Sdílet prostřednictvím

Oblasti cílové zóny

  • Článek

Tento článek vysvětluje, jak cílové zóny používají oblasti Azure. Architektura cílové zóny Azure je nezávislá na oblastech, ale k nasazení architektury cílové zóny Azure je potřeba zadat oblasti Azure. Následující doprovodné materiály popisují, jak přidat oblast do existující cílové zóny a také zvážit, kdy migrujete aktiva Azure do jiné oblasti.

V některých situacích byste měli nasadit aplikace do několika oblastí Azure, abyste podpořili své požadavky na vysokou dostupnost a zotavení po havárii. Možná nemáte okamžitou potřebu pro aplikace s více oblastmi, ale měli byste navrhnout platformu cílové zóny Azure tak, aby podporovala více oblastí, zejména pro připojení, identitu a služby pro správu. Ujistěte se, že můžete rychle povolit a podporovat cílové zóny aplikací ve více oblastech.

Další informace najdete v tématu Výběr oblastí Azure.

Cílové zóny a oblasti Azure

Cílové zóny Azure se skládají ze sady prostředků a konfigurace. Některé z těchto položek, jako jsou skupiny pro správu, zásady a přiřazení rolí, se ukládají na úrovni tenanta nebo skupiny pro správu v architektuře cílové zóny Azure. Tyto prostředky se nenasazují do konkrétní oblasti a místo toho se nasazují globálně. Přesto ale potřebujete zadat oblast nasazení, protože Azure sleduje některá metadata prostředků v úložišti místních metadat.

Další prostředky se nasazují regionálně. V závislosti na vlastní konfiguraci cílové zóny můžete mít některé nebo všechny následující regionálně nasazené prostředky:

  • Pracovní prostor protokolů služby Azure Monitor, včetně vybraných řešení
  • Účet Azure Automation
  • Skupiny prostředků pro ostatní prostředky

Pokud nasadíte topologii sítě, musíte také vybrat oblast Azure, do které chcete síťové prostředky nasadit. Tato oblast se může lišit od oblasti, kterou používáte pro prostředky uvedené v předchozím seznamu. V závislosti na vybrané topologii můžou síťové prostředky, které nasadíte, zahrnovat:

  • Azure Virtual WAN, včetně centra Virtual WAN
  • Virtuální sítě Azure
  • VPN Gateway
  • Brána Azure ExpressRoute
  • Azure Firewall
  • Plány služby Azure DDoS Protection
  • Privátní zóny DNS Azure, včetně zón pro Azure Private Link
  • Skupiny prostředků, které mají obsahovat předchozí prostředky

Poznámka:

Pokud chcete minimalizovat vliv oblastních výpadků, doporučujeme umístit prostředky do stejné oblasti jako skupina prostředků. Další informace najdete v tématu Zarovnání umístění skupiny prostředků.

Přidání nové oblasti do existující cílové zóny

Po dokončení počátečního nasazení architektury cílové zóny Azure byste měli zvážit strategii pro více oblastí, a to buď od začátku cloudové cesty, nebo rozšířením do dalších oblastí Azure. Pokud například pomocí Azure Site Recovery povolíte zotavení po havárii pro virtuální počítače, můžete je chtít replikovat do jiné oblasti Azure. Pokud chcete do architektury cílové zóny Azure přidat oblasti Azure, zvažte následující doporučení:

Plocha Doporučení
Skupiny pro správu Žádná akce není nutná. Skupiny pro správu nejsou svázané s oblastí. Neměli byste vytvářet strukturu skupin pro správu na základě oblastí.
Předplatná Předplatná nejsou svázaná s oblastí.
Azure Policy Pokud jste přiřadili zásady odepření nasazení prostředků do všech oblastí, proveďte změny ve službě Azure Policy zadáním seznamu povolených oblastí Azure. Aktualizujte tato přiřazení tak, aby umožňovala nasazení prostředků do nové oblasti, kterou chcete povolit.
Řízení přístupu na základě role (RBAC) Žádná akce není nutná. Azure RBAC není svázaný s oblastí.
Monitorování a protokolování Rozhodněte se, jestli chcete použít jeden pracovní prostor protokolů služby Azure Monitor pro všechny oblasti, nebo vytvořit více pracovních prostorů pro pokrytí různých geografických oblastí. Každý přístup má výhody a nevýhody, včetně potenciálních poplatků za sítě mezi oblastmi. Další informace najdete v tématu Návrh architektury pracovního prostoru služby Log Analytics.
Sítě Pokud nasadíte síťovou topologii, Virtual WAN nebo tradiční hvězdicovou hvězdicovou síť, rozbalte síť do nové oblasti Azure. Vytvořte další síťové centrum nasazením požadovaných síťových prostředků do stávajícího předplatného připojení v nové oblasti Azure. Azure Virtual Network Manager může usnadnit rozbalení a správu virtuálních sítí ve velkém měřítku ve více oblastech. Z hlediska DNS (Domain Name System) můžete také chtít nasadit služby předávání, pokud je použijete, do nové oblasti Azure. Pro paprskové virtuální sítě v nové oblasti použijte pro překlad služby předávání. Zóny Azure DNS jsou globální prostředky, které nejsou svázané s jednou oblastí Azure, takže nevyžadují žádnou akci.
Identita Pokud jste nasadili služby Doména služby Active Directory services nebo Microsoft Entra Domain Services do předplatného nebo paprsku identity, rozbalte službu do nové oblasti Azure.

Poznámka:

Pro zajištění vysoké dostupnosti v rámci oblasti byste také měli používat zóny dostupnosti. Zkontrolujte, jestli oblasti Azure podporují zóny dostupnosti a jak služby, které používáte, podporují zóny dostupnosti.

Microsoft Cloud for Sovereignty má pokyny pro omezení služeb a oblastí. Pomocí těchto pokynů můžete vynutit konfiguraci služby, která zákazníkům pomůže dosáhnout potřeb jejich rezidence dat.

Přístup vysoké úrovně

Když cílovou zónu Azure rozbalíte do nové oblasti, zvažte postup v těchto částech. Než začnete, musíte se rozhodnout o nové oblasti Azure nebo několika oblastech Azure, do kterých se chcete rozšířit.

Sítě

Tradiční hvězdicová architektura

Tip

Podívejte se na tradiční hvězdicovou architekturu.

  1. Rozhodněte se, jestli potřebujete nové předplatné cílové zóny platformy. Doporučujeme, aby většina zákazníků používala svoje stávající předplatná připojení , i když používají více oblastí.

  2. V rámci předplatného vytvořte novou skupinu prostředků v nové cílové oblasti.

  3. Vytvořte novou virtuální síť centra v nové cílové oblasti.

  4. Pokud je to možné, nasaďte do své nové virtuální sítě centra azure firewall nebo síťová virtuální zařízení.

  5. Pokud je to možné, nasaďte brány virtuální sítě pro připojení VPN nebo ExpressRoute a navazujte připojení. Ujistěte se, že vaše okruhy ExpressRoute a místní umístění dodržují doporučení microsoftu pro odolnost. Další informace najdete v tématu Návrh pro zotavení po havárii pomocí privátního partnerského vztahu ExpressRoute.

  6. Vytvořte partnerský vztah virtuálních sítí mezi novou virtuální sítí rozbočovače a dalšími virtuálními sítěmi centra.

  7. Vytvořte a nakonfigurujte veškeré požadované směrování, jako je Azure Route Server nebo trasy definované uživatelem.

  8. V případě potřeby nasaďte služby předávání DNS pro novou cílovou oblast a propojte všechny privátní zóny DNS, aby bylo možné překlad ip adres povolit.

    • Někteří zákazníci můžou nakonfigurovat překlad názvů na řadičích domény služby Active Directory pro Windows Server v rámci předplatného cílové zóny platformy Identity Platform.

K hostování úloh pak můžete pomocí partnerského vztahu virtuální sítě připojit paprsky cílových zón aplikace k nové virtuální síti centra v nové oblasti.

Tip

Virtual Network Manager může usnadnit rozbalení a správu virtuálních sítí ve velkém měřítku ve více oblastech.

Architektura služby Virtual WAN

Tip

Podívejte se na architekturu služby Virtual WAN.

  1. Ve stávající službě Virtual WAN vytvořte nové virtuální centrum v nové cílové oblasti.

  2. Nasaďte službu Azure Firewall nebo jiná podporovaná síťová virtuální zařízení (NVA) do nového virtuálního centra. Nakonfigurujte záměr směrování virtual WAN a zásady směrování pro směrování provozu přes nové zabezpečené virtuální centrum.

  3. Pokud je to možné, nasaďte brány virtuální sítě pro připojení VPN nebo ExpressRoute v novém virtuálním centru a navazujte připojení. Ujistěte se, že vaše okruhy ExpressRoute a místní umístění dodržují doporučení microsoftu pro odolnost. Další informace najdete v tématu Návrh pro zotavení po havárii pomocí privátního partnerského vztahu ExpressRoute.

  4. Vytvořte a nakonfigurujte jakékoli jiné směrování, které potřebujete, například statické trasy virtuálního centra.

  5. Pokud je to možné, nasaďte služby předávání DNS pro novou cílovou oblast a propojte všechny privátní zóny DNS, aby bylo možné překlad povolit.

