Transisi lingkungan Azure yang ada ke arsitektur konseptual zona pendaratan Azure
Banyak organisasi memiliki jejak Azure yang sudah ada, satu atau beberapa langganan, dan berpotensi merupakan struktur grup manajemen yang ada. Bergantung pada persyaratan dan skenario bisnis mereka, sumber daya Azure mungkin disebarkan, seperti Azure VPN Gateway atau Azure ExpressRoute untuk konektivitas hibrid.
Artikel ini memberikan rekomendasi untuk membantu organisasi Anda menavigasi perubahan berdasarkan lingkungan Azure Anda yang sudah ada yang beralih ke arsitektur konseptual zona pendaratan Azure. Artikel ini juga menjelaskan pertimbangan untuk memindahkan sumber daya di Azure, misalnya memindahkan langganan dari satu grup manajemen yang ada ke grup manajemen lain. Pertimbangkan rekomendasi ini untuk membantu Anda mengevaluasi dan merencanakan transisi lingkungan Azure yang ada.
Memindahkan sumber daya di Azure
Anda dapat memindahkan beberapa sumber daya di Azure setelah pembuatan. Ada berbagai pendekatan yang tunduk pada izin kontrol akses berbasis peran (RBAC) Azure pengguna di dan di seluruh cakupan. Tabel berikut menguraikan sumber daya mana yang dapat Anda pindahkan, di cakupan mana, dan pro dan kontra yang terkait dengan setiap sumber daya.
| Cakupan | Tujuan | Pro | Kontra |
|---|---|---|---|
| Sumber daya dalam grup sumber daya. | Anda dapat berpindah ke grup sumber daya baru dalam langganan yang sama atau berbeda. | Anda dapat memodifikasi komposisi sumber daya dalam grup sumber daya setelah penyebaran. | Tidak didukung oleh semua resourceTypes. Beberapa resourceTypes memiliki batasan atau persyaratan tertentu. resourceId diperbarui dan memengaruhi operasi pemantauan, pemberitahuan, dan sarana kontrol yang ada. Grup sumber daya dikunci selama periode pemindahan. Memerlukan penilaian kebijakan dan operasi prapindah dan pascapindahan RBAC. |
| Langganan dalam penyewa. | Anda dapat berpindah ke grup manajemen yang berbeda. | Tidak berpengaruh pada sumber daya yang ada dalam langganan karena nilai resourceId tidak berubah. | Memerlukan penilaian kebijakan dan operasi prapindah dan pascapindahan RBAC. |
Untuk menentukan strategi pemindahan mana yang harus Anda gunakan, pertimbangkan contoh berikut.
Pindahkan langganan
Biasanya, Anda memindahkan langganan untuk mengaturnya ke dalam grup manajemen atau untuk mentransfer langganan ke penyewa ID Microsoft Entra baru. Memindahkan langganan ke penyewa baru terutama untuk mentransfer kepemilikan penagihan. Untuk informasi selengkapnya tentang cara memindahkan langganan di seluruh grup manajemen di penyewa yang sama, lihat Memindahkan grup manajemen dan langganan.
Persyaratan Azure RBAC
Untuk menilai langganan sebelum pemindahan, penting bahwa pengguna memiliki Azure RBAC yang sesuai. Pengguna mungkin merupakan pemilik pada langganan (penetapan peran langsung) dan memiliki izin tulis pada grup manajemen target. Peran bawaan yang mendukung izin tulis pada grup manajemen target adalah peran pemilik, peran kontributor, dan peran kontributor grup manajemen.
Jika pengguna memiliki izin peran pemilik yang diwariskan pada langganan dari grup manajemen yang ada, Anda hanya dapat memindahkan langganan ke grup manajemen tempat pengguna diberi peran pemilik.
Kebijakan
Langganan yang ada mungkin tunduk pada kebijakan Azure yang ditetapkan secara langsung atau ditetapkan di grup manajemen tempat mereka berada saat ini. Penting untuk menilai kebijakan saat ini dan kebijakan yang mungkin ada di grup manajemen baru atau hierarki grup manajemen.
Anda dapat menggunakan Azure Resource Graph untuk melakukan inventarsi sumber daya yang ada dan membandingkan konfigurasinya dengan kebijakan yang ada di tujuan.
Setelah Anda memindahkan langganan ke grup manajemen dengan Azure RBAC dan kebijakan yang ada, pertimbangkan faktor-faktor berikut:
Untuk RBAC Azure apa pun yang diwariskan ke langganan yang dipindahkan, token pengguna di cache grup manajemen mungkin membutuhkan waktu hingga 30 menit untuk di-refresh. Untuk mempercepat proses ini, Anda dapat merefresh token dengan keluar dan masuk, atau meminta token baru.
Kebijakan di mana cakupan penugasan menyertakan langganan yang dipindahkan hanya melakukan audit pada sumber daya yang ada. Sumber daya yang ada dalam langganan yang tunduk pada:
DeployIfNotExistsefek kebijakan muncul sebagai tidak patuh dan tidak diperbaiki secara otomatis. Pengguna harus melakukan remediasi secara manual.Denyefek kebijakan muncul sebagai tidak patuh dan tidak ditolak. Pengguna harus secara manual mengurangi hasil ini sebagaimana mestinya.AppenddanModifyefek kebijakan muncul sebagai tidak patuh dan mengharuskan pengguna untuk mengurangi.AuditdanAuditIfNotExistefek kebijakan muncul sebagai tidak patuh dan mengharuskan pengguna untuk mengurangi.
Semua penulisan baru ke sumber daya dalam langganan yang dipindahkan tunduk pada kebijakan yang ditetapkan secara real time seperti biasa.
Memindahkan sumber daya
Biasanya, Anda memindahkan sumber daya saat ingin mengonsolidasikan sumber daya ke dalam grup sumber daya yang sama jika mereka berbagi siklus hidup yang sama. Atau jika Anda ingin memindahkan sumber daya ke langganan yang berbeda karena biaya, kepemilikan, atau persyaratan Azure RBAC.
Saat Anda memindahkan sumber daya, grup sumber daya sumber daya dan grup sumber daya target dikunci selama operasi pemindahan. Anda tidak dapat menambahkan, memperbarui, atau menghapus sumber daya di grup sumber daya. Operasi pemindahan sumber daya tidak mengubah lokasi sumber daya.
Untuk informasi selengkapnya tentang cara memindahkan sumber daya di seluruh grup sumber daya dan langganan di penyewa yang sama, lihat Memindahkan sumber daya ke grup sumber daya atau langganan baru.
Tip
Untuk meminimalkan efek pemadaman regional, kami sarankan Anda menempatkan sumber daya di wilayah yang sama dengan grup sumber daya. Untuk informasi selengkapnya, lihat Perataan lokasi grup sumber daya.
Jika Anda memiliki sumber daya di wilayah yang berbeda dalam grup sumber daya yang sama, pertimbangkan untuk memindahkan sumber daya Anda ke grup sumber daya atau langganan baru.
Untuk menentukan apakah sumber daya Anda mendukung pemindahan ke grup sumber daya lain, inventaris sumber daya Anda dengan mereferensikannya secara silang. Pastikan Anda memenuhi prasyarat yang sesuai.
Sebelum Anda memindahkan sumber daya
Sebelum operasi pemindahan, Anda harus memverifikasi bahwa sumber daya didukung, dan menilai persyaratan dan dependensinya. Misalnya, ketika Anda memindahkan jaringan virtual yang di-peering, Anda harus menonaktifkan peering jaringan virtual terlebih dahulu, dan mengaktifkan kembali peering setelah operasi pemindahan selesai. Rencanakan terlebih dahulu untuk menonaktifkan dan mengaktifkan kembali dependensi sehingga Anda memahami efek pada beban kerja yang ada yang mungkin terhubung ke jaringan virtual Anda.
Setelah Anda memindahkan sumber daya
Saat Anda memindahkan sumber daya ke grup sumber daya baru dalam langganan yang sama, setiap RBAC Azure yang diwariskan dan kebijakan dari grup manajemen atau langganan masih berlaku. Ini juga berlaku jika Anda pindah ke grup sumber daya di langganan baru di mana langganan mungkin tunduk pada Azure RBAC dan penetapan kebijakan lainnya. Anda harus memvalidasi kepatuhan sumber daya dan kontrol akses.
Skenario
Skenario berikut menjelaskan cara memigrasikan dan transisi lingkungan yang ada ke arsitektur konseptual zona pendaratan Azure.
Skenario perataan
Pendekatan perataan
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk