你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
网络概述
本文介绍了进出数据管理登陆区域和数据登陆区域的网络和连接的设计注意事项和指南。 本文基于网络拓扑和连接的 Azure 登陆区域设计领域一文中的信息。
由于数据管理和数据登陆区域很重要,因此还应在设计中包含 Azure 登陆区域设计领域的指南。
本部分概述了网络模式,并提供了在单个和多个 Azure 区域中进行部署的进一步链接。
云规模分析承诺了可跨多个数据域和数据登陆区域轻松共享和访问数据集,不受关键带宽或延迟限制,并且无需创建同一数据集的多个副本。 为了兑现这一承诺,必须考虑、评估和测试不同的网络设计,以确保这些设计与公司现有的中心辐射型和 vWAN 部署兼容。
图 1:云规模分析的网络概述。
重要
本文和网络部分的其他文章概述了共享数据的跨业务部门。 但是,这可能不是你的初始策略,你需要首先从基本级别开始。
设计网络,以便最终可以在数据域之间实现建议的设置。 确保将数据管理登陆区域直接连接到登陆区域进行治理。
数据管理登陆区域联网
可以使用虚拟网络对等互连将虚拟网络互相连接。 这些虚拟网络可以位于相同或不同区域中,也称为全局 VNet 对等互连。 在对等虚拟网络之后,两个虚拟网络中的资源便可以相互通信。 此通信与资源位于同一虚拟网络中的延迟和带宽相同。
数据管理登陆区域使用虚拟网络对等互连连接到 Azure 网络管理订阅。 然后,虚拟网络对等互连使用 ExpressRoute 线路和第三方云连接到本地资源。
支持 Azure 专用链接的数据管理登陆区域服务被注入到数据管理登陆区虚拟网络中。 例如,Azure Purview 支持专用链接。
数据管理登陆区域到数据登陆区域
对于每个新的数据登陆区域,你应该创建一个从数据管理登陆区域到数据登陆区域的虚拟网络对等。
重要
数据管理登陆区域使用虚拟网络对等互连来连接到数据登陆区域。
数据登陆区域到数据登陆区域
可通过一些选项建立此连接,具体取决于你是有单区域部署还是多区域部署,建议你考虑以下方面的指南:
数据管理登陆区域到第三方云
若要设置数据管理登录区域与第三方云之间的连接,请使用站点到站点 VPN 网关连接。 此 VPN 可以将你的本地或第三方云登陆区域连接到 Azure 虚拟网络。 此连接是通过 IPsec 或 Internet 密钥交换 v1 或 v2(IKEv1 或 IKEv2)VPN 隧道创建的。
站点到站点 VPN 可以在使用 Azure 的混合云设置中为你的工作负载提供更好的连续性。
重要
对于与第三方云的连接,我们建议在 Azure 连接订阅和第三方云连接订阅之间实施站点到站点 VPN。
专用终结点
云规模分析使用专用链接(如果可用)来实现共享平台即服务 (PaaS) 功能。 专用链接可用于多种服务,并且在公共预览版中提供更多服务。 Private Link 解决了与服务端点相关的数据泄露问题。
有关支持的产品的最新列表,请参阅专用链接资源。
如果计划实现跨租户专用终结点,建议查看限制 Azure 中的跨租户专用终结点连接。
注意
根据设计,云规模分析网络使用可用的专用终结点连接到 PaaS 服务。
为专用终结点实施 Azure DNS 解析程序
通过中央 Azure 专用 DNS 区域处理专用终结点的 DNS 解析。 可以使用 Azure Policy 自动创建专用终结点所需的 DNS 记录,以允许通过完全限定域名 (FQDN) 进行访问。 DNS 记录的生命周期遵循专用终结点的生命周期。 当专用终结点被删除时,生命周期也会被自动移除。