Подключение к целевой зоне данных между регионами
Если у вас есть присутствие в нескольких регионах Azure и требуется разместить платформу данных и приложения данных в нескольких географических регионах, подключение становится немного сложнее.
Развертывания в нескольких регионах обычно имеют подписку концентратора подключения в каждом отдельном расположении Azure. Например, если у вас есть службы, работающие как в восточной части США, так и в Западной Европе, вы настроите подписку концентратора подключения с общими сетевыми ресурсами в каждом регионе. Общие сетевые ресурсы включают:
- Виртуальные (модуль) сети (например, Брандмауэр Azure)
- Шлюзы ExpressRoute
- VPN-шлюзы;
- Центры виртуальная сеть (в центральной и периферийной архитектуре) или концентраторах vWAN (в настройке виртуальной глобальной сети)
Рис. 1. Подключение тивность между регионами.
В архитектуре концентратора-периферийного концентратора виртуальные сети центров подключения часто подключаются с помощью глобального пиринга виртуальной сети. Для более крупных сред распространенная альтернатива — использовать ExpressRoute Global Reach. Независимо от выбранного варианта подключения можно достичь глобальной маршрутизации и подключения между периферийными сетями в нескольких географических регионах. Это означает, что данные можно перемещать между регионами с помощью виртуальных (модуль) сети, групп безопасности сети и таблиц маршрутизации, учитывая, что трафик не блокируется в любой подписке на подключение.
Внимание
Эта статья и другие статьи в разделе сети описывают меж бизнес-подразделения, которые совместно используют данные. Однако это может не быть вашей первоначальной стратегией и что вам нужно начать на базовом уровне сначала.
Создайте сеть, чтобы в конечном итоге реализовать рекомендуемую настройку между целевыми зонами данных. Убедитесь, что целевые зоны управления данными подключены непосредственно к целевым зонам для управления.
Глобальный пиринг виртуальных сетей (рекомендуется)
Целевые зоны данных можно подключить между регионами с помощью прямого пиринга глобальной виртуальной сети. В этой настройке, если мы продолжаем предыдущий пример сценария, виртуальная машина в Западной Европе обращается к частной конечной точке учетной записи хранения Восточной ЧАСТИ США напрямую, не опираясь на любые сетевые архитектуры концентратора и виртуальной глобальной сети. Данные загружаются непосредственно виртуальной машиной через частную конечную точку, обрабатываются, а затем хранятся обратно в учетной записи хранения в Западной Европе.
Управление доступом пользователей в глобальном пиринге виртуальной сети
Для любого из предлагаемых вариантов подключения к целевой зоне данных между регионами нет конкретных плюсов или минусов.
Сводка: 
/
Управление службами в пиринге глобальной виртуальной сети
Глобальный пиринг виртуальных сетей не имеет виртуальной сети (модуль), которая выступает в качестве одной точки сбоя или регулирования пропускной способности. Данные не отправляются через центры подключения, поэтому вам не нужно масштабировать виртуальные (модуль) и шлюзы в центрах подключения. Это отсутствие масштабирования снижает затраты на управление для основной группы платформы Azure. Кроме того, вам не нужно разрешать отдельные подключения между регионами. Группы данных могут получать доступ к данным из целевых зон данных в других регионах, не ожидая изменений таблицы маршрутов.
В этой сетевой структуре центральная группа платформы Azure больше не может проверять и регистрировать весь трафик с помощью брандмауэра уровня 7. Однако сценарий облачной аналитики — это согласованная платформа, охватывающая несколько подписок, которая позволяет масштабировать и преодолевать ограничения на уровне платформы, поэтому это не является недостатком. Вы можете записывать сетевые журналы с помощью журналов потоков группы безопасности сети. Вы можете консолидировать и хранить другие журналы приложений и уровне обслуживания с помощью Параметры диагностики для конкретной службы.
Все эти журналы можно записать в масштабе с помощью Политика Azure определений для параметров диагностики.
