通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

跨安全租户迁移云工作负载

Microsoft Entra ID
Azure DevOps
Azure 资源管理器
Azure 备份

解决方案构想

本文介绍了一种解决方案构想。 云架构师可以通过本指南来帮助可视化此体系结构的典型实现的主要组件。 以本文为起点,设计一个符合工作负荷特定要求的架构合理的解决方案。

为了解决业务转换(如收购或分拆)的问题,团队需要计划将其云工作负载从现有Microsoft Entra 租户分离或加入到新租户。 本文介绍如何定义和实施跨租户工作负载迁移策略。

体系结构

显示跨租户迁移体系结构的关系图。

下载此体系结构的 Visio 文件

数据流

以下数据流对应于上图:

  1. 准备基础结构和配置项目:

    1. 提取 Azure 资源管理器模板和配置项目,并将其存储在源代码存储库或配置存储库中。 此步骤符合基础结构即代码做法,并帮助确保迁移的资源具有相同的资源部署定义。 它还有助于实现部署自动化。

    2. 将基础结构和配置项目都部署到新租户订阅中的目标资源组或组。

  2. 在现有租户中创建一个挎斗订阅来托管克隆的数据服务资源以及虚拟机 (VM) 备份。 大多数组织都有一个云平台团队或订阅自动售货流程,可以创建此订阅。

  3. 使用 Azure 数据工厂、AzCopy 等工具来克隆资源,以便进行数据迁移,或者使用本机备份和还原功能。

  4. 将订阅移至新租户。

  5. 将资源移动到目标资源组,或将数据迁移到目标资源组中预先创建的资源。 或者从备份还原 VM。 实现计划应描述预配方法。

  6. 删除挎斗订阅。

组件

  • Microsoft Entra ID 是 Microsoft 推出的基于云的标识和访问管理服务。 Microsoft Entra 租户表示组织,并帮助你管理内部和外部来宾的云服务实例。

  • Azure 订阅是资源的逻辑容器。 每个 Azure 资源仅与一个订阅关联。 创建订阅是 Azure 采用的第一步。

  • Azure DevOps 提供开发人员服务,可帮助团队规划工作、协作开发代码以及构建和部署应用程序。

  • Azure 备份提供经济高效的解决方案,用于备份数据并从 Azure 恢复数据。

  • Azure 应用程序服务是一项基于 HTTP 的服务,用于托管 Web 应用程序、REST API 和移动后端。 它提供持续部署和其他 DevOps 功能。

  • Azure SQL 数据库是面向云生成的完全托管的智能关系数据库服务。 可使用 SQL 数据库为新式云应用程序创建高性能的数据存储层。

  • Azure 存储平台是 Microsoft 提供的适用于新式数据存储方案的云解决方案。 Azure 存储为云中的各种数据对象提供高度可用、可大规模缩放的持久存储。

  • Azure Synapse Analytics 是一项企业分析服务,可以缩短在数据仓库和大数据系统中生成见解所需的时间。

  • Azure 机器学习是一种用于加速和管理机器学习项目生命周期的云服务。 机器学习专业人员、数据科学家和工程师可以在日常工作流中使用它。

  • Azure Databricks 提供了一组统一的工具,可用于大规模生成、部署、共享和维护企业级数据解决方案。

  • Azure AI 服务 是一组基于云的 AI 服务,可帮助开发人员将认知智能构建到应用程序中,即使他们没有 AI 或数据科学技能或知识。

  • Azure Cosmos DB 是一种用于新式应用开发的完全托管的 NoSQL 数据库和关系数据库。

  • Azure 事件中心是大数据流式处理平台和事件引入服务。

  • Azure Key Vault 是一项云服务,可用于提供对机密的访问并以增强的安全性存储机密。

  • Azure 虚拟机是 Azure 提供的按需分配可缩放的计算资源之一。 当需要比其他选项更多的控制计算环境时,通常使用 VM。

  • 资源组是 Azure 资源的逻辑容器。 此体系结构使用资源组来组织所有资源。

方案详细信息

若要解决业务转换(如收购或分拆)的问题,过渡工作负荷团队(包括开发人员、架构师、运营和技术决策者)需要计划将其云工作负载从现有Microsoft Entra 租户分离和加入到新的 Microsoft Entra 租户。 此规划可以帮助确保所有数据和应用程序服务都可靠地迁移、保护并隔离到各自的业务边界。

如果工作负荷存在于单个订阅中,在许多情况下,可以使用内置的订阅移动功能将整个订阅转移到新的 Microsoft Entra 租户。 但是,由于大多数分离组织工作负荷与在拆分前保留组织工作负荷交织在一起,因此实现迁移准备需要不同的方法。

在此方案中,拥有多个全球业务部门的医疗保健公司希望剥离业务。 若要删除,他们需要定义和实施跨目录工作负荷迁移策略。

首先,公司将工作负荷资源分为三类。 一个组包括使用 PaaS 管理的计算资源。 第二个组包括需要 PaaS 和 IaaS 支持的数据服务。 最终组包括使用 IaaS 管理的计算资源。 对于每个资源类型,它们使用以下方法。

  • 对于 PaaS 或计算,基于逻辑和配置运行的资源,请在目标租户中重新创建这些资源。 使用 DevOps 进程。

    PaaS 计算资源包括 Key Vault、机器学习、Azure 数据工厂和 Azure Databricks。

  • 对于 PaaS 和 IaaS 或数据服务,存储数据的资源,请将 Azure 订阅从一个Microsoft Entra 租户重新定位到另一个租户。 通过挎斗订阅将这些资源移至新租户。 在移动资源之前,需要仔细评估这些资源。 例如,启用了 Microsoft Entra 身份验证集成的 Azure SQL 数据库不能在其现有状态下移动。 请改用备份和还原。 此过程将删除所有基于角色的访问控制 (RBAC) 分配。 将资源移至新租户后,需要还原这些 RBAC 分配。

    PaaS 和 IaaS 数据包括 Azure SQL 数据库、Azure Data Lake Storage 和 Azure Cosmos DB 等服务。

  • 对于 IaaS 或计算,为自定义逻辑提供托管的资源,请在目标环境中创建备份和还原资源。

    IaaS 计算包括托管应用程序或数据库的虚拟机等资源。

可能的用例

  • 组织剥离和收购
  • 内部组织分拆
  • 在本地投资 Azure,不再使用服务提供商模型

作者

Microsoft维护本文。 以下参与者撰写了本文。

主要作者:

要查看非公开的 LinkedIn 个人资料,请登录到 LinkedIn。

后续步骤