準備您的登陸區域以進行移轉
本文說明如何讓您的 Azure 登陸區域 準備好進行移轉。 它也會列出您必須執行的主要工作,以確保您的移轉專案已就緒組態。
無論您使用哪一個 Azure 登陸區域參考實 作,您都必須執行一些工作來準備登陸區域,以便成功移轉專案。
如果您未使用 Azure 登陸區域參考實作,您仍然需要執行本文中的步驟。 不過,您可能有先執行的必要條件工作,或者您可能必須根據設計調整特定建議。
本文說明部署現有 Azure 登陸區域之後,您必須執行的工作。 某些工作著重於自動化部署。 如果工作與手動部署和管理的環境無關,則不會指出。
建立混合式連線
在 Azure 登陸區域部署期間,您可以使用中樞虛擬網路和網路閘道來部署 連線 ivity 訂用帳戶,例如 Azure VPN 閘道、Azure ExpressRoute 閘道或兩者。 在 Azure 登陸區域部署之後,您仍必須設定來自這些閘道的混合式連線,以連線到現有的數據中心設備或 ExpressRoute 線路。
在就緒階段中,您已規劃 連線至 Azure。 使用此計劃來判斷您需要納入的連接。 例如,如果您使用 ExpressRoute,則必須與提供者合作,以建立 ExpressRoute 線路。
若要取得特定案例的技術指引,請參閱:
- 從 Azure VPN 閘道建立 VPN 連線。
- 建立 ExpressRoute 線路。
- 從 ExpressRoute 閘道建立 ExpressRoute 連線到線路。
- 管理 Azure 虛擬 WAN 閘道設定。
注意
如需其他指引,請參閱提供者的特定檔。
如果您透過部署在虛擬網路中的第三方網路虛擬設備 (NVA) 來建立與 Azure 的混合式連線,請檢閱其特定指引和 高可用性 NVA 的一般指引。
準備身分識別
在 Azure 登陸區域部署期間,您也應該為身分識別平臺部署支持架構。 您可能有專用的身分識別訂用帳戶或資源群組,以及您用於身分識別的虛擬機 (VM) 的虛擬網路或子網。 不過,您必須在 Azure 登陸區域部署之後部署身分識別資源。
下列各節提供與 Active Directory 相關的指引。 如果您使用不同的身分識別提供者進行驗證和授權,您必須遵循其將身分識別擴充至 Azure 的指引。
在實作本指南之前,請先檢閱 您在規劃登陸區域時所做的 Active Directory 和混合式身分識別 決策。
您也應該從治理階段檢閱身 分識別基準 ,以判斷是否需要在 Microsoft Entra ID 中進行變更。
擴充 Active Directory 域控制器
在大部分的移轉案例中,您移轉至 Azure 的工作負載已加入現有的 Active Directory 網域。 Microsoft Entra ID 提供將身分識別管理現代化的解決方案,甚至適用於 VM 工作負載,但可能會中斷移轉。 重新架構工作負載的身分識別使用方式,通常會在現代化或創新計劃期間執行。
因此,您必須將域控制器部署至您部署的身分識別網路區域內的 Azure。 部署 VM 之後,您必須遵循一般的域控制器升級程式,將它們新增至網域。 此程式可能包括建立其他月臺以支援您的復寫拓撲。
如需部署這些資源的常見架構模式,請參閱在 Azure 虛擬網路中部署 Active Directory 網域服務 (AD DS)。
如果您為小型企業實作企業級架構,AD DS 伺服器通常位於中樞的子網中。 如果您實作 企業級中樞和輪輻架構 或 企業級虛擬 WAN 架構,則伺服器通常位於其專用虛擬網路中。
Microsoft Entra Connect
許多組織已經有 Microsoft Entra 連線 來填入 Microsoft 365 服務,例如 Exchange Online。 如果您的組織沒有 Microsoft Entra 連線,您可能需要在登陸區域部署之後安裝並部署它,以便複寫身分識別。
啟用混合式 DNS
大部分的組織都必須能夠解析屬於現有環境之命名空間的域名系統 (DNS) 要求。 這些命名空間通常需要與Active Directory 伺服器整合。 而現有環境中的資源必須能夠解析 Azure 中的資源。
若要啟用這些函式,您必須設定 DNS 服務以支援一般流程。 您可以使用 Azure 登陸區域來部署您需要的許多資源。 如需檢閱和準備的其他工作,請參閱 Azure 中的 DNS 解析。
自定義 DNS 解析
如果您使用 Active Directory 作為 DNS 解析程式,或部署第三方解決方案,則必須部署 VM。 如果您的域控制器部署至您的身分識別訂用帳戶和網路輪輻,您可以使用這些 VM 作為 DNS 伺服器。 否則,您必須部署和設定 VM 來存放這些服務。
部署 VM 之後,您必須將它們整合到現有的 DNS 平臺中,以便針對現有的命名空間執行查閱。 對於 Active Directory DNS 伺服器,此整合是自動的。
您也可以使用 Azure DNS 私人解析程式,但此服務不會部署為 Azure 登陸區域部署的一部分。
如果您的設計使用私人 DNS 區域,請據以規劃。 例如,如果您使用私人 DNS 區域搭配私人端點,請參閱 指定 DNS 伺服器。 私用 DNS 區域會部署為登陸區域的一部分。 如果您也使用私人端點來執行現代化工作,則應該要有額外的設定。
Azure 防火牆 DNS Proxy
您可以將 Azure 防火牆 設定為 DNS Proxy。 Azure 防火牆 可以接收流量,並將其轉送至 Azure 解析程式或 DNS 伺服器。 此設定可讓查閱從內部部署執行至 Azure,但無法有條件地轉送回內部部署 DNS 伺服器。
如果您需要混合式 DNS 解析,您可以設定 Azure 防火牆 DNS Proxy 將流量轉送至自定義 DNS 伺服器,例如域控制器。
此步驟是選擇性的,但有幾個優點。 如果您變更 DNS 服務,並在 Azure 防火牆 中啟用完整功能變數名稱 (FQDN) 規則,則會減少設定變更。
設定自定義虛擬網路 DNS 伺服器
完成上述活動之後,您可以將 Azure 虛擬網路的 DNS 伺服器設定為您所使用的自定義伺服器。
如需詳細資訊,請參閱 Azure 防火牆 DNS 設定。
設定中樞防火牆
如果您在中樞網路中部署防火牆,您應該解決幾個考慮,以便準備好移轉工作負載。 如果您未在部署初期解決這些考慮,您可能會遇到路由和網路存取問題。
在執行這些活動時,請檢閱 網路設計區域,特別是 網路安全性指引。
如果您將第三方 NVA 部署為防火牆,請檢閱廠商的指引和 高可用性 NVA 的一般指引。
部署標準規則集
如果您使用 Azure 防火牆,則會封鎖所有防火牆流量,直到您新增明確的允許規則為止。 許多其他 NVA 防火牆的運作方式類似。 除非您定義規則來指定允許的流量,否則會拒絕流量。
您應該根據工作負載需求新增個別的規則和規則集合。 但您也應該規劃有標準規則,例如存取 Active Directory 或其他身分識別和管理解決方案,適用於所有已啟用的工作負載。
路由
Azure 提供下列案例的路由,但沒有任何額外的設定:
- 在相同虛擬網路中的資源之間路由
- 在對等互連虛擬網路中的資源之間路由
- 資源與虛擬網路網關之間的路由,無論是在其自己的虛擬網路中,還是在設定為使用閘道的對等互連虛擬網路中
兩個常見的路由案例需要額外的設定。 這兩種案例都有指派給子網以圖形路由的路由表。 如需 Azure 路由和自定義路由的詳細資訊,請參閱 虛擬網路流量路由。
