Meglévő Azure-környezet átalakítása az Azure-beli célzóna fogalmi architektúrájába
Számos szervezet rendelkezik meglévő Azure-lábnyomtal, egy vagy több előfizetéssel és potenciálisan meglévő felügyeleticsoport-struktúrával. Üzleti igényeiktől és forgatókönyveiktől függően előfordulhat, hogy azure-erőforrásokat helyeznek üzembe, például az Azure VPN Gatewayt vagy az Azure ExpressRoute-t a hibrid kapcsolatokhoz.
Ez a cikk javaslatokat nyújt a szervezetnek az Azure-beli kezdőzóna elméleti architektúrájára áttérő meglévő Azure-környezet változásainak navigálásában. Ez a cikk az erőforrások Azure-beli áthelyezésével kapcsolatos szempontokat is ismerteti, például egy előfizetés áthelyezését egy meglévő felügyeleti csoportról egy másik felügyeleti csoportra. Vegye figyelembe ezeket a javaslatokat, amelyek segítenek a meglévő Azure-környezet áttűnésének értékelésében és tervezésében.
Erőforrások áthelyezése az Azure-ban
A létrehozás után áthelyezhet néhány erőforrást az Azure-ban. Különböző megközelítések vonatkoznak a felhasználók Azure-beli szerepköralapú hozzáférés-vezérlési (RBAC) engedélyére a hatókörökben és a hatókörök között. Az alábbi táblázat ismerteti, hogy mely erőforrásokat helyezheti át, milyen hatókörben, valamint az egyes erőforrásokhoz kapcsolódó előnyöket és hátrányokat.
Hatókör | Cél | Pro | Con |
---|---|---|---|
Erőforráscsoportokban lévő erőforrások. | Áthelyezhet egy új erőforráscsoportot ugyanabban vagy egy másik előfizetésben. | Az erőforráscsoport erőforrás-összetételét az üzembe helyezés után módosíthatja. | Az összes resourceTypes nem támogatja. Egyes resourceType-okhoz meghatározott korlátozások vagy követelmények tartoznak. a resourceId-azonosítók frissülnek, és hatással vannak a meglévő figyelési, riasztási és vezérlősík-műveletekre. Az erőforráscsoportok zárolva vannak az áthelyezési időszakban. A szabályzatok és az RBAC áthelyezés előtti és utáni műveletének értékelését igényli. |
Bérlői előfizetések. | Különböző felügyeleti csoportokba léphet. | Nincs hatása az előfizetés meglévő erőforrásaira, mert a resourceId értékek nem változnak. | A szabályzatok és az RBAC áthelyezés előtti és utáni műveletének értékelését igényli. |
A használni kívánt áthelyezési stratégia meghatározásához vegye figyelembe az alábbi példákat.
Előfizetések áthelyezése
Az előfizetéseket általában áthelyezi, hogy felügyeleti csoportokba rendezze őket, vagy az előfizetéseket egy új Microsoft Entra ID-bérlőbe helyezze át. Az előfizetés áthelyezése új bérlőre elsősorban a számlázási tulajdonjog átadása. Az előfizetések ugyanabban a bérlőben lévő felügyeleti csoportok közötti áthelyezéséről további információt a felügyeleti csoportok és előfizetések áthelyezése című témakörben talál.
Az Azure RBAC követelményei
Az előfizetés áthelyezés előtti értékeléséhez fontos, hogy a felhasználó rendelkezik a megfelelő Azure RBAC-vel. A felhasználó lehet az előfizetés tulajdonosa (közvetlen szerepkör-hozzárendelés), és írási engedéllyel rendelkezik a célfelügyeleti csoportban. A cél felügyeleti csoport írási engedélyét támogató beépített szerepkörök a tulajdonosi szerepkör, a közreműködői szerepkör és a felügyeleti csoport közreműködői szerepkörei.
Ha a felhasználó örökölt tulajdonosi szerepkör-engedéllyel rendelkezik az előfizetésen egy meglévő felügyeleti csoporttól, csak arra a felügyeleti csoportra helyezheti át az előfizetést, amelyben a felhasználóhoz tulajdonosi szerepkör van rendelve.
Házirendek
A meglévő előfizetésekre olyan Azure-szabályzatok vonatkozhatnak, amelyek közvetlenül vagy hozzárendelve vannak azon a felügyeleti csoporton, ahol jelenleg találhatók. Fontos felmérni az aktuális szabályzatokat és az új felügyeleti csoportban vagy a felügyeleti csoport hierarchiájában esetleg meglévő szabályzatokat.
Az Azure Resource Graph használatával leltárt készíthet a meglévő erőforrásokról, és összehasonlíthatja azok konfigurációját a célhelyen található szabályzatokkal.
