Kezdőzóna régiói

  • Cikk

Maga az Azure-beli célzónaarchitektúra régióspecifikus. A rendszer azonban arra kéri, hogy adja meg az Azure-régiókat az Azure-beli célzóna-architektúra üzembe helyezéséhez. Ez a cikk bemutatja, hogyan használják a célzónák az Azure-régiókat. Azt is ismerteti, hogyan adhat hozzá régiót egy meglévő célzónához, és néhány szempontot, amikor az Azure-tulajdont egy másik régióba migrálja.

Az Azure-régiók kiválasztásával kapcsolatos további útmutatásért tekintse meg az Azure-régiók kiválasztása című témakört.

Hogyan használják a célzónák az Azure-régiókat?

Az Azure-beli célzónák erőforrásokból és konfigurációkból állnak. Ezen elemek némelyike, például a felügyeleti csoportok, szabályzatok és szerepkör-hozzárendelések bérlői vagy felügyeleti csoport szintjén vannak tárolva az Azure-beli kezdőzóna architektúrájában, így ezek az erőforrások nem lesznek "üzembe helyezve" egy adott régióban, hanem globálisan vannak üzembe helyezve. Azonban továbbra is meg kell adnia egy üzembehelyezési régiót, mert az Azure nyomon követi az erőforrás metaadatainak egy részét egy regionális metaadattárban.

A többi erőforrás regionálisan van üzembe helyezve. A saját célzóna-konfigurációtól függően előfordulhat, hogy rendelkezik a következő regionálisan üzembe helyezett erőforrások némelyikével vagy mindegyikével:

  • Log Analytics-munkaterület (beleértve a kiválasztott megoldásokat is)
  • Automation-fiók
  • Erőforráscsoportok (a többi erőforrás esetében)

Ha hálózati topológiát helyez üzembe, ki kell választania egy Azure-régiót is a hálózati erőforrások üzembe helyezéséhez. Ez a régió eltérhet az előző listában felsorolt erőforrásokhoz használt régiótól. A kiválasztott topológiától függően az üzembe helyezett hálózati erőforrások a következők lehetnek:

  • Azure Virtual WAN (beleértve a Virtual WAN Hubot)
  • Azure-beli virtuális hálózatok
  • VPN Gateway
  • ExpressRoute-átjáró
  • Azure Firewall
  • Azure DDoS Protection-csomagok
  • Azure saját DNS zónák, beleértve az Azure Private Linket is
  • Erőforráscsoportok, amelyek a fent felsorolt erőforrásokat tartalmazzák

Feljegyzés

A regionális kimaradások hatásának minimalizálása érdekében javasoljuk, hogy az erőforrásokat ugyanabban a régióban helyezze el, mint az erőforráscsoport. További információ: Erőforráscsoport helyének igazítása.

Új régió hozzáadása meglévő célzónához

Érdemes megfontolnia egy többrégiós stratégiát, akár a felhőbeli utazás kezdetétől kezdve, akár az Azure-beli kezdőzóna-architektúra kezdeti üzembe helyezésének befejezése után további Azure-régiókra bontva. Ha például az Azure Site Recovery használatával engedélyezi a virtuális gépek vészhelyreállítását, érdemes lehet egy másik Azure-régióba replikálni őket. Azure-régiók Azure-beli kezdőzóna-architektúrán belüli hozzáadásához vegye figyelembe a következő területeket és javaslatokat:

Terület Ajánlás
Felügyeleti csoportok Nincs szükség műveletre. A felügyeleti csoportok nincsenek régióhoz kötve, és nem ajánlott régiókon alapuló felügyeleticsoport-struktúrát létrehozni.
Feliratkozások Az előfizetések nincsenek régióhoz kötve.
Azure Policy Itt módosíthatja, ha szabályzatokat rendelt hozzá az erőforrás-telepítés minden régióban való letiltásához az "engedélyezett" Azure-régiók listájának megadásával. Ezeket a hozzárendeléseket frissíteni kell, hogy lehetővé tegyék az erőforrások üzembe helyezését az engedélyezni kívánt új régióba.
Szerepköralapú hozzáférés-vezérlés Nincs szükség műveletre. Az Azure RBAC nincs régióhoz kötve.
Monitorozás és naplózás Döntse el, hogy egyetlen Log Analytics-munkaterületet használ-e az összes régióhoz, vagy több munkaterületet hoz létre a különböző földrajzi régiók lefedéséhez. Az egyes megközelítéseknek vannak előnyei és hátrányai, beleértve a régiók közötti hálózatkezelési díjakat is. További információ: Log Analytics-munkaterület architektúrájának tervezése.
Hálózatkezelés Ha hálózati topológiát, Virtual WAN-t vagy hagyományos központot és küllőt helyezett üzembe, bontsa ki a hálózatkezelést az új Azure-régióban. Hozzon létre egy másik hálózati központot a szükséges hálózati erőforrások üzembe helyezésével a meglévő Csatlakozás ivity-előfizetésben az új Azure-régióban. Az Azure Virtual Network Manager megkönnyíti a virtuális hálózatok nagy léptékű bővítését és kezelését több régióban. DNS-szempontból érdemes lehet a továbbítókat is üzembe helyezni, ha használják, az új Azure-régióban. A megoldáshoz használjon továbbítókat küllős virtuális hálózatokhoz az új régióban. Az Azure DNS-zónák globális erőforrások, és nem egyetlen Azure-régióhoz vannak kötve, ezért semmit sem kell tenni velük.
Identitás Ha Active Directory tartományi szolgáltatások vagy Microsoft Entra Domain Services szolgáltatást telepített identitás-előfizetésébe/küllőjébe, bontsa ki a szolgáltatást az új Azure-régióban.

