共用方式為

登陸區域

  • 發行項

本文說明登陸區域如何使用 Azure 區域。 Azure 登陸區域架構與區域無關,但您需要指定 Azure 區域來部署 Azure 登陸區域架構。 下列指引說明如何將區域新增至現有的登陸區域,也提供將 Azure 資產移轉至不同區域時的考慮。

在某些情況下,您應該將應用程式部署到多個 Azure 區域,以支援高可用性和災害復原商務需求。 您可能不需要立即使用多個區域應用程式,但您應該設計 Azure 登陸區域平臺來支援多個區域,特別是針對連線、身分識別和管理服務。 請確定您可以快速啟用和支援多區域應用程式登陸區域。

如需詳細資訊,請參閱 選取 Azure 區域

登陸區域和 Azure 區域

Azure 登陸區域是由一組資源和組態所組成。 其中一些專案,例如管理群組、原則和角色指派,會儲存在 Azure 登陸區域架構內的租使用者或管理群組層級。 這些資源不會 部署到 特定區域,而是全域部署。 不過,您仍然需要指定部署區域,因為 Azure 會追蹤區域元數據存放區中的部分資源元數據。

其他資源會以區域方式部署。 視您自己的登陸區域設定而定,您可能會有下列部分或所有區域部署的資源:

  • Azure 監視器記錄工作區,包括選取的解決方案
  • Azure 自動化 帳戶
  • 資源群組,適用於其他資源

如果您部署網路拓撲,您也需要選取 Azure 區域來部署網路資源。 此區域可以與您針對上述清單中所列的資源使用的區域不同。 視您選取的拓撲而定,您部署的網路資源可能包括:

  • Azure 虛擬 WAN,包括虛擬 WAN 中樞
  • Azure 虛擬網路
  • VPN 閘道
  • Azure ExpressRoute 閘道
  • Azure 防火牆
  • Azure DDoS 保護方案
  • Azure 私人 DNS 區域,包括 Azure Private Link 的區域
  • 資源群組,以包含上述資源

注意

若要將區域中斷的影響降到最低,建議您將資源放在與資源群組相同的區域中。 如需詳細資訊,請參閱 資源群組位置對齊

將新區域新增至現有的登陸區域

您應該考慮從雲端旅程開始的多重區域策略,或在完成 Azure 登陸區域架構的初始部署之後,擴充到更多 Azure 區域。 例如,如果您使用 Azure Site Recovery 來啟用虛擬機的災害復原,您可能會想要將它們復寫至不同的 Azure 區域。 若要在 Azure 登陸區域架構中新增 Azure 區域,請考慮下列建議:

區域 建議
管理群組 不需要採取任何動作。 管理群組不會系結至區域。 您不應該根據區域建立管理群組結構。
訂用帳戶 訂用帳戶不會系結至區域。
Azure 原則 如果您將原則指派給拒絕資源部署至所有區域的原則,請指定「允許」的 Azure 區域清單,以變更 Azure 原則。 更新這些指派,以允許資源部署至您想要啟用的新區域。
角色型存取控制 (RBAC) 不需要採取任何動作。 Azure RBAC 未系結至區域。
監視與記錄 決定是否要針對所有區域使用單一 Azure 監視器記錄工作區,或建立多個工作區來涵蓋各種地理區域。 每個方法都有優點和缺點,包括潛在的跨區域網路費用。 如需詳細資訊,請參閱設計 Log Analytics 工作區架構
網路 如果您部署網路拓撲、 虛擬 WAN傳統中樞和輪輻,請將網路擴充至新的 Azure 區域。 將所需的網路資源部署到新 Azure 區域中的現有 連線 ivity 訂用帳戶,以建立另一個網路中樞。 Azure 虛擬網絡 Manager 可讓您更輕鬆地在多個區域中大規模擴充和管理虛擬網路。 從功能變數名稱系統 (DNS) 的觀點來看,您可能也想要將轉寄站部署至新的 Azure 區域。 針對新區域中的輪輻虛擬網路使用轉寄站進行解析。 Azure DNS 區域是全域資源,不會系結至單一 Azure 區域,因此不需要任何動作。
身分識別 如果您將 Active Directory 網域服務 或 Microsoft Entra Domain Services 部署到您的身分識別訂用帳戶或輪輻,請將服務擴充至新的 Azure 區域。

注意

您也應該使用 可用性區域 來取得區域內的高可用性。 檢查您的區域和服務是否支援 可用性區域

Microsoft Cloud for Sovereignty 有限制服務和區域的指導方針。 您可以使用這些指導方針來強制執行服務設定,以協助客戶達成其 數據落地 需求。

高階方法

當您將 Azure 登陸區域擴充至新區域時,請考慮遵循這些區段中的步驟。 開始之前,您必須決定新的 Azure 區域或多個 Azure 區域,才能展開。

網路

傳統中樞和輪輻架構

提示

請參閱傳統的 中樞和輪輻架構

  1. 決定是否需要新的平臺登陸區域訂用帳戶。 我們建議大多數客戶使用其現有的 連線 性訂用帳戶,即使他們使用多個區域也一樣。

  2. 在訂用帳戶內,在新的目標區域中建立新的資源群組。

  3. 在新的目標區域中建立新的中樞虛擬網路。

  4. 如果適用,請將 Azure 防火牆 或網路虛擬設備 (NVA) 部署到新的中樞虛擬網路。

  5. 如果適用,請部署 VPN 或 ExpressRoute 連線的虛擬網路閘道,並建立連線。 請確定您的 ExpressRoute 線路和內部部署位置遵循 Microsoft 復原建議。 如需詳細資訊,請參閱 使用 ExpressRoute 私人對等互連設計災害復原。

  6. 建立新中樞虛擬網路與其他中樞虛擬網路之間的虛擬網路對等互連。

  7. 建立及設定任何必要的路由,例如 Azure 路由伺服器或使用者定義的路由。

  8. 如有需要,請部署新目標區域的 DNS 轉寄站,並連結到任何私人 DNS 區域,以啟用名稱解析。

    • 有些客戶可能會在身分識別平臺登陸區域訂用帳戶內的 Windows Server Active Directory 域控制器上設定名稱解析。

若要裝載工作負載,您可以使用虛擬網路對等互連,將應用程式登陸區域支點連線到新區域中的新中樞虛擬網路。

提示

虛擬網絡 Manager 可讓您更輕鬆地在多個區域中大規模擴充和管理虛擬網路。

虛擬 WAN 架構

提示

請參閱虛擬 WAN 架構

  1. 在現有的虛擬 WAN 中,於新的目標區域中建立新的虛擬中樞。

  2. 將 Azure 防火牆或其他支援的網路虛擬裝置 (NVA) 部署到新的虛擬中樞。 設定 虛擬 WAN 路由意圖和路由原則 ,以透過新的安全虛擬中樞路由流量。

  3. 如果適用,請在新的虛擬中樞中部署 VPN 或 ExpressRoute 連線的虛擬網路網關,並建立連線。 請確定您的 ExpressRoute 線路和內部部署位置遵循 Microsoft 復原建議。 如需詳細資訊,請參閱 使用 ExpressRoute 私人對等互連設計災害復原。

  4. 建立及設定您所需的任何其他路由,例如虛擬中樞靜態路由。

  5. 如果適用,請部署新目標區域的 DNS 轉寄站,並連結至任何私人 DNS 區域以啟用解析。

    • 有些客戶可能會在身分識別平臺登陸區域訂用帳戶內的 Active Directory 域控制器上設定名稱解析。

    • 在虛擬 WAN 部署中,這必須位於透過虛擬網路連線連線到虛擬中樞的輪輻虛擬網路中,遵循 虛擬中樞擴充模式

若要裝載工作負載,您可以使用虛擬網路對等互連,將應用程式登陸區域支點連線到新區域中的新中樞虛擬網路。

身分識別

提示

檢閱 Azure 登陸區域設計區域,以取得 身分識別和存取管理

  1. 決定是否需要新的平臺登陸區域訂用帳戶。 我們建議大部分的客戶使用其現有的 身分 識別訂用帳戶,即使他們使用多個區域也一樣。

  2. 在新的目標區域中建立新的資源群組。

  3. 在新的目標區域中建立新的虛擬網路。

  4. 在 連線ivity訂用帳戶中,建立與新建立的區域中樞虛擬網路對等互連。

  5. 將身分識別工作負載,例如 Active Directory 域控制器虛擬機部署到新的虛擬網路。

    • 布建工作負載之後,您可能需要執行更多設定,例如下列設定步驟:

      • 將 Active Directory 域控制器虛擬機升級至現有的 Active Directory 網域。

      • 建立新的 Active Directory 月臺和子網。

      • 設定 DNS 伺服器設定,例如條件式轉寄站。

將 Azure 資產移至新區域

您偶爾可能需要將整個 Azure 資產移至不同的區域。 例如,假設您已將登陸區域和工作負載部署到鄰近國家或地區的 Azure 區域,然後在您的家鄉或區域中啟動新的 Azure 區域。 您可以選擇將所有工作負載移至新區域,以改善通訊延遲,或符合數據落地需求。

注意

本文提供移轉資產登陸區域元件的相關信息。 如需詳細資訊,請參閱 重新配置雲端工作負載

全域登陸區域設定

大部分全域部署的登陸區域設定通常不需要在移動區域時修改。 不過,請確定您檢查任何限制區域部署的原則指派,並更新原則以允許部署至新區域。

區域登陸區域資源

區域特定的登陸區域資源通常需要更多考慮,因為您無法在區域之間移動某些 Azure 資源。 請考慮下列方法:

  1. 將目的地區域新增為登陸區域的其他區域:如需詳細資訊,請參閱 將新區域新增至現有的登陸區域

  2. 在目的地區域中部署集中式元件:例如,在目的地區域中部署新的 Azure 監視器記錄工作區,讓工作負載可以在移轉工作負載之後開始使用新的元件。

  3. 將工作負載從來源區域移轉至目的地區域:在工作負載移轉程式期間,重新設定資源以使用目的地區域的網路元件、身分識別元件、Azure 監視器記錄工作區和其他區域資源。

  4. 完成移轉之後,將來源區域中的資源解除委任。

當您跨區域移轉登陸區域資源時,請考慮下列秘訣:

  • 使用基礎結構即程序代碼:使用 Bicep、Azure Resource Manager 範本(ARM 範本)、Terraform、腳本或類似的導出和重新匯入複雜組態的方法,例如 Azure 防火牆 的規則。

  • 自動化:使用 腳本 在區域之間移轉自動化資源。

  • ExpressRoute:請考慮您是否可以在目的地區域中使用 ExpressRoute 本機 SKU 。 如果您的內部部署環境與您的 Azure 區域位於相同的大都市區域內,ExpressRoute Local 可以與其他 ExpressRoute SKU 相比提供較低的成本選項。

後續步驟

改善登陸區域治理