Miután áthelyezte az előfizetéseket egy meglévő Azure RBAC-vel és szabályzatokkal rendelkező felügyeleti csoportra, vegye figyelembe az alábbi tényezőket:
Az áthelyezett előfizetésekhez örökölt Azure RBAC-k esetében a felügyeleti csoport gyorsítótárában lévő felhasználói jogkivonatok frissítése akár 30 percet is igénybe vehet. A folyamat felgyorsításához frissítheti a jogkivonatot a kijelentkezéskor és a bejelentkezéskor, vagy kérhet egy új jogkivonatot.
Az a szabályzat, amelyben a hozzárendelés hatóköre tartalmazza az áthelyezett előfizetéseket, csak a meglévő erőforrásokon végez naplózást. Egy meglévő erőforrás az előfizetésben, amely a következőre vonatkozik:
DeployIfNotExists
a szabályzateffektus nem megfelelőként jelenik meg, és nem lesz automatikusan szervizelve. A felhasználónak manuálisan kell elvégeznie a szervizelést.Deny
a szabályzateffektus nem megfelelőként jelenik meg, és nem lesz elutasítva. A felhasználónak szükség szerint manuálisan kell enyhítenie ezt az eredményt.Append
ésModify
a szabályzat hatása nem megfelelőként jelenik meg, és a felhasználónak meg kell enyhítenie.Audit
ésAuditIfNotExist
a szabályzat hatása nem megfelelőként jelenik meg, és a felhasználónak meg kell enyhítenie.
Az áthelyezett előfizetés összes új írására a hozzárendelt szabályzatok vonatkoznak valós időben, a normálhoz hasonlóan.
Erőforrások áthelyezése
Az erőforrásokat általában akkor helyezi át, ha az erőforrásokat ugyanabba az erőforráscsoportba szeretné összesíteni, ha azonos életciklussal rendelkeznek. Vagy ha költség-, tulajdonjogi vagy Azure RBAC-követelmények miatt más előfizetésbe szeretné áthelyezni az erőforrásokat.
Az erőforrások áthelyezésekor a forrás erőforráscsoport és a célerőforrás-csoport zárolva lesz az áthelyezési művelet során. Az erőforráscsoportokban nem lehet erőforrásokat hozzáadni, frissíteni vagy törölni. Az erőforrás-áthelyezési művelet nem módosítja az erőforrások helyét.
Az erőforrások ugyanazon bérlőben lévő erőforráscsoportok és előfizetések közötti áthelyezéséről további információt az Erőforrások áthelyezése új erőforráscsoportba vagy előfizetésbe című témakörben talál.
Tipp.
A regionális kimaradások hatásának minimalizálása érdekében javasoljuk, hogy az erőforrásokat ugyanabban a régióban helyezze el, mint az erőforráscsoport. További információ: Erőforráscsoport helyének igazítása.
Ha ugyanabban az erőforráscsoportban különböző régiókban vannak erőforrások, érdemes lehet áthelyezni az erőforrásokat egy új erőforráscsoportba vagy előfizetésbe.
Annak megállapításához , hogy az erőforrás támogatja-e a másik erőforráscsoportba való áthelyezést, az erőforrásokat kereszthivatkozással leltározza. Győződjön meg arról, hogy megfelel a megfelelő előfeltételeknek.
Erőforrások áthelyezése előtt
Az áthelyezési művelet előtt ellenőriznie kell, hogy az erőforrások támogatottak-e, és értékelnie kell a követelményeket és függőségeket. Ha például áthelyez egy társhálózatot, először le kell tiltania a virtuális hálózatok közötti társviszony-létesítést, majd újra engedélyeznie kell a társviszony-létesítést az áthelyezési művelet befejezése után. Tervezze meg előre a függőségek letiltását és újbóli engedélyezését, hogy megértse a virtuális hálózatokhoz esetleg kapcsolódó meglévő számítási feladatokra gyakorolt hatást.
Erőforrások áthelyezése után
Amikor ugyanabban az előfizetésben egy új erőforráscsoportba helyezi át az erőforrásokat, a felügyeleti csoport vagy előfizetés örökölt Azure RBAC-szabályzatai továbbra is érvényesek maradnak. Ez akkor is érvényes, ha egy új előfizetésben lévő erőforráscsoportra vált, ahol az előfizetés más Azure RBAC-hez és szabályzat-hozzárendeléshez is tartozhat. Ellenőriznie kell az erőforrás-megfelelőséget és a hozzáférés-vezérlést.
Forgatókönyvek
Az alábbi forgatókönyvek bemutatják, hogyan migrálhat és alakíthat át egy meglévő környezetet az Azure-beli célzóna elméleti architektúrájába.
Igazítási forgatókönyvek
Igazítási módszerek
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: