Eseguire la migrazione dei carichi di lavoro cloud tra tenant di sicurezza
Idee per soluzioni
In questo articolo viene descritta un'idea di soluzione. Il cloud architect può usare queste linee guida per visualizzare i componenti principali di un'implementazione tipica di questa architettura. Usare questo articolo come punto di partenza per il design di una soluzione ben progettata che sia in linea con i requisiti specifici del carico di lavoro.
Per gestire trasformazioni aziendali come acquisizioni o immersioni, i team devono pianificare la separazione o l'aggiunta dei carichi di lavoro cloud da un tenant Microsoft Entra esistente a un nuovo tenant. Questo articolo descrive come definire e implementare una strategia di migrazione del carico di lavoro tra tenant.
Architettura
Scaricare un file di Visio di questa architettura.
Flusso di dati
Il flusso di dati seguente corrisponde al diagramma precedente:
Preparare l'infrastruttura e gli artefatti di configurazione:
Estrarre il modello e gli artefatti di configurazione di Azure Resource Manager e archiviarli in un repository di codice sorgente o in un repository di configurazione. Questo passaggio è conforme all'infrastruttura come procedure di codice e garantisce che le risorse di cui è stata eseguita la migrazione abbiano la stessa definizione di distribuzione delle risorse. Facilita anche l'automazione della distribuzione.
Distribuire sia l'infrastruttura che gli artefatti di configurazione nel gruppo di risorse o nei gruppi di destinazione nella nuova sottoscrizione tenant.
Creare una sottoscrizione sidecar nel tenant esistente per ospitare le risorse del servizio dati clonate e i backup di macchine virtuali. La maggior parte delle organizzazioni ha un team della piattaforma cloud o vendita di abbonamenti processo che può creare questa sottoscrizione.
Clonare le risorse usando uno strumento come Azure Data Factory, AzCopy per la migrazione dei dati o funzionalità di backup e ripristino native.
Spostare la sottoscrizione nel nuovo tenant.
Spostare le risorse nel gruppo di risorse di destinazione o eseguire la migrazione dei dati alle risorse create in anteprima nel gruppo di risorse di destinazione. In alternativa, ripristinare le macchine virtuali dai backup. Il piano di implementazione deve descrivere il metodo di provisioning.
Eliminare la sottoscrizione sidecar.
Componenti
Microsoft Entra ID è un servizio per la gestione delle identità e degli accessi basato sul cloud. Il tenant di Microsoft Entra rappresenta l'organizzazione e consente di gestire un'istanza dei servizi cloud per gli utenti guest interni ed esterni.
Una sottoscrizione di Azure è un contenitore logico per le risorse. Ogni risorsa di Azure è associata a una sola sottoscrizione. La creazione di una sottoscrizione è il primo passaggio dell'adozione di Azure.
Azure DevOps offre servizi per sviluppatori che consentono ai team di pianificare il lavoro, collaborare allo sviluppo di codice e compilare e distribuire applicazioni.
Backup di Azure offre soluzioni convenienti per il backup dei dati e il ripristino da Azure.
Il Servizio app di Azure è un servizio per l'hosting di applicazioni Web, API REST e back-end mobili, basato su HTTP. Offre la distribuzione continua e altre funzionalità DevOps.
database SQL di Azure è un servizio di database relazionale completamente gestito e intelligente creato per il cloud. È possibile usare database SQL per creare un livello di archiviazione dati ad alte prestazioni per le applicazioni cloud moderne.
La piattaforma Archiviazione di Azure è la soluzione cloud Microsoft per scenari di archiviazione dei dati moderni. Archiviazione di Azure offre archiviazione a disponibilità elevata, scalabile elevata e durevole per vari oggetti dati nel cloud.
Azure Synapse Analytics servizio di analisi aziendale che riduce il tempo necessario per estrarre informazioni dettagliate da data warehouse e sistemi di Big Data.
Azure Machine Learning è un servizio cloud per accelerare e gestire il ciclo di vita del progetto di Machine Learning. Professionisti dell'apprendimento automatico, scienziati dei dati e ingegneri possono usarlo nei loro flussi di lavoro quotidiani.
Azure Databricks offre un set unificato di strumenti che è possibile usare per compilare, distribuire, condividere e gestire soluzioni di dati di livello aziendale su larga scala.
servizi di intelligenza artificiale di Azure è un set di servizi di intelligenza artificiale basati sul cloud che possono aiutare gli sviluppatori a creare intelligenza cognitiva nelle applicazioni, anche se non hanno competenze o conoscenze di intelligenza artificiale o di data science.
Azure Cosmos DB è un database relazionale e NoSQL completamente gestito per lo sviluppo di app moderne.
Hub eventi di Azure è una piattaforma di streaming di Big Data e un servizio di inserimento di eventi.
Azure Key Vault è un servizio cloud che è possibile usare per fornire l'accesso ai segreti e archiviarli con sicurezza avanzata.
Azure Macchine virtuali è uno dei diversi tipi di risorse di calcolo su richiesta e scalabili fornite da Azure. In genere si usa una macchina virtuale quando è necessario un maggiore controllo sull'ambiente di calcolo rispetto ad altre opzioni.
I gruppi di risorse sono contenitori logici per le risorse di Azure. Questa architettura usa gruppi di risorse per organizzare tutte le risorse.
Dettagli dello scenario
Per gestire trasformazioni aziendali come acquisizioni o immersioni, il team del carico di lavoro di transizione, inclusi sviluppatori, architetti, operazioni e decision maker tecnici, deve pianificare la separazione e l'unione dei carichi di lavoro cloud da un tenant di Microsoft Entra esistente a un nuovo tenant di Microsoft Entra. Questa pianificazione consente di garantire che tutti i dati e i servizi dell'applicazione vengano migrati, protetti e isolati in modo affidabile ai rispettivi limiti aziendali.
Se il carico di lavoro esiste in una singola sottoscrizione, in molti casi è possibile usare la funzionalità predefinita di spostamento delle sottoscrizioni per trasferire l'intera sottoscrizione a un nuovo tenant di Microsoft Entra. Tuttavia, poiché la maggior parte dei carichi di lavoro dell'organizzazione di immersione si intreccia con la conservazione dei carichi di lavoro dell'organizzazione prima della suddivisione, per ottenere la conformità alla migrazione è necessario un approccio diverso.
In questo scenario, un'azienda sanitaria con più business unit globali vuole dismettere un'azienda. Per dismettere, è necessario definire e implementare una strategia di migrazione del carico di lavoro tra directory.
Per iniziare, l'azienda classifica le risorse del carico di lavoro in tre categorie. Un gruppo include risorse di calcolo gestite tramite PaaS. Un secondo gruppo include servizi dati che richiedono sia il supporto PaaS che IaaS. Il gruppo finale include risorse di calcolo gestite tramite IaaS. Per ogni tipo di risorsa, usano gli approcci seguenti.
Per PaaS, o calcolo, le risorse eseguite in base alla logica e alla configurazione, ricreare queste risorse nel tenant di destinazione. Usare i processi DevOps.
Le risorse di calcolo PaaS includono Key Vault, Machine Learning, Azure Data Factory e Azure Databricks.
Per PaaS e IaaS o il servizio dati, le risorse che archiviano i dati rilocano le sottoscrizioni di Azure da un tenant Microsoft Entra a un altro. Spostare queste risorse nel nuovo tenant tramite una sottoscrizione sidecar. È necessario valutare attentamente le risorse prima di spostarle. Ad esempio, un database SQL di Azure con l'integrazione dell'autenticazione di Microsoft Entra abilitato non può essere spostato nello stato esistente. Usare invece backup e ripristino. Questo processo rimuove tutte le assegnazioni di controllo degli accessi in base al ruolo. Dopo che la risorsa è stata spostata nel nuovo tenant, è necessario ripristinare le assegnazioni di controllo degli accessi in base al ruolo.
I dati PaaS e IaaS includono servizi come il database SQL di Azure, Azure Data Lake Storage e Azure Cosmos DB.
Per le risorse IaaS o di calcolo che forniscono hosting per la logica personalizzata, creare backup e ripristinare le risorse nell'ambiente di destinazione.
Le risorse di calcolo IaaS includono risorse come macchine virtuali che ospitano applicazioni o database.
Potenziali casi d'uso
- Immersione e acquisizione dell'organizzazione
- Spin-off dell'organizzazione interna
- Investire in modo nativo in Azure e allontanarsi da un modello di provider di servizi
Collaboratori
Microsoft gestisce questo articolo. I collaboratori seguenti hanno scritto questo articolo.
Autore principale:
- Lalit Patel | Principal Cloud Solution Architect
Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.
Passaggi successivi
- Documentazione del controllo degli accessi in base al ruolo di Azure
- Eseguire la migrazione di una sottoscrizione di Azure
- Eseguire una query per elencare le risorse interessate durante il trasferimento di una sottoscrizione di Azure
- Cos'è Microsoft Entra ID?
- Documentazione su Backup
- Informazioni sul database SQL di Azure
- Proteggere l'identità con Zero Trust