В некоторых сценариях необходимо ограничиться из-за нормативных или юридических последствий. Например, у вас может быть локальное регулирование, которое требует, чтобы определенные наборы данных оставались в центре обработки данных, поэтому их нельзя передавать по регионам. Вы можете полагаться на группы безопасности сети, чтобы помочь вам соответствовать этому типу правила, только позволяя трафику перемещаться в одном направлении из Восточной ЧАСТИ США в Западную Европу, а не наоборот. В группах безопасности сети можно убедиться, что трафик, исходящий из Восточной части США, запрещен, а трафик, исходящий из Западной Европы, разрешен.
Этот подход решения не влияет на пропускную способность и задержку, и позволяет клиентам оставаться совместимыми, сохраняя при этом объединение наборов данных из нескольких регионов. Этот параметр также не влияет на архитектуру DNS и позволяет использовать собственное решение Azure на основе зон Частная зона DNS Azure.
Сводка:
Стоимость пиринга глобальной виртуальной сети
Примечание.
При доступе к частной конечной точке через пиринговую сеть вы будете взиматься только за частную конечную точку, а не за пиринг виртуальной сети. Вы можете прочитать официальное заявление в разделе часто задаваемых вопросов: как будет выполняться выставление счетов при доступе к частной конечной точке из одноранговой сети?.
С помощью этой структуры сети плата взимается за частные конечные точки (в час) и весь входящий и исходящий трафик, отправленный через них. Кроме того, необходимо оплатить стоимость передачи данных для трафика между регионами. Тем не менее вы не будете взиматься плата за входящий трафик глобальной виртуальной сети и затраты на исходящий трафик. Из-за этого вариант глобального пиринга виртуальных сетей имеет заметные затраты на традиционный вариант периферийных концентраторов, описанный далее в этой статье.
Сводка:
Пропускная способность и задержка в пиринге глобальной виртуальной сети
Влияние на пропускную способность и задержку значительно ниже в глобальном пиринге виртуальной сети, чем в традиционном варианте "периферийный концентратор-концентратор". Глобальный пиринг виртуальных сетей содержит меньшее количество прыжков для обмена данными целевой зоны между регионами и не имеет виртуальных сетевых (модуль) ограничения пропускной способности. Единственное, что диктовка пропускной способности и задержки, которые можно достичь для трафика между регионами, являются физическими ограничениями наших центров обработки данных (скорость волоконно-оптических кабелей, шлюзов и маршрутизаторов).
Сводка:
Сводка по пирингу глобальной виртуальной сети
Глобальный пиринг между целевыми зонами данных в разных регионах обеспечивает огромные преимущества, особенно если трафик данных между регионами увеличивается в пределах платформы данных. Это упрощает управление службами для основной группы платформы Azure, а особенно преимущества использования, требующие низкой задержки и высокой пропускной способности. Он также предлагает значительные затраты по сравнению с традиционным вариантом проектирования периферийных концентраторов.
Традиционный дизайн периферийного концентратора-концентратора (не рекомендуется)
Другой вариант передачи данных между регионами — это традиционный дизайн периферийных концентраторов. В нашем примере, если виртуальная машина в целевой зоне данных A, размещенная в Западной Европе, загружает набор данных, хранящийся в учетной записи хранения из целевой зоны данных B, размещенной в восточной части США, данные проходят два локальных пиринга виртуальной сети (подключение между концентраторами и периферийными узлами), один глобальный пиринг виртуальной сети (подключение между концентраторами) и два шлюза или виртуальные сетевые (модуль) перед загрузкой виртуальной машины, а затем перемещены обратно в локальную учетную запись хранения.
Управление доступом пользователей в традиционном макете с периферийным концентратором
Для любого из предлагаемых вариантов подключения к целевой зоне данных между регионами нет конкретных плюсов или минусов.
Сводка:
/
Управление службами в традиционном дизайне периферийных концентраторов
Этот подход решения хорошо известен и согласуется с другими шаблонами подключения между регионами, что упрощает внедрение и реализацию. Она также не влияет на архитектуру DNS и позволяет использовать собственное решение Azure на основе зон Частная зона DNS Azure.
Хотя этот параметр подключения работает без проблем при правильной настройке, он имеет недостатки. Трафик между регионами часто отрицается по умолчанию и должен быть включен на основе регистра. Это означает, что запрос должен быть отправлен в основную группу платформы Azure для каждого обязательного требования к доступу к данным между регионами, чтобы ваша команда могли разрешить каждое конкретное подключение между виртуальной машиной и учетной записью хранения между регионами. Этот процесс значительно увеличивает затраты на управление. Он также замедляет работу команд проектов данных, так как они не могут получить доступ к нужным данным.
Кроме того, следует отметить, что в этом параметре центры подключения выполняют роль отдельных точек сбоя. В виртуальных сетевых (модуль) или простое шлюза подключение и соответствующие платформы данных завершаются ошибкой. Кроме того, в центрах подключения есть высокий риск неправильной настройки маршрутов. Такая неправильное настройка может привести к более серьезному простою на платформе данных и привести к ряду зависимых рабочих процессов и сбоев продуктов данных.
При использовании этого подхода следует отслеживать объем данных, необходимых для передачи по регионам. Со временем этот мониторинг может включать гигабайты или терабайты данных, перемещаемых через центральные экземпляры. Так как пропускная способность виртуальных (модуль) сети часто ограничена пропускной способностью одного или двухзначного гигабайта, (модуль) могут выступать в качестве критического узких мест, ограничивающих поток трафика между регионами и возможность совместного использования ресурсов данных. Из-за этого общие сетевые ресурсы могут требовать механизмы масштабирования, которые часто требуют много времени и затрат, а также могут повлиять на другие рабочие нагрузки в клиенте.
Сводка:
Традиционные затраты на проектирование с помощью центра-концентратора
Примечание.
При доступе к частной конечной точке через одноранговую сеть вы будете взиматься только за частную конечную точку, а не за пиринг виртуальной сети. Вы можете прочитать официальное заявление в разделе часто задаваемых вопросов: как будет выполняться выставление счетов при доступе к частной конечной точке из одноранговой сети?.
В традиционном дизайне периферийных концентраторов вы взимаете плату за две частные конечные точки учетных записей хранения (в час) и все входящий и исходящий трафик, отправленный через них. Вы также взимаете плату за входящий и исходящий трафик одного локального пиринга виртуальной сети и глобального пиринга между центрами подключения. Однако вы не будете взимать плату за первый пиринг виртуальной сети, как описано в предыдущем примечание.
Виртуальные (модуль) центральной сети также будут значительными затратами, если вы выберете эту сетевую структуру. Это связано с тем, что вам придется приобрести дополнительные лицензии для масштабирования (модуль) исходя из спроса или вы должны платить плату за обработанные гигабайты для них, как и с Брандмауэр Azure.
Сводка:
Пропускная способность и задержка в традиционном дизайне периферийных концентраторов
Эта сетевая конструкция имеет серьезные ограничения пропускной способности. Виртуальные (модуль) центральной сети становятся критически узкими местами по мере роста платформы, что ограничивает варианты использования целевой зоны данных между регионами и совместное использование наборов данных. Кроме того, с течением времени создается несколько копий наборов данных. Эта конструкция также сильно влияет на задержку, которая особенно важна для сценариев аналитики в режиме реального времени, так как данные проходят много прыжков.
Сводка:
Сводка по традиционному дизайну периферийного концентратора-концентратора
Проектирование периферийного концентратора-концентратора хорошо известно и установлено во многих организациях, что упрощает создание в существующей среде. Однако она имеет значительные недостатки для управления службами, затрат, пропускной способности и задержки. Эти проблемы особенно заметны по мере роста числа вариантов использования между регионами.
Заключение
Глобальный пиринг виртуальных сетей имеет множество преимуществ по сравнению с традиционным дизайном периферийных концентраторов, так как это экономично, легко управляемое и обеспечивает надежное подключение между регионами. Хотя традиционный периферийный концентратор-концентратор может быть жизнеспособным вариантом, в то время как объем данных и необходимость обмена данными между регионами низка, рекомендуется использовать глобальный подход пиринга виртуальной сети, так как объем данных, необходимых для обмена между регионами, растет.