Abonnement verschieben möchten.
Wenn Sie Ressourcen verschieben, werden die Quellressourcengruppe und die Zielressourcengruppe während des Verschiebungsvorgangs gesperrt. Sie können in den Ressourcengruppen keine Ressourcen hinzufügen, aktualisieren oder löschen. Ein Ressourcenverschiebungsvorgang verändert den Speicherort der Ressource nicht.
Weitere Informationen zum Verschieben von Ressourcen zwischen Ressourcengruppen und Abonnements im selben Mandanten finden Sie unter Verschieben von Ressourcen in eine neue Ressourcengruppe oder ein neues Abonnement.
Tipp
Um die Auswirkungen regionaler Ausfälle zu minimieren, empfiehlt es sich, Ressourcen in derselben Region wie die Ressourcengruppe zu platzieren. Weitere Informationen finden Sie unter Ausrichtung des Standorts der Ressourcengruppen.
Wenn Sie Ressourcen in verschiedenen Regionen innerhalb derselben Ressourcengruppe haben, sollten Sie in Erwägung ziehen, Ihre Ressourcen in eine neue Ressourcengruppe oder ein neues Abonnement zu verschieben.
Um festzustellen, ob Ihre Ressource das Verschieben in eine andere Ressourcengruppe unterstützt, führen Sie eine Inventur Ihrer Ressourcen durch, indem Sie sie querverweisen. Stellen Sie sicher, dass die entsprechenden Voraussetzungen erfüllt sind.
Vor dem Verschieben von Ressourcen
Vor einem Verschiebungsvorgang müssen Sie überprüfen, ob die Ressourcen unterstützt werden, und ihre Anforderungen und Abhängigkeiten bewerten. Wenn Sie z. B. ein virtuelles Netzwerk mit Peerknoten verschieben, müssen Sie zuerst virtuelles Netzwerk-Peering deaktivieren und nach Abschluss des Verschiebungsvorgangs erneut aktivieren. Planen Sie im Voraus die Deaktivierung und erneute Aktivierung der Abhängigkeit, damit Sie die Auswirkungen auf vorhandene Workloads verstehen, die möglicherweise mit Ihren virtuellen Netzwerken verbunden sind.
Nach dem Verschieben von Ressourcen
Wenn Sie die Ressourcen in eine neue Ressourcengruppe im gleichen Abonnement verschieben, gelten alle geerbten Azure RBAC- und Richtlinienzuweisungen aus der Verwaltungsgruppe oder dem Abonnementbereich weiterhin. Dies gilt auch, wenn Sie zu einer Ressourcengruppe in einem neuen Abonnement verschieben, in der das Abonnement möglicherweise einer anderen Azure RBAC- und Richtlinienzuweisung unterliegt. Sie müssen die Ressourcenkonformität und Zugriffskontrollen überprüfen.
Szenarien
In den folgenden Szenarien wird beschrieben, wie eine vorhandene Umgebung in die konzeptionelle Azure-Zielzonenarchitektur migriert und umgestellt wird.
Ausrichtungsszenarien
Ausrichtungsansätze
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für