Panoramica delle reti
Questo articolo contiene considerazioni e linee guida sulla progettazione per la rete e la connettività da e verso le zone di destinazione per la gestione dei dati e le zone di destinazione dei dati. Si basa sulle informazioni nell'area di progettazione della zona di destinazione di Azure per la topologia di rete e l'articolo sulla connettività.
Poiché la gestione dei dati e le zone di destinazione dei dati sono importanti, è necessario includere anche le indicazioni per le aree di progettazione della zona di destinazione di Azure nella progettazione.
Questa sezione illustra una panoramica generale del modello di rete con ulteriori collegamenti alla distribuzione in aree di Azure singole e multiple.
L'analisi su scala cloud promette la possibilità di condividere e accedere facilmente ai set di dati tra più domini dati e zone di destinazione dei dati senza limitazioni di larghezza di banda o latenza critiche e senza creare più copie dello stesso set di dati. Per garantire tale promessa, è necessario considerare, valutare e testare diverse progettazioni di rete per assicurarsi che siano compatibili con le distribuzioni di hub e spoke e vWAN esistenti delle società.
Figura 1: Panoramica della rete per l'analisi su scala cloud.
Importante
Questo articolo e altri articoli della sezione rete descrivono le business unit incrociate che condividono i dati. Tuttavia, potrebbe non essere la strategia iniziale e che è necessario iniziare prima a livello di base.
Progettare la rete in modo da poter implementare la configurazione consigliata tra le zone di destinazione dei dati. Assicurarsi di avere le zone di destinazione di gestione dei dati direttamente connesse alle zone di destinazione per la governance.
Rete della zona di destinazione per la gestione dei dati
È possibile connettere due reti virtuali tra loro con il peering reti virtuali. Queste reti virtuali possono trovarsi nella stessa area o in aree diverse e sono note anche come peering di reti virtuali globale. Dopo il peering delle reti virtuali, le risorse in entrambe le reti virtuali comunicano tra loro. Questa comunicazione ha la stessa latenza e larghezza di banda come se le risorse si trovassero nella stessa rete virtuale.
La zona di destinazione per la gestione dei dati si connette alla sottoscrizione di gestione della rete di Azure usando il peering di reti virtuali. Il peering di reti virtuali si connette quindi alle risorse locali usando circuiti ExpressRoute e cloud di terze parti.
I servizi della zona di destinazione per la gestione dei dati che supportano Collegamento privato di Azure vengono inseriti nella rete virtuale della zona di destinazione per la gestione dei dati. Ad esempio, Azure Purview supporta Collegamento privato.
Da zona di destinazione per la gestione dei dati a zona di destinazione dei dati
Per ogni nuova zona di destinazione dei dati, è necessario creare un peering di reti virtuali dalla zona di destinazione per la gestione dati alla zona di destinazione dei dati.
Importante
Una zona di destinazione della gestione dei dati si connette a una zona di destinazione dei dati usando il peering di rete virtuale.
Da zone di destinazione dei dati a zone di destinazione dei dati
Sono disponibili opzioni su come rendere questa connettività e a seconda che si disponga di una distribuzione singola o più aree, è consigliabile considerare le indicazioni riportate in:
- Connettività della zona di destinazione dei dati a area singola
- Connettività della zona di destinazione dei dati tra aree
Da zona di destinazione per la gestione dei dati a cloud di terze parti
Per configurare la connettività tra una zona di destinazione per la gestione dei dati e un cloud di terze parti, usare una connessione gateway VPN da sito a sito. Questa VPN può connettere la zona di destinazione locale o del cloud di terze parti a una rete virtuale di Azure. Questa connessione viene creata tramite un tunnel VPN IPsec o Internet Key Exchange v1 o v2 (IKEv1 o IKEv2).
Le VPN da sito a sito possono offrire una maggiore continuità per i carichi di lavoro in una configurazione di cloud ibrido con Azure.
Importante
Per le connessioni a un cloud di terze parti, è consigliabile implementare una VPN da sito a sito tra la sottoscrizione di connettività di Azure e la sottoscrizione di connettività del cloud di terze parti.
Endpoint privati
L'analisi su scala cloud usa collegamento privato, dove disponibile, per la funzionalità PaaS (Shared Platform as a Service). Collegamento privato è disponibile per diversi servizi ed è in anteprima pubblica per altri servizi. Collegamento privato risolve i problemi di esfiltrazione di dati correlati agli endpoint di servizio.
Per l'elenco corrente dei prodotti supportati, vedere Risorse di Collegamento privato.
Se si prevede di implementare endpoint privati tra tenant, è consigliabile esaminare Limitare le connessioni endpoint private multi-tenant in Azure.
Attenzione
Per progettare, la rete di analisi su scala cloud usa endpoint privati in cui è disponibile per connettersi ai servizi PaaS.
Implementare il resolver DNS di Azure per gli endpoint privati
Gestire la risoluzione DNS per gli endpoint privati tramite le zone centrali del DNS privato di Azure. I record DNS necessari per gli endpoint privati possono essere creati automaticamente usando Criteri di Azure per consentire l'accesso tramite nomi di dominio completi (FQDN). Il ciclo di vita dei record DNS segue il ciclo di vita degli endpoint privati. Vengono rimossi automaticamente quando vengono eliminati gli endpoint privati.