Wilayah zona pendaratan
Arsitektur zona pendaratan Azure itu sendiri bersifat agnostik wilayah. Namun, Anda diminta untuk menentukan wilayah Azure untuk menyebarkan arsitektur zona pendaratan Azure Anda. Artikel ini menjelaskan cara zona pendaratan menggunakan wilayah Azure. Ini juga menjelaskan cara menambahkan wilayah ke zona pendaratan yang ada, dan beberapa pertimbangan saat Anda memigrasikan properti Azure Anda ke wilayah yang berbeda.
Untuk panduan selengkapnya tentang memilih wilayah Azure, lihat Memilih wilayah Azure.
Cara zona pendaratan menggunakan wilayah Azure
Zona pendaratan Azure terdiri dari sekumpulan sumber daya dan konfigurasi. Beberapa item ini, seperti grup manajemen, kebijakan, dan penetapan peran, disimpan di tingkat penyewa atau grup manajemen dalam arsitektur zona pendaratan Azure, sehingga sumber daya ini tidak "disebarkan" ke wilayah tertentu dan sebaliknya disebarkan secara global. Namun, Anda masih perlu menentukan wilayah penyebaran karena Azure melacak beberapa metadata sumber daya di penyimpanan metadata regional.
Sumber daya lain disebarkan secara regional. Bergantung pada konfigurasi zona pendaratan Anda sendiri, Anda mungkin memiliki beberapa atau semua sumber daya yang disebarkan secara regional berikut:
- Ruang kerja Analitik Log (termasuk solusi yang dipilih)
- Akun Automation
- Grup sumber daya (untuk sumber daya lainnya)
Jika Anda menyebarkan topologi jaringan, Anda juga perlu memilih wilayah Azure untuk menyebarkan sumber daya jaringan. Wilayah ini bisa berbeda dari wilayah yang Anda gunakan untuk sumber daya yang tercantum dalam daftar sebelumnya. Bergantung pada topologi yang Anda pilih, sumber daya jaringan yang Anda sebarkan mungkin meliputi:
- Azure Virtual WAN (termasuk Hub Virtual WAN)
- Jaringan virtual Azure
- Gateway VPN
- Gateway ExpressRoute
- Azure Firewall
- Paket Azure DDoS Protection
- Zona DNS Privat Azure, termasuk untuk Azure Private Link
- Grup sumber daya, untuk berisi sumber daya yang tercantum di atas
Catatan
Untuk meminimalkan efek pemadaman regional, kami sarankan Anda menempatkan sumber daya di wilayah yang sama dengan grup sumber daya. Untuk informasi selengkapnya, lihat Perataan lokasi grup sumber daya.
Menambahkan wilayah baru ke zona pendaratan yang sudah ada
Anda harus mempertimbangkan strategi multi-wilayah, baik dari awal perjalanan cloud Anda, atau dengan memperluas ke lebih banyak wilayah Azure setelah Anda menyelesaikan penyebaran awal arsitektur zona pendaratan Azure Anda. Misalnya, jika Anda mengaktifkan pemulihan bencana untuk mesin virtual menggunakan Azure Site Recovery, Anda mungkin ingin mereplikasinya ke wilayah Azure yang berbeda. Untuk menambahkan wilayah Azure dalam arsitektur zona arahan Azure, pertimbangkan area dan rekomendasi berikut:
| Luas | Rekomendasi |
|---|---|
| Grup pengelolaan | Tidak ada tindakan yang diperlukan. Grup manajemen tidak terkait dengan suatu wilayah, dan bukan praktik yang baik untuk membuat struktur grup manajemen berdasarkan wilayah. |
| Langganan | Langganan tidak terkait dengan wilayah. |
| Kebijakan Azure | Buat perubahan di sini jika Anda menetapkan kebijakan untuk menolak penyebaran sumber daya ke semua wilayah dengan menentukan daftar wilayah Azure yang "diizinkan". Tugas ini harus diperbarui untuk memungkinkan penyebaran sumber daya ke wilayah baru yang ingin Anda aktifkan. |
| Kontrol Akses Berbasis Peran | Tidak ada tindakan yang diperlukan. Azure RBAC tidak terikat pada suatu wilayah. |
| Pemantauan dan pengelogan | Putuskan apakah akan menggunakan satu ruang kerja Analitik Log untuk semua wilayah, atau membuat beberapa ruang kerja untuk mencakup wilayah geografis yang berbeda. Ada kelebihan dan kekurangan dari setiap pendekatan, termasuk potensi biaya jaringan lintas wilayah. Untuk informasi selengkapnya, lihat Mendesain arsitektur ruang kerja Analitik Log. |
| Jaringan | Jika Anda menyebarkan topologi jaringan, Virtual WAN, atau hub dan spoke tradisional, perluas jaringan ke wilayah Azure baru. Buat hub jaringan lain nya dengan menyebarkan sumber daya jaringan yang diperlukan ke langganan Konektivitas yang ada di wilayah Azure yang baru. Azure Virtual Network Manager dapat memudahkan untuk memperluas dan mengelola jaringan virtual dalam skala besar di beberapa wilayah. Dari perspektif DNS, Anda mungkin juga ingin menyebarkan penerus, jika digunakan, ke wilayah Azure baru. Gunakan penerus untuk jaringan virtual spoke di wilayah baru untuk resolusi. Zona Azure DNS adalah sumber daya global dan tidak terkait dengan satu wilayah Azure, jadi tidak ada yang perlu dilakukan padanya. |
| Identitas | Jika Anda menyebarkan Active Directory Domain Services atau Microsoft Entra Domain Services ke langganan/spoke Identitas Anda, perluas layanan ke wilayah Azure baru. |
Catatan
Anda juga harus menggunakan zona ketersediaan untuk ketersediaan tinggi dalam suatu wilayah. Periksa apakah zona ketersediaan didukung di wilayah yang Anda pilih dan untuk layanan yang ingin Anda gunakan.
