Bagikan melalui

Konektivitas zona pendaratan data lintas wilayah

  • Artikel

Jika Anda memiliki kehadiran di lebih dari satu wilayah Azure dan perlu menghosting platform data dan aplikasi data Anda di beberapa geografi, konektivitas menjadi sedikit lebih rumit.

Penyebaran multi-wilayah umumnya memiliki langganan hub konektivitas di setiap lokasi Azure individual. Misalnya, jika Anda memiliki layanan yang berjalan di US Timur dan Eropa Barat, Anda akan menyiapkan langganan hub konektivitas dengan sumber daya jaringan bersama di setiap wilayah. Sumber daya jaringan bersama meliputi:

  • Appliance virtual jaringan (seperti Azure Firewall)
  • Gateway ExpressRoute
  • VPN Gateway
  • Hub Virtual Networks (dalam arsitektur hub dan spoke) atau vWAN Hubs (dalam penyiapan vWan)

Koneksi ivitas lintas wilayahGambar 1: Koneksi ivitas lintas wilayah.

Dalam arsitektur hub-spoke-spoke-hub, jaringan virtual hub konektivitas sering terhubung menggunakan Global VNet Peering. Untuk lingkungan yang lebih besar, alternatif umumnya adalah menggunakan ExpressRoute Global Reach. Opsi konektivitas apa pun yang Anda pilih, Anda dapat mencapai perutean dan konektivitas global antara jaringan spoke di beberapa geografi. Ini berarti Anda dapat memindahkan data di seluruh wilayah menggunakan appliance virtual jaringan, grup keamanan jaringan, dan Tabel Rute, mengingat bahwa lalu lintas Anda tidak diblokir di salah satu langganan konektivitas.

Penting

Artikel ini dan artikel lain di bagian jaringan menguraikan unit lintas bisnis yang berbagi data. Namun, ini mungkin bukan strategi awal Anda dan Anda perlu memulai pada tingkat dasar terlebih dahulu.

Rancang jaringan Anda sehingga Anda akhirnya dapat menerapkan pengaturan yang direkomendasikan di antara zona pendaratan data. Pastikan Anda memiliki zona pendaratan manajemen data yang terhubung langsung ke zona pendaratan untuk tata kelola.

Anda dapat menghubungkan zona pendaratan data di seluruh wilayah menggunakan Peering VNet Global langsung. Dalam penyiapan ini, jika kita melanjutkan skenario contoh sebelumnya, komputer virtual di Eropa Barat mengakses titik akhir privat akun penyimpanan US Timur secara langsung, tanpa mengandalkan hub dan arsitektur jaringan spoke atau vWAN. Data langsung dimuat oleh komputer virtual melalui titik akhir privat, diproses, lalu disimpan kembali di akun penyimpanan di Eropa Barat.

Manajemen akses pengguna di Global VNet Peering

Tidak ada pro atau kontra tertentu untuk salah satu opsi konektivitas zona pendaratan data lintas wilayah yang diusulkan.

Ringkasan: /

Manajemen layanan di Global VNet Peering

Global VNet Peering tidak memiliki appliance virtual jaringan yang bertindak sebagai satu titik kegagalan atau throughput pembatasan. Data tidak dikirim melalui hub konektivitas Anda, sehingga Anda tidak perlu menskalakan appliance virtual dan gateway dalam hub konektivitas. Kurangnya penskalaan ini mengurangi overhead manajemen untuk tim platform Azure inti Anda. Anda juga tidak perlu mengizinkan daftar koneksi lintas wilayah individual. Tim data Anda dapat mengakses data dari zona pendaratan data di wilayah lain tanpa harus menunggu perubahan tabel rute.

Dalam desain jaringan ini, tim platform Azure pusat Anda tidak dapat lagi memeriksa dan mencatat semua lalu lintas menggunakan firewall lapisan 7. Namun, skenario analitik skala cloud adalah platform koheren yang mencakup beberapa langganan, yang memungkinkan skala dan mengatasi batasan tingkat platform, sehingga bukan kerugian. Anda dapat mengambil log jaringan dengan menggunakan Log Alur Kelompok Keamanan Jaringan. Anda dapat mengonsolidasikan dan menyimpan log tingkat aplikasi dan layanan lainnya dengan menggunakan Pengaturan Diagnostik khusus layanan.

Anda dapat mengambil semua log ini dalam skala besar dengan menggunakan definisi Azure Policy untuk pengaturan diagnostik.