Feljegyzés

A régión belüli magas rendelkezésre álláshoz rendelkezésre állási zónákat is használnia kell. Ellenőrizze, hogy a rendelkezésre állási zónák támogatottak-e a kiválasztott régiókban és a használni kívánt szolgáltatásokban.

A Microsoft Cloud for Sovereignty irányelveket biztosít a szolgáltatások és régiók korlátozásához. Ezekkel az irányelvekkel kényszerítheti ki a szolgáltatáskonfigurációt, hogy az ügyfelek elérhessék az adattárolási igényeiket.

Magas szintű megközelítés

Amikor egy Azure-beli célzónát új régióvá bővít, fontolja meg az alábbi szakaszok lépéseit. A kezdés előtt el kell döntenie, hogy egy új Azure-régiót vagy több Azure-régiót szeretne-e bővíteni.

Hálózatkezelés

Hagyományos küllős architektúra

Tipp.

Tekintse át az Azure célzóna tervezési területét a hagyományos központ- és küllős architektúrához.

  1. Döntse el, hogy szükség van-e új platformra vonatkozó célzóna-előfizetésre. Azt javasoljuk, hogy a legtöbb ügyfél használja meglévő Csatlakozás ivity-előfizetését, még akkor is, ha több régiót használ.
  2. Az előfizetésen belül hozzon létre egy új erőforráscsoportot az új célrégióban.
  3. Hozzon létre egy új központi virtuális hálózatot az új célrégióban.
  4. Ha lehetséges, telepítse az Azure Firewallt vagy a hálózati virtuális berendezéseket (NVA-kat) az új központi virtuális hálózatba.
  5. Ha lehetséges, virtuális hálózati átjárókat helyez üzembe a VPN- és/vagy ExpressRoute-kapcsolatokhoz, és hozzon létre kapcsolatokat. Győződjön meg arról, hogy az ExpressRoute-kapcsolatcsoportok és a helyszíni helyek a Microsoft rugalmassági javaslatait követik. További információ: Vészhelyreállítás tervezése az ExpressRoute privát társviszony-létesítéssel.
  6. Virtuális hálózatok közötti társviszony létesítése az új központi virtuális hálózat és a többi központi virtuális hálózat között.
  7. Hozzon létre és konfiguráljon minden szükséges útválasztást, például az Azure Route Servert vagy a felhasználó által megadott útvonalakat.
  8. Ha szükséges, engedélyezze a névfeloldást az új célrégió DNS-továbbítóinak üzembe helyezésével és bármely privát DNS-zónához való csatolással.
    • Egyes ügyfelek az Identitásplatform kezdőzóna-előfizetésében konfigurálhatják a névfeloldásokat az Active Directory-tartományvezérlőiken.

A számítási feladatok üzemeltetéséhez ezután virtuális hálózati társviszony-létesítéssel csatlakoztathatja az alkalmazás kezdőzónájának küllőit az új régió új központi virtuális hálózatához.

Tipp.

Az Azure Virtual Network Manager megkönnyíti a virtuális hálózatok nagy léptékű bővítését és kezelését több régióban.

Virtual WAN-architektúra

Tipp.

Tekintse át a Virtual WAN-architektúra Azure-beli kezdőzónájának tervezési területét.

  1. A meglévő virtuális WAN-ban hozzon létre egy új virtuális központot az új célrégióban.
  2. Az Azure Firewall vagy más támogatott hálózati virtuális berendezések (NVA-k) üzembe helyezése az új virtuális központban. Konfigurálja az Azure Virtual WAN útválasztási szándékát és útválasztási szabályzatát a forgalom átirányításához az új biztonságos virtuális központban.
  3. Ha lehetséges, helyezzen üzembe virtuális hálózati átjárókat VPN- és/vagy ExpressRoute-kapcsolatokhoz az új virtuális központban, és hozzon létre kapcsolatokat. Győződjön meg arról, hogy az ExpressRoute-kapcsolatcsoportok és a helyszíni helyek a Microsoft rugalmassági javaslatait követik. További információ: Vészhelyreállítás tervezése az ExpressRoute privát társviszony-létesítéssel.
  4. Ha van ilyen, hozzon létre és konfiguráljon bármilyen más szükséges útválasztást, például a virtuális központ statikus útvonalait.
  5. Ha lehetséges, helyezzen üzembe DNS-továbbítókat az új célrégióhoz, és csatolja a privát DNS-zónákat a megoldás engedélyezéséhez.
    • Egyes ügyfelek az Identitásplatform kezdőzóna-előfizetésében konfigurálhatják a névfeloldásokat az Active Directory-tartományvezérlőiken.
    • A Virtual WAN-környezetekben ennek küllős virtuális hálózaton kell lennie, amely virtuális hálózati kapcsolaton keresztül csatlakozik a virtuális központhoz a Virtual Hub bővítménymintáját követve.