Microsoft Cloud for Sovereignty memiliki panduan untuk membatasi layanan dan wilayah. Anda dapat menggunakan panduan ini untuk menerapkan konfigurasi layanan untuk membantu pelanggan mencapai kebutuhan residensi data mereka.
Pendekatan tingkat tinggi
Saat Anda memperluas zona pendaratan Azure ke wilayah baru, pertimbangkan untuk mengikuti langkah-langkah di bagian ini. Sebelum memulai, Anda perlu memutuskan wilayah Azure baru, atau beberapa wilayah Azure, untuk diperluas.
Jaringan
Arsitektur hub &spoke tradisional
Tip
Tinjau area desain zona pendaratan Azure untuk arsitektur hub dan spoke tradisional.
- Tentukan apakah langganan zona pendaratan platform baru diperlukan. Kami menyarankan agar sebagian besar pelanggan menggunakan langganan Koneksi ivity yang ada, bahkan ketika mereka menggunakan beberapa wilayah.
- Dalam langganan, buat grup sumber daya baru di wilayah target baru.
- Buat jaringan virtual hub baru di wilayah target baru.
- Jika berlaku, sebarkan Azure Firewall atau appliance virtual jaringan (NVA) ke jaringan virtual hub baru Anda.
- Jika berlaku, sebarkan gateway jaringan virtual untuk konektivitas VPN dan/atau ExpressRoute, dan buat koneksi. Pastikan sirkuit ExpressRoute dan lokasi lokal Anda mengikuti rekomendasi ketahanan Microsoft. Untuk informasi selengkapnya, lihat Merancang untuk pemulihan bencana dengan peering privat ExpressRoute.
- Buat peering jaringan virtual antara jaringan virtual hub baru dan jaringan virtual hub lainnya.
- Buat dan konfigurasikan perutean yang diperlukan, seperti Azure Route Server atau rute yang ditentukan pengguna.
- Jika diperlukan, aktifkan resolusi nama dengan menyebarkan penerus DNS untuk wilayah target baru dan menautkan ke zona DNS privat apa pun.
- Beberapa pelanggan mungkin mengonfigurasi resolusi nama pada pengontrol domain Direktori Aktif mereka dalam langganan zona pendaratan platform Identitas .
Untuk menghosting beban kerja, Anda kemudian dapat menghubungkan spoke zona pendaratan aplikasi ke jaringan virtual hub baru di wilayah baru dengan menggunakan peering jaringan virtual.
Tip
Azure Virtual Network Manager dapat memudahkan untuk memperluas dan mengelola jaringan virtual dalam skala besar di beberapa wilayah.
Rancangan Azure Virtual WAN
Tip
Tinjau area desain zona pendaratan Azure untuk arsitektur Virtual WAN.
- Dalam WAN virtual Anda yang ada, buat hub virtual baru di wilayah target baru.
- Sebarkan Azure Firewall atau appliance virtual jaringan (NVA) lain yang didukung ke hub virtual baru Anda. Konfigurasikan niat perutean dan kebijakan perutean Azure Virtual WAN untuk merutekan lalu lintas melalui hub virtual aman baru.
- Jika berlaku, sebarkan gateway jaringan virtual untuk konektivitas VPN dan/atau ExpressRoute di hub virtual baru dan buat koneksi. Pastikan sirkuit ExpressRoute dan lokasi lokal Anda mengikuti rekomendasi ketahanan Microsoft. Untuk informasi selengkapnya, lihat Merancang untuk pemulihan bencana dengan peering privat ExpressRoute.
- Jika berlaku, buat dan konfigurasikan perutean lain yang Anda butuhkan, seperti rute statis hub virtual.
- Jika berlaku, sebarkan penerus DNS untuk wilayah target baru dan tautkan ke zona DNS privat apa pun untuk mengaktifkan resolusi.
- Beberapa pelanggan mungkin mengonfigurasi resolusi nama pada pengontrol domain Direktori Aktif mereka dalam langganan zona pendaratan platform Identitas .