    • Někteří zákazníci můžou nakonfigurovat překlad adres IP na svých řadičích domény služby Active Directory v rámci předplatného cílové zóny platformy Identity Platform.

    • V nasazeních služby Virtual WAN musí být v paprskové virtuální síti, která je připojená k virtuálnímu rozbočovači prostřednictvím připojení k virtuální síti, a to podle vzoru rozšíření virtuálního centra.

K hostování úloh pak můžete pomocí partnerského vztahu virtuální sítě připojit paprsky cílových zón aplikace k nové virtuální síti centra v nové oblasti.

Identita

Tip

Projděte si oblast návrhu cílové zóny Azure pro správu identit a přístupu.

  1. Rozhodněte se, jestli potřebujete nové předplatné cílové zóny platformy. Doporučujeme, aby většina zákazníků používala své stávající předplatné identity , i když používají více oblastí.

  2. Vytvořte novou skupinu prostředků v nové cílové oblasti.

  3. Vytvořte novou virtuální síť v nové cílové oblasti.

  4. Vytvořte partnerský vztah virtuálních sítí zpět k nově vytvořené virtuální síti místního rozbočovače v předplatném připojení .

  5. Nasaďte úlohy identit, jako jsou virtuální počítače řadiče domény služby Active Directory, do nové virtuální sítě.

    • Po zřízení možná budete muset provést další nastavení úloh, například následující kroky konfigurace:

      • Zvyšte úroveň virtuálních počítačů řadiče domény služby Active Directory na existující doménu služby Active Directory.

      • Vytvořte nové lokality a podsítě služby Active Directory.

      • Nakonfigurujte nastavení serveru DNS, jako jsou podmíněné služby předávání.

Přesun majetku Azure do nové oblasti

Může se stát, že budete muset přesunout celá aktiva Azure do jiné oblasti. Předpokládejme například, že jste nasadili cílovou zónu a úlohy do oblasti Azure v sousední zemi nebo oblasti a pak se ve vaší domovské zemi nebo oblasti spustí nová oblast Azure. Můžete se rozhodnout přesunout všechny úlohy do nové oblasti, abyste zlepšili latenci komunikace nebo splnili požadavky na rezidenci dat.

Poznámka:

Tento článek obsahuje informace o migraci součástí cílové zóny vašich aktiv. Další informace najdete v tématu Přemístění cloudových úloh.

Konfigurace globální cílové zóny

Většina konfigurace globálně nasazené cílové zóny se při přesouvání oblastí obvykle nemusí měnit. Ujistěte se ale, že zkontrolujete všechna přiřazení zásad, která omezují nasazení oblastí, a aktualizujte zásadu tak, aby povolovala nasazení do nové oblasti.

Prostředky regionální cílové zóny

Prostředky cílové zóny specifické pro jednotlivé oblasti často vyžadují větší pozornost, protože některé prostředky Azure nemůžete přesouvat mezi oblastmi. Zvažte následující přístup:

  1. Přidejte cílovou oblast jako další oblast do cílové zóny: Další informace najdete v tématu Přidání nové oblasti do existující cílové zóny.

  2. Nasazení centralizovaných komponent do cílové oblasti: Například nasaďte nový pracovní prostor protokolů služby Azure Monitor ve vaší cílové oblasti, aby úlohy mohly začít používat novou komponentu po migraci úlohy.

  3. Migrace úloh ze zdrojové oblasti do cílové oblasti: Během procesu migrace úloh překonfigurujte prostředky tak, aby používaly síťové komponenty cílové oblasti, komponenty identit, pracovní prostor protokolů služby Azure Monitor a další místní prostředky.

  4. Po dokončení migrace vyřadíte prostředky ze zdrojové oblasti z provozu.

Při migraci prostředků cílové zóny napříč oblastmi zvažte následující tipy:

  • Použijte infrastrukturu jako kód: Použijte bicep, šablony Azure Resource Manageru (šablony ARM), Terraform, skriptování nebo podobný přístup k exportu a opětovnému importu složitých konfigurací, jako jsou pravidla pro Azure Firewall.

  • Automatizace: Pomocí skriptů můžete migrovat prostředky Automation mezi oblastmi.

  • ExpressRoute: Zvažte, jestli v cílové oblasti můžete použít místní skladovou položku ExpressRoute. Pokud se vaše místní prostředí nacházejí ve stejné metropolitní oblasti jako vaše oblast Azure, může místní služba ExpressRoute poskytovat možnost nižších nákladů v porovnání s jinými skladovými jednotkami ExpressRoute.

Další krok

Vylepšení zásad správného řízení cílových zón