Share via

Regiony strefy docelowej

  • Artykuł

Sama architektura strefy docelowej platformy Azure jest niezależna od regionu. Zostanie jednak wyświetlony monit o określenie regionów świadczenia usługi Azure w celu wdrożenia architektury strefy docelowej platformy Azure. W tym artykule wyjaśniono, jak strefy docelowe korzystają z regionów świadczenia usługi Azure. Wyjaśniono również, jak dodać region do istniejącej strefy docelowej, a niektóre zagadnienia dotyczące migracji majątku platformy Azure do innego regionu.

Aby uzyskać więcej wskazówek dotyczących wybierania regionów świadczenia usługi Azure, zobacz Wybieranie regionów świadczenia usługi Azure.

Jak strefy docelowe korzystają z regionów świadczenia usługi Azure

Strefy docelowe platformy Azure składają się z zestawu zasobów i konfiguracji. Niektóre z tych elementów, takich jak grupy zarządzania, zasady i przypisania ról, są przechowywane na poziomie dzierżawy lub grupy zarządzania w ramach architektury strefy docelowej platformy Azure, więc te zasoby nie są "wdrażane" w określonym regionie i zamiast tego są wdrażane globalnie. Jednak nadal trzeba określić region wdrożenia, ponieważ platforma Azure śledzi niektóre metadane zasobów w regionalnym magazynie metadanych.

Inne zasoby są wdrażane regionalnie. W zależności od własnej konfiguracji strefy docelowej mogą istnieć niektóre lub wszystkie następujące zasoby wdrożone regionalnie:

  • Obszar roboczy usługi Log Analytics (w tym wybrane rozwiązania)
  • Konto usługi Automation
  • Grupy zasobów (dla innych zasobów)

Jeśli wdrożysz topologię sieci, musisz również wybrać region świadczenia usługi Azure w celu wdrożenia zasobów sieciowych. Ten region może różnić się od regionu używanego dla zasobów wymienionych na powyższej liście. W zależności od wybranej topologii wdrażane zasoby sieciowe mogą obejmować:

  • Usługa Azure Virtual WAN (w tym usługa Virtual WAN Hub)
  • Sieci wirtualne platformy Azure
  • VPN Gateway
  • Brama usługi ExpressRoute
  • Azure Firewall
  • Plany usługi Azure DDoS Protection
  • Strefy Prywatna strefa DNS platformy Azure, w tym dla usługi Azure Private Link
  • Grupy zasobów, które mają zawierać zasoby wymienione powyżej

Uwaga

Aby zminimalizować skutki awarii regionalnych, zalecamy umieszczenie zasobów w tym samym regionie co grupa zasobów. Aby uzyskać więcej informacji, zobacz Wyrównanie lokalizacji grupy zasobów.

Dodawanie nowego regionu do istniejącej strefy docelowej

Należy rozważyć strategię obejmującą wiele regionów od początku podróży do chmury lub rozwijając więcej regionów świadczenia usługi Azure po zakończeniu początkowego wdrożenia architektury strefy docelowej platformy Azure. Jeśli na przykład włączysz odzyskiwanie po awarii dla maszyn wirtualnych przy użyciu usługi Azure Site Recovery, możesz chcieć je replikować do innego regionu świadczenia usługi Azure. Aby dodać regiony platformy Azure w ramach architektury strefy docelowej platformy Azure, rozważ następujące obszary i zalecenia:

Obszar Zalecenie
Grupy zarządzania Nie trzeba podejmować żadnych działań. Grupy zarządzania nie są powiązane z regionem i nie warto tworzyć struktury grup zarządzania na podstawie regionów.
Subskrypcje Subskrypcje nie są powiązane z regionem.
Azure Policy Wprowadź zmiany w tym miejscu, jeśli przypisano zasady w celu odmowy wdrożenia zasobów we wszystkich regionach, określając listę "dozwolonych" regionów świadczenia usługi Azure. Te przypisania muszą zostać zaktualizowane, aby umożliwić wdrażanie zasobów w nowym regionie, który chcesz włączyć.
Kontrola dostępu oparta na rolach Nie trzeba podejmować żadnych działań. Kontrola dostępu oparta na rolach platformy Azure nie jest powiązana z regionem.
Monitorowanie i rejestrowanie Zdecyduj, czy chcesz użyć jednego obszaru roboczego usługi Log Analytics dla wszystkich regionów, czy utworzyć wiele obszarów roboczych w celu pokrycia różnych regionów geograficznych. Istnieją zalety i wady każdego podejścia, w tym potencjalne opłaty za sieć między regionami. Aby uzyskać więcej informacji, zobacz Projektowanie architektury obszaru roboczego usługi Log Analytics.
Sieć Jeśli wdrożono topologię sieci, usługę Virtual WAN lub tradycyjną piastę i szprychę, rozwiń sieć w nowym regionie świadczenia usługi Azure. Utwórz kolejne centrum sieciowe, wdrażając wymagane zasoby sieciowe w istniejącej subskrypcji Połączenie ivity w nowym regionie świadczenia usługi Azure. Usługa Azure Virtual Network Manager może ułatwić rozszerzanie sieci wirtualnych i zarządzanie nimi na dużą skalę w wielu regionach. Z perspektywy dns możesz również wdrożyć usługi przesyłania dalej, jeśli są używane, do nowego regionu platformy Azure. Użyj usług przesyłania dalej dla sieci wirtualnych szprych w nowym regionie na potrzeby rozwiązywania problemów. Strefy dns platformy Azure są zasobami globalnymi i nie są powiązane z jednym regionem świadczenia usługi Azure, więc nic nie musi być do nich wykonywane.
Tożsamość Jeśli wdrożono usługi domena usługi Active Directory Services lub Microsoft Entra Domain Services w subskrypcji/szprychy tożsamości, rozwiń usługę w nowym regionie świadczenia usługi Azure.

Uwaga

Należy również użyć stref dostępności w celu zapewnienia wysokiej dostępności w regionie. Sprawdź, czy strefy dostępności są obsługiwane w wybranych regionach i dla usług, których chcesz użyć.

Usługa Microsoft Cloud for Sovereignty ma wytyczne dotyczące ograniczania usług i regionów. Korzystając z tych wytycznych, możesz wymusić konfigurację usługi, aby pomóc klientom w osiągnięciu potrzeb związanych z miejscem przechowywania danych.

Podejście wysokiego poziomu

Po rozwinięciu strefy docelowej platformy Azure w nowym regionie rozważ wykonanie kroków opisanych w tych sekcjach. Przed rozpoczęciem musisz zdecydować się na nowy region platformy Azure lub wiele regionów świadczenia usługi Azure, aby rozwinąć się.

Sieć

Tradycyjna architektura piasty i szprych

Napiwek

Zapoznaj się z obszarem projektowania strefy docelowej platformy Azure pod kątem tradycyjnej architektury piasty i szprych.

  1. Zdecyduj, czy potrzebna jest nowa subskrypcja strefy docelowej platformy. Zalecamy, aby większość klientów używała istniejących subskrypcji Połączenie ivity, nawet jeśli korzystają z wielu regionów.
  2. W ramach subskrypcji utwórz nową grupę zasobów w nowym regionie docelowym.
  3. Utwórz nową sieć wirtualną koncentratora w nowym regionie docelowym.
  4. W razie potrzeby wdróż usługę Azure Firewall lub wirtualne urządzenia sieciowe (WUS) w nowej sieci wirtualnej koncentratora.
  5. Jeśli ma to zastosowanie, wdróż bramy sieci wirtualnej dla sieci VPN i/lub łączności usługi ExpressRoute i nawiązywać połączenia. Upewnij się, że obwody i lokalizacje lokalne usługi ExpressRoute są zgodne z zaleceniami firmy Microsoft dotyczącymi odporności. Aby uzyskać więcej informacji, zobacz Projektowanie pod kątem odzyskiwania po awarii za pomocą prywatnej komunikacji równorzędnej usługi ExpressRoute.
  6. Ustanów komunikację równorzędną sieci wirtualnych między nową siecią wirtualną koncentratora a innymi sieciami wirtualnymi koncentratora.
  7. Tworzenie i konfigurowanie dowolnego wymaganego routingu, takiego jak usługa Azure Route Server lub trasy zdefiniowane przez użytkownika.
  8. W razie potrzeby włącz rozpoznawanie nazw, wdrażając usługi przesyłania dalej DNS dla nowego regionu docelowego i łącząc się z dowolnymi prywatnymi strefami DNS.
    • Niektórzy klienci mogą skonfigurować rozpoznawanie nazw na kontrolerach domeny usługi Active Directory w ramach subskrypcji strefy docelowej platformy tożsamości .

