Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como preparar sua zona de destino do Azure para uma migração. Ele também lista as principais tarefas que você deve executar para garantir que as configurações estejam em vigor para seu projeto de migração.
Independentemente de qual implementação de referência da zona de destino do Azure você usou, você deve executar algumas tarefas para preparar sua zona de destino para um projeto de migração bem-sucedido.
Se você não usou uma implementação de referência da zona de destino do Azure, ainda precisará executar as etapas neste artigo. No entanto, você pode ter tarefas de pré-requisito para executar primeiro ou talvez precise adaptar recomendações específicas ao seu design.
Este artigo descreve as tarefas que você deve executar para sua zona de destino existente do Azure após sua implantação. Algumas tarefas se concentram em implantações automatizadas. Nota-se se uma tarefa não for relevante para ambientes implantados e gerenciados manualmente.
Observação
Antes de concluir as tarefas detalhadas nesta página, verifique se você implementou sua zona de destino do Azure e analisou as áreas de design e também os princípios de design antes de continuar.
Estabelecer conectividade híbrida
Durante uma implantação da zona de destino do Azure, você pode implantar uma assinatura de conectividade com uma rede virtual de hub e gateways de rede, como gateways de VPN do Azure, gateways do Azure ExpressRoute ou ambos. Após a implantação da zona de destino do Azure, você ainda deve configurar a conectividade híbrida desses gateways para se conectar aos dispositivos de datacenter existentes ou ao circuito do ExpressRoute.
Na fase pronta, você planejou sua conectividade com o Azure. Use este plano para determinar as conexões que você precisa incorporar. Por exemplo, se você usar o ExpressRoute, deverá trabalhar com seu provedor para estabelecer o circuito do ExpressRoute.
Para obter diretrizes técnicas para cenários específicos, consulte:
- Crie uma conexão VPN do gateway de VPN do Azure.
- Crie um circuito do ExpressRoute.
- Crie uma conexão de seu gateway do ExpressRoute para o seu circuito.
- Gerenciar as configurações do gateway de WAN Virtual do Azure.
Observação
Para obter diretrizes adicionais, consulte também a documentação específica do provedor.
Se você estabelecer sua conectividade híbrida com o Azure por meio de uma NVA (solução de virtualização de rede) de terceiros implantada em sua rede virtual, examine as diretrizes específicas e nossas diretrizes gerais para NVAs altamente disponíveis.
Prepara a identidade
Durante a implantação da zona de destino do Azure, você também deve implantar uma arquitetura de suporte para sua plataforma de identidade. Você pode ter uma assinatura de identidade dedicada ou grupos de recursos e uma rede virtual ou sub-redes para as VMs (máquinas virtuais) que você usa para identidade. No entanto, você deve implantar os recursos de identidade após a implantação da zona de destino do Azure.
As seções a seguir fornecem diretrizes relacionadas ao Active Directory. Se você usar um provedor de identidade diferente para autenticação e autorizações, deverá seguir as diretrizes deles para estender sua identidade para o Azure.
Antes de implementar essas diretrizes, examine as decisões de identidade híbrida e do Active Directory que você tomou quando planejou sua zona de destino.
Você também deve examinar a linha de base de identidade da fase de governança para determinar se precisa fazer alterações no Microsoft Entra ID.
Estender controladores de domínio do Active Directory
Na maioria dos cenários de migração, as cargas de trabalho que você migra para o Azure já estão ingressadas em um domínio existente do Active Directory. A ID do Microsoft Entra oferece soluções para modernizar o gerenciamento de identidade, mesmo para cargas de trabalho de VM, mas pode interromper a migração. A reorganização do uso de identidade para cargas de trabalho geralmente é executada durante iniciativas de modernização ou inovação.
Como resultado, você precisa implantar controladores de domínio no Azure dentro da área de rede de identidade implantada. Depois de implantar VMs, você deve seguir o processo normal de promoção do controlador de domínio para adicioná-las ao domínio. Esse processo pode incluir a criação de sites adicionais para dar suporte à topologia de replicação.
Para obter um padrão de arquitetura comum para implantar esses recursos, consulte Implantar o AD DS (Active Directory Domain Services) em uma rede virtual do Azure.
Se você implementar a arquitetura de escala empresarial para pequenas empresas, os servidores do AD DS geralmente estarão em uma sub-rede no hub. Se você implementar a arquitetura hub-and-spoke em escala empresarial ou a arquitetura de WAN Virtual em escala empresarial, os servidores geralmente estarão em sua rede virtual dedicada.
Microsoft Entra Connect
Muitas organizações já têm o Microsoft Entra Connect para configurar os serviços do Microsoft 365, como o Exchange Online. Se sua organização não tiver o Microsoft Entra Connect, talvez seja necessário instalá-lo e implantá-lo após a implantação da zona de destino para que você possa replicar identidades.
