網路概觀
本文針對資料管理登陸區域和資料登陸區域的連入或連出網路和連線,提供設計考量和指導方針。 其建置在 網路拓撲和連線能力之 Azure 登陸區域設計區域中 的資訊。
由於資料管理和資料登陸區域很重要,因此您也應該在設計中包含 Azure 登陸區域設計區域的指引。
本節概述網路模式的高階概觀,其中包含在單一和多個 Azure 區域中部署的進一步連結。
雲端規模分析承諾能夠輕鬆地跨多個資料欄和資料登陸區域共用和存取資料集,而不會有重大頻寬或延遲限制,而且不需要建立相同資料集的多個複本。 為了達到該承諾,必須考慮、評估及測試不同的網路設計,以確保這些設計與公司的現有中樞和輪輻和 vWAN 部署相容。
重要
本文和網路一節中的其他文章概述共用資料的跨業務單位。 不過,這可能不是您的初始策略,而且您必須先從基底層級開始。
設計網路功能,以便您最終可以在資料登陸區域之間實作建議的設定。 請確定您有資料管理登陸區域直接連線到登陸區域以進行治理。
資料管理登陸區域網路
您可以使用虛擬網路對等互連,讓虛擬網路彼此連線。 這些虛擬網路可位於相同或不同的區域,也稱為全域 VNet 對等互連。 當虛擬網路對等互連之後,兩個虛擬網路中的資源可以彼此通訊。 此通訊具有相同的延遲和頻寬,就像是資源位於相同的虛擬網路一樣。
資料管理登陸區域會使用虛擬網路對等互連,連線到 Azure 網路管理訂閱。 虛擬網路對等互連接著會使用 ExpressRoute 線路和協力廠商雲端,連線到內部部署資源。
支援 Azure Private Link 的資料管理登陸區域服務會插入資料管理登陸區域虛擬網路中。 例如,Azure Purview 支援 Private Link。
資料管理登陸區域到資料登陸區域
針對每個新的資料登陸區域,您應該建立從資料管理登陸區域到資料登陸區域的虛擬網路對等互連。
重要
資料管理登陸區域會使用虛擬網路對等互連連線到資料登陸區域。
資料登陸區域到資料登陸區域
有關于如何進行這項連線的選項,視您是否有單一或多個區域部署而定,建議您考慮下列指導方針:
資料管理登陸區域到協力廠商雲端
若要設定資料管理登陸區域與協力廠商雲端之間的連線,請使用站對站 VPN 閘道連線。 此 VPN 可將您的內部部署或協力廠商雲端登陸區域連線到 Azure 虛擬網路。 此連線是透過 IPsec 或網際網路金鑰交換 v1 或 v2 (IKEv1 或 IKEv2) VPN 通道來建立。
站對站 VPN 可為您在 Azure 混合式雲端設定中的工作負載,提供更好的持續性。
重要
若要連線到協力廠商雲端,建議您在 Azure 連線訂閱與協力廠商雲端連線訂閱之間實作站對站 VPN。
私人端點
雲端規模分析會針對共用平臺即服務使用Private Link, (PaaS) 功能。 Private Link 適用於數項服務,而且在大多數服務中都處於公開預覽狀態。 Private Link 可解決與服務端點相關的資料外流問題。
如需目前支援的產品清單,請參閱 Private Link 資源。
如果您打算實作跨租使用者私人端點,建議您檢閱 在 Azure 中限制跨租使用者私人端點連線。
警告
根據設計,雲端規模分析網路會使用可連線到 PaaS 服務的私人端點。
實作適用於私人端點的 Azure DNS 解析器
透過中央 Azure 私人 DNS 區域,處理私人端點的 DNS 解析。 您可以使用 Azure 原則自動建立私人端點所需的 DNS 記錄,允許透過完整網域名稱 (FQDN) 進行存取。 DNS 記錄的生命週期遵循私人端點的生命週期。 刪除私人端點之後,就會自動移除。