Dalam beberapa skenario, Anda perlu membatasi karena implikasi peraturan atau hukum. Misalnya, Anda mungkin memiliki peraturan lokal yang mengharuskan himpunan data tertentu tetap berada dalam pusat data partikulat, sehingga Anda tidak diizinkan untuk mentransfernya di seluruh wilayah. Anda dapat mengandalkan kelompok keamanan jaringan untuk membantu Anda mematuhi aturan semacam ini, hanya memungkinkan lalu lintas bergerak ke satu arah dari US Timur ke Eropa Barat dan bukan sebaliknya. Dalam grup keamanan jaringan, Anda dapat memastikan bahwa lalu lintas yang berasal dari AS Timur ditolak saat lalu lintas yang berasal dari Eropa Barat diizinkan.

Pendekatan solusi ini tidak berdampak pada bandwidth dan latensi, dan memungkinkan pelanggan untuk tetap patuh sambil tetap menggabungkan himpunan data dari beberapa wilayah. Opsi ini juga tidak berdampak pada arsitektur DNS Anda dan memungkinkan Anda menggunakan solusi asli Azure berdasarkan Zona DNS Privat Azure.

Ringkasan:

Biaya Peering VNet Global

Catatan

Saat mengakses titik akhir privat di seluruh jaringan yang di-peering, Anda hanya akan dikenakan biaya untuk titik akhir privat itu sendiri dan bukan untuk peering VNet. Anda dapat membaca pernyataan resmi di FAQ: Bagaimana cara kerja penagihan saat mengakses titik akhir privat dari jaringan yang di-peering?.

Dengan desain jaringan ini, Anda dikenakan biaya untuk Titik Akhir Privat Anda (per jam) dan semua lalu lintas masuk dan keluar yang dikirim melaluinya. Anda juga harus membayar biaya transfer data untuk lalu lintas antar wilayah. Namun, Anda TIDAK akan dikenakan biaya masuk dan keluar Global VNet Peering. Karena itu, opsi Global VNet Peering memiliki manfaat biaya yang patut dicatat opsi spoke-hub-hub-spoke tradisional yang dijelaskan nanti di artikel ini.

Ringkasan:

Bandwidth dan latensi dalam Peering VNet Global

Dampak pada bandwidth dan latensi jauh lebih rendah di Global VNet Peering daripada dalam opsi spoke-hub-hub-spoke tradisional. Global VNet Peering berisi jumlah hop yang lebih rendah untuk pertukaran data zona pendaratan data lintas wilayah dan tidak memiliki peralatan virtual jaringan yang membatasi throughput. Satu-satunya hal yang menentukan bandwidth dan latensi yang dapat Anda capai untuk lalu lintas wilayah adalah batas fisik pusat data kami (kecepatan kabel serat optik, gateway, dan router).

Ringkasan:

Ringkasan Peering VNet Global

Peering VNet Global antara zona pendaratan data di berbagai wilayah menawarkan manfaat yang luar biasa, terutama karena lalu lintas data lintas wilayah meningkat dalam platform data Anda. Ini menyederhanakan manajemen layanan untuk tim platform Azure inti Anda, dan terutama kasus penggunaan manfaat yang memerlukan latensi rendah dan bandwidth tinggi. Ini juga menawarkan manfaat biaya yang signifikan atas opsi desain spoke-hub-hub-spoke tradisional.

Opsi Anda yang lain untuk transfer data lintas wilayah adalah desain spoke-hub-hub-spoke tradisional. Dalam skenario contoh kami, jika komputer virtual di zona pendaratan data A yang dihosting di Eropa Barat memuat himpunan data yang disimpan di akun penyimpanan dari zona pendaratan data B yang dihosting di AS Timur, data melintasi dua peering VNet lokal (konektivitas antara hub dan spoke), satu Peering VNet Global (konektivitas antara hub) dan dua Gateway atau peralatan virtual jaringan sebelum dimuat oleh komputer virtual dan kemudian dipindahkan kembali ke akun penyimpanan lokal.

Manajemen Akses Pengguna dalam desain spoke-hub-hub-spoke tradisional

Tidak ada pro atau kontra tertentu untuk salah satu opsi konektivitas zona pendaratan data lintas wilayah yang diusulkan.

Ringkasan: /

Manajemen layanan dalam desain spoke-hub-hub-spoke tradisional

Pendekatan solusi ini terkenal dan konsisten dengan pola konektivitas lintas wilayah lainnya, yang memudahkan untuk mengadopsi dan mengimplementasikan. Ini juga tidak berdampak pada arsitektur DNS dan memungkinkan Anda menggunakan solusi asli Azure berdasarkan Zona DNS Privat Azure.