A számítási feladatok üzemeltetéséhez ezután virtuális hálózati kapcsolatok használatával csatlakoztathatja az alkalmazás kezdőzónájának küllőit a virtuális WAN új virtuális központjához az új régióban.

Identitás

Tipp.

Tekintse át az Azure célzóna tervezési területét az identitás- és hozzáférés-kezeléshez.

  1. Döntse el, hogy új platform kezdőzóna-előfizetésre van-e szüksége. Azt javasoljuk, hogy a legtöbb ügyfél használja a meglévő identitás-előfizetését , még akkor is, ha több régiót használ.
  2. Hozzon létre egy új erőforráscsoportot az új célrégióban.
  3. Hozzon létre egy új virtuális hálózatot az új célrégióban.
  4. Virtuális hálózatok közötti társviszony létesítése az újonnan létrehozott regionális központ virtuális hálózatával a Csatlakozás ivity-előfizetésben.
  5. Az identitásterhelések, például az Active Directory tartományvezérlő virtuális gépek üzembe helyezése az új virtuális hálózaton.
    • Előfordulhat, hogy a számítási feladatok üzembe helyezése után további beállításokat kell végrehajtania, például a következő konfigurációs lépéseket:
      • Az Active Directory tartományvezérlő virtuális gépeinek előléptetése a meglévő Active Directory-tartományba.
      • Hozzon létre új Active Directory-helyeket és alhálózatokat.
      • Konfigurálja a DNS-kiszolgáló beállításait, például a feltételes továbbítókat.

Az Azure-tulajdon áthelyezése új régióba

Előfordulhat, hogy a teljes Azure-tulajdont egy másik régióba kell áthelyeznie. Tegyük fel például, hogy a kezdőzónát és a számítási feladatokat egy szomszédos országban/régióban lévő Azure-régióban helyezte üzembe, majd egy új Azure-régió indul el az ön országában/régiójában. Dönthet úgy, hogy az összes számítási feladatot áthelyezi az új régióba a kommunikációs késés javítása vagy az adattárolási követelmények teljesítése érdekében.

Feljegyzés

Ez a dokumentum csak a birtok kezdőzóna-összetevőinek migrálásáról nyújt információt. A számítási feladatok összetevőinek áthelyezéséről további információt a felhőbeli számítási feladatok áthelyezése című témakörben talál.

Globális célzóna-konfiguráció

A globálisan üzembe helyezett célzóna-konfiguráció nagy részét általában nem kell módosítani régiók áthelyezésekor. Ellenőrizze azonban, hogy vannak-e olyan szabályzat-hozzárendelések, amelyek korlátozzák a régiótelepítéseket, és frissíti a szabályzatot, hogy engedélyezve legyen az új régióba történő üzembe helyezés.

Regionális célzóna-erőforrások

A régióspecifikus célzóna-erőforrások gyakran több figyelmet igényelnek, mivel egyes Azure-erőforrások nem helyezhetők át régiók között. Fontolja meg a következő megközelítést:

  1. Adja hozzá a célrégiót további régióként a célzónához. Kövesse az Új régió hozzáadása meglévő célzónához című témakörben található útmutatást.
  2. Központi összetevők üzembe helyezése a célrégióban. Helyezzen üzembe például egy új Log Analytics-munkaterületet a célrégióban, hogy a számítási feladatok megkezdjék az új összetevő használatát az áttelepítéskor.
  3. Migrálja a számítási feladatokat a forrásrégióból a célrégióba. A számítási feladatok migrálási folyamata során konfigurálja újra az erőforrásokat a célrégió hálózati összetevőinek, identitásösszetevőinek, Log Analytics-munkaterületének és más regionális erőforrásoknak a használatára.
  4. A migrálás befejezése után szerelje le a forrásrégióban lévő erőforrásokat.

A kezdőzóna-erőforrások régiók közötti migrálásakor vegye figyelembe az alábbi tippeket:

  • Infrastruktúra használata kódként: Az összetett konfiguráció, például az Azure Firewall szabályai bicep, ARM-sablonok, Terraform, szkriptek vagy hasonló megközelítés használatával exportálhatók és importálhatók újra.
  • Azure Automation: Az Azure Automation útmutatást és szkripteket biztosít az Azure Automation-erőforrások régiók közötti migrálásához.
  • ExpressRoute: Fontolja meg, hogy használhatja-e az ExpressRoute Localt a célrégióban. Ha a helyszíni környezetek ugyanabban a nagyvárosi területen belül vannak, mint az Azure-régió, az ExpressRoute Local a többi ExpressRoute termékváltozatnál alacsonyabb költségű lehetőséget biztosíthat.

Következő lépések

A célzóna szabályozásának javítása