Netzwerkübersicht
Dieser Artikel enthält Überlegungen und Richtlinien zum Entwurf von Netzwerken und Verbindungen mit bzw. von Datenverwaltungszielzonen und Datenzielzonen. Er baut auf Informationen im Artikel Übersicht über Netzwerktopologie und Konnektivität in Azure auf.
Da Datenverwaltung und Datenlandezonen wichtig sind, sollten Sie auch die Empfehlungen für die Entwurfsbereiche für Azure-Zielzonen in Ihrem Entwurf umsetzen.
Dieser Abschnitt enthält einen allgemeinen Überblick über das Netzwerkmuster sowie weiterführende Links zur Bereitstellung in einzelnen und mehreren Azure-Regionen.
Analysen auf Cloudebene ermöglichen es, Datasets problemlos über mehrere Datendomänen und Datenzielzonen hinweg ohne kritische Bandbreiten- oder Wartezeiteinschränkungen und ohne Erstellung mehrerer Kopien des gleichen Datasets gemeinsam zu nutzen und auf sie zuzugreifen. Um diese Zusage einzulösen, müssen verschiedene Netzwerkdesigns in Betracht gezogen, bewertet und getestet werden, um sicherzustellen, dass diese mit den bestehenden Hub-and-Spoke- und vWAN-Bereitstellungen von Unternehmen kompatibel sind.
Abbildung 1: Netzwerkübersicht für Analysen auf Cloudebene.
Wichtig
In diesem Artikel und anderen Artikeln im Abschnitt „Netzwerk“ werden geschäftsbereichsübergreifende Einheiten beschrieben, die Daten gemeinsam nutzen. Dies ist jedoch möglicherweise nicht Ihre anfängliche Strategie und sie müssen zuerst auf Basisebene beginnen.
Entwerfen Sie Ihr Netzwerk so, dass Sie schließlich unser empfohlenes Setup zwischen Datenzielzonen implementieren können. Stellen Sie sicher, dass die Datenverwaltungszielzonen direkt mit den Zielzonen für die Governance verbunden sind.
Netzwerkfunktionen der Zielzone für die Datenverwaltung
Sie können durch Peering virtueller Netzwerke Verbindungen zwischen virtuellen Netzwerken herstellen. Diese virtuellen Netzwerke können sich in derselben oder in unterschiedlichen Regionen befinden. Dies wird auch als globales VNet-Peering bezeichnet. Nach dem Peering der virtuellen Netzwerke kommunizieren Ressourcen in beiden virtuellen Netzwerken miteinander. Sie kommunizieren dabei mit derselben Latenz und Bandbreite, als ob sie sich in demselben virtuellen Netzwerk befinden würden.
Die Zielzone für die Datenverwaltung stellt durch das Peering virtueller Netzwerke eine Verbindung mit dem Azure-Netzwerkverwaltungsabonnement her. Das Peering virtueller Netzwerke stellt dann über ExpressRoute-Verbindungen und Clouds von Drittanbietern eine Verbindung mit lokalen Ressourcen her.
Dienste der Zielzone für die Datenverwaltung, die Azure Private Link unterstützen, werden in das virtuelle Netzwerk der Zielzone für die Datenverwaltung eingefügt. Azure Purview unterstützt beispielsweise Private Link.
Von Datenverwaltungszielzonen zu Datenzielzonen
Für jede neue Datenlandezone sollten Sie das Peering virtueller Netzwerke von der Zielzone für die Datenverwaltung zur Zielzone für Daten einrichten.
Wichtig
Eine Datenverwaltungszielzone stellt mithilfe des Peerings virtueller Netzwerke eine Verbindung mit Datenzielzone her.
Zwischen zwei Datenzielzonen
Es gibt Optionen, mit denen sich diese Konnektivität erreichen lässt. Es empfiehlt sich, eine der folgenden Anleitungen heranzuziehen (je nachdem, ob Sie über eine Bereitstellung mit einer einzelnen Region oder über eine Bereitstellung mit mehreren Regionen verfügen):
Von Datenverwaltungszielzonen zu Clouds von Drittanbietern
Verwenden Sie zum Einrichten der Konnektivität zwischen einer Zielzone für die Datenverwaltung und einer Drittanbieter-Cloud eine standortübergreifende VPN-Gatewayverbindung. Dieses VPN kann Ihre lokale oder Drittanbieter-Cloud-Zielzone mit einem virtuellen Azure-Netzwerk verbinden. Diese Verbindung wird über einen IPsec- oder Internet Key Exchange v1- oder v2-VPN-Tunnel (IKEv1 oder IKEv2) erstellt.
Standortübergreifende VPNs bieten oft eine bessere Kontinuität für Ihre Workloads in einer Hybrid Cloud-Konfiguration mit Azure.
Wichtig
Für Verbindungen mit einer Drittanbieter-Cloud empfehlen wir die Verwendung eines standortübergreifenden VPN zwischen Ihrem Azure-Konnektivitätsabonnement und dem Cloudkonnektivitätsabonnement des Drittanbieters.
Private Endpunkte
Sofern verfügbar, wird bei Analysen auf Cloudebene Private Link für gemeinsam genutzte PaaS-Funktionen (Platform-as-a-Service) verwendet. Private Link ist für einige Dienste verfügbar und liegt für weitere Dienste als öffentliche Vorschauversion vor. Private Link verringert die Gefahr von Datenexfiltration durch Dienstendpunkte.
Die aktuelle Liste der unterstützten Produkte finden Sie unter Private Link-Ressourcen.
Wenn Sie mandantenübergreifende private Endpunkte implementieren möchten, sollten Sie sich mit den Informationen unter Einschränken mandantenübergreifender Verbindungen mit privaten Endpunkten in Azure vertraut machen.
Achtung
Sofern verfügbar, werden im Netzwerk für Analysen auf Cloudebene standardmäßig private Endpunkte verwendet, um eine Verbindung mit PaaS-Diensten herzustellen.
Implementieren der Azure DNS-Auflösung für private Endpunkte
Realisieren Sie die DNS-Auflösung für private Endpunkte mithilfe von zentralen Azure Private DNS-Zonen. Erforderliche DNS-Einträge für private Endpunkte können automatisch mithilfe von Azure Policy erstellt werden, um den Zugriff über vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) zu ermöglichen. Der Lebenszyklus der DNS-Einträge entspricht dem Lebenszyklus der privaten Endpunkte. Sie werden automatisch entfernt, wenn der Endpunkt gelöscht wird.