單一區域數據登陸區域連線能力
數據管理登陸區域、數據登陸區域,以及其中的所有服務都會在單一區域設定中設定在相同的區域中。 所有登陸區域都在相同的連線中樞訂用帳戶內。 此訂用帳戶會裝載共用網路資源,其中包括網路虛擬設備(例如 Azure 防火牆)、ExpressRoute 閘道、虛擬專用網 (VPN) 閘道、中樞虛擬網路或虛擬 WAN (vWAN 中樞)。
圖 1:單一區域 連線 性。
根據 Azure 網路服務的目前功能,建議您使用網狀網路架構。 您應該設定 Vnet 對等互連:
- 連線ivity中樞和 資料管理區域
- 連線ivity中樞和每個數據登陸區域
- 資料管理 區域和每個數據登陸區域
- 每個數據登陸區域
本文說明我們針對雲端規模分析考慮的每個網路架構選項的優缺點。
本文的第一節著重於單一區域模式,其中 資料管理 區域和所有數據登陸區域都裝載在相同的區域中。
每個設計模式都會使用下列準則進行評估:
- 成本
- 使用者存取管理
- 服務管理
- 頻寬
- Latency
我們將使用下列跨數據登陸區域使用案例來分析每個設計選項:
注意
裝載於數據登陸區域 B 的虛擬機 B(VM B)會從裝載於數據登陸區域 A 的記憶體帳戶 A 載入資料集。然後,VM B 會處理該數據集,並將其儲存在 儲存體 帳戶 B,該帳戶裝載於數據登陸區域 B 中。
重要
本文和網路一節中的其他文章概述共享數據的跨業務單位。 不過,這可能不是您的初始策略,而且您需要先從基底層級開始。
設計網路功能,以便您最終可以在數據登陸區域之間實作建議的設定。 請確定您有數據管理登陸區域直接連線到登陸區域以進行治理。
網狀網路架構(建議)
建議您在採用雲端規模分析時使用網路網格架構。 除了在您的租用戶內設定的現有中樞和輪輻網路設計之外,您還要執行兩件事來實作網路網格架構:
- 在所有數據登陸區域 Vnet 之間新增 Vnet 對等互連。
- 在數據管理登陸區域與所有數據登陸區域之間新增 Vnet 配對。
在我們的範例案例中,從儲存體 帳戶 A 載入的數據會傳輸兩個數據登陸區域 Vnet 之間設定的 Vnet 對等互連連線 (2)。 VM B (3) 和 (4) 會載入並處理,然後透過本機私人端點 (5) 傳送,以儲存在 儲存體 帳戶 B 中。
在此案例中,數據不會傳遞 連線 ivity 中樞。 它會保留在數據平臺內,其中包含數據管理登陸區域和一或多個數據登陸區域。
圖 2:網狀網路架構。
網狀網路架構中的使用者存取管理
在網狀網路架構設計中,數據應用程式小組只需要兩件事才能建立新的服務(包括私人端點):
- 在數據登陸區域中寫入其專用資源群組的存取權
- 加入其指定子網的存取權
在此設計中,數據應用程式小組可以自行部署私人端點。 只要他們具有將私人端點連線至指定輪輻中子網的必要訪問許可權,您的小組在設定必要的連線時就不需要支援。
總結: 
網狀網路架構中的服務管理
在網狀網路架構設計中,沒有任何網路虛擬設備作為單一失敗點或節流。 由於您不需要相應放大該虛擬設備,透過 連線ivity Hub 傳送資料集會減少中央 Azure 平臺小組的額外負荷。
這表示中央 Azure 平臺小組無法再檢查和記錄數據登陸區域之間傳送的所有流量。 不過,雲端規模分析是橫跨多個訂用帳戶的一致性平臺,可進行規模調整並克服平臺層級的限制,因此這不是缺點。
在單一訂用帳戶內裝載的所有資源之後,您的中央 Azure 平臺小組將不再檢查中央 連線 ivity Hub 中的所有數據。 您仍然可以使用網路安全組流量記錄來擷取網路記錄。 您可以使用服務特定的診斷 設定 來合併及儲存其他應用程式和服務等級記錄。