Aby hostować obciążenia, możesz połączyć szprychy strefy docelowej aplikacji z nową siecią wirtualną piasty w nowym regionie przy użyciu komunikacji równorzędnej sieci wirtualnych.

Napiwek

Usługa Azure Virtual Network Manager może ułatwić rozszerzanie sieci wirtualnych i zarządzanie nimi na dużą skalę w wielu regionach.

Architektura wirtualnej sieci WAN

Napiwek

Zapoznaj się z obszarem projektowania strefy docelowej platformy Azure pod kątem architektury usługi Virtual WAN.

  1. W istniejącej wirtualnej sieci WAN utwórz nowe koncentrator wirtualny w nowym regionie docelowym.
  2. Wdróż usługę Azure Firewall lub inne obsługiwane wirtualne urządzenia sieciowe (WUS) w nowym koncentratonie wirtualnym. Skonfiguruj intencję routingu usługi Azure Virtual WAN i zasady routingu, aby kierować ruch przez nowe zabezpieczone koncentratorze wirtualne.
  3. W razie potrzeby wdróż bramy sieci wirtualnej dla sieci VPN i/lub łączności usługi ExpressRoute w nowym koncentratonie wirtualnym i nawiązywać połączenia. Upewnij się, że obwody i lokalizacje lokalne usługi ExpressRoute są zgodne z zaleceniami firmy Microsoft dotyczącymi odporności. Aby uzyskać więcej informacji, zobacz Projektowanie pod kątem odzyskiwania po awarii za pomocą prywatnej komunikacji równorzędnej usługi ExpressRoute.
  4. Jeśli ma to zastosowanie, utwórz i skonfiguruj inny wymagany routing, na przykład trasy statyczne koncentratora wirtualnego.
  5. Jeśli ma to zastosowanie, wdróż usługi przesyłania dalej DNS dla nowego regionu docelowego i połącz się z dowolnymi prywatnymi strefami DNS w celu włączenia rozpoznawania.
    • Niektórzy klienci mogą skonfigurować rozpoznawanie nazw na kontrolerach domeny usługi Active Directory w ramach subskrypcji strefy docelowej platformy tożsamości .
    • W przypadku wdrożeń usługi Virtual WAN musi to znajdować się w sieci wirtualnej będącej szprychą, która jest połączona z koncentratorem wirtualnym za pośrednictwem połączenia sieci wirtualnej, zgodnie ze wzorcem rozszerzenia koncentratora wirtualnego.

Aby hostować obciążenia, możesz połączyć szprychy strefy docelowej aplikacji z nowym koncentratorem wirtualnym sieci WAN w nowym regionie przy użyciu połączeń sieci wirtualnej.

Tożsamość

Napiwek

Przejrzyj obszar projektowania strefy docelowej platformy Azure pod kątem zarządzania tożsamościami i dostępem.

  1. Zdecyduj, czy potrzebujesz nowej subskrypcji strefy docelowej platformy. Zalecamy, aby większość klientów używała istniejącej subskrypcji tożsamości , nawet jeśli korzysta z wielu regionów.
  2. Utwórz nową grupę zasobów w nowym regionie docelowym.
  3. Utwórz nową sieć wirtualną w nowym regionie docelowym.
  4. Ustanów komunikację równorzędną sieci wirtualnych z powrotem do nowo utworzonej sieci wirtualnej koncentratora regionalnego w subskrypcji Połączenie ivity.
  5. Wdróż obciążenia tożsamości, takie jak maszyny wirtualne kontrolera domeny usługi Active Directory, w nowej sieci wirtualnej.
    • Po aprowizacji może być konieczne wykonanie większej liczby konfiguracji obciążeń, takich jak następujące kroki konfiguracji:
      • Podwyższ poziom maszyn wirtualnych kontrolera domeny usługi Active Directory do istniejącej domeny usługi Active Directory.
      • Utwórz nowe lokacje i podsieci usługi Active Directory.
      • Skonfiguruj ustawienia serwera DNS, takie jak usługi przesyłania dalej warunkowego.

Przenoszenie majątku platformy Azure do nowego regionu

Czasami może być konieczne przeniesienie całej posiadłości platformy Azure do innego regionu. Załóżmy na przykład, że wdrożono strefę docelową i obciążenia w regionie świadczenia usługi Azure w sąsiednim kraju/regionie, a następnie w twoim kraju/regionie zostanie uruchomiony nowy region świadczenia usługi Azure. Możesz zdecydować się na przeniesienie wszystkich obciążeń do nowego regionu, aby poprawić opóźnienie komunikacji lub spełnić wymagania dotyczące przechowywania danych.

Uwaga

Ten dokument zawiera tylko informacje na temat migrowania składników strefy docelowej infrastruktury. Aby uzyskać więcej informacji na temat przenoszenia składników obciążenia, zobacz Przenoszenie obciążeń w chmurze.

Konfiguracja globalnej strefy docelowej

Większość globalnie wdrożonej konfiguracji strefy docelowej zwykle nie musi być modyfikowana podczas przenoszenia regionów. Upewnij się jednak, że sprawdzasz wszystkie przypisania zasad, które ograniczają wdrożenia regionów i aktualizują zasady, aby zezwolić na wdrożenia w nowym regionie.

Zasoby regionalnej strefy docelowej

Zasoby strefy docelowej specyficzne dla regionu często wymagają większej uwagi, ponieważ niektóre zasoby platformy Azure nie mogą być przenoszone między regionami. Rozważ następujące podejście:

  1. Dodaj region docelowy jako dodatkowy region do strefy docelowej. Postępuj zgodnie ze wskazówkami w artykule Dodawanie nowego regionu do istniejącej strefy docelowej.
  2. Wdrażanie scentralizowanych składników w regionie docelowym. Na przykład wdróż nowy obszar roboczy usługi Log Analytics w regionie docelowym, aby obciążenia mogły rozpocząć korzystanie z nowego składnika podczas migracji.
  3. Przeprowadź migrację obciążeń z regionu źródłowego do regionu docelowego. Podczas procesu migracji obciążenia skonfiguruj ponownie zasoby, aby używać składników sieciowych regionu docelowego, składników tożsamości, obszaru roboczego usługi Log Analytics i innych zasobów regionalnych.
  4. Likwiduj zasoby w regionie źródłowym po zakończeniu migracji.

Podczas migrowania zasobów strefy docelowej w różnych regionach należy wziąć pod uwagę następujące porady:

  • Użyj infrastruktury jako kodu: Złożona konfiguracja, taka jak reguły usługi Azure Firewall, można wyeksportować i zaimportować ponownie przy użyciu narzędzia Bicep, szablonów usługi ARM, narzędzia Terraform, skryptów lub podobnego podejścia.
  • Azure Automation: Usługa Azure Automation zawiera wskazówki i skrypty ułatwiające migrację zasobów usługi Azure Automation między regionami .
  • ExpressRoute: zastanów się, czy możesz użyć usługi ExpressRoute Local w regionie docelowym. Jeśli środowiska lokalne znajdują się w tym samym obszarze metropolitalnym co region świadczenia usługi Azure, usługa ExpressRoute Local może zapewnić niższą opcję niż inne jednostki SKU usługi ExpressRoute.

Następne kroki

Ulepszanie ładu w strefie docelowej