Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Wiele organizacji ma istniejącą strukturę platformy Azure, co najmniej jedną subskrypcję i potencjalnie istniejącą strukturę grupy zarządzania. W zależności od wymagań biznesowych i scenariuszy mogą mieć wdrożone zasoby platformy Azure, takie jak usługa Azure VPN Gateway lub usługa Azure ExpressRoute na potrzeby łączności hybrydowej.
Ten artykuł zawiera zalecenia ułatwiające organizacji nawigowanie po zmianach w oparciu o istniejące środowisko platformy Azure, które przechodzi do architektury referencyjnej strefy docelowej platformy Azure. W tym artykule opisano również zagadnienia dotyczące przenoszenia zasobów na platformie Azure, na przykład przeniesienie subskrypcji z jednej istniejącej grupy zarządzania do innej grupy zarządzania. Weź pod uwagę te zalecenia, aby ułatwić ocenę i zaplanowanie przejścia istniejącego środowiska platformy Azure.
Przenoszenie zasobów na platformie Azure
Po utworzeniu możesz przenieść niektóre zasoby na platformie Azure. Istnieją różne podejścia, które podlegają uprawnieniom kontroli dostępu opartej na rolach (RBAC) użytkownika w ramach i pomiędzy zakresami. W poniższej tabeli przedstawiono zasoby, które można przenieść, w jakim zakresie oraz zalety i wady skojarzone z każdym zasobem.
| Scope | Destynacja | Pro | Wada |
|---|---|---|---|
| Zasoby w grupach zasobów. | Możesz przejść do nowej grupy zasobów w tej samej lub innej subskrypcji. | Kompozycję zasobów można zmodyfikować w grupie zasobów po wdrożeniu. | Nie wszystkie typy zasobów są obsługiwane. Niektóre typy zasobów mają określone ograniczenia lub wymagania. Identyfikatory zasobów są aktualizowane i mają wpływ na istniejące operacje monitorowania, alertów i płaszczyzny sterowania. Grupy zasobów są zablokowane podczas okresu przenosin. Wymaga oceny zasad i operacji RBAC przed przenoszeniem i po nim. |
| Subskrypcje w dzierżawie. | Możesz przejść do różnych grup zarządzania. | Brak wpływu na istniejące zasoby w ramach subskrypcji, ponieważ wartości resourceId nie zmieniają się. | Wymaga oceny zasad i operacji RBAC przed przenoszeniem i po nim. |
Aby określić strategię ruchu, której należy użyć, rozważ następujące przykłady.
Przenoszenie subskrypcji
Zazwyczaj przenosisz subskrypcje, aby organizować je w grupach zarządzania lub przenieść do dzierżawy Microsoft Entra ID. Przeniesienie subskrypcji do nowej dzierżawy dotyczy głównie przeniesienia własności rozliczeń. Aby uzyskać więcej informacji na temat przenoszenia subskrypcji między grupami zarządzania w tej samej dzierżawie, zobacz Przenoszenie grup zarządzania i subskrypcji.
Wymagania dotyczące kontroli dostępu opartej na rolach platformy Azure
Aby ocenić subskrypcję przed przeniesieniem, ważne jest, aby użytkownik miał odpowiednie uprawnienia Azure RBAC. Użytkownik może być właścicielem subskrypcji (bezpośrednie przypisanie roli) i mieć uprawnienia do zapisu w docelowej grupie zarządzania. Role wbudowane, które obsługują uprawnienia do zapisu w docelowej grupie zarządzania, są rolą właściciela, rolą współautora i rolą współautora grupy zarządzania.
Jeśli użytkownik ma odziedziczone uprawnienia roli właściciela w subskrypcji z istniejącej grupy zarządzania, możesz przenieść subskrypcję tylko do grupy zarządzania, w której użytkownik ma przypisaną rolę właściciela.
Polityki
Istniejące subskrypcje mogą podlegać zasadom platformy Azure przypisanym bezpośrednio lub przypisanym na poziomie grupy zarządzania, gdzie są aktualnie zlokalizowane. Ważne jest, aby ocenić bieżące zasady i zasady, które mogą istnieć w nowej grupie zarządzania lub hierarchii grup zarządzania.
Za pomocą usługi Azure Resource Graph możesz wykonać spis istniejących zasobów i porównać ich konfigurację z zasadami istniejącymi w miejscu docelowym.
Po przeniesieniu subskrypcji do grupy zarządzania z istniejącą kontrolą dostępu opartą na rolach platformy Azure i zasadami należy wziąć pod uwagę następujące czynniki:
W przypadku dowolnej dziedziczonej reguły dostępu Azure RBAC do przenoszonych subskrypcji, odświeżenie tokenów użytkowników w pamięci podręcznej grupy zarządzania może potrwać nawet do 30 minut. Aby przyspieszyć ten proces, możesz odświeżyć token, wylogowując się i logując ponownie, lub możesz zażądać nowego tokenu.
Zasady, w których zakres przypisania obejmuje przeniesione subskrypcje, przeprowadza inspekcję tylko na istniejących zasobach. Istniejący zasób w subskrypcji podlegający:
DeployIfNotExistsEfekt zasad jest wyświetlany jako niezgodny i nie jest automatycznie korygowany. Użytkownik musi ręcznie wykonać korygowanie.DenyEfekt zasad jest wyświetlany jako niezgodny i nie jest odrzucany. Użytkownik musi ręcznie ograniczyć ten wynik zgodnie z potrzebami.AppendiModifyefekt zasad jest wyświetlany jako niezgodny i wymaga od użytkownika ograniczenia.AuditiAuditIfNotExistefekt zasad jest wyświetlany jako niezgodny i wymaga od użytkownika ograniczenia.
Wszystkie nowe operacje zapisu w przeniesionej subskrypcji podlegają przypisanym zasadom w czasie rzeczywistym, zgodnie z normalnym trybem działania.
Przenoszenie zasobów
Zazwyczaj zasoby są przenoszone, gdy chcesz skonsolidować zasoby w tej samej grupie zasobów, jeśli mają one ten sam cykl życia. Możesz też przenieść zasoby do innej subskrypcji ze względu na koszty, własność lub wymagania dotyczące Azure RBAC.
Podczas przenoszenia zasobów źródłowa grupa zasobów i docelowa grupa zasobów są blokowane podczas operacji przenoszenia. Nie można dodawać, aktualizować ani usuwać zasobów w grupach zasobów. Operacja przenoszenia zasobów nie zmienia lokalizacji zasobów.
Aby uzyskać więcej informacji na temat przenoszenia zasobów między grupami zasobów i subskrypcjami w tej samej dzierżawie, zobacz Przenoszenie zasobów do nowej grupy zasobów lub subskrypcji.
Wskazówka
Aby zminimalizować skutki awarii regionalnych, zalecamy umieszczenie zasobów w tym samym regionie co grupa zasobów. Aby uzyskać więcej informacji, zobacz Dopasowanie lokalizacji grupy zasobów.
Jeśli masz zasoby w różnych regionach w ramach tej samej grupy zasobów, rozważ przeniesienie zasobów do nowej grupy zasobów lub subskrypcji.
Aby określić, czy zasób obsługuje przenoszenie do innej grupy zasobów, utwórz spis zasobów, odwołując się do nich krzyżowo. Upewnij się, że spełniasz odpowiednie wymagania wstępne.
Przed przeniesieniem zasobów
Przed operacją przenoszenia należy sprawdzić, czy zasoby są obsługiwane, oraz ocenić ich wymagania i zależności. Na przykład, gdy przenosisz równorzędną sieć wirtualną, najpierw musisz wyłączyć peering sieci wirtualnej, a następnie ponownie włączyć peering po zakończeniu operacji przenoszenia. Zaplanuj z wyprzedzeniem zależność wyłączenia i ponownego włączenia, aby zrozumieć wpływ na istniejące obciążenia, które mogą być połączone z sieciami wirtualnymi.
Po tym, jak przeniesiesz zasoby
Po przeniesieniu zasobów do nowej grupy zasobów w tej samej subskrypcji wszystkie odziedziczone role RBAC w Azure i zasady z grupy zarządzania lub subskrypcji wciąż obowiązują. Ma to zastosowanie również w przypadku przejścia do grupy zasobów w nowej subskrypcji, w której subskrypcja może podlegać innej kontroli dostępu opartej na rolach Azure i przypisaniom zasad. Należy zweryfikować zgodność zasobów i mechanizmy kontroli dostępu.
Scenariusze
W poniższych scenariuszach opisano sposób migrowania i przenoszenia istniejącego środowiska do architektury referencyjnej strefy docelowej platformy Azure.
Scenariusze dopasowania
- Przenoszenie pojedynczej subskrypcji bez grup zarządzania do architektury referencyjnej strefy docelowej platformy Azure
- Przenoszenie grup zarządzania do architektury referencyjnej strefy docelowej platformy Azure
- Przenoszenie organizacji regionalnej do architektury referencyjnej strefy docelowej platformy Azure
Podejścia do wyrównywania