共用方式為

跨區域資料交付平台連線能力

  • 發行項

如果您在多個 Azure 區域中存在,且需要跨多個地理位置裝載您的數據平臺和數據應用程式,連線就會變得稍微複雜一點。

多區域部署通常會在每個個別 Azure 位置都有連線中樞訂用帳戶。 例如,如果您有在美國東部和西歐執行的服務,您就會在每個區域中設定具有共用網路資源的連線中樞訂用帳戶。 共用網路資源包括:

  • 網路虛擬裝置(例如 Azure 防火牆)
  • ExpressRoute 閘道
  • VPN 閘道
  • 中樞虛擬網路(在中樞與輪輻架構中)或 vWAN 中樞(在 vWAN 設定中)

跨區域連線能力 圖 1:跨區域連線。

在中樞-輪輻-輪輻-中樞架構中,聯機中樞的虛擬網路通常透過全球虛擬網路對等互連來進行連接。 對於較大的環境,常見的替代方案是使用 ExpressRoute Global Reach。 無論您選擇哪一個連線選項,您都可以在多個地理位置之間實現輪輻網路之間的全域路由和連線。 這表示您可以使用網路虛擬設備、網路安全組和路由表跨區域傳輸數據,只要您的流量不會在任一連線訂閱中遭到封鎖。

重要

本文和網路一節中的其他文章概述共享數據的跨業務單位。 不過,這可能不是您的初始策略,而且您需要先從基底層級開始。

設計您的網路架構,以便您能夠最終在數據落地區域之間實施我們建議的設置。 請確定您有數據管理登陸區域直接連線到登陸區域以進行治理。

您可以使用直接全域虛擬網路對等互連,跨區域連接資料落地區域。 在此設定中,如果我們繼續先前的範例案例,西歐的虛擬機器將直接存取美國東部儲存帳戶的私用端點,不需要依賴任何中樞與輻扇或 vWAN 網路架構。 虛擬機會透過私人端點直接載入資料,並進行處理,然後再儲存回西歐的儲存帳戶。

全域虛擬網路對等互連中的使用者存取管理

建議的跨區域數據登陸區域連線選項之一沒有特定的優缺點。

摘要: /

全域虛擬網路對等互連中的服務管理

全