Megosztás a következőn keresztül:

Kezdőzóna régiói

  • Cikk

Ez a cikk bemutatja, hogyan használják a célzónák az Azure-régiókat. Az Azure-beli célzóna architektúra régiószintű, de meg kell adnia az Azure-régiókat az Azure-beli célzóna-architektúra üzembe helyezéséhez. Az alábbi útmutató bemutatja, hogyan adhat hozzá régiót egy meglévő célzónához, és figyelembe veszi az Azure-tulajdon másik régióba való migrálásának szempontjait is.

Bizonyos esetekben több Azure-régióban kell üzembe helyeznie az alkalmazásokat a magas rendelkezésre állási és vészhelyreállítási üzleti követelmények támogatása érdekében. Előfordulhat, hogy nincs azonnali szüksége többrégiós alkalmazásokra, de az Azure-beli célzónaplatformot úgy kell megterveznie, hogy több régiót is támogatjon, különösen a kapcsolati, identitáskezelési és felügyeleti szolgáltatások esetében. Győződjön meg arról, hogy gyorsan engedélyezheti és támogathatja a többrégiós alkalmazás kezdőzónákat.

További információ: Azure-régiók kiválasztása.

Célzónák és Azure-régiók

Az Azure-beli célzónák erőforrásokból és konfigurációkból állnak. Ezen elemek némelyike, például a felügyeleti csoportok, szabályzatok és szerepkör-hozzárendelések bérlői vagy felügyeleti csoportok szintjén vannak tárolva az Azure célzóna architektúrájában. Ezek az erőforrások nem egy adott régióban vannak üzembe helyezve , hanem globálisan vannak üzembe helyezve. Azonban továbbra is meg kell adnia egy üzembehelyezési régiót, mert az Azure nyomon követi az erőforrás metaadatainak egy részét egy regionális metaadattárban.

A többi erőforrás regionálisan van üzembe helyezve. A saját célzóna-konfigurációtól függően előfordulhat, hogy rendelkezik a következő regionálisan üzembe helyezett erőforrások némelyikével vagy mindegyikével:

  • Azure Monitor Logs-munkaterület, beleértve a kiválasztott megoldásokat is
  • Azure Automation-fiók
  • Erőforráscsoportok a többi erőforráshoz

Ha hálózati topológiát helyez üzembe, ki kell választania egy Azure-régiót is a hálózati erőforrások üzembe helyezéséhez. Ez a régió eltérhet az előző listában felsorolt erőforrásokhoz használt régiótól. A kiválasztott topológiától függően az üzembe helyezett hálózati erőforrások a következők lehetnek:

  • Azure Virtual WAN, beleértve egy Virtual WAN-központot
  • Azure-beli virtuális hálózatok
  • VPN Gateway
  • Azure ExpressRoute-átjáró
  • Azure Firewall
  • Azure DDoS Protection-csomagok
  • Azure-beli privát DNS-zónák, beleértve az Azure Private Link zónáinak használatát
  • Az előző erőforrásokat tartalmazó erőforráscsoportok

Feljegyzés

A regionális kimaradások hatásának minimalizálása érdekében javasoljuk, hogy az erőforrásokat ugyanabban a régióban helyezze el, mint az erőforráscsoport. További információ: Erőforráscsoport helyének igazítása.

Új régió hozzáadása meglévő célzónához

Érdemes megfontolnia egy többrégiós stratégiát, akár a felhőbeli utazás kezdetétől, akár az Azure-beli kezdőzóna-architektúra kezdeti üzembe helyezésének befejezése után további Azure-régiókra való bővítéssel. Ha például az Azure Site Recovery használatával engedélyezi a virtuális gépek vészhelyreállítását, érdemes lehet egy másik Azure-régióba replikálni őket. Azure-régiók Azure-beli kezdőzóna-architektúrán belüli hozzáadásához vegye figyelembe az alábbi javaslatokat:

