通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

跨安全租户迁移云工作负载

Microsoft Entra ID
Azure DevOps
Azure Resource Manager
Azure 备份

解决方案构想

本文介绍了一种解决方案构想。 云架构师可以通过本指南来帮助可视化此体系结构的典型实现的主要组件。 以本文为起点,设计一个符合工作负荷特定要求的架构合理的解决方案。

在业务转换(如收购或剥离)期间,组织可能会将云工作负载从现有的 Microsoft Entra 租户迁移到新租户。 团队必须计划如何分离或整合其云工作负载。 本文介绍如何定义和实施跨租户工作负荷迁移策略,该策略可维护安全边界并确保业务连续性。

体系结构

显示跨租户迁移体系结构的关系图。

下载此体系结构的 Visio 文件

数据流

以下数据流对应于上图:

  1. 准备基础结构和配置项目:

    1. 提取 Azure 资源管理器模板(ARM 模板)和配置项目,并将其存储在源代码存储库或配置存储库中。 此步骤符合基础结构即代码(IaC)做法,并帮助确保迁移的资源具有相同的资源部署定义。 它还有助于实现部署自动化。

    2. 将基础结构和配置项目都部署到新租户订阅中的目标资源组或组。

  2. 在现有租户中创建一个挎斗订阅来托管克隆的数据服务资源以及虚拟机 (VM) 备份。 大多数组织都有一个云平台团队或订阅自动售货流程,可以创建此订阅。

  3. 使用 Azure 数据工厂、AzCopy 等工具来克隆资源,以便进行数据迁移,或者使用本机备份和还原功能。

  4. 将订阅移至新租户。

  5. 将资源移到目标资源组或将数据迁移到目标资源组中的预创建资源。 或者从备份还原 VM。 实现计划应描述预配方法。

  6. 删除挎斗订阅。

组件

  • Microsoft Entra ID 是 Microsoft 推出的基于云的标识和访问管理服务。 Microsoft Entra 租户表示组织,并帮助你管理内部和外部来宾的云服务实例。 在此体系结构中,Microsoft Entra ID 管理跨租户的组织标识和访问,从而实现安全迁移和资源隔离。

  • Azure 订阅是资源的逻辑容器。 每个 Azure 资源仅与一个订阅关联。 在此体系结构中,订阅组织和隔离资源,并在迁移期间在租户之间移动它们。

  • Azure DevOps 是一个云平台,提供开发人员工具来帮助团队规划、协作处理代码以及生成和部署应用程序。 在此体系结构中,它支持 IaC 并在目标租户中自动执行资源部署。

  • Azure 备份 是一项服务,用于备份和还原 Azure 中的数据。 在此体系结构中,它可确保数据保护并在迁移过程中启用恢复。

  • Azure 应用服务的 Web 应用功能托管 Web 应用程序、REST API 和移动后端。 它提供持续部署和其他 DevOps 功能。 在此体系结构中,它支持使用 DevOps 进程在目标租户中重新创建的平台即服务(PaaS)计算工作负荷。

  • Azure SQL 数据库 是托管的智能关系数据库服务。 可使用 SQL 数据库为新式云应用程序创建高性能的数据存储层。 在此体系结构中,它充当在租户迁移期间备份和还原的数据服务,因为直接移动存在限制。

  • Azure 存储 是适用于云中各种数据对象的可缩放持久云存储解决方案。 在此体系结构中,它将存储迁移期间使用的配置项目和数据备份。

  • Microsoft Fabric 是一种软件即服务(SaaS)分析平台,用于统一数据集成、数据工程、数据仓库、实时分析、数据科学和商业智能。 在此体系结构中,它通过合并目标租户中的数据管道、存储(OneLake)和分析计算,在迁移的工作负载之间提供企业规模的分析平台。

  • Azure 机器学习 是一项有助于管理机器学习项目生命周期的服务。 在此体系结构中,它是在目标租户中重新创建的 PaaS 计算资源的一部分。

  • Azure Databricks 是一个统一的分析平台,用于生成、部署、共享和维护数据解决方案。 在这个架构中,它支持可扩展的数据工程,并在目标租户中重新创建该架构。

