你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
网络概述
本文介绍了进出数据管理登陆区域和数据登陆区域的网络和连接的设计注意事项和指南。 本文基于 Azure 登陆区域网络拓扑和连接设计领域一文中的信息。
由于数据管理和数据登陆区域非常重要,因此还应在设计中包含有关 Azure 登陆区域设计区域的指南。
本部分概述了网络模式的高级概述,并提供了进一步的链接,用于在单个和多个 Azure 区域中部署。
云规模分析承诺可以在多个数据域和数据登陆区域之间轻松共享和访问数据集,而不会造成关键带宽或延迟限制,并且不会创建同一数据集的多个副本。 为了兑现这一承诺,必须考虑、评估和测试不同的网络设计,以确保这些设计与公司现有的中心辐射式和 vWAN 部署兼容。
图 1:云规模分析的网络概述。
重要
本文和网络部分中的其他文章概述了共享数据的跨业务部门。 但是,这可能不是初始策略,并且需要首先从基本级别开始。
设计网络,以便最终可以在数据登录区域之间实现建议的设置。 确保将数据管理登陆区域直接连接到登陆区域进行治理。
数据管理登陆区域网络
可以使用虚拟网络对等互连将虚拟网络互相连接。 这些虚拟网络可以位于相同区域或不同区域中,也称为全球虚拟网络对等互连。 虚拟网络对等互连后,这两个虚拟网络中的资源可以相互通信。 此通信的延迟和带宽与资源位于同一虚拟网络中一样。
数据管理登陆区域使用虚拟网络对等互连连接到 Azure 网络管理订阅。 然后,虚拟网络对等互连使用 ExpressRoute 线路和第三方云连接到本地资源。
支持 Azure 专用链接的数据管理着陆区服务将被注入到数据管理着陆区虚拟网络中。
数据管理登陆区域到数据登陆区域
对于每个新的数据登陆区域,你应该创建一个从数据管理登陆区域到数据登陆区域的虚拟网络对等互连。
重要
数据管理登陆区域使用虚拟网络对等互连来连接到数据登陆区域。
数据登陆区域到数据登陆区域
有一些选项介绍如何建立此连接,具体取决于是否有一个或多个区域部署,建议你考虑以下指南:
数据管理登陆区域到第三方云
若要在数据管理着陆区和第三方云之间设置连接,请使用 站到站 VPN 网关连接。 此 VPN 可将本地或第三方云登陆区域连接到 Azure 虚拟网络。 此连接是通过 IPsec 或 Internet 密钥交换 v1 或 v2 (IKEv1 或 IKEv2) VPN 隧道创建的。
站点到站点 VPN 可以为使用 Azure 的混合云设置中的工作负荷提供更好的连续性。
重要
若要连接到第三方云,我们建议在 Azure 连接订阅和第三方云连接订阅之间实现站点到站点 VPN。
专用终结点
云规模分析在可用时使用 Private Link,以实现共享平台即服务(PaaS)功能。 专用链接适用于多个服务,并且为更多服务提供公共预览版。 专用链接解决了与服务终结点相关的数据外泄问题。
有关受支持产品的当前列表,请参阅 专用链接资源。
如果计划实现跨租户专用终结点,建议查看限制 Azure 中的跨租户专用终结点连接。
谨慎
按照设计,云级别分析网络在可用的情况下使用私有终结点连接到 PaaS 服务。
为专用终结点部署 Azure DNS 解析器
通过中央 Azure 专用 DNS 区域处理专用终结点的 DNS 解析。 可以使用 Azure Policy 自动创建专用终结点的所需 DNS 记录,以允许通过完全限定的域名(FQDN)进行访问。 DNS 记录的生命周期遵循专用终结点的生命周期。 删除专用终结点时,其会被自动删除。