ネットワークの概要
この記事には、データ管理ランディング ゾーンとデータ ランディング ゾーンとの間のネットワークと接続の設計上の考慮事項およびガイドラインが含まれています。 これは、Azure ランディング ゾーンのネットワーク トポロジと接続用の設計領域に関する記事の情報に基づいています。
データ管理およびデータ ランディング ゾーンは重要であるため、Azure ランディング ゾーンの設計領域に関するガイダンスも設計に含める必要があります。
このセクションでは、ネットワーク パターンの概要を説明し、単一の Azure リージョンと複数の Azure リージョンの両方にデプロイするためのリンクも提供します。
クラウド規模の分析では、帯域幅や待機時間に重大な制限を与えずに、複数のデータ ドメインとデータ ランディング ゾーン間でデータセットを簡単に共有およびアクセスすることができ、同じデータセットの複数のコピーを作成する必要がなくなります。 これを実現するには、さまざまなネットワーク設計を検討、評価、テストし、その設計が企業の既存のハブ アンド スポークおよび vWAN デプロイと互換性があることを確認する必要があります。
図 1: クラウド規模の分析のためのネットワークの概要。
重要
この記事とネットワーク セクションのその他の記事では、データを共有する部署間について説明しています。 ただし、これは最初の戦略ではなく、まず基本レベルから開始する必要がある場合があります。
最終的にデータ ランディング ゾーン間に推奨されるセットアップを実装できるように、ネットワークを設計します。 ガバナンスのために、ランディング ゾーンに直接接続されているデータ管理ランディング ゾーンがあることを確認してください。
データ管理ランディング ゾーンのネットワーク
仮想ネットワーク ピアリングを使用して、仮想ネットワークを相互に接続できます。 これらの仮想ネットワークは、同じリージョン内にあっても異なるリージョン内にあってもよく、グローバル VNet ピアリングとも呼ばれます。 仮想ネットワークのピアリング後、両方の仮想ネットワークのリソースが相互に通信します。 リソースが同じ仮想ネットワーク内にあるかのように、同じ待機時間と帯域幅で通信します。
データ管理ランディング ゾーンから、仮想ネットワーク ピアリングを使用して Azure ネットワーク管理サブスクリプションに接続します。 次に、仮想ネットワーク ピアリングにより、ExpressRoute 回線とサードパーティのクラウドを使用して、オンプレミスのリソースに接続されます。
Azure Private Link をサポートするデータ管理ランディング ゾーン サービスが、データ管理ランディング ゾーン仮想ネットワークに挿入されます。 たとえば、Azure Purview は Private Link をサポートしています。
データ管理ランディング ゾーンからデータ ランディング ゾーンへ
新しいデータ ランディング ゾーンごとに、データ管理ランディング ゾーンからデータ ランディング ゾーンへの仮想ネットワーク ピアリングを作成する必要があります。
重要
データ管理ランディング ゾーンは、仮想ネットワーク ピアリングを使用してデータ ランディング ゾーンに接続します。
データ ランディング ゾーンからデータ ランディング ゾーンへ
この接続を行う方法には選択肢があります。単一リージョンのデプロイか複数リージョンのデプロイかに応じて、次のガイダンスを検討することをお勧めします。
データ管理ランディング ゾーンからサードパーティのクラウドへ
データ管理ランディング ゾーンとサードパーティのクラウド間の接続を設定するには、サイト間 VPN ゲートウェイ接続を使用します。 この VPN により、オンプレミスまたはサードパーティのクラウド ランディング ゾーンを Azure 仮想ネットワークに接続できます。 この接続は、IPsec またはインターネット キー交換 v1 または v2 (IKEv1 または IKEv2) VPN トンネルを介して作成されます。
サイト間 VPN により、Azure を使用したハイブリッド クラウド設定でワークロードの継続性を高めることができます。
重要
サードパーティのクラウドに接続する場合は、Azure 接続サブスクリプションとサードパーティのクラウド接続サブスクリプションの間にサイト間 VPN を実装することをお勧めします。
プライベート エンドポイント
クラウド規模の分析では、共有されるサービスとしてのプラットフォーム (PaaS) 機能に、利用可能な場合は Private Link が使用されます。 Private Link は一部のサービスに利用でき、さらに多くのサービスではパブリック プレビュー段階です。 サービス エンドポイントに関するデータ流出の問題が Private Link によって対処されます。
サポートされている製品の現在の一覧については、「プライベート リンク リソース」を参照してください。
テナント間のプライベート エンドポイントの実装を計画している場合は、「Azure のテナント間のプライベート エンドポイント接続を制限する」を確認することをお勧めします。
注意事項
設計上、クラウド規模の分析ネットワークでは、PaaS サービスへの接続に使用できるプライベート エンド ポイントを使用します。
プライベート エンドポイントに Azure DNS リゾルバーを実装する
中央の Azure プライベート DNS ゾーンを介したプライベート エンドポイントの DNS 解決を処理します。 プライベート エンドポイントに必要な DNS レコードは、完全修飾ドメイン名 (FQDN) を使用してアクセスを許可するために Azure Policy を使用して自動的に作成できます。 DNS レコードのライフサイクルは、プライベート エンドポイントのライフサイクルに従います。 プライベート エンドポイントが削除されると、自動的に削除されます。