- Dalam penyebaran Virtual WAN, ini harus berada di jaringan virtual spoke yang terhubung ke hub virtual melalui koneksi jaringan virtual, mengikuti pola ekstensi Hub virtual.
Untuk menghosting beban kerja, Anda kemudian dapat menghubungkan spoke zona pendaratan aplikasi ke hub virtual baru WAN virtual di wilayah baru dengan menggunakan koneksi jaringan virtual.
Identitas
Tip
Tinjau area desain zona arahan Azure untuk manajemen identitas dan akses.
- Tentukan apakah Anda memerlukan langganan zona pendaratan platform baru. Kami menyarankan agar sebagian besar pelanggan menggunakan langganan Identitas yang ada, bahkan ketika mereka menggunakan beberapa wilayah.
- Buat grup sumber daya baru di wilayah target baru.
- Buat jaringan virtual baru di wilayah target baru.
- Buat peering jaringan virtual kembali ke jaringan virtual hub regional yang baru dibuat dalam langganan Koneksi ivity.
- Sebarkan beban kerja identitas, seperti komputer virtual pengontrol domain Active Directory, ke jaringan virtual baru.
- Anda mungkin perlu melakukan lebih banyak penyiapan beban kerja setelah disediakan, seperti langkah-langkah konfigurasi berikut:
- Promosikan komputer virtual pengontrol domain Active Directory ke domain Direktori Aktif yang ada.
- Buat situs dan subnet Direktori Aktif baru.
- Mengonfigurasi pengaturan server DNS seperti penerus kondisional.
- Anda mungkin perlu melakukan lebih banyak penyiapan beban kerja setelah disediakan, seperti langkah-langkah konfigurasi berikut:
Memindahkan estate Azure Anda ke wilayah baru
Terkadang, Anda mungkin perlu memindahkan seluruh properti Azure Anda ke wilayah yang berbeda. Misalnya, Anda menyebarkan zona pendaratan dan beban kerja ke wilayah Azure di negara/wilayah tetangga, lalu wilayah Azure baru diluncurkan di negara/wilayah asal Anda. Anda mungkin memilih untuk memindahkan semua beban kerja Anda ke wilayah baru untuk meningkatkan latensi komunikasi, atau untuk mematuhi persyaratan residensi data.
Catatan
Dokumen ini hanya menyediakan informasi tentang memigrasikan komponen zona pendaratan estate Anda. Untuk informasi selengkapnya tentang merelokasi komponen beban kerja Anda, lihat Merelokasi beban kerja cloud.
Konfigurasi zona pendaratan global
Sebagian besar konfigurasi zona pendaratan yang disebarkan secara global biasanya tidak perlu dimodifikasi saat Anda memindahkan wilayah. Namun, pastikan Anda memeriksa penetapan kebijakan apa pun yang membatasi penyebaran wilayah dan memperbarui kebijakan untuk memungkinkan penyebaran ke wilayah baru.
Sumber daya zona pendaratan regional
Sumber daya zona pendaratan khusus wilayah sering kali memerlukan lebih banyak pertimbangan karena beberapa sumber daya Azure tidak dapat dipindahkan antar wilayah. Pertimbangkan pendekatan berikut:
- Tambahkan wilayah tujuan sebagai wilayah tambahan ke zona pendaratan Anda. Ikuti panduan di Menambahkan wilayah baru ke zona pendaratan yang sudah ada.
- Menyebarkan komponen terpusat di wilayah tujuan. Misalnya, sebarkan ruang kerja Analitik Log baru di wilayah tujuan Anda sehingga beban kerja dapat mulai menggunakan komponen baru saat dimigrasikan.
- Migrasikan beban kerja Anda dari wilayah sumber ke wilayah tujuan. Selama proses migrasi beban kerja, konfigurasi ulang sumber daya untuk menggunakan komponen jaringan wilayah tujuan, komponen identitas, ruang kerja Analitik Log, dan sumber daya regional lainnya.
- Menonaktifkan sumber daya di wilayah sumber setelah migrasi selesai.
Pertimbangkan tips berikut saat memigrasikan sumber daya zona pendaratan di seluruh wilayah:
- Gunakan infrastruktur sebagai kode: Konfigurasi kompleks, seperti aturan untuk Azure Firewall, dapat diekspor dan dilaporkan kembali dengan menggunakan Bicep, templat ARM, Terraform, pembuatan skrip, atau pendekatan serupa.
- Azure Automation: Azure Automation menyediakan panduan dan skrip untuk membantu migrasi antar-wilayah sumber daya Azure Automation.
- ExpressRoute: Pertimbangkan apakah Anda dapat menggunakan ExpressRoute Local di wilayah tujuan Anda. Jika lingkungan lokal Anda berada dalam area metropolitan yang sama dengan wilayah Azure Anda, ExpressRoute Local dapat memberikan opsi biaya lebih rendah daripada SKU ExpressRoute lainnya.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk