Omówienie sieci
Ten artykuł zawiera zalecenia dotyczące projektowania oraz wskazówki dotyczące sieci i łączności z lub do stref docelowych zarządzania danymi oraz stref docelowych. Opiera się on na informacjach w obszarze projektowania strefy docelowej platformy Azure w artykule dotyczącym topologii sieci i łączności.
Ponieważ zarządzanie danymi i strefy docelowe danych są ważne, należy również uwzględnić wskazówki dotyczące obszarów projektowych strefy docelowej platformy Azure w projekcie.
W tej sekcji przedstawiono ogólny przegląd wzorca sieci z kolejnymi linkami do wdrażania w jednym i wielu regionach platformy Azure.
Analiza w skali chmury obiecuje możliwość łatwego udostępniania zestawów danych i uzyskiwania do ich dostępu w wielu domenach danych i strefach docelowych danych bez krytycznych ograniczeń przepustowości lub opóźnień oraz bez tworzenia wielu kopii tego samego zestawu danych. Aby zrealizować te obietnice, różne projekty sieci muszą być brane pod uwagę, oceniane i testowane, aby upewnić się, że są one zgodne z istniejącymi wdrożeniami piasty i szprych i vWAN korporacji.
Rysunek 1. Omówienie sieci na potrzeby analizy w skali chmury.
Ważny
W tym artykule i innych artykułach w sekcji dotyczącej sieci opisano jednostki biznesowe, które współdzielą dane. Jednak może to nie być twoja początkowa strategia i że musisz najpierw zacząć od poziomu podstawowego.
Zaprojektuj sieć, aby móc ostatecznie zaimplementować zalecaną konfigurację między strefami docelowymi danych. Upewnij się, że masz strefy lądowania zarządzania danymi bezpośrednio połączone ze strefami lądowania dla zarządzania.
Sieć strefy docelowej zarządzania danymi
Sieci wirtualne można łączyć ze sobą za pomocą peeringu sieci wirtualnych. Te sieci wirtualne mogą znajdować się w tych samych lub różnych regionach i są również znane jako globalne peering wirtualnych sieci. Po zrealizowaniu peeringu sieci wirtualnych, zasoby w obu sieciach wirtualnych komunikują się ze sobą. Ta komunikacja ma takie samo opóźnienie i przepustowość, jak w przypadku, gdy zasoby znajdowały się w tej samej sieci wirtualnej.
Strefa docelowa zarządzania danymi łączy się z subskrypcją zarządzania sieciami platformy Azure przy użyciu komunikacji równorzędnej sieci wirtualnych. Komunikacja równorzędna sieci wirtualnych łączy się następnie z zasobami lokalnymi przy użyciu obwodów usługi ExpressRoute i chmur innych firm.
Usługi strefy docelowej zarządzania danymi, które obsługują usługę Azure Private Link, są wstrzykiwane do sieci wirtualnej strefy docelowej zarządzania danymi.
Strefa docelowa dla zarządzania danymi do strefy docelowej danych
Dla każdej nowej strefy lądowania danych należy utworzyć komunikację równorzędną sieci wirtualnych ze strefy lądowania zarządzania danymi do strefy lądowania danych.
Ważny
Strefa docelowa zarządzania danymi łączy się ze strefą docelową danych przy użyciu komunikacji równorzędnej sieci wirtualnych.
Strefy docelowe danych do stref docelowych danych
Istnieją opcje nawiązania tej łączności i w zależności od tego, czy masz wdrożenie w jednym lub wielu regionach, zaleca się rozważenie wskazówek zawartych w:
- Strefa docelowa danych z jednym regionem - łączność
- Łączność strefy odbiorczej danych między regionami
Strefa bazowa zarządzania danymi w chmurach zewnętrznych usługodawców
Aby skonfigurować łączność między strefą lądowania zarządzania danymi a chmurą innej firmy, użyj połączenia z bramą Site-to-Site VPN. Ta sieć VPN może połączyć lokalną lub zewnętrzną strefę docelową chmury z siecią wirtualną platformy Azure. To połączenie jest tworzone za pośrednictwem tunelu vpn IPsec lub internet key exchange w wersji 1 lub 2 (IKEv1 lub IKEv2).
Sieci VPN typu lokacja-lokacja mogą zapewnić lepszą ciągłość obciążeń w konfiguracji chmury hybrydowej z platformą Azure.
Ważny
W przypadku połączeń z chmurą innej firmy zalecamy zaimplementowanie sieci VPN typu lokacja-lokacja między subskrypcją łączności platformy Azure a subskrypcją łączności w chmurze innej firmy.
Prywatne punkty końcowe
Analiza w skali chmury korzysta z Private Link, gdzie jest dostępna, na potrzeby funkcji udostępnionej platformy jako usługi (PaaS). Usługa Private Link jest dostępna dla kilku usług i jest dostępna w publicznej wersji zapoznawczej dla większej liczby usług. Usługa Private Link rozwiązuje problemy z eksfiltracją danych związane z punktami końcowymi usługi.
Aby uzyskać bieżącą listę obsługiwanych produktów, zobacz zasoby usługi Private Link .
Jeśli planujesz zaimplementowanie międzędzierżawowych prywatnych punktów końcowych, zaleca się przejrzenie Ograniczanie międzędzierżawowych połączeń prywatnych w usłudze Azure.
Ostrożność
Zgodnie z projektem sieć analizy w skali chmury używa prywatnych punktów końcowych, jeśli są dostępne do łączenia się z usługami PaaS.
Implementacja Azure DNS Resolver dla prywatnych punktów końcowych
Obsługa rozpoznawania nazw DNS dla prywatnych punktów końcowych za pośrednictwem centralnych prywatnych stref dns platformy Azure. Wymagane rekordy DNS dla prywatnych punktów końcowych można automatycznie utworzyć przy użyciu usługi Azure Policy, aby zezwolić na dostęp za pośrednictwem w pełni kwalifikowanych nazw domen (FQDN). Cykl życia rekordów DNS jest zgodny z cyklem życia prywatnych punktów końcowych. Jest on automatycznie usuwany po usunięciu prywatnego punktu końcowego.