Łączność między regionami strefy docelowej danych

Jeśli masz obecność w więcej niż jednym regionie świadczenia usługi Azure i musisz hostować platformę danych i aplikacje danych w wielu lokalizacjach geograficznych, łączność staje się nieco bardziej skomplikowana.

Wdrożenia w wielu regionach zazwyczaj mają subskrypcję hubu łączności w każdej lokalizacji platformy Azure. Jeśli na przykład masz uruchomione usługi zarówno w regionach Wschodnie USA, jak i Europa Zachodnia, skonfigurujesz subskrypcję hubu łączności z udostępnionymi zasobami sieciowymi w każdym regionie. Udostępnione zasoby sieciowe obejmują:

• Wirtualne urządzenia sieciowe (takie jak Azure Firewall)
• Bramy usługi ExpressRoute
• Bramy sieci VPN
• Sieci wirtualne koncentratora (w architekturze piasty i szprych) lub koncentratory vWAN (w konfiguracji sieci vWan)

Rysunek 1. Łączność między regionami.

W architekturze gwiazdy sieci wirtualne centrów łączności są często połączone przy użyciu globalnego równorzędowego połączenia sieci wirtualnych. W przypadku większych środowisk powszechną alternatywą jest użycie usługi ExpressRoute Global Reach. Niezależnie od wybranej opcji łączności można osiągnąć globalny routing i łączność między sieciami szprych w wielu lokalizacjach geograficznych. Oznacza to, że można przenosić dane między regionami przy użyciu wirtualnych urządzeń sieciowych, sieciowych grup zabezpieczeń i tabel tras, biorąc pod uwagę, że ruch nie zostanie zablokowany w żadnej subskrypcji łączności.

Ważny

W tym artykule i innych artykułach w sekcji dotyczącej sieci opisano jednostki biznesowe, które współdzielą dane. Jednak może to nie być twoja początkowa strategia i że musisz najpierw zacząć od poziomu podstawowego.

Zaprojektuj sieć, aby móc ostatecznie zaimplementować zalecaną konfigurację między strefami docelowymi danych. Upewnij się, że masz strefy zarządzania danymi bezpośrednio połączone ze strefami docelowymi na potrzeby zarządzania.

Globalny Peering sieci wirtualnych (zalecane)

Strefy docelowe danych można łączyć między regionami przy użyciu bezpośredniej globalnej sieci wirtualnej Peering. W ramach tej konfiguracji, jeśli będziemy kontynuować poprzedni przykładowy scenariusz, maszyna wirtualna w regionie Europa Zachodnia uzyskuje bezpośredni dostęp do prywatnego punktu końcowego konta magazynu w regionie Wschodnie USA bez konieczności polegania na architekturach sieci piasty i szprych oraz sieci vWAN. Dane są ładowane bezpośrednio przez maszynę wirtualną za pośrednictwem prywatnego punktu końcowego, przetwarzane, a następnie przechowywane z powrotem na koncie magazynowym w regionie Europa Zachodnia.

Zarządzanie dostępem użytkowników w globalnym peeringu sieci wirtualnych

Brak konkretnych zalet ani wad dla jednej z proponowanych opcji łączności strefy docelowej danych między regionami.

Podsumowanie: /

Zarządzanie usługami w globalnym peeringu sieci wirtualnych

Globalne równorzędne połączenia w sieciach wirtualnych nie mają wirtualnego urządzenia sieciowego, które działa jako pojedynczy punkt awarii lub ograniczenia przepustowości. Dane nie są wysyłane za pośrednictwem centrów łączności, więc nie trzeba skalować urządzeń wirtualnych i bram w centrach łączności. Ten brak skalowania zmniejsza obciążenie związane z zarządzaniem dla podstawowego zespołu platformy Azure. Nie trzeba również zezwalać na pojedyncze połączenia między regionami. Zespoły danych mogą uzyskiwać dostęp do danych ze stref docelowych danych w innych regionach bez konieczności oczekiwania na zmiany tabeli tras.

W tym projekcie sieci centralny zespół platformy Azure nie może już sprawdzać i rejestrować całego ruchu przy użyciu zapory warstwy 7. Jednak scenariusz analizy w skali chmury jest spójną platformą obejmującą wiele subskrypcji, która umożliwia skalowanie i przezwyciężenie ograniczeń na poziomie platformy, co nie jest wadą. Dzienniki sieciowe można przechwytywać, korzystając z dzienników przepływu Grupy Zabezpieczeń Sieciowych. Można konsolidować i przechowywać inne dzienniki aplikacji i poziomu usług przy użyciu ustawień diagnostycznych specyficznych dla usługi.

Wszystkie te dzienniki można przechwycić na dużą skalę przy użyciu definicji usługi Azure Policy dla ustawień diagnostycznych.

W niektórych scenariuszach należy ograniczyć z powodu skutków prawnych lub regulacyjnych. Na przykład może istnieć lokalna regulacja, która wymaga, aby niektóre zestawy danych znajdowały się w centrum danych cząstek stałych, więc nie można ich przesyłać między regionami. Możesz polegać na grupach zabezpieczeń sieci, aby ułatwić przestrzeganie tego rodzaju reguły, zezwalając na ruch tylko w jednym kierunku z wschodniego wybrzeża USA do Europy Zachodniej i nie odwrotnie. W sieciowych grupach zabezpieczeń można upewnić się, że ruch pochodzący z regionu wschodniego USA jest blokowany, podczas gdy ruch pochodzący z Europy Zachodniej jest dozwolony.

Takie podejście rozwiązania nie ma wpływu na przepustowość i opóźnienie i pozwala klientom zachować zgodność, jednocześnie łącząc zestawy danych z wielu regionów. Ta opcja nie ma również wpływu na architekturę DNS i umożliwia korzystanie z natywnego rozwiązania platformy Azure opartego na prywatnych strefach DNS platformy Azure.

Podsumowanie:

Koszt globalnego peeringu sieci wirtualnych

Notatka

Podczas uzyskiwania dostępu do prywatnego punktu końcowego w sieci równorzędnej, naliczane będą opłaty tylko za sam prywatny punkt końcowy, a nie za VNet peering. Oficjalne oświadczenie można przeczytać w sekcji często zadawanych pytań : Jak będą działać rozliczenia, gdy uzyskuje się dostęp do prywatnego punktu końcowego z sieci równorzędnej?.

W przypadku tego projektu sieci są naliczane opłaty za prywatne punkty końcowe (na godzinę) i cały ruch przychodzący i wychodzący wysyłany przez nie. Musisz również zapłacić koszt transferu danych za ruch między regionami. Nie zostaną jednak naliczone żadne opłaty za globalną komunikację równorzędną sieci wirtualnych oraz koszty ruchu przychodzącego i wychodzącego. Przynosi to znaczące korzyści kosztowe w porównaniu z tradycyjną opcją szprychy-piasty-piasty-szprychy.

Podsumowanie:

Przepustowość i opóźnienie w globalnym peeringu sieci wirtualnych

Wpływ na przepustowość i opóźnienie jest mniejszy w przypadku globalnego równorzędnego łączenia sieci wirtualnych niż w tradycyjnej konfiguracji szprychy-piasty-piasty-szprychy. Globalne połączenie równorzędne wirtualnej sieci zawiera mniejszą liczbę przeskoków dla wymiany danych strefy lądowania między regionami i nie ma wirtualnych urządzeń sieciowych ograniczających przepustowość. Jedynymi elementami dyktującymi przepustowość i opóźnieniami, które można osiągnąć dla ruchu między regionami, są fizyczne limity naszych centrów danych (szybkość światłowodowych, bram i routerów).

Podsumowanie:

Podsumowanie globalnego peeringu sieci wirtualnych

Globalne współdzielenie sieci wirtualnych między strefami przychodzącymi danych w różnych regionach oferuje ogromne korzyści, zwłaszcza w przypadku wzrostu międzyregionalnego ruchu danych w obrębie platformy danych. Upraszcza zarządzanie usługami dla podstawowego zespołu platformy Azure, a szczególnie korzystne jest dla przypadków użycia, które wymagają małych opóźnień i wysokiej przepustowości. Oferuje również znaczne korzyści kosztowe w porównaniu z tradycyjną opcją projektowania typu szprycha-piasta.

Tradycyjna konstrukcja szprychy piasty-piasty i szprych (niezalecane)

Inną opcją transferu danych między regionami jest tradycyjna architektura hubowa. W naszym przykładowym scenariuszu, jeśli maszyna wirtualna w strefie docelowej danych A hostowana w Europie Zachodniej ładuje zestaw danych przechowywany na koncie magazynu ze strefy docelowej danych B hostowanej w regionie Wschodnie USA, dane przechodzą przez dwa lokalne połączenia równorzędne sieci wirtualnej (łączność między koncentratorem i jednostkami końcowymi), jedno globalne połączenie równorzędne sieci wirtualnej (łączność między koncentratorami) oraz dwie bramy lub wirtualne urządzenia sieciowe, zanim zostaną załadowane przez maszynę wirtualną i następnie przeniesione z powrotem do lokalnego konta magazynu.

Zarządzanie dostępem użytkowników w tradycyjnym układzie szprychowym

Brak konkretnych zalet ani wad dla jednej z proponowanych opcji łączności strefy docelowej danych między regionami.

Podsumowanie: /

Zarządzanie usługami w tradycyjnym projekcie szprychy-piasty-szprychy-piasty

Takie podejście do rozwiązania jest dobrze znane i spójne z innymi wzorcami łączności między regionami, co ułatwia wdrażanie i implementowanie. Nie ma to również wpływu na architekturę DNS i umożliwia korzystanie z natywnego rozwiązania platformy Azure opartego na prywatnych strefach DNS platformy Azure.

Ta opcja łączności działa bezproblemowo, jeśli skonfigurowana jest poprawnie, ale ma wady. Ruch między regionami jest często domyślnie odrzucany i musi być włączany każdorazowo. Bilet musi zostać przesłany do podstawowego zespołu platformy Azure dla każdego wymaganego dostępu do danych między regionami, aby umożliwić zespołowi umieszczenie na liście dozwolonych poszczególnych połączeń między maszyną wirtualną a kontem magazynowym w różnych regionach. Ten proces znacznie zwiększa obciążenie związane z zarządzaniem. Spowalnia również zespoły projektów danych, ponieważ nie mogą uzyskać dostępu do potrzebnych danych.

Należy również pamiętać, że w tej opcji koncentratory łączności działają jako pojedyncze punkty awarii. W przypadku przestoju wirtualnego urządzenia sieciowego lub bramy, łączność i odpowiednie platformy danych przestają działać. Istnieje również duże ryzyko błędnej konfiguracji tras w centrach łączności. Ta błędna konfiguracja może spowodować bardziej poważne przestoje na platformie danych i prowadzić do serii zależnych przepływów pracy i błędów produktu danych.

Podczas korzystania z tego rozwiązania należy monitorować ilość danych, które należy przesyłać między regionami. Z biegiem czasu to monitorowanie może obejmować gigabajty lub terabajty danych przesyłanych przez centralne instancje. Ponieważ przepustowość wirtualnych urządzeń sieciowych jest często ograniczona do jedno- lub dwucyfrowej przepustowości w gigabajtach, urządzenia mogą działać jako krytyczne wąskie gardło ograniczające przepływ ruchu między regionami i dzielenie się zasobami danych. Ze względu na to wąskie gardło, zasoby współdzielonej sieci mogą wymagać mechanizmów skalowania, które często są czasochłonne i kosztowne oraz mogą mieć wpływ na inne obciążenia w ramach dzierżawy.

Podsumowanie:

Tradycyjny szprychowo-piastowy — koszt projektuHub-Spoke

Notatka

Podczas uzyskiwania dostępu do prywatnego punktu końcowego w sieci sparowanej opłaty będą naliczane tylko za prywatny punkt końcowy, a nie za sparowanie sieci VNet. Oficjalne oświadczenie można przeczytać w sekcji FAQ : Jak będą działać rozliczenia podczas uzyskiwania dostępu do prywatnego punktu końcowego z sieci równorzędnej?.

W tradycyjnym modelu szprychowo-piastowym nalicza się opłaty za prywatne punkty końcowe dwóch kont magazynu (na godzinę) oraz cały ruch przychodzący i wychodzący wysyłany przez nie. Opłaty są również naliczane za ruch przychodzący i wychodzący jednego lokalnego połączenia równorzędnego sieci wirtualnej oraz globalnego połączenia równorzędnego sieci wirtualnych między koncentratorami łączności. Nie są jednak naliczane opłaty za pierwszą komunikację równorzędną sieci wirtualnych, jak wyjaśniono w poprzedniej notatce.

Centralne wirtualne urządzenia sieciowe również generują znaczne koszty w przypadku wybrania tego projektu sieci. Ten koszt jest spowodowany tym, że musisz zakupić dodatkowe licencje w celu skalowania urządzeń na podstawie zapotrzebowania lub zapłacić opłatę za przetworzony gigabajt, podobnie jak w przypadku usługi Azure Firewall.

Podsumowanie:

Przepustowość i opóźnienia w tradycyjnym projekcie sieciowych szprych-piasta-piasta-szprych

Ten projekt sieci ma poważne ograniczenia przepustowości. Centralne wirtualne urządzenia sieciowe stają się krytycznymi wąskimi gardłami w miarę wzrostu platformy, co ogranicza przypadki użycia międzyregionalnych stref lądowania danych i udostępnianie zestawów danych. Ponadto prawdopodobnie wiele kopii zestawów danych zostanie utworzonych w czasie. Ten projekt ma również duży wpływ na opóźnienie, co jest szczególnie ważne w przypadku scenariuszy analizy w czasie rzeczywistym, ponieważ dane przechodzą przez wiele przeskoków.

Podsumowanie:

Projektowanie tradycyjnej sieci typu gwiazda-szprycha

Model szprychowo-piasty jest dobrze znany i wdrożony w wielu organizacjach, co ułatwia jego zastosowanie w już istniejącym środowisku. Ma jednak znaczące wady dotyczące zarządzania usługami, kosztów, przepustowości i opóźnień. Te problemy są szczególnie zauważalne w miarę wzrostu liczby przypadków użycia między regionami.

Konkluzja

globalne łączenie równorzędne sieci wirtualnych ma wiele zalet w stosunku do tradycyjnego projektu promień-piasta-piasta-promień, ponieważ jest opłacalna, łatwa w zarządzaniu i oferuje niezawodną łączność w różnych regionach. Chociaż tradycyjna topologia szprychowa może być realną opcją, kiedy ilość danych oraz potrzeba wymiany danych między regionami są niskie, zalecamy użycie łączenia globalnego sieci wirtualnych (Global Virtual Network Peering) w miarę wzrostu ilości danych wymagających wymiany między różnymi regionami.

Następne kroki

• Ogranicz połączenia prywatnych punktów końcowych między dzierżawami w Azure
• organizacja zasobów na potrzeby analizy w skali chmury