您可以使用診斷設定的 Azure 原則 定義,大規模擷取所有這些記錄。
此設計也可讓您根據 私用 DNS 區域建立 Azure 原生 DNS 解決方案。 您可以透過私人 DNS 群組 Azure 原則 定義,將 DNS A 記錄生命週期自動化。
總結:
網狀網路架構成本
注意
跨對等互連網路存取私人端點時,您只需支付私人端點本身的費用,而不是針對 VNet 對等互連。 您可以在常見問題中 閱讀官方聲明:從對等互連網路存取私人端點時,計費如何運作?。
在此網路設計中,您只需支付:
- 您的私人端點(每小時)
- 透過私人端點傳送的輸入和輸出流量,以載入原始資料集 (1) 並儲存已處理的數據集 (6)
Vnet 對等互連不會收費 (2),這就是為什麼此選項的成本最低。
總結:
網狀網路架構中的頻寬和延遲
此設計沒有已知的頻寬或延遲限制,因為沒有網路虛擬設備限制其跨數據登陸區域數據交換的輸送量。 設計的唯一限制因素是數據中心的實體限制(光纖纜線的速度)。
總結:
網格網路架構摘要
如果您打算採用雲端規模分析,建議您使用網狀網路設計。 網狀網路以最低成本提供最大頻寬和低延遲,但不會對使用者存取管理或 DNS 層做出任何妥協。
如果您需要在數據平臺內強制執行其他網路原則,請使用網路安全組,而不是中央網路虛擬設備。
傳統中樞和輪輻架構(不建議)
中樞和輪輻網路架構設計是最明顯的選擇,也是許多企業採用的選項。 在其中,網路傳輸性會在 連線 ivity 中樞中設定,以從 VM B 存取 儲存體 帳戶 A 中的數據。數據會周遊兩個 Vnet 對等互連(2)和(5),以及裝載在 連線 ivity Hub (3) 和 (4) 內的網路虛擬設備。 然後,虛擬機會載入數據(6),並儲存回 儲存體 帳戶 B (8)。
圖 3:中樞和輪輻架構。
傳統中樞和輪輻架構中的使用者存取管理
在傳統的中樞和輪輻設計中,數據應用程式小組只需要兩件事,才能建立新的服務(包括私人端點):
- 在數據登陸區域中寫入其資源群組的存取權
- 加入其指定子網的存取權
在此設計中,數據應用程式小組可以自行部署私人端點。 只要他們具有將私人端點連線至指定輪輻中子網的必要訪問許可權,您的小組在設定必要的連線時就不需要支援。
總結:
傳統中樞和輪輻架構中的服務管理
此網路設計是眾所周知且與大部分組織現有的網路設定一致。 這可讓您輕鬆地解釋和實作設計。 您也可以使用集中式 Azure 原生 DNS 解決方案搭配 私用 DNS 區域,在您的 Azure 租使用者內提供 FQDN 解析。 使用 私用 DNS 區域可讓您透過 Azure 原則將 DNS A 記錄生命週期自動化。
此設計的另一個優點是流量是透過中央網路虛擬設備路由傳送,因此可以記錄和檢查從一個輪輻傳送到另一個輪輻的網路流量。
此設計的一個缺點是,您的中央 Azure 平臺小組必須手動管理路由表。 這是確保輪輻之間的可轉移性,這可讓數據資產跨多個數據登陸區域共用。 路由管理可能會隨著時間變得複雜且容易出錯,而且必須預先考慮。
此網路設定的另一個缺點是設定中央網路虛擬設備的方式。 網路虛擬設備可作為單一失敗點,如果發生失敗,可能會導致數據平臺內嚴重停機。 此外,當數據集大小在數據平臺內增加,且跨數據登陸區域使用案例的數目增加時,會透過中央網路虛擬設備傳送更多流量。
經過一段時間,這可能會導致透過中央實例傳送的 GB 或甚至數 TB 的數據。 由於現有網路虛擬設備的頻寬通常僅限於一到兩位數的輸送量,因此中央網路虛擬設備可能會成為瓶頸,嚴重限制數據登陸區域之間的流量流量,並限制數據資產共用性。