Habilitar DNS híbrido
A maioria das organizações precisa ser capaz de resolver solicitações de DNS (Sistema de Nomes de Domínio) para namespaces que fazem parte dos ambientes existentes. Esses namespaces geralmente exigem integração com servidores do Active Directory. E os recursos no ambiente existente devem ser capazes de resolver recursos no Azure.
Para habilitar essas funções, você precisa configurar serviços DNS para dar suporte a fluxos comuns. Você pode usar zonas de destino do Azure para implantar muitos dos recursos necessários. Para tarefas adicionais para revisão e preparação, consulte a resolução de DNS no Azure.
Resolução DNS personalizada
Se você usar o Active Directory para o resolvedor DNS ou se implantar uma solução de terceiros, deverá implantar VMs. Você pode usar essas VMs como servidores DNS se os controladores de domínio forem implantados em sua assinatura identity e no network spoke. Caso contrário, você precisará configurar e implantar as VMs para hospedar esses serviços.
Após a implantação das VMs, integre-as à sua plataforma de DNS existente para que possam realizar pesquisas nos seus namespaces atuais. Para servidores DNS do Active Directory, essa integração é automática.
Você também pode usar o Resolvedor Privado DNS do Azure, mas esse serviço não é implantado como parte da implantação da zona de destino do Azure.
Se o design usar zonas DNS privadas, planeje adequadamente. Por exemplo, se você usar zonas DNS privadas com pontos de extremidade privados, consulte Especificar servidores DNS. As zonas DNS privadas são implantadas como parte da sua zona de entrada. Se você também usar pontos de extremidade privados para executar esforços de modernização, deverá ter uma configuração adicional para eles.
Proxy DNS do Firewall do Azure
Você pode configurar o Firewall do Azure como um proxy DNS. O Firewall do Azure pode receber tráfego e encaminhá-lo para um resolvedor do Azure ou seus servidores DNS. Essa configuração pode permitir que pesquisas sejam executadas do local para o Azure, mas elas não podem ser encaminhadas condicionalmente de volta para servidores DNS locais.
Se você precisar de resolução DNS híbrida, poderá configurar o proxy DNS do Firewall do Azure para encaminhar o tráfego para seus servidores DNS personalizados, como os controladores de domínio.
Essa etapa é opcional, mas tem vários benefícios. Ele reduz as alterações de configuração posteriormente se você alterar os serviços DNS e habilitar regras de FQDN (nome de domínio totalmente qualificado) no Firewall do Azure.
Configurar servidores DNS de rede virtual personalizados
Depois de concluir as atividades anteriores, você pode configurar os servidores DNS para suas redes virtuais do Azure para os servidores personalizados que você usa.
Para obter mais informações, consulte Configurações de DNS do Firewall do Azure.
Configurar o firewall do hub
Se você implantou um firewall em sua rede hub, há algumas considerações que você deve abordar para que você esteja pronto para migrar cargas de trabalho. Se você não resolver essas considerações no início da implantação, poderá encontrar problemas de roteamento e acesso à rede.
Como parte da execução dessas atividades, examine a área de design de rede, especialmente as diretrizes de segurança de rede.
Se você implementar um NVA de terceiros como firewall, revise as orientações do fornecedor e nossas orientações gerais para NVAs com alta disponibilidade.
Implantar conjuntos de regras padrão
Se você usar um firewall do Azure, todo o tráfego de firewall será bloqueado até adicionar regras de permissão explícitas. Muitos outros firewalls NVA funcionam da mesma forma. O tráfego é negado até que você defina regras que especifiquem o tráfego permitido.
Você deve adicionar regras individuais e coleções de regras com base nas necessidades de carga de trabalho. Mas você também deve planejar ter regras padrão, como acesso ao Active Directory ou outras soluções de identidade e gerenciamento, que se aplicam a todas as cargas de trabalho habilitadas.
Roteamento
O Azure fornece roteamento para os seguintes cenários sem nenhuma configuração adicional:
- Roteamento entre recursos na mesma rede virtual
- Roteamento entre recursos em redes virtuais emparelhadas
- Roteamento entre recursos e um gateway de rede virtual, seja na sua própria rede virtual ou em uma rede virtual emparelhada que esteja configurada para utilizar o gateway
Dois cenários comuns de roteamento precisam de configuração adicional. Ambos os cenários têm tabelas de rotas atribuídas a sub-redes para definir o roteamento. Para obter mais informações sobre roteamento do Azure e rotas personalizadas, consulte o roteamento de tráfego de rede virtual.
Roteamento entre spokes
Para a área de design de rede, muitas organizações usam uma topologia de rede hub-spoke.
Você precisa de rotas que transfiram o tráfego de um ponto para outro. Para obter eficiência e simplicidade, use a rota padrão (0.0.0.0/0) para o firewall. Com essa rota em vigor, o tráfego para qualquer local desconhecido vai para o firewall, que inspeciona o tráfego e aplica suas regras de firewall.
Se você quiser permitir a saída da Internet, também poderá atribuir outra rota para seu espaço IP privado ao firewall, como 10.0.0.0/8. Essa configuração não substitui rotas mais específicas. Mas você pode usá-lo como uma rota simples para que o tráfego entre pontos de conexão seja roteado corretamente.
Para obter mais informações sobre a rede spoke-to-spoke, consulte Padrões e topologias para comunicação entre spokes.
Roteamento da sub-rede do gateway
Se você usar redes virtuais para seu hub, precisará planejar como lidar com a inspeção do tráfego proveniente de seus gateways.
Se você pretende inspecionar o tráfego, precisará de duas configurações:
Em sua assinatura de conectividade, você precisa criar uma tabela de rotas e vinculá-la à sub-rede do gateway. A sub-rede de gateway precisa de uma rota para cada rede spoke que você pretende anexar, com o próximo salto sendo o endereço IP do firewall.
Em cada uma de suas assinaturas de zona de destino, você precisa criar uma tabela de rotas e vinculá-la a cada sub-rede. Desabilite a propagação do BGP (Border Gateway Protocol) nas tabelas de rotas.
Para obter mais informações sobre rotas personalizadas e definidas pelo Azure, consulte o roteamento de tráfego de rede virtual do Azure.
Se você pretende inspecionar o tráfego para pontos de extremidade privados, habilite a política de rede de roteamento apropriada na sub-rede em que os pontos de extremidade privados estão hospedados. Para obter mais informações, confira Gerenciar políticas de rede para pontos de extremidade privados.
Se você não pretende inspecionar o tráfego, nenhuma alteração será necessária. No entanto, se você adicionar tabelas de rotas às sub-redes da rede spoke, habilite a propagação do BGP para que o tráfego possa retornar ao seu gateway.
Configurar o monitoramento e o gerenciamento
Como parte da implantação da zona de destino, você provisionou políticas que registram seus recursos nos Logs do Azure Monitor. Mas você também deve criar alertas para os recursos da zona de destino.
Para implementar alertas, você pode implantar a linha de base do Azure Monitor para zonas de destino. Use essa implantação para obter alertas com base em cenários comuns para gerenciamento de zona de destino, como recursos de conectividade e integridade do serviço.
Você também pode implantar seus próprios alertas personalizados para recursos se suas necessidades se desviarem do que está na linha de base.
Prepare sua zona de aterrissagem para migrações de cargas de trabalho soberanas
Se você precisar atender aos requisitos de soberania, poderá avaliar se a Nuvem Soberana da Microsoft atende às suas necessidades. A Nuvem Soberana da Microsoft fornece uma camada adicional de recursos de política e auditoria que atentem às necessidades individuais do setor público e do cliente do governo.
Você pode habilitar esses recursos implantando a zona de destino soberana. A arquitetura da zona de aterrissagem soberana está em conformidade com os projetos recomendados da zona de aterrissagem do Azure.
Portfólio de políticas da Nuvem Soberana da Microsoft
Usando a política do Azure, você pode habilitar o controle centralizado entre os recursos do Azure para impor configurações específicas. Você pode atribuir as iniciativas de política da Nuvem Soberana da Microsoft às suas zonas de destino para garantir que siga as políticas locais e os requisitos regulatórios em seu país/região.
Se essas iniciativas de política ainda não estiverem atribuídas à implantação da zona de destino soberana, considere atribuir as iniciativas que correspondem aos seus requisitos regulatórios.
Habilitar a venda de assinatura
Esta seção se aplica a organizações que desejam automatizar o processo de provisionamento de assinatura. Se você gerencia manualmente sua zona de destino e a criação de assinaturas, deve estabelecer seu próprio processo para criar assinaturas.
Ao começar a migrar, você deve criar assinaturas para suas cargas de trabalho. Habilite a venda automática de assinatura para automatizar e acelerar esse processo. Quando o serviço de gestão de assinaturas estiver estabelecido, você deve ser capaz de criar assinaturas rapidamente.
Preparar-se para o Microsoft Defender para Nuvem
Ao implantar sua zona de destino, você também define políticas para habilitar o Defender para Nuvem para suas assinaturas do Azure. O Defender para Nuvem oferece recomendações para a postura de segurança e uma classificação de segurança, que avalia os recursos em relação à linha de base de segurança da Microsoft.
Você não precisa implementar configurações técnicas adicionais, mas deve examinar as recomendações e criar um plano para melhorar sua postura de segurança à medida que migra recursos. Ao começar a migrar recursos para o Azure, você deverá estar pronto para implementar melhorias de segurança como parte da otimização de migração.
Recursos relacionados
Considere estes recursos adicionais para se preparar para a migração: