你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
跨区域数据登陆区域连接
如果你在多个 Azure 区域中开展业务,并且需要跨多个地理位置托管数据平台和数据应用程序,则连接会稍微复杂一些。
多区域部署通常在每个单独的 Azure 位置都有一个连接中心订阅。 例如,如果在东美国和西欧都有服务,将设置一个连接中心订阅,并在每个区域共享网络资源。 共享网络资源包括:
- 网络虚拟设备(如Azure 防火墙)
- ExpressRoute 网关
- VPN 网关
- 中心虚拟网络(在中心辐射体系结构中)或 vWAN 中心(在 vWAN 设置中)
图 1:跨区域连接性。
在中心辐射-辐射中心体系结构中,连接中心虚拟网络通常使用全球 VNet 对等互连进行连接。 对于较大的环境,常见的替代方法是使用 ExpressRoute Global Reach。 无论选择哪种连接选项,都可以在多个地理区域的分支网络之间实现全球路由和连接。 这意味着可以使用网络虚拟设备、网络安全组和路由表跨区域移动数据,因为流量不会在任一连接订阅中被阻止。
重要
本文和网络部分的其他文章概述了共享数据的跨业务部门。 但是,这可能不是你的初始策略,你需要首先从基本级别开始。
设计网络,以便最终可以在数据域之间实现建议的设置。 确保将数据管理登陆区域直接连接到登陆区域进行治理。
全球 VNet 对等互连(推荐)
可以使用直接全球 VNet 对等互连跨区域连接数据登陆区域。 在此设置中,如果我们继续前面的示例方案,西欧的虚拟机直接访问美国东部存储帐户的专用终结点,而无需依赖任何中心和分支或 vWAN 网络体系结构。 数据直接由虚拟机通过专用终结点加载,进行处理,然后存储回西欧的存储帐户。
全球 VNet 对等互连中的用户访问管理
建议的跨区域数据登陆区域连接选项没有特别的优缺点。
摘要:
/
全球 VNet 对等互连中的服务管理
全球 VNet 对等互连没有充当单一故障点或限制吞吐量的网络虚拟设备。 数据不会通过连接中心发送,因此无需在连接中心内缩放虚拟设备和网关。 这种缺乏缩放可减少核心 Azure 平台团队的管理开销。 也不需要将单个跨区域连接列入白名单。 数据团队可以从其他区域中的数据登陆区域访问数据,而无需等待更改路由表。
在此网络设计中,中心 Azure 平台团队不能再使用第 7 层防火墙检查和记录所有流量。 但是,云规模分析方案是一个跨多个订阅的连贯平台,它允许扩展并克服平台级别的限制,因此这不是缺点。 你可以使用网络安全组流日志来捕获网络日志。 可以使用特定于服务的诊断设置来整合和存储其他应用程序和服务级别日志。
可以使用 Azure Policy 的诊断设置定义来大规模捕获所有这些日志。
在某些情况下,由于法规或法律影响,需要进行限制。 例如,当地可能有一项法规,要求某些数据集保留在特定数据中心内,因此不允许你跨区域传输它们。 你可以依靠网络安全组来帮助遵守这种规则,只允许流量从美国东部向一个方向移动到西欧,反之则不行。 在网络安全组中,你可以确保拒绝来自美国东部的流量,而允许来自西欧的流量。
这种解决方案方法不会影响带宽和延迟,并允许客户在保持合规性的同时仍然结合来自多个区域的数据集。 此选项也不会影响 DNS 体系结构,并允许使用基于 Azure 专用 DNS 区域的 Azure 原生解决方案。
摘要:
全球 VNet 对等互连成本
注意
通过对等互连网络访问专用终结点时,只需为专用终结点本身付费,无需为 VNet 对等互连付费。 可以在常见问题解答:从对等互连网络访问专用终结点时将如何计费?中阅读官方声明。
使用这种网络设计,需要为专用终结点(每小时)以及通过它们发送的所有流入量和流出量付费。 还必须为区域之间的流量支付数据传输费用。 但是,不会收取任何全球 VNet 对等互连流入量和流出量费用。 正因为如此,与本文后面描述的传统辐射-中心-中心-辐射选项相比,全球 VNet 对等互连选项具有显著的成本优势。
摘要:
全球 VNet 对等互连中的带宽和延迟
全球 VNet 对等互连对带宽和延迟的影响远低于传统的辐射-中心-中心-辐射选项。 全球 VNet 对等互连包含较少的跨区域数据登陆区域数据交换跃点,并且没有限制吞吐量的网络虚拟设备。 决定跨区域流量的带宽和延迟的唯一因素是我们数据中心的物理限制(光缆、网关和路由器的速度)。
摘要:
全球 VNet 对等互连摘要
不同区域的数据登陆区域之间的全球 VNet 对等互连提供了巨大的优势,尤其是当数据平台内的跨区域数据流量增加时。 它简化了核心 Azure 平台团队的服务管理,尤其有利于需要低延迟和高带宽的用例。 与传统的辐射-中心-中心-辐射设计选项相比,它还具有显著的成本优势。
传统辐射-中心-中心-辐射设计(不推荐)
跨区域数据传输的另一个选项是传统的辐射-中心-中心-辐射设计。 在我们的示例方案中,如果托管在西欧的数据登陆区域 A 中的虚拟机从托管在美国东部的数据登陆区域 B 加载存储在存储帐户中的数据集,则数据会遍历两个本地 VNet 对等互连(中心和分支之间的连接)、一个全球 VNet 对等互连(中心之间的连接)和两个网关或网络虚拟设备,然后由虚拟机加载,最后移回本地存储帐户。
传统辐射-中心-中心-辐射设计中的用户访问管理
建议的跨区域数据登陆区域连接选项没有特别的优缺点。
摘要:
/
传统辐射-中心-中心-辐射设计中的服务管理
此解决方案方法知名度高且与其他跨区域连接模式一致,因此可以轻松采用和实现。 此选项也不会影响 DNS 体系结构,并允许使用基于 Azure 专用 DNS 区域的 Azure 原生解决方案。
虽然此连接选项在正确设置时可以无缝工作,但它确实存在缺点。 跨区域流量通常默认被拒绝,必须根据具体情况启用。 这意味着必须针对每个所需的跨区域数据访问要求向核心 Azure 平台团队提交工单,以便团队可以将虚拟机和跨区域存储帐户之间的每个特定连接列入白名单。 此过程大幅增加了管理开销。 它还会减慢数据项目团队的速度,因为他们无法访问所需的数据。
还应注意,在此选项中,连接中心充当单一故障点。 在网络虚拟设备或网关停机时,连接和相应的数据平台会出现故障。 此外,在连接中心错误配置路由的风险也很高。 这种配置错误可能会导致数据平台出现更严重的停机,并导致一系列相关的工作流和数据产品故障。
在使用此解决方案方法时,应该监视需要跨区域传输的数据量。 随着时间的推移,此监视可能涉及通过中心实例移动的千兆字节或 TB 的数据。 由于网络虚拟设备的带宽通常限制为一位数或两位数的千兆字节吞吐量,因此这些设备可能成为限制区域之间的流量和数据资产的可共享性的关键瓶颈。 因此,共享网络资源可能需要缩放机制,这些机制通常耗时且成本高昂,并且可能会影响租户中的其他工作负载。
摘要:
传统辐射-中心-中心-辐射设计成本
注意
当跨对等互连网络访问专用终结点时,你只需为专用终结点本身付费,无需为 VNet 对等互连付费。 可以在常见问题解答:从对等互连网络访问专用终结点时将如何计费?中阅读官方声明。
在传统的辐射-中心-中心-辐射设计中,需要为两个存储帐户的专用终结点(每小时)以及通过它们发送的所有流入量和流出量付费。 此外,还需要为一个本地 VNet 对等互连的流入量和流出量以及连接中心之间的全球 VNet 对等互连付费。 但是,不会对第一个 VNet 对等互连收费,如上一说明中所述。
如果选择此网络设计,中心网络虚拟设备也将产生巨大成本。 这是因为你要么必须购买额外的许可证才能根据需要扩展设备,要么必须按处理的每千兆字节支付费用,就像 Azure 防火墙一样。
摘要:
传统辐射-中心-中心-辐射设计中的带宽和延迟
这种网络设计具有严重的带宽限制。 随着平台的发展,中央网络虚拟设备成为关键瓶颈,这限制了跨区域数据登陆区域用例和数据集的共享。 这也使得随着时间的推移可能会创建数据集的多个副本。 此设计还会严重影响延迟,这对于实时分析方案尤其重要,因为数据遍历了许多跃点。
摘要:
传统辐射-中心-中心-辐射设计摘要
辐射-中心-中心-辐射设计知名度高,并已在许多组织中建立,这使得在现有环境中建立起来很容易。 但是,它在服务管理、成本、带宽和延迟方面有很大的缺点。 随着跨区域用例数量的增加,这些问题尤其明显。
结束语
全球 VNet 对等互连 与传统辐射-中心-中心-辐射设计相比具有许多优势,因为它具有成本效益、易于管理并提供跨区域的可靠连接。 虽然在数据量和跨区域数据交换需求较低的情况下,传统的辐射-中心-中心-辐射设计可能是一个可行的选择,但建议使用全球 VNet 对等互连方法,因为需要跨区域交换的数据量会持续增长。