輪輻間路由
您需要將流量從一個輪輻傳輸到另一個輪輻的路由。 為了提高效率和簡單性,請使用預設路由 (0.0.0.0/0
) 到您的防火牆。 使用此路由時,任何未知位置的流量都會移至防火牆,這會檢查流量並套用您的防火牆規則。
如果您要允許因特網輸出,您也可以將私人IP空間的另一個路由指派給防火牆,例如 10.0.0.0/8
。 此設定不會覆寫更特定的路由。 但您可以使用它作為簡單的路由,讓輪輻間流量可以正確路由。
如需輪輻對輪輻網路的詳細資訊,請參閱 輪輻間通訊的模式和拓撲。
從閘道子網路由
如果您針對中樞使用虛擬網路,則必須規劃如何處理來自閘道的流量檢查。
如果您想要檢查流量,您需要兩個設定:
在您的 連線 ivity 訂用帳戶中,您需要建立路由表並將其連結至閘道子網。 網關子網需要您打算連結的每個輪輻網路的路由,以及防火牆 IP 位址的下一個躍點。
在每個登陸區域訂用帳戶中,您需要建立路由表,並將其連結至每個子網。 停用路由表上的邊界網關通訊協定 (BGP) 傳播。
如需自定義和 Azure 定義路由的詳細資訊,請參閱 Azure 虛擬網路流量路由。
如果您想要檢查私人端點的流量,請在裝載私人端點的子網上啟用適當的路由網路原則。 如需詳細資訊,請參閱管理私人端點的網路原則。
如果您不打算檢查流量,則不需要變更。 不過,如果您將路由表新增至輪輻網路子網,請啟用 BGP 傳播,讓流量可以路由回到您的閘道。
設定監視和管理
在部署登陸區域時,您已布建原則,以在 Azure 監視器記錄中註冊您的資源。 但您也必須為您的登陸區域資源建立警示。
若要實作警示,您可以部署 登陸區域的 Azure 監視器基準。 使用此部署根據登陸區域管理的常見案例來取得警示,例如聯機資源和服務健康情況。
如果您的需求偏離基準中的內容,您也可以針對資源部署自己的自定義警示。
準備您的登陸區域以進行主權工作負載移轉
如果您需要解決主權需求,您可以評估 Microsoft Cloud for Sovereignty 是否符合您的需求。 適用於主權的 Microsoft Cloud 提供一層額外的原則和稽核功能,以解決個別的公共部門和政府客戶需求。
您可以藉由部署主權登陸區域來啟用這些功能。 主權登陸區域的架構符合建議 的 Azure 登陸區域 設計。
Microsoft Cloud for Sovereignty 原則組合
藉由使用 Azure 原則,您可以啟用跨 Azure 資源的集中式控制,以強制執行特定組態。 您可以將 Microsoft Cloud for Sovereignty 原則計劃指派給登陸區域,以確保您遵守國家/地區中的本機原則和法規需求。
如果這些原則計劃尚未指派給您的主權登陸區域部署,請考慮指派對應至法規需求的計劃。
啟用 訂閱自動販賣
本節適用於想要將其訂用帳戶布建程式自動化的組織。 如果您手動管理登陸區域和訂用帳戶建立,您應該建立自己的建立訂用帳戶程式。
當您開始移轉時,您必須為工作負載建立訂用帳戶。 啟用 訂閱自動販賣自動化並加速此程式。 建立 訂閱自動販賣 時,您應該能夠快速建立訂用帳戶。
準備 適用於雲端的 Microsoft Defender
當您部署登陸區域時,也會設定原則來啟用 Azure 訂用帳戶的 適用於雲端的 Defender。 適用於雲端的 Defender 在其安全分數中提供安全性狀態建議,以根據 Microsoft 安全性基準評估已部署的資源。
您不需要實作其他技術設定,但您應該檢閱建議和設計計劃,以 在移轉資源時改善安全性狀態 。 當您開始將資源遷移至 Azure 時,應該準備好 在移轉優化過程中實作安全性改善 。
相關資源
請考慮下列其他資源來準備移轉: