Visão Geral da rede
Este artigo tem considerações de design e diretrizes para rede e conectividade de ou para zonas de destino de gerenciamento de dados e zonas de destino de dados. Ele se baseia em informações no artigo da área de design da zona de destino para topologia e conectividade de rede.
Como as zonas de destino de dados e gerenciamento de dados são importantes, você também deve incluir as diretrizes para as áreas de design da zona de destino do Azure em seu design.
Esta seção descreve uma visão geral de alto nível do padrão de rede com links adicionais para implantação em uma única região ou em várias regiões do Azure.
A análise de escala de nuvem promete a possibilidade de compartilhar e acessar com facilidade conjuntos de dados em vários domínios de dados e zonas de destino, sem limitações críticas de largura de banda ou latência e sem criar várias cópias do mesmo conjunto. Para cumprir essa promessa, diferentes designs de rede precisam ser considerados, avaliados e testados para garantir que eles sejam compatíveis com as implantações de hub e spoke e vWAN existentes das corporações.
Figura 1: visão geral de rede para análise de escala de nuvem.
Importante
Este artigo e outros artigos na seção de rede descrevem as unidades entre empresas que compartilham dados. No entanto, essa pode não ser sua estratégia inicial e você precisa começar em um nível base primeiro.
Crie a rede de modo que você possa implementar eventualmente nossa configuração recomendada entre zonas de destino de dados. Verifique se você as zonas de destino de gerenciamento de dados estão conectadas diretamente às zonas de destino para governança.
Rede de zona de destino de gerenciamento de dados
Você pode conectar redes virtuais entre si ao emparelhamento de rede virtual. Essas redes virtuais podem estar na mesma região ou em regiões diferentes, o que também é conhecido como emparelhamento VNet global. Depois de emparelhadas as redes virtuais, os recursos em ambas as redes virtuais se comunicam entre si. Essa comunicação tem a mesma latência e largura de banda de quando os recursos estão na mesma rede virtual.
A zona de destino de gerenciamento de dados conecta-se à assinatura de gerenciamento de rede do Azure usando o emparelhamento de rede virtual. Em seguida, o emparelhamento de rede virtual se conecta a recursos locais usando circuitos do ExpressRoute e nuvens de terceiros.
Os serviços de zona de destino de gerenciamento de dados com suporte ao Link Privado do Azure são injetados na rede virtual da zona de destino de gerenciamento de dados. Por exemplo, o Azure Purview dá suporte ao Link Privado.
De zona de destino de gerenciamento de dados a zona de destino de dados
Para cada nova zona de destino de dados, você deve criar um emparelhamento de rede virtual da zona de destino de gerenciamento de dados para a zona de destino de dados.
Importante
Uma zona de destino de gerenciamento de dados conecta-se a uma zona de destino de dados usando o emparelhamento de rede virtual.
De zonas de destino de dados a zonas de destino de dados
Existem opções sobre como fazer essa conectividade e, dependendo de se você tem uma implantação em uma região ou em várias regiões, é recomendável considerar as diretrizes em:
- Conectividade de zona de destino de dados em uma única região
- Conectividade de zona de destino de dados em várias regiões
De zona de destino de gerenciamento de dados a nuvens de terceiros
Para configurar a conectividade entre uma zona de destino de gerenciamento de dados e uma nuvem de terceiros, use uma conexão de gateway de VPN de site a site. Esse VPN pode conectar sua zona de destino de nuvem local ou de terceiros a uma rede virtual do Azure. Essa conexão é criada em um túnel VPN IPsec ou de troca de chaves da Internet v1 ou v2 (IKEv1 ou IKEv2).
As VPNs site a site podem fornecer melhor continuidade para suas cargas de trabalho em uma configuração de nuvem híbrida com o Azure.
Importante
No caso de conexões com nuvens de terceiros, recomendamos implementar um VPN site a site entre sua assinatura de conectividade do Azure e a assinatura de conectividade de nuvem de terceiros.
Pontos de extremidade privados
A análise de escala de nuvem usa o Link Privado, quando disponível, para a funcionalidade de PaaS (plataforma como serviço) compartilhada. O Link Privado geralmente está disponível para vários serviços e está em visualização pública para outros serviços. O Link Privado aborda preocupações de exfiltração de dados relacionadas a pontos de extremidade de serviço.
Para ver a lista atual de produtos com suporte, confira Recursos do Link Privado.
Se você estiver planejando implementar pontos de extremidade privados entre locatários, é recomendável que você examine o Limite de conexões de ponto de extremidade privado entre locatários no Azure.
Cuidado
Por padrão, a rede de análise de escala de nuvem usa pontos de extremidade privados quando disponíveis para se conectar aos serviços de PaaS.
Implementar o resolvedor de DNS do Azure para pontos de extremidade privados
A resolução de DNS para pontos de extremidade privados deve ser tratada por meio de zonas centrais de DNS Privado do Azure. Os registros DNS necessários para pontos de extremidade privados podem ser criados automaticamente usando o Azure Policy para permitir o acesso por meio de FQDNs (nomes de domínio totalmente qualificados). O ciclo de vida dos registros DNS segue o ciclo de vida dos pontos de extremidade privados. Eles são removidos automaticamente quando o ponto de extremidade privado é excluído.