Terület Ajánlás
Felügyeleti csoportok Nincs szükség műveletre. A felügyeleti csoportok nincsenek régióhoz kötve. Ne hozzon létre régiókon alapuló felügyeleticsoport-struktúrát.
Előfizetések Az előfizetések nincsenek régióhoz kötve.
Azure Policy Módosítsa az Azure Policyt, ha szabályzatokat rendelt hozzá az erőforrások minden régióban való üzembe helyezésének megtagadásához az "engedélyezett" Azure-régiók listájának megadásával. Frissítse ezeket a hozzárendeléseket, hogy lehetővé tegye az erőforrások üzembe helyezését az engedélyezni kívánt új régióban.
Szerepköralapú hozzáférés-vezérlés (RBAC) Nincs szükség műveletre. Az Azure RBAC nincs régióhoz kötve.
Monitorozás és naplózás Döntse el, hogy egyetlen Azure Monitor-napló-munkaterületet használ-e minden régióhoz, vagy több munkaterületet hoz létre a különböző földrajzi régiók lefedéséhez. Minden megközelítésnek vannak előnyei és hátrányai, beleértve a régiók közötti hálózatkezelési díjakat is. További információ: Log Analytics-munkaterület architektúrájának tervezése.
Hálózat Ha hálózati topológiát, Virtual WAN-t vagy hagyományos küllős központot helyez üzembe, bontsa ki a hálózatkezelést az új Azure-régióban. Hozzon létre egy másik hálózati központot a szükséges hálózati erőforrások üzembe helyezésével a meglévő Csatlakozás ivity-előfizetésben az új Azure-régióban. Az Azure Virtual Network Manager megkönnyíti a virtuális hálózatok nagy léptékű bővítését és kezelését több régióban. Tartománynévrendszer (DNS) szempontjából érdemes lehet továbbítókat is üzembe helyezni, ha használja őket, az új Azure-régióban. A megoldáshoz használjon továbbítókat küllős virtuális hálózatokhoz az új régióban. Az Azure DNS-zónák globális erőforrások, és nem egyetlen Azure-régióhoz vannak kötve, ezért nem igényelnek semmilyen műveletet.
Identitás Ha Active Directory tartományi szolgáltatások vagy Microsoft Entra Domain Services szolgáltatást telepített identitás-előfizetésébe vagy küllőjébe, bontsa ki a szolgáltatást az új Azure-régióba.

Feljegyzés

A régión belüli magas rendelkezésre álláshoz rendelkezésre állási zónákat is használnia kell. Ellenőrizze, hogy a régiók és szolgáltatások támogatják-e a rendelkezésre állási zónákat.

A Microsoft Cloud for Sovereignty irányelveket biztosít a szolgáltatások és régiók korlátozásához. Ezekkel az irányelvekkel kényszerítheti ki a szolgáltatáskonfigurációt, hogy az ügyfelek elérhessék az adattárolási igényeiket.

Magas szintű megközelítés

Amikor egy Azure-beli célzónát új régióvá bővít, fontolja meg az alábbi szakaszok lépéseit. A kezdés előtt el kell döntenie, hogy egy új Azure-régiót vagy több Azure-régiót szeretne-e bővíteni.

Hálózat

Hagyományos küllős architektúra

Tipp.

Tekintse meg a hagyományos küllős architektúrát.

  1. Döntse el, hogy szüksége van-e új platformra vonatkozó célzóna-előfizetésre. Azt javasoljuk, hogy a legtöbb ügyfél használja meglévő Csatlakozás ivity-előfizetését, még akkor is, ha több régiót használ.

  2. Az előfizetésen belül hozzon létre egy új erőforráscsoportot az új célrégióban.

  3. Hozzon létre egy új központi virtuális hálózatot az új célrégióban.

  4. Ha lehetséges, telepítse az Azure Firewallt vagy a hálózati virtuális berendezéseket (NVA-kat) az új központi virtuális hálózatba.

  5. Ha lehetséges, helyezzen üzembe virtuális hálózati átjárókat VPN- vagy ExpressRoute-kapcsolatokhoz, és hozzon létre kapcsolatokat. Győződjön meg arról, hogy az ExpressRoute-kapcsolatcsoportok és a helyszíni helyek a Microsoft rugalmassági javaslatait követik. További információ: Vészhelyreállítás tervezése az ExpressRoute privát társviszony-létesítéssel.

  6. Virtuális hálózatok közötti társviszony létesítése az új központi virtuális hálózat és a többi központi virtuális hálózat között.

  7. Hozzon létre és konfiguráljon minden szükséges útválasztást, például az Azure Route Servert vagy a felhasználó által megadott útvonalakat.

  8. Ha szükséges, helyezzen üzembe DNS-továbbítókat az új célrégióhoz, és csatolja a privát DNS-zónákat a névfeloldás engedélyezéséhez.

    • Egyes ügyfelek konfigurálhatják a névfeloldásokat a Windows Server Active Directory-tartományvezérlőiken az Identitásplatform kezdőzóna-előfizetésében.

A számítási feladatok üzemeltetéséhez ezután virtuális hálózati társviszony-létesítéssel csatlakoztathatja az alkalmazás kezdőzónájának küllőit az új régió új központi virtuális hálózatához.

Tipp.

A Virtual Network Manager segítségével több régióban is egyszerűbben bővítheti és kezelheti a virtuális hálózatokat.

Virtual WAN-architektúra

Tipp.

Tekintse meg a Virtual WAN architektúrát.

  1. A meglévő Virtual WAN-ban hozzon létre egy új virtuális központot az új célrégióban.

  2. Az Azure Firewall vagy más támogatott hálózati virtuális berendezések (NVA-k) üzembe helyezése az új virtuális központban. A Virtual WAN útválasztási szándékának és útválasztási szabályzatainak konfigurálása a forgalom átirányításához az új biztonságos virtuális központon keresztül.

  3. Ha lehetséges, helyezzen üzembe virtuális hálózati átjárókat VPN- vagy ExpressRoute-kapcsolatokhoz az új virtuális központban, és hozzon létre kapcsolatokat. Győződjön meg arról, hogy az ExpressRoute-kapcsolatcsoportok és a helyszíni helyek a Microsoft rugalmassági javaslatait követik. További információ: Vészhelyreállítás tervezése az ExpressRoute privát társviszony-létesítéssel.

  4. Hozzon létre és konfiguráljon minden egyéb szükséges útválasztást, például a virtuális központ statikus útvonalait.

  5. Ha lehetséges, helyezzen üzembe DNS-továbbítókat az új célrégióhoz, és csatolja a privát DNS-zónákat a megoldás engedélyezéséhez.

    • Egyes ügyfelek az Identitásplatform kezdőzóna-előfizetésében konfigurálhatják a névfeloldásokat az Active Directory-tartományvezérlőiken.

    • A Virtual WAN-üzemelő példányokban ennek egy küllős virtuális hálózaton kell lennie, amely egy virtuális hálózati kapcsolaton keresztül csatlakozik a virtuális központhoz a Virtual Hub bővítménymintáját követve.

A számítási feladatok üzemeltetéséhez ezután virtuális hálózati társviszony-létesítéssel csatlakoztathatja az alkalmazás kezdőzónájának küllőit az új régió új központi virtuális hálózatához.

Identitás

Tipp.

Tekintse át az Azure célzóna tervezési területét az identitás- és hozzáférés-kezeléshez.

  1. Döntse el, hogy új platform kezdőzóna-előfizetésre van-e szüksége. Azt javasoljuk, hogy a legtöbb ügyfél használja a meglévő identitás-előfizetését , még akkor is, ha több régiót használ.

  2. Hozzon létre egy új erőforráscsoportot az új célrégióban.

  3. Hozzon létre egy új virtuális hálózatot az új célrégióban.

  4. Virtuális hálózatok közötti társviszony létesítése az újonnan létrehozott regionális központ virtuális hálózatával a Csatlakozás ivity-előfizetésben.