  • Azure AI 服务 是基于云的 AI 服务,可帮助开发人员将认知智能构建到应用程序中,即使没有 AI 或数据科学技能或知识。 在此体系结构中,AI 服务使用认知智能增强了迁移的应用程序。

  • Azure Cosmos DB 是一种全球分布式 NoSQL 和关系数据库服务。 在此体系结构中,它充当在迁移期间备份和还原的数据服务。

  • Azure 事件中心是大数据流式处理平台和事件引入服务。 在此体系结构中,它支持跨租户进行实时数据处理。

  • Azure Key Vault 是一种 PaaS 服务,可安全地存储机密并提供对机密的访问权限。 在这种架构中,您需要在目标租户中重新创建资源以维护安全访问。

  • Azure 虚拟机 是一种基础结构即服务(IaaS)产品/服务,可提供可缩放的计算资源。 它提供对作系统、存储和应用程序的控制,而无需拥有物理基础结构。 在此体系结构中,VM 在目标租户中备份和还原,以保留自定义逻辑和配置。

  • 资源组是 Azure 资源的逻辑容器。 在此体系结构中,他们将在迁移前后组织资源,以维护结构和可管理性。

方案详细信息

若要解决业务转换(如收购或分拆)的问题,转换工作负荷团队必须计划如何将云工作负载从现有 Microsoft Entra 租户分离或加入到新的 Microsoft Entra 租户。 工作负荷团队包括开发人员、架构师、运营和技术决策者。 此计划有助于确保团队可靠地将所有数据和应用程序服务迁移到其各自的业务边界,并保护并隔离所有数据和应用程序服务。

如果工作负荷存在于单个订阅中,则通常可以使用内置的订阅移动功能将整个订阅转移到新的 Microsoft Entra 租户。 但是,在拆分之前,大多数分离组织工作负荷与保留组织工作负荷交织在一起,因此必须使用不同的方法来准备迁移。

在此方案中,拥有多个全球业务部门的医疗保健公司希望剥离业务。 若要删除,他们需要定义和实施跨目录工作负荷迁移策略。

首先,公司将工作负荷资源分为三类。 一个组包括使用 PaaS 管理的计算资源。 第二个组包括需要 PaaS 和 IaaS 支持的数据服务。 最终组包括使用 IaaS 管理的计算资源。 对于每种资源类型,它们使用以下方法:

  • 对于基于逻辑和配置运行的 PaaS 或计算资源,它们使用 DevOps 进程在目标租户中重新创建这些资源。

    PaaS 计算资源包括 Key Vault、机器学习、Azure 数据工厂和 Azure Databricks。

  • 对于 PaaS 和 IaaS 或数据服务,存储数据的资源会将 Azure 订阅从一个Microsoft Entra 租户重新定位到另一个租户。 公司通过 sidecar 订阅将这些资源移动到新租户。 在移动资源之前,它们必须仔细评估资源。 例如,他们无法在其现有状态下移动启用了 Microsoft Entra 身份验证集成的 Azure SQL 数据库。 公司改用备份和还原。 此过程将删除所有 Azure 基于角色的访问控制(Azure RBAC)分配。 将资源移动到新租户后,他们需要恢复这些 Azure RBAC 分配。

    PaaS 和 IaaS 数据包括 SQL 数据库、Azure Data Lake Storage 和 Azure Cosmos DB 等服务。

  • 对于为自定义逻辑提供托管的 IaaS 或计算资源,公司会创建备份并还原目标环境中的资源。

    IaaS 计算包括托管应用程序或数据库的虚拟机等资源。

可能的用例

  • 组织剥离和收购
  • 内部组织分拆
  • 在本地投资 Azure,不再使用服务提供商模型

作者

Microsoft维护本文。 以下参与者撰写了本文。

主要作者:

要查看非公开的 LinkedIn 个人资料,请登录到 LinkedIn。

后续步骤