你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

登陆区域区域

本文介绍了登陆区域如何使用 Azure 区域。 Azure 登陆区域体系结构与区域无关,但需要指定 Azure 区域来部署 Azure 登陆区域体系结构。 以下指南介绍了如何将区域添加到现有登陆区域,并提供将 Azure 资产迁移到其他区域时的注意事项。

在某些情况下,应将应用程序部署到多个 Azure 区域,以支持高可用性和灾难恢复业务要求。 可能不需要多区域应用程序,但应该设计 Azure 登陆区域平台来支持多个区域,尤其是连接、标识和管理服务。 确保可以快速启用和支持多区域应用程序登陆区域。

有关详细信息,请参阅 “选择 Azure 区域”。

登陆区域和 Azure 区域

Azure 登陆区域由一组资源和配置组成。 其中一些项(如管理组、策略和角色分配)存储在 Azure 登陆区域体系结构中的租户或管理组级别。 这些资源不会 部署到 特定区域,而是全局部署。 但是,仍需要指定部署区域,因为 Azure 会跟踪区域元数据存储中的某些资源元数据。

其他资源是区域性部署的。 根据自己的登陆区域配置,你可能拥有以下部分或全部区域部署的资源:

  • Azure Monitor 日志工作区,包括所选解决方案
  • 一个 Azure 自动化帐户
  • 资源组,用于其他资源

如果部署网络拓扑,则还需要选择一个 Azure 区域来部署网络资源。 此区域可以不同于用于前面列表中列出的资源的区域。 根据所选拓扑,部署的网络资源可能包括:

  • Azure 虚拟 WAN,包括虚拟 WAN中心
  • Azure 虚拟网络
  • VPN 网关
  • Azure ExpressRoute 网关
  • Azure 防火墙
  • Azure DDoS 防护计划
  • Azure 专用 DNS 区域,包括用于Azure 专用链接的区域
  • 资源组,用于包含上述资源

注意

为了最大程度地减少区域中断的影响,我们建议将资源放置在与资源组相同的区域中。 有关详细信息,请参阅 资源组位置对齐方式。

将新区域添加到现有登陆区域

在完成 Azure 登陆区域体系结构的初始部署后,应考虑从云旅程开始,或扩展到更多 Azure 区域,来考虑多区域策略。 例如,如果使用 Azure Site Recovery 为虚拟机启用灾难恢复,则可能需要将它们复制到其他 Azure 区域。 若要在 Azure 登陆区域体系结构中添加 Azure 区域,请考虑以下建议:

区域 建议
管理组 无需执行任何操作。 管理组不与某个区域关联。 不应基于区域创建管理组结构。
订阅 订阅未绑定到区域。
Azure Policy 如果分配的策略通过指定“允许”的 Azure 区域列表来拒绝所有区域的资源部署,请在 Azure Policy 中进行更改。 更新这些分配以允许资源部署到要启用的新区域。
基于角色的访问控制 (RBAC) 无需执行任何操作。 Azure RBAC 未绑定到区域。
监视和日志记录 决定是否对所有区域使用单个 Azure Monitor 日志工作区,还是创建多个工作区来覆盖各种地理区域。 每个方法都有优点和缺点,包括潜在的跨区域网络费用。 有关详细信息,请参阅设计 Log Analytics 工作区体系结构
网络 如果部署网络拓扑、虚拟 WAN传统中心辐射,请将网络扩展到新的 Azure 区域。 通过将所需的网络资源部署到新 Azure 区域中的现有连接订阅来创建另一个网络中心。 Azure 虚拟网络管理器可以更轻松地在多个区域中大规模扩展和管理虚拟网络。 从域名系统(DNS)的角度来看,你可能还需要将转发器(如果使用)部署到新的 Azure 区域。 在新区域中对分支虚拟网络使用转发器进行解析。 Azure DNS 区域是全局资源,不绑定到单个 Azure 区域,因此不需要任何操作。
标识 如果将 Active Directory 域服务 或 Microsoft Entra 域服务部署到标识订阅或分支中,请将服务扩展到新的 Azure 区域。

注意

还应使用 可用性区域 实现区域中的高可用性。 检查 Azure 区域是否 支持可用性区域,以及 你如何使用支持可用性区域的服务。

Microsoft云主权有限制服务和区域的准则。 可以使用这些准则强制实施服务配置,帮助客户实现其 数据驻留 需求。

高级方法

将 Azure 登陆区域扩展到新区域时,请考虑按照这些部分中的步骤操作。 在开始之前,需要确定新的 Azure 区域或多个 Azure 区域才能扩展到该区域。

网络

传统中心辐射型体系结构
  1. 确定是否需要新的平台登陆区域订阅。 我们建议大多数客户使用其现有的 连接 订阅,即使他们使用多个区域也是如此。

  2. 在订阅中,在新目标区域中创建新的资源组。

  3. 在新目标区域中创建新的中心虚拟网络。

  4. 如果适用,请将Azure 防火墙或网络虚拟设备(NVA)部署到新的中心虚拟网络。

  5. 如果适用,请部署用于 VPN 或 ExpressRoute 连接的虚拟网络网关,并建立连接。 确保 ExpressRoute 线路和本地位置遵循Microsoft复原建议。 有关详细信息,请参阅 使用 ExpressRoute 专用对等互连进行灾难恢复设计。

  6. 在新中心虚拟网络与其他中心虚拟网络之间建立虚拟网络对等互连。

  7. 创建和配置任何必需的路由,例如 Azure 路由服务器或用户定义的路由。

  8. 如果需要,请为新目标区域部署 DNS 转发器,并链接到任何专用 DNS 区域以启用名称解析。

    • 某些客户可能会在标识平台登陆区域订阅中的 Windows Server Active Directory 域控制器上配置名称解析。

若要托管工作负荷,可以使用虚拟网络对等互连将应用程序登陆区域辐射连接到新区域中的新中心虚拟网络。

提示

虚拟网络管理器可以更轻松地在多个区域中大规模扩展和管理虚拟网络。

虚拟 WAN 体系结构
  1. 在现有虚拟 WAN中,在新的目标区域中创建新的虚拟中心。

  2. 将Azure 防火墙或其他受支持的网络虚拟设备(NVA)部署到新的虚拟中心。 配置虚拟 WAN路由意向和路由策略,以通过新的安全虚拟中心路由流量。

  3. 如果适用,请在新的虚拟中心为 VPN 或 ExpressRoute 连接部署虚拟网络网关并建立连接。 确保 ExpressRoute 线路和本地位置遵循Microsoft复原建议。 有关详细信息,请参阅 使用 ExpressRoute 专用对等互连进行灾难恢复设计。

  4. 创建和配置所需的任何其他路由,例如虚拟中心静态路由。

  5. 如果适用,请为新目标区域部署 DNS 转发器,并链接到任何专用 DNS 区域以启用解析。

    • 某些客户可能会在标识平台登陆区域订阅中的 Active Directory 域控制器上配置名称解析。

    • 在虚拟 WAN部署中,这必须位于通过虚拟网络连接连接到虚拟中心的辐射虚拟网络中,并遵循虚拟中心扩展模式

若要托管工作负荷,可以使用虚拟网络对等互连将应用程序登陆区域辐射连接到新区域中的新中心虚拟网络。

标识

提示

查看用于标识和访问管理的 Azure 登陆区域设计区域

  1. 确定是否需要新的平台登陆区域订阅。 我们建议大多数客户使用其现有的 标识 订阅,即使他们使用多个区域也是如此。

  2. 在新目标区域中创建新的资源组。

  3. 在新目标区域中创建新的虚拟网络。

  4. 在连接订阅中建立与新创建的区域中心虚拟网络建立虚拟网络对等互连。

  5. 将标识工作负载(如 Active Directory 域控制器虚拟机)部署到新的虚拟网络中。

    • 预配工作负载后,可能需要对工作负荷执行更多设置,例如以下配置步骤:

      • 将 Active Directory 域控制器虚拟机提升到现有的 Active Directory 域。

      • 创建新的 Active Directory 站点和子网。

      • 配置 DNS 服务器设置,例如条件转发器。

将 Azure 资产移动到新区域

有时可能需要将整个 Azure 资产移动到其他区域。 例如,假设你已将登陆区域和工作负载部署到邻近国家或地区的 Azure 区域,然后新的 Azure 区域在家乡或区域中启动。 可以选择将所有工作负载移动到新区域,以提高通信延迟,或符合数据驻留要求。

注意

本文提供有关迁移资产登陆区域组件的信息。 有关详细信息,请参阅 重新定位云工作负载

全局登陆区域配置

移动区域时,大多数全局部署的登陆区域配置通常不需要修改。 但是,请确保检查限制区域部署的任何策略分配,并更新策略以允许部署到新区域。

区域登陆区域资源

特定于区域的登陆区域资源通常需要更多考虑,因为不能在区域之间移动某些 Azure 资源。 请考虑以下方法:

  1. 将目标区域作为其他区域添加到登陆区域:有关详细信息,请参阅 向现有登陆区域添加新区域。

  2. 在目标区域中部署集中式组件:例如,在目标区域中部署新的 Azure Monitor 日志工作区,以便在迁移工作负荷后,工作负荷可以开始使用新组件。

  3. 将工作负荷从源区域迁移到目标区域:在工作负荷迁移过程中,将资源重新配置为使用目标区域的网络组件、标识组件、Azure Monitor 日志工作区和其他区域资源。

  4. 完成迁移后,解除源区域中的资源的授权。

在跨区域迁移登陆区域资源时,请考虑以下提示:

  • 使用基础结构即代码:使用 Bicep、Azure 资源管理器模板(ARM 模板)、Terraform、脚本或类似方法来导出和重新导入复杂配置,例如Azure 防火墙规则。

  • 自动化:使用 脚本 在区域之间迁移自动化资源。

  • ExpressRoute:考虑是否可以在目标区域中使用 ExpressRoute 本地 SKU 。 如果本地环境与 Azure 区域位于同一大都市区域,则与其他 ExpressRoute SKU 相比,ExpressRoute Local 可以提供更低的成本选项。

下一步