  5. Az identitásterhelések, például az Active Directory tartományvezérlő virtuális gépek üzembe helyezése az új virtuális hálózaton.

    • Előfordulhat, hogy a számítási feladatok üzembe helyezése után további beállításokat kell végrehajtania, például a következő konfigurációs lépéseket:

      • Az Active Directory tartományvezérlő virtuális gépeinek előléptetése a meglévő Active Directory-tartományba.

      • Hozzon létre új Active Directory-helyeket és alhálózatokat.

      • Konfigurálja a DNS-kiszolgáló beállításait, például a feltételes továbbítókat.

Az Azure-tulajdon áthelyezése új régióba

Előfordulhat, hogy a teljes Azure-tulajdont egy másik régióba kell áthelyeznie. Tegyük fel például, hogy a kezdőzónát és a számítási feladatokat egy szomszédos országban vagy régióban lévő Azure-régióban helyezte üzembe, majd egy új Azure-régió indul el az ön országában vagy régiójában. Dönthet úgy, hogy az összes számítási feladatot áthelyezi az új régióba a kommunikációs késés javítása vagy az adattárolási követelmények teljesítése érdekében.

Feljegyzés

Ez a cikk a birtok kezdőzóna-összetevőinek migrálásával kapcsolatos információkat tartalmaz. További információ: Felhőbeli számítási feladatok áthelyezése.

Globális célzóna-konfiguráció

A globálisan üzembe helyezett célzóna-konfiguráció nagy részét általában nem kell módosítani régiók áthelyezésekor. Ellenőrizze azonban, hogy vannak-e olyan szabályzat-hozzárendelések, amelyek korlátozzák a régiótelepítéseket, és frissíti a szabályzatot, hogy engedélyezve legyen az új régióba történő üzembe helyezés.

Regionális célzóna-erőforrások

A régióspecifikus kezdőzóna-erőforrások gyakran több figyelmet igényelnek, mivel egyes Azure-erőforrások nem helyezhetők át régiók között. Fontolja meg a következő megközelítést:

  1. Adja hozzá a célrégiót további régióként a célzónához: További információ : Új régió hozzáadása meglévő célzónához.

  2. Központi összetevők üzembe helyezése a célrégióban: Például helyezzen üzembe egy új Azure Monitor Logs-munkaterületet a célrégióban, hogy a számítási feladatok a számítási feladat áttelepítése után elkezdjék használni az új összetevőt.

  3. A számítási feladatok migrálása a forrásrégióból a célrégióba: A számítási feladatok áttelepítése során konfigurálja újra az erőforrásokat a célrégió hálózati összetevőinek, identitásösszetevőinek, az Azure Monitor Naplók munkaterületének és más regionális erőforrásoknak a használatára.

  4. A migrálás befejezése után szerelje le a forrásrégióban lévő erőforrásokat.

A célzóna-erőforrások régiók közötti migrálásakor vegye figyelembe az alábbi tippeket:

  • Infrastruktúra használata kódként: Bicep-, Azure Resource Manager-sablonok (ARM-sablonok), Terraform- és szkriptkészítési módszerek használata, vagy hasonló megközelítés az összetett konfigurációk, például az Azure Firewall szabályainak exportálásához és újraimportálásához.

  • Automatizálás: Szkriptek használatával migrálhatja az Automation-erőforrásokat a régiók között.

  • ExpressRoute: Fontolja meg, hogy használhatja-e az ExpressRoute helyi termékváltozatát a célrégióban. Ha a helyszíni környezetek ugyanabban a nagyvárosi területen belül vannak, mint az Azure-régió, az ExpressRoute Local a többi ExpressRoute termékváltozathoz képest alacsonyabb költségű lehetőséget biztosíthat.

Következő lépés

A célzóna szabályozásának javítása