Meskipun opsi konektivitas ini berfungsi dengan mulus jika Anda mengaturnya dengan benar, opsi ini memang memiliki kelemahan. Lalu lintas wilayah sering ditolak secara default dan harus diaktifkan berdasarkan kasus per kasus. Ini berarti bahwa tiket harus dikirimkan ke tim platform Azure inti Anda untuk setiap persyaratan akses data lintas wilayah yang diperlukan sehingga tim Anda dapat mengizinkan setiap koneksi tertentu antara komputer virtual dan akun penyimpanan lintas wilayah. Proses ini secara signifikan meningkatkan overhead manajemen. Ini juga memperlambat tim proyek data Anda, karena mereka tidak dapat mengakses data yang mereka butuhkan.

Anda juga harus mencatat bahwa dalam opsi ini, hub konektivitas bertindak sebagai titik kegagalan tunggal. Dalam appliance virtual jaringan atau waktu henti Gateway, konektivitas dan platform data terkait gagal. Anda juga memiliki risiko tinggi untuk salah mengonfigurasi rute di hub konektivitas. Kesalahan konfigurasi ini dapat menyebabkan waktu henti yang lebih serius di platform data Anda dan menyebabkan serangkaian alur kerja dependen dan kegagalan produk data.

Anda harus memantau jumlah data yang perlu Anda transfer di seluruh wilayah saat menggunakan pendekatan solusi ini. Seiring waktu, pemantauan ini dapat melibatkan gigabyte atau terabyte data yang bergerak melalui instans pusat Anda. Karena bandwidth appliance virtual jaringan sering dibatasi pada throughput gigabyte satu atau dua digit, appliance dapat bertindak sebagai hambatan penting yang membatasi arus lalu lintas antar wilayah dan berbagi aset data Anda. Karena itu, sumber daya jaringan bersama Anda dapat memerlukan mekanisme penskalaan, yang sering memakan waktu dan mahal, dan dapat memengaruhi beban kerja lain di penyewa Anda.

Ringkasan:

Biaya desain Spoke-Hub-Hub-Spoke tradisional

Catatan

Saat mengakses titik akhir privat di seluruh jaringan yang di-peering, Anda hanya akan dikenakan biaya untuk titik akhir privat itu sendiri dan bukan untuk peering VNet. Anda dapat membaca pernyataan resmi di FAQ: Bagaimana cara kerja penagihan saat mengakses titik akhir privat dari jaringan yang di-peering?.

Dalam desain spoke-hub-hub-spoke tradisional, Anda dikenakan biaya untuk dua Titik Akhir Privat akun penyimpanan Anda (per jam) dan semua lalu lintas masuk dan keluar yang dikirim melaluinya. Anda juga dikenakan biaya untuk lalu lintas masuk dan keluar dari satu peering VNet lokal dan peering VNet global antara hub konektivitas Anda. Namun, Anda tidak akan dikenakan biaya untuk peering VNet pertama, seperti yang kami jelaskan di catatan sebelumnya.

Appliance virtual jaringan pusat Anda juga akan menjadi biaya yang signifikan jika Anda memilih desain jaringan ini. Ini karena Anda harus membeli lisensi tambahan untuk menskalakan appliance berdasarkan permintaan atau Anda harus membayar biaya per gigabyte yang diproses untuk mereka, seperti halnya Azure Firewall.

Ringkasan:

Bandwidth dan latensi dalam desain spoke-hub-hub-spoke tradisional

Desain jaringan ini memiliki keterbatasan bandwidth yang serius. Appliance virtual jaringan pusat Anda menjadi hambatan penting saat platform Anda tumbuh, yang membatasi kasus penggunaan zona pendaratan data lintas wilayah dan berbagi himpunan data Anda. Ini juga membuatnya mungkin bahwa beberapa salinan himpunan data Anda dibuat dari waktu ke waktu. Desain ini juga sangat memengaruhi latensi, yang sangat penting untuk skenario analitik real time, karena data Anda melintasi banyak hop.

Ringkasan:

Ringkasan desain spoke-hub-hub-spoke tradisional

Desain spoke-hub-hub-spoke terkenal dan didirikan di banyak organisasi, yang memudahkan untuk membangun di lingkungan yang ada. Namun, ini memiliki kelemahan yang signifikan untuk manajemen layanan, biaya, bandwidth, dan latensi. Masalah ini sangat terlihat seiring bertambahnya jumlah kasus penggunaan lintas wilayah Anda.

Kesimpulan

Global VNet Peering memiliki banyak keuntungan dibandingkan desain spoke-hub-hub-spoke tradisional, karena hemat biaya, mudah dikelola, dan menawarkan konektivitas yang andal di seluruh wilayah. Meskipun desain spoke-hub-hub-spoke tradisional dapat menjadi opsi yang layak sementara volume data Anda dan kebutuhan untuk pertukaran data lintas wilayah rendah, kami sarankan Anda menggunakan pendekatan Global VNet Peering saat jumlah data yang perlu Anda tukarkan di seluruh wilayah tumbuh.

Langkah berikutnya