避免此問題的唯一方法是跨多個實例相應放大您的中央網路虛擬設備,這對此設計具有重大成本影響。
總結: 
傳統中樞和輪輻架構成本
注意
跨對等互連網路存取私人端點時,您只會支付私人端點本身的費用,而不是針對 VNet 對等互連。 您可以在常見問題中 閱讀官方聲明:從對等互連網路存取私人端點時,計費如何運作?。
針對此網路,您每小時需支付記憶體帳戶私人端點的費用。 您也需支付透過私人端點傳送的輸入和輸出流量的費用,以載入原始資料集 (1) 並儲存已處理的數據集 (8)。
您的客戶需支付一個 Vnet 對等互連的輸入和輸出費用(5)。 如先前所述,第一個 Vnet 對等互連不會收費(2)。
如果使用此網路設計(3)和(4),您最終將會產生高中央網路虛擬設備成本。 您必須購買額外的授權,並根據需求調整中央網路虛擬設備,或支付每 GB 處理的費用,因為它已完成 Azure 防火牆。
總結:
傳統中樞和輪輻架構中的頻寬和延遲
此網路設計有嚴重的頻寬限制。 當平臺成長時,中央網路虛擬設備會成為關鍵瓶頸,這會限制跨數據登陸區域使用案例和數據集共用。 它也可能會隨著時間建立多個數據集復本。
此設計也會嚴重影響延遲,這在即時分析案例中變得特別重要。
總結:
傳統中樞和輪輻架構摘要
此中樞和輪輻網路設計具有存取管理和一些服務管理優點,但由於服務管理和頻寬和延遲的重要限制,我們無法針對跨數據登陸區域使用案例建議此網路設計。
私人端點投影架構(不建議)
另一個設計選項是跨每個登陸區域的私人端點投影。 在此設計中,會在每個登陸區域中建立適用於 儲存體 帳戶 A 的私人端點。 這會導致數據登陸區域中的第一個私人端點 A 連線到數據登陸區域 A 中的 Vnet、第二個連線到數據登陸區域 B 中 Vnet 的私人端點等等。
這同樣適用於 儲存體 帳戶 B,而且可能適用於數據登陸區域內的其他服務。 如果我們將數據登陸區域 數目定義為 n,則最後會針對至少所有記憶體帳戶和數據登陸區域內的其他服務,使用 n 個私人端點。 這會導致私人端點數目呈指數增加。
圖 4:私人端點投影架構。
由於特定服務的所有私人端點(例如,儲存體 帳戶 A)具有相同的 FQDN(例如storageaccounta.privatelink.blob.core.windows.net),因此此解決方案會在 DNS 層中建立無法使用 私用 DNS 區域來解決的挑戰。 相反地,您需要能夠根據要求者的來源/IP 位址解析 DNS 名稱的自定義 DNS 解決方案。 這可讓您讓 VMA 連線到連線到數據登陸區域 A 中 Vnet 的私人端點,並讓 VM B 連線到連線到數據登陸區域 B 中 Vnet 的私人端點。您可以使用以 Windows Server 為基礎的設定來執行此動作,而您可以透過活動記錄和 Azure Functions 的組合,將 DNS A 記錄生命週期自動化。
在此設定中,您可以透過本機私人端點 (1) 存取資料集,將 儲存體 帳戶 A 中的原始資料集載入 VM B。 載入並處理資料集 (2) 和 (3)之後,您可以直接存取本機私人端點 #4,將其儲存在 儲存體 帳戶 B 上。 在此案例中,數據不得周遊任何 Vnet 對等互連。
私人端點投影架構中的使用者存取管理
此設計對使用者存取管理的方法類似於 網狀網路架構的方法。 不過,在此設計中,您可以要求其他數據登陸區域的訪問許可權,以建立私人端點,而不只是在指定的數據登陸區域和 Vnet 內,也可以在其他數據登陸區域及其各自的 Vnet 中建立私人端點。
因此,您的數據應用程式小組需要三件事,而不是兩個,才能自行建立新的服務:
- 在指定的數據登陸區域中寫入資源群組的存取權
- 加入其指定子網的存取權
- 存取所有其他數據登陸區域內的資源群組和子網,以建立各自的本機私人端點
此網路設計會增加存取管理層的複雜性,因為您的數據應用程式小組需要每個單一數據登陸區域的許可權。 設計也可能令人困惑,並導致一段時間的 RBAC 不一致。
如果數據登陸區域小組和數據應用程式小組未獲得必要的訪問許可權,就會發生傳統中樞和輪輻架構中所述的問題(不建議使用)。
總結:
私人端點投影架構中的服務管理
這同樣類似於 網狀網路架構 的設計,但此網路設計的優點是沒有網路虛擬設備做為單一失敗點或節流輸送量。 它也會減少中央 Azure 平臺小組的管理額外負荷,方法是不要透過 連線ivity Hub 傳送資料集,因為不需要向外延展虛擬設備。 這表示中央 Azure 平臺小組無法再檢查和記錄數據登陸區域之間傳送的所有流量。 不過,雲端規模分析是橫跨多個訂用帳戶的一致性平臺,可進行規模調整並克服平臺層級的限制,因此這不是缺點。
在單一訂用帳戶內裝載的所有資源時,不會在中央 連線 ivity Hub 中檢查流量。 您仍然可以使用網路安全組流量記錄來擷取網路記錄,而且您可以使用服務特定的診斷 設定 來合併和儲存其他應用程式和服務等級記錄。 您可以使用 Azure 原則大規模擷取所有這些記錄。 另一方面,您的數據平臺所需的網路位址空間會因為所需私人端點的指數增加而增加,這並非最佳。
此網路架構的主要考慮是先前提及的 DNS 挑戰。 您無法以 私用 DNS 區域的形式使用 Azure 原生解決方案,因此此架構需要能夠根據要求者的來源/IP 位址解析 FQDNS 的第三方解決方案。 您也必須開發和維護工具和工作流程,以自動化 私用 DNS A 記錄,相較於建議的 Azure 原則 驅動解決方案,管理額外負荷會大幅增加。
您可以使用 私用 DNS 區域來建立分散式 DNS 基礎結構,但這會建立 DNS 島嶼,這最終會在您嘗試存取租用戶內其他登陸區域中託管的私人鏈接服務時造成問題。 因此,此設計不是可行的選項。
總結:
私人端點投影架構成本
注意
跨對等互連網路存取私人端點時,您只需支付私人端點本身的費用,而不是針對 VNet 對等互連收費。 您可以在常見問題中 閱讀官方聲明:從對等互連網路存取私人端點時,計費如何運作?。
在此網路設計中,您只需支付私人端點的費用(每小時)和透過這些私人端點傳送的輸入和輸出流量,以載入未經處理的數據集 (1) 和儲存已處理的數據集 (4)。 不過,由於數據平臺的私人端點數目呈指數增加,因此必須有額外的成本。 由於每小時會向您收費,因此高度的額外成本量取決於建立多少私人端點。
總結:
私人端點投影架構中的頻寬和延遲
此設計沒有已知的頻寬和延遲限制,因為它沒有網路虛擬設備會限制跨數據登陸區域數據交換的輸送量。 設計的唯一限制因素是數據中心的實體限制(光纖纜線的速度)。
總結:
私人端點投影架構摘要
此網路架構中私人端點的指數成長,可能會讓您無法追蹤哪些私人端點用於哪個位置。 您也受限於存取管理問題和 DNS 層複雜度。 由於這些問題,我們無法針對跨數據登陸區域使用案例建議此網路設計。
連線 ivity Hub 架構中的私人端點(不建議)
另一個網路選項是在 連線 ivity Hub 中裝載私人端點,並將其連線到中樞 Vnet。 在此解決方案中,您會為公司 Vnet 上的每個服務裝載單一私人端點。 由於大部分公司現有的中樞和輪輻網路架構,以及您的 連線ivity中樞在此解決方案中裝載私人端點的事實,因此不需要轉移性。 連線 ivity Hub 與數據登陸區域之間的 Vnet 對等互連可讓您直接存取。
數據會周遊 連線 ivity Hub 與數據登陸區域之間的單一 Vnet 對等互連,以載入儲存在 VM B 中 儲存體 帳戶 A 中的數據集。一旦載入並處理資料集(3)和(4)之後,它會在第二次 (5) 周遊相同的 Vnet 對等互連,最後透過連線至中樞 Vnet 的私人端點 #6 儲存在 儲存體 帳戶 B 中。
圖 5:連線 ivity Hub 架構中的私人端點。
連線ivity Hub 架構中的使用者存取管理
在此網路設計中,您的數據登陸區域小組和數據應用程式小組需要兩件事才能將私人端點連線至中樞 Vnet:
- 將許可權寫入 連線ivity Hub 訂用帳戶中的資源群組
- 將許可權加入中樞 Vnet
您的 連線 ivity Hub 會指定給您組織的 Azure 平臺小組,並專門用來裝載貴組織的必要和共用網路基礎結構(包括防火牆、閘道和網路管理工具)。 此網路選項會使該設計不一致,因為它不會遵循企業級登陸區域基底原則的存取管理原則。 因此,大部分的 Azure 平臺小組都不會核准此設計選項。
總結:
連線ivity Hub 架構中的服務管理
雖然與 網狀網路架構 的設計類似,但此設計沒有網路虛擬設備做為單一失敗點或節流輸送量。 它也會藉由不透過 連線ivity Hub 傳送資料集來減少中央 Azure 平臺小組的管理額外負荷,因為不需要相應放大虛擬設備。 這表示中央 Azure 平臺小組無法再檢查和記錄數據登陸區域之間傳送的所有流量。 不過,雲端規模分析是橫跨多個訂用帳戶的一致性平臺,可進行規模調整並克服平臺層級的限制,因此這不是缺點。
在單一訂用帳戶內裝載的所有資源時,不會在中央 連線 ivity Hub 中檢查流量。 您仍然可以使用網路安全組流量記錄來擷取網路記錄,而且您可以使用服務特定的診斷 設定 來合併和儲存其他應用程式和服務等級記錄。 您可以使用 Azure 原則大規模擷取所有這些記錄。
此設計也可讓您根據 私用 DNS 區域建立 Azure 原生 DNS 解決方案,並可讓您透過 Azure 原則將 DNS A 記錄生命週期自動化。
總結:
連線ivity中樞架構成本
注意
跨對等互連網路存取私人端點時,您只會支付私人端點本身的費用,而不是針對 VNet 對等互連。 您可以在常見問題中 閱讀官方聲明:從對等互連網路存取私人端點時,計費如何運作?。
在此網路設計中,您只需要支付私人端點的費用(每小時)和透過這些私人端點傳送的輸入和輸出流量,以載入原始數據集 (1) 並儲存已處理的數據集 (6)。
總結:
連線ivity Hub 架構中的頻寬和延遲
此設計沒有已知的頻寬和延遲限制,因為它沒有網路虛擬設備會限制跨數據登陸區域數據交換的輸送量。 設計的唯一限制因素是數據中心的實體限制(光纖纜線的速度)。
總結:
連線ivity Hub 架構摘要中的私人端點
雖然此網路架構設計具有多項優點,但其先前提及的存取管理不一致會使它變得不一致。 因此,我們不建議使用此設計方法。
單一區域數據登陸區域連線結論
在所有已檢閱的網路架構選項及其優缺點中, 網狀網路架構 是明確的贏家。 它對於輸送量和成本和管理有很大的好處,這就是為什麼我們建議您在部署雲端規模分析時使用它的原因。 對等互連輪輻虛擬網路以前並不常見,這會導致跨網域和業務單位共用數據集的問題。
您可以將雲端規模分析視為橫跨多個訂用帳戶的一致性解決方案。 在單一訂用帳戶設定中,網路流量流程等於網狀網路架構中的流程。 在單一訂用帳戶設定內,使用者很可能會達到平臺的 訂用帳戶層級限制和配額,而雲端規模分析的目標是要避免這種限制。