Regiony strefy docelowej
W tym artykule wyjaśniono, jak strefy docelowe korzystają z regionów świadczenia usługi Azure. Architektura strefy docelowej platformy Azure jest niezależna od regionu, ale musisz określić regiony platformy Azure, aby wdrożyć architekturę strefy docelowej platformy Azure. W poniższych wskazówkach opisano sposób dodawania regionu do istniejącej strefy docelowej, a także kwestie dotyczące migracji majątku platformy Azure do innego regionu.
W niektórych sytuacjach należy wdrożyć aplikacje w wielu regionach świadczenia usługi Azure, aby obsługiwać wymagania biznesowe dotyczące wysokiej dostępności i odzyskiwania po awarii. Być może nie potrzebujesz natychmiastowych aplikacji z wieloma regionami, ale należy zaprojektować platformę strefy docelowej platformy Azure w celu obsługi wielu regionów, szczególnie w przypadku usług łączności, tożsamości i zarządzania. Upewnij się, że możesz szybko włączać strefy docelowe aplikacji w wielu regionach i obsługiwać je.
Aby uzyskać więcej informacji, zobacz Wybieranie regionów świadczenia usługi Azure.
Strefy docelowe i regiony platformy Azure
Strefy docelowe platformy Azure składają się z zestawu zasobów i konfiguracji. Niektóre z tych elementów, takie jak grupy zarządzania, zasady i przypisania ról, są przechowywane na poziomie dzierżawy lub grupy zarządzania w ramach architektury strefy docelowej platformy Azure. Te zasoby nie są wdrażane w określonym regionie i zamiast tego są wdrażane globalnie. Jednak nadal trzeba określić region wdrożenia, ponieważ platforma Azure śledzi niektóre metadane zasobów w regionalnym magazynie metadanych.
Inne zasoby są wdrażane regionalnie. W zależności od własnej konfiguracji strefy docelowej mogą istnieć niektóre lub wszystkie następujące zasoby wdrożone regionalnie:
- Obszar roboczy dzienników usługi Azure Monitor, w tym wybrane rozwiązania
- Konto usługi Azure Automation
- Grupy zasobów dla innych zasobów
Jeśli wdrożysz topologię sieci, musisz również wybrać region świadczenia usługi Azure w celu wdrożenia zasobów sieciowych. Ten region może różnić się od regionu używanego dla zasobów wymienionych na powyższej liście. W zależności od wybranej topologii wdrażane zasoby sieciowe mogą obejmować:
- Usługa Azure Virtual WAN, w tym koncentrator usługi Virtual WAN
- Sieci wirtualne platformy Azure
- VPN Gateway
- Brama usługi Azure ExpressRoute
- Azure Firewall
- Plany usługi Azure DDoS Protection
- Prywatne strefy DNS platformy Azure, w tym strefy dla usługi Azure Private Link
- Grupy zasobów, które mają zawierać poprzednie zasoby
Uwaga
Aby zminimalizować skutki awarii regionalnych, zalecamy umieszczenie zasobów w tym samym regionie co grupa zasobów. Aby uzyskać więcej informacji, zobacz Wyrównanie lokalizacji grupy zasobów.
Dodawanie nowego regionu do istniejącej strefy docelowej
Należy wziąć pod uwagę strategię obejmującą wiele regionów od początku podróży do chmury lub rozszerzając się na więcej regionów świadczenia usługi Azure po zakończeniu początkowego wdrażania architektury strefy docelowej platformy Azure. Jeśli na przykład używasz usługi Azure Site Recovery do włączenia odzyskiwania po awarii dla maszyn wirtualnych, możesz chcieć je replikować do innego regionu świadczenia usługi Azure. Aby dodać regiony platformy Azure w ramach architektury strefy docelowej platformy Azure, rozważ następujące zalecenia:
| Obszar | Zalecenie |
|---|---|
| Grupy zarządzania | Nie trzeba podejmować żadnych działań. Grupy zarządzania nie są powiązane z regionem. Nie należy tworzyć struktury grup zarządzania na podstawie regionów. |
| Subskrypcje | Subskrypcje nie są powiązane z regionem. |
| Azure Policy | Wprowadź zmiany w usłudze Azure Policy, jeśli przypisano zasady w celu odmowy wdrożenia zasobów we wszystkich regionach, określając listę "dozwolonych" regionów świadczenia usługi Azure. Zaktualizuj te przypisania, aby umożliwić wdrażanie zasobów w nowym regionie, który chcesz włączyć. |
| Kontrola dostępu oparta na rolach (RBAC) | Nie trzeba podejmować żadnych działań. Kontrola dostępu oparta na rolach platformy Azure nie jest powiązana z regionem. |
| Monitorowanie i rejestrowanie | Zdecyduj, czy chcesz użyć jednego obszaru roboczego dzienników usługi Azure Monitor dla wszystkich regionów, czy utworzyć wiele obszarów roboczych w celu pokrycia różnych regionów geograficznych. Każde podejście ma zalety i wady, w tym potencjalne opłaty za sieć między regionami. Aby uzyskać więcej informacji, zobacz Projektowanie architektury obszaru roboczego usługi Log Analytics. |
| Sieć | Jeśli wdrożysz topologię sieci, usługę Virtual WAN lub tradycyjny koncentrator i szprychę, rozwiń sieć w nowym regionie świadczenia usługi Azure. Utwórz kolejne centrum sieciowe, wdrażając wymagane zasoby sieciowe w istniejącej subskrypcji łączności w nowym regionie świadczenia usługi Azure. Usługa Azure Virtual Network Manager może ułatwić rozszerzanie sieci wirtualnych i zarządzanie nimi na dużą skalę w wielu regionach. Z perspektywy systemu nazw domen (DNS) możesz również wdrożyć usługi przesyłania dalej, jeśli ich używasz, w nowym regionie świadczenia usługi Azure. Użyj usług przesyłania dalej dla sieci wirtualnych szprych w nowym regionie na potrzeby rozwiązywania problemów. Strefy usługi Azure DNS są zasobami globalnymi i nie są powiązane z jednym regionem świadczenia usługi Azure, więc nie wymagają żadnej akcji. |
| Tożsamość | Jeśli wdrożono usługi domena usługi Active Directory Lub Microsoft Entra Domain Services w ramach subskrypcji tożsamości lub szprychy, rozwiń usługę w nowym regionie świadczenia usługi Azure. |
Uwaga
Należy również użyć stref dostępności w celu zapewnienia wysokiej dostępności w regionie. Sprawdź, czy regiony świadczenia usługi Azure obsługują strefy dostępności i jak usługi, których używasz, obsługują strefy dostępności.
Usługa Microsoft Cloud for Sovereignty ma wytyczne dotyczące ograniczania usług i regionów. Korzystając z tych wytycznych, możesz wymusić konfigurację usługi, aby pomóc klientom w osiągnięciu potrzeb związanych z miejscem przechowywania danych.
Podejście wysokiego poziomu
Po rozwinięciu strefy docelowej platformy Azure w nowym regionie rozważ wykonanie kroków opisanych w tych sekcjach. Przed rozpoczęciem musisz zdecydować się na nowy region platformy Azure lub wiele regionów świadczenia usługi Azure, aby rozwinąć się.
Sieć
Tradycyjna architektura piasty i szprych
Zdecyduj, czy potrzebujesz nowej subskrypcji strefy docelowej platformy. Zalecamy, aby większość klientów korzystała z istniejących subskrypcji łączności , nawet jeśli korzysta z wielu regionów.
W ramach subskrypcji utwórz nową grupę zasobów w nowym regionie docelowym.
Utwórz nową sieć wirtualną koncentratora w nowym regionie docelowym.
W razie potrzeby wdróż usługę Azure Firewall lub wirtualne urządzenia sieciowe (WUS) w nowej sieci wirtualnej koncentratora.
Jeśli ma to zastosowanie, wdróż bramy sieci wirtualnej na potrzeby łączności sieci VPN lub usługi ExpressRoute i nawiąz połączenia. Upewnij się, że obwody i lokalizacje lokalne usługi ExpressRoute są zgodne z zaleceniami dotyczącymi odporności firmy Microsoft. Aby uzyskać więcej informacji, zobacz Projektowanie pod kątem odzyskiwania po awarii za pomocą prywatnej komunikacji równorzędnej usługi ExpressRoute.
Ustanów komunikację równorzędną sieci wirtualnych między nową siecią wirtualną koncentratora a innymi sieciami wirtualnymi koncentratora.
Tworzenie i konfigurowanie dowolnego wymaganego routingu, takiego jak usługa Azure Route Server lub trasy zdefiniowane przez użytkownika.
W razie potrzeby należy wdrożyć usługi przesyłania dalej DNS dla nowego regionu docelowego i połączyć się z dowolnymi prywatnymi strefami DNS w celu włączenia rozpoznawania nazw.
- Niektórzy klienci mogą skonfigurować rozpoznawanie nazw na kontrolerach domeny usługi Active Directory systemu Windows Server w ramach subskrypcji strefy docelowej platformy tożsamości .
Aby hostować obciążenia, możesz następnie użyć komunikacji równorzędnej sieci wirtualnej, aby połączyć szprychy strefy docelowej aplikacji z nową siecią wirtualną piasty w nowym regionie.
Napiwek
Menedżer sieci wirtualnej może ułatwić rozszerzanie sieci wirtualnych i zarządzanie nimi na dużą skalę w wielu regionach.
Architektura wirtualnej sieci WAN
W istniejącej usłudze Virtual WAN utwórz nowe koncentrator wirtualny w nowym regionie docelowym.
Wdróż usługę Azure Firewall lub inne obsługiwane wirtualne urządzenia sieciowe (WUS) w nowym koncentratonie wirtualnym. Skonfiguruj intencję routingu usługi Virtual WAN i zasady routingu, aby kierować ruch przez nowe zabezpieczone koncentratorze wirtualne.
W razie potrzeby wdróż bramy sieci wirtualnej dla sieci VPN lub łączności usługi ExpressRoute w nowym koncentratonie wirtualnym i nawiązywać połączenia. Upewnij się, że obwody i lokalizacje lokalne usługi ExpressRoute są zgodne z zaleceniami dotyczącymi odporności firmy Microsoft. Aby uzyskać więcej informacji, zobacz Projektowanie pod kątem odzyskiwania po awarii za pomocą prywatnej komunikacji równorzędnej usługi ExpressRoute.
Utwórz i skonfiguruj dowolny inny wymagany routing, na przykład trasy statyczne koncentratora wirtualnego.
Jeśli ma to zastosowanie, wdróż usługi przesyłania dalej DNS dla nowego regionu docelowego i połącz się z dowolnymi prywatnymi strefami DNS w celu włączenia rozpoznawania.
Niektórzy klienci mogą skonfigurować rozpoznawanie nazw na kontrolerach domeny usługi Active Directory w ramach subskrypcji strefy docelowej platformy tożsamości .
W przypadku wdrożeń usługi Virtual WAN musi to znajdować się w sieci wirtualnej będącej szprychą, która jest połączona z koncentratorem wirtualnym za pośrednictwem połączenia sieci wirtualnej, zgodnie ze wzorcem rozszerzenia koncentratora wirtualnego.
Aby hostować obciążenia, możesz następnie użyć komunikacji równorzędnej sieci wirtualnej, aby połączyć szprychy strefy docelowej aplikacji z nową siecią wirtualną piasty w nowym regionie.
Tożsamość
Napiwek
Przejrzyj obszar projektowania strefy docelowej platformy Azure pod kątem zarządzania tożsamościami i dostępem.
Zdecyduj, czy potrzebujesz nowej subskrypcji strefy docelowej platformy. Zalecamy, aby większość klientów używała istniejącej subskrypcji tożsamości , nawet jeśli korzysta z wielu regionów.
Utwórz nową grupę zasobów w nowym regionie docelowym.
Utwórz nową sieć wirtualną w nowym regionie docelowym.
Ustanów komunikację równorzędną sieci wirtualnych z powrotem do nowo utworzonej sieci wirtualnej koncentratora regionalnego w subskrypcji łączność .
Wdróż obciążenia tożsamości, takie jak maszyny wirtualne kontrolera domeny usługi Active Directory, w nowej sieci wirtualnej.
Po aprowizacji może być konieczne wykonanie większej liczby konfiguracji obciążeń, takich jak następujące kroki konfiguracji:
Podwyższ poziom maszyn wirtualnych kontrolera domeny usługi Active Directory do istniejącej domeny usługi Active Directory.
Utwórz nowe lokacje i podsieci usługi Active Directory.
Skonfiguruj ustawienia serwera DNS, takie jak usługi przesyłania dalej warunkowego.
Przenoszenie majątku platformy Azure do nowego regionu
Czasami może być konieczne przeniesienie całej posiadłości platformy Azure do innego regionu. Załóżmy na przykład, że wdrożono strefę docelową i obciążenia w regionie świadczenia usługi Azure w sąsiednim kraju lub regionie, a następnie w twoim kraju lub regionie zostanie uruchomiony nowy region świadczenia usługi Azure. Możesz zdecydować się na przeniesienie wszystkich obciążeń do nowego regionu, aby poprawić opóźnienie komunikacji lub spełnić wymagania dotyczące przechowywania danych.
Uwaga
Ten artykuł zawiera informacje na temat migrowania składników strefy docelowej infrastruktury. Aby uzyskać więcej informacji, zobacz Przenoszenie obciążeń w chmurze.
Konfiguracja globalnej strefy docelowej
Większość globalnie wdrożonej konfiguracji strefy docelowej zwykle nie musi być modyfikowana podczas przenoszenia regionów. Upewnij się jednak, że sprawdzasz wszystkie przypisania zasad, które ograniczają wdrożenia regionów i aktualizują zasady, aby zezwolić na wdrożenia w nowym regionie.
Zasoby regionalnej strefy docelowej
Zasoby strefy docelowej specyficzne dla regionu często wymagają większej uwagi, ponieważ nie można przenieść niektórych zasobów platformy Azure między regionami. Rozważ następujące podejście:
Dodaj region docelowy jako dodatkowy region do strefy docelowej: aby uzyskać więcej informacji, zobacz Dodawanie nowego regionu do istniejącej strefy docelowej.
Wdróż scentralizowane składniki w regionie docelowym: na przykład wdróż nowy obszar roboczy dzienników usługi Azure Monitor w regionie docelowym, aby obciążenia mogły rozpocząć korzystanie z nowego składnika po przeprowadzeniu migracji obciążenia.
Przeprowadź migrację obciążeń z regionu źródłowego do regionu docelowego: podczas procesu migracji obciążenia skonfiguruj ponownie zasoby, aby używać składników sieciowych regionu docelowego, składników tożsamości, obszaru roboczego Dzienniki usługi Azure Monitor i innych zasobów regionalnych.
Po zakończeniu migracji likwiduj zasoby w regionie źródłowym.
Podczas migracji zasobów strefy docelowej w różnych regionach należy wziąć pod uwagę następujące porady:
Użyj infrastruktury jako kodu: użyj szablonów Bicep, szablonów usługi Azure Resource Manager (szablonów usługi ARM), narzędzia Terraform, skryptów lub podobnego podejścia do eksportowania i ponownego importowania złożonych konfiguracji, takich jak reguły usługi Azure Firewall.
Automatyzacja: użyj skryptów , aby migrować zasoby usługi Automation między regionami.
ExpressRoute: zastanów się, czy możesz użyć lokalnej jednostki SKU usługi ExpressRoute w regionie docelowym. Jeśli środowiska lokalne znajdują się w tym samym obszarze metropolitalnym co region świadczenia usługi Azure, usługa ExpressRoute Local może zapewnić niższą opcję kosztu w porównaniu z innymi jednostkami SKU usługi ExpressRoute.