Omówienie sieci
Ten artykuł zawiera zagadnienia i wskazówki dotyczące projektowania dotyczące sieci i łączności ze strefami docelowymi i strefami docelowymi do zarządzania danymi oraz z ich stref docelowych. Jest ona oparta na informacjach w obszarze projektowania strefy docelowej platformy Azure dla topologii sieci i łączności .
Ponieważ zarządzanie danymi i strefy docelowe danych są ważne, należy również uwzględnić wskazówki dotyczące obszarów projektowania strefy docelowej platformy Azure w projekcie.
W tej sekcji przedstawiono ogólny przegląd wzorca sieci z kolejnymi linkami do wdrażania w jednym i wielu regionach świadczenia usługi Azure.
Analiza w skali chmury obiecuje możliwość łatwego udostępniania i uzyskiwania dostępu do zestawów danych w wielu domenach danych i strefach docelowych danych bez ograniczeń przepustowości krytycznej lub opóźnienia oraz bez tworzenia wielu kopii tego samego zestawu danych. Aby zrealizować te obietnice, należy wziąć pod uwagę, ocenić i przetestować różne projekty sieciowe, aby upewnić się, że są one zgodne z istniejącymi wdrożeniami piasty i szprych i vWAN korporacji.
Rysunek 1. Omówienie sieci na potrzeby analizy w skali chmury.
Ważne
Ten artykuł i inne artykuły w sekcji sieci przedstawiają jednostki biznesowe, które współdzielą dane. Jednak może to nie być twoja początkowa strategia i że musisz najpierw zacząć od poziomu podstawowego.
Zaprojektuj sieć, aby ostatecznie wdrożyć zalecaną konfigurację między strefami docelowymi danych. Upewnij się, że masz strefy docelowe zarządzania danymi bezpośrednio połączone ze strefami docelowymi w celu zapewnienia ładu.
Sieć strefy docelowej zarządzania danymi
Sieci wirtualne możesz łączyć ze sobą za pomocą komunikacji równorzędnej sieci wirtualnych. Te sieci wirtualne mogą znajdować się w tych samych lub różnych regionach i są również nazywane globalną komunikacją równorzędną sieci wirtualnych. Po nawiązaniu komunikacji równorzędnej z sieciami wirtualnymi zasoby w obu sieciach wirtualnych komunikują się ze sobą. Ta komunikacja ma takie samo opóźnienie i przepustowość, jak w przypadku, gdy zasoby znajdowały się w tej samej sieci wirtualnej.
Strefa docelowa zarządzania danymi łączy się z subskrypcją zarządzania sieciami platformy Azure przy użyciu komunikacji równorzędnej sieci wirtualnych. Następnie komunikacja równorzędna sieci wirtualnych łączy się z zasobami lokalnymi przy użyciu obwodów usługi ExpressRoute i chmur innych firm.
Usługi strefy docelowej zarządzania danymi, które obsługują Azure Private Link są wprowadzane do sieci wirtualnej strefy docelowej zarządzania danymi. Na przykład usługa Azure Purview obsługuje Private Link.
Strefa docelowa zarządzania danymi do strefy docelowej danych
Dla każdej nowej strefy docelowej danych należy utworzyć komunikację równorzędną sieci wirtualnej ze strefy docelowej zarządzania danymi do strefy docelowej danych.
Ważne
Strefa docelowa zarządzania danymi łączy się ze strefą docelową danych przy użyciu komunikacji równorzędnej sieci wirtualnych.
Strefy docelowe danych do stref docelowych danych
Istnieją opcje dotyczące sposobu nawiązywania tej łączności i w zależności od tego, czy masz wdrożenie pojedynczego lub wielu regionów, zaleca się rozważenie wskazówek w temacie:
- Łączność ze strefą docelową danych z jednym regionem
- Łączność między strefami docelowymi danych między regionami
Strefa docelowa zarządzania danymi w chmurach innych firm
Aby skonfigurować łączność między strefą docelową zarządzania danymi a chmurą innej firmy, użyj połączenia bramy sieci VPN typu lokacja-lokacja . Ta sieć VPN może połączyć lokalną lub inną strefę docelową chmury z siecią wirtualną platformy Azure. To połączenie jest tworzone za pośrednictwem tunelu sieci VPN protokołu IPsec lub internetowego wymiany kluczy w wersji 1 lub 2 (IKEv1 lub IKEv2).
Sieci VPN typu lokacja-lokacja mogą zapewnić lepszą ciągłość obciążeń w konfiguracji chmury hybrydowej za pomocą platformy Azure.
Ważne
W przypadku połączeń z chmurą innej firmy zalecamy zaimplementowanie sieci VPN typu lokacja-lokacja między subskrypcją łączności platformy Azure a subskrypcją łączności w chmurze innej firmy.
Prywatne punkty końcowe
Analiza w skali chmury używa Private Link, jeśli jest dostępna, na potrzeby funkcji typu "platforma jako usługa" (PaaS). Private Link jest dostępna dla kilku usług i jest dostępna w publicznej wersji zapoznawczej dla większej liczby usług. Private Link rozwiązuje problemy z eksfiltracją danych związane z punktami końcowymi usługi.
Aby zapoznać się z bieżącą listą obsługiwanych produktów, zobacz Private Link zasobów.
Jeśli planujesz implementowanie prywatnych punktów końcowych między dzierżawami, zalecamy zapoznanie się z artykułem Ograniczanie połączeń prywatnych między dzierżawami na platformie Azure.
Przestroga
Zgodnie z projektem sieć analizy w skali chmury używa prywatnych punktów końcowych, jeśli są dostępne do łączenia się z usługami PaaS.
Implementowanie rozpoznawania nazw dns platformy Azure dla prywatnych punktów końcowych
Obsługa rozpoznawania nazw DNS dla prywatnych punktów końcowych za pośrednictwem centralnych stref usługi Azure Prywatna strefa DNS. Wymagane rekordy DNS dla prywatnych punktów końcowych można utworzyć automatycznie przy użyciu Azure Policy, aby zezwolić na dostęp za pośrednictwem w pełni kwalifikowanych nazw domen (FQDN). Cykl życia rekordów DNS jest zgodny z cyklem życia prywatnych punktów końcowych. Jest on automatycznie usuwany po usunięciu prywatnego punktu końcowego.