Łączność między regionami strefy docelowej danych
Jeśli masz obecność w więcej niż jednym regionie świadczenia usługi Azure i musisz hostować platformę danych i aplikacje danych w wielu lokalizacjach geograficznych, łączność staje się nieco bardziej skomplikowana.
Wdrożenia w wielu regionach zazwyczaj mają subskrypcję centrum łączności w każdej pojedynczej lokalizacji platformy Azure. Jeśli na przykład masz usługi uruchomione w regionach Wschodnie stany USA i Europa Zachodnia, skonfigurujesz subskrypcję centrum łączności z udostępnionymi zasobami sieciowymi w każdym regionie. Udostępnione zasoby sieciowe obejmują:
- Wirtualne urządzenia sieciowe (takie jak Usługa Azure Firewall)
- Bramy usługi ExpressRoute
- Bramy sieci VPN
- Sieci wirtualne koncentratora (w architekturze piasty i szprych) lub koncentratory vWAN (w konfiguracji sieci vWan)
Rysunek 1. Połączenie ivity między regionami.
W architekturze piasty i szprychy piasty sieci wirtualne koncentratora łączności są często połączone przy użyciu globalnej komunikacji równorzędnej sieci wirtualnych. W przypadku większych środowisk powszechną alternatywą jest użycie usługi ExpressRoute Global Reach. Niezależnie od wybranej opcji łączności można osiągnąć globalny routing i łączność między sieciami szprych w wielu lokalizacjach geograficznych. Oznacza to, że można przenosić dane między regionami przy użyciu wirtualnych urządzeń sieciowych, sieciowych grup zabezpieczeń i tabel tras, biorąc pod uwagę, że ruch nie zostanie zablokowany w żadnej subskrypcji łączności.
Ważne
W tym artykule i innych artykułach w sekcji dotyczącej sieci opisano jednostki biznesowe, które współdzielą dane. Jednak może to nie być twoja początkowa strategia i że musisz najpierw zacząć od poziomu podstawowego.
Zaprojektuj sieć, aby móc ostatecznie zaimplementować zalecaną konfigurację między strefami docelowymi danych. Upewnij się, że masz strefy docelowe zarządzania danymi bezpośrednio połączone ze strefami docelowymi w celu zapewnienia ładu.
Globalna komunikacja równorzędna sieci wirtualnych (zalecane)
Strefy docelowe danych można łączyć między regionami przy użyciu bezpośredniej globalnej komunikacji równorzędnej sieci wirtualnych. W ramach tej konfiguracji, jeśli będziemy kontynuować poprzedni przykładowy scenariusz, maszyna wirtualna w regionie Europa Zachodnia uzyskuje bezpośredni dostęp do prywatnego punktu końcowego konta magazynu Wschodnie stany USA bez konieczności polegania na architekturach sieci piasty i szprych ani sieci vWAN. Dane są ładowane bezpośrednio przez maszynę wirtualną za pośrednictwem prywatnego punktu końcowego, przetwarzane, a następnie przechowywane z powrotem na koncie magazynu w regionie Europa Zachodnia.
Zarządzanie dostępem użytkowników w globalnej komunikacji równorzędnej sieci wirtualnych
Brak konkretnych zalet ani wad dla jednej z proponowanych opcji łączności strefy docelowej danych między regionami.
Krótki opis: 
/
Zarządzanie usługami w globalnej komunikacji równorzędnej sieci wirtualnych
Globalna komunikacja równorzędna sieci wirtualnych nie ma wirtualnego urządzenia sieciowego, które działa jako pojedynczy punkt awarii lub przepływność ograniczania przepustowości. Dane nie są wysyłane za pośrednictwem centrów łączności, więc nie trzeba skalować urządzeń wirtualnych i bram w centrach łączności. Ten brak skalowania zmniejsza obciążenie związane z zarządzaniem dla podstawowego zespołu platformy Azure. Nie trzeba również zezwalać na pojedyncze połączenia między regionami. Zespoły danych mogą uzyskiwać dostęp do danych ze stref docelowych danych w innych regionach bez konieczności oczekiwania na zmiany tabeli tras.
W tym projekcie sieci centralny zespół platformy Azure nie może już sprawdzać i rejestrować całego ruchu przy użyciu zapory warstwy 7. Jednak scenariusz analizy w skali chmury jest spójną platformą obejmującą wiele subskrypcji, która umożliwia skalowanie i przezwyciężenie ograniczeń na poziomie platformy, co nie jest wadą. Dzienniki sieciowe można przechwytywać przy użyciu dzienników przepływu sieciowej grupy zabezpieczeń. Można konsolidować i przechowywać inne dzienniki aplikacji i poziomu usług przy użyciu Ustawienia diagnostycznych specyficznych dla usługi.
Wszystkie te dzienniki można przechwycić na dużą skalę przy użyciu definicji usługi Azure Policy dla ustawień diagnostycznych.
W niektórych scenariuszach należy ograniczyć z powodu skutków prawnych lub regulacyjnych. Na przykład może istnieć lokalna regulacja, która wymaga, aby niektóre zestawy danych znajdowały się w centrum danych cząstek stałych, więc nie można ich przesyłać między regionami. Możesz polegać na sieciowych grupach zabezpieczeń, aby ułatwić przestrzeganie tego rodzaju reguły, zezwalając na ruch tylko w jednym kierunku z Wschodnie stany USA do Europy Zachodniej, a nie odwrotnie. W sieciowych grupach zabezpieczeń można upewnić się, że ruch pochodzący z regionu Wschodnie stany USA jest blokowany, gdy ruch pochodzący z Europy Zachodniej jest dozwolony.
Takie podejście rozwiązania nie ma wpływu na przepustowość i opóźnienie i pozwala klientom zachować zgodność, jednocześnie łącząc zestawy danych z wielu regionów. Ta opcja nie ma również wpływu na architekturę DNS i umożliwia korzystanie z natywnego rozwiązania platformy Azure opartego na strefach usługi Azure Prywatna strefa DNS.
Krótki opis:
Koszt globalnej komunikacji równorzędnej sieci wirtualnych
Uwaga
Podczas uzyskiwania dostępu do prywatnego punktu końcowego w sieci równorzędnej opłaty będą naliczane tylko za sam prywatny punkt końcowy, a nie za komunikację równorzędną sieci wirtualnych. Oficjalne oświadczenie można przeczytać w często zadawanych pytaniach: Jak rozliczenia będą działać podczas uzyskiwania dostępu do prywatnego punktu końcowego z sieci równorzędnej?.
W przypadku tego projektu sieci są naliczane opłaty za prywatne punkty końcowe (na godzinę) i cały ruch przychodzący i wychodzący wysyłany przez nie. Musisz również zapłacić koszt transferu danych dla ruchu między regionami. Nie zostaną jednak naliczone żadne opłaty za globalny ruch przychodzący i ruch wychodzący sieci wirtualnych. W związku z tym opcja Global VNet Peering ma godne uwagi koszty korzyści tradycyjnej opcji szprychy piasta-piasta-szprychy opisanej w dalszej części tego artykułu.
Krótki opis:
Przepustowość i opóźnienia w globalnej komunikacji równorzędnej sieci wirtualnych
Wpływ na przepustowość i opóźnienie jest znacznie niższy w globalnej komunikacji równorzędnej sieci wirtualnych niż w tradycyjnej opcji szprychy piasta-piasta-szprychy. Globalna komunikacja równorzędna sieci wirtualnych zawiera mniejszą liczbę przeskoków dla wymiany danych strefy docelowej danych między regionami i nie ma wirtualnych urządzeń sieciowych, które ograniczają przepływność. Jedynymi elementami dyktującymi przepustowość i opóźnieniami, które można osiągnąć dla ruchu między regionami, są fizyczne limity naszych centrów danych (szybkość kabli światłowodowych, bram i routerów).
Krótki opis:
Podsumowanie globalnej komunikacji równorzędnej sieci wirtualnych
Globalna komunikacja równorzędna sieci wirtualnych między strefami docelowymi danych w różnych regionach oferuje ogromne korzyści, zwłaszcza że ruch danych między regionami zwiększa się w obrębie platformy danych. Upraszcza zarządzanie usługami dla podstawowego zespołu platformy Azure, a zwłaszcza korzyści, które wymagają małych opóźnień i wysokiej przepustowości. Oferuje również znaczne korzyści kosztowe w przypadku tradycyjnej opcji projektowania szprychy-piasty-piasty i szprych.
Tradycyjna konstrukcja szprychy piasty-piasty i szprych (niezalecane)
Inną opcją transferu danych między regionami jest tradycyjny projekt szprychy piasty-piasty i szprych. W naszym przykładowym scenariuszu, jeśli maszyna wirtualna w strefie docelowej danych A hostowana w Europie Zachodniej ładuje zestaw danych przechowywany na koncie magazynu ze strefy docelowej danych B hostowanej w regionie Wschodnie stany USA, dane przechodzą dwie lokalne wirtualne sieci równorzędne (łączność między piastą i szprychami), jedną globalną komunikację równorzędną sieci wirtualnych (łączność między koncentratorami) i dwie bramy lub wirtualne urządzenia sieciowe przed załadowaniem przez maszynę wirtualną, a następnie przeniesione z powrotem do lokalnego konta magazynu.
Zarządzanie dostępem użytkowników w tradycyjnym projekcie szprychy piasta-piasta-szprych
Brak konkretnych zalet ani wad dla jednej z proponowanych opcji łączności strefy docelowej danych między regionami.
Krótki opis:
/
Zarządzanie usługami w tradycyjnym projekcie szprychy-piasty-piasty i szprych
Takie podejście do rozwiązania jest dobrze znane i spójne z innymi wzorcami łączności między regionami, co ułatwia wdrażanie i implementowanie. Nie ma to również wpływu na architekturę DNS i umożliwia korzystanie z natywnego rozwiązania platformy Azure opartego na strefach usługi Azure Prywatna strefa DNS.
Ta opcja łączności działa bezproblemowo, jeśli skonfigurowana jest poprawnie, ale ma wady. Ruch między regionami jest często domyślnie odrzucany i musi być włączony na podstawie przypadków. Oznacza to, że bilet musi zostać przesłany do podstawowego zespołu platformy Azure dla każdego wymaganego wymagania dostępu do danych między regionami, aby umożliwić zespołowi wyświetlanie listy poszczególnych połączeń między maszyną wirtualną a kontem magazynu między regionami. Ten proces znacznie zwiększa obciążenie związane z zarządzaniem. Spowalnia również zespoły projektów danych, ponieważ nie mogą uzyskać dostępu do potrzebnych danych.
Należy również pamiętać, że w tej opcji koncentratory łączności działają jako pojedyncze punkty awarii. W przypadku przestoju urządzenia wirtualnego sieci lub bramy łączność i odpowiednie platformy danych kończą się niepowodzeniem. Istnieje również duże ryzyko błędnej konfiguracji tras w centrach łączności. Ta błędna konfiguracja może spowodować bardziej poważne przestoje na platformie danych i prowadzić do serii zależnych przepływów pracy i błędów produktu danych.
Podczas korzystania z tego rozwiązania należy monitorować ilość danych, które należy przesyłać między regionami. W czasie to monitorowanie może obejmować gigabajty lub terabajty danych przesyłanych przez wystąpienia centralne. Ponieważ przepustowość wirtualnych urządzeń sieciowych jest często ograniczona do jednocyfrowej przepływności gigabajtów, urządzenia mogą działać jako krytyczne wąskie gardło ograniczające przepływ ruchu między regionami i możliwość udostępniania zasobów danych. W związku z tym udostępnione zasoby sieciowe mogą wymagać mechanizmów skalowania, które są często czasochłonne i kosztowne, i mogą mieć wpływ na inne obciążenia w dzierżawie.
Krótki opis:
Koszt projektowania tradycyjnej szprychy piasty i szprych
Uwaga
Podczas uzyskiwania dostępu do prywatnego punktu końcowego w sieci równorzędnej opłaty będą naliczane tylko za prywatny punkt końcowy, a nie za komunikację równorzędną sieci wirtualnych. Oficjalne oświadczenie można przeczytać w często zadawanych pytaniach: Jak rozliczenia będą działać podczas uzyskiwania dostępu do prywatnego punktu końcowego z sieci równorzędnej?.
W tradycyjnym projekcie szprychy piasta-piasta-szprychy naliczane są opłaty za prywatne punkty końcowe kont magazynu (na godzinę) oraz cały ruch przychodzący i wychodzący wysyłany przez nie. Opłaty są również naliczane za ruch przychodzący i wychodzący jednej lokalnej sieci równorzędnej sieci wirtualnych oraz globalną komunikację równorzędną sieci wirtualnych między koncentratorami łączności. Nie będą jednak naliczane opłaty za pierwszą komunikację równorzędną sieci wirtualnych, jak wyjaśniono w poprzedniej notatce.
Centralne wirtualne urządzenia sieciowe będą również kosztem znaczącym, jeśli wybierzesz ten projekt sieci. Jest to spowodowane tym, że musisz zakupić dodatkowe licencje, aby skalować urządzenia w poziomie na podstawie zapotrzebowania lub zapłacić opłatę za przetworzony gigabajt, tak jak w przypadku usługi Azure Firewall.
Krótki opis:
Przepustowość i opóźnienia w tradycyjnej konstrukcji szprychy piasty-piasty i szprych
Ten projekt sieci ma poważne ograniczenia przepustowości. Centralne wirtualne urządzenia sieciowe stają się krytycznymi wąskimi gardłami w miarę wzrostu platformy, co ogranicza przypadki użycia strefy docelowej danych między regionami i udostępnianie zestawów danych. Ponadto prawdopodobnie wiele kopii zestawów danych zostanie utworzonych w czasie. Ten projekt ma również duży wpływ na opóźnienie, co jest szczególnie ważne w przypadku scenariuszy analizy w czasie rzeczywistym, ponieważ dane przechodzą przez wiele przeskoków.
Krótki opis:
Podsumowanie tradycyjnej konstrukcji szprychy piasty-piasty i szprych
Projekt szprychy piasty-piasty i szprych jest dobrze znany i ugruntowany w wielu organizacjach, co ułatwia ustanowienie w istniejącym środowisku. Ma jednak znaczące wady dotyczące zarządzania usługami, kosztów, przepustowości i opóźnień. Te problemy są szczególnie zauważalne w miarę wzrostu liczby przypadków użycia między regionami.
Podsumowanie
Globalna komunikacja równorzędna sieci wirtualnych ma wiele zalet w stosunku do tradycyjnego projektu szprychy piasty-piasty i szprych, ponieważ jest opłacalna, łatwo zarządzana i oferuje niezawodną łączność między regionami. Chociaż tradycyjny projekt szprychy piasty-piasty i szprych może być realną opcją, podczas gdy ilość danych i potrzeba wymiany danych między regionami jest niska, zalecamy użycie globalnej komunikacji równorzędnej sieci wirtualnych w miarę wzrostu ilości danych potrzebnych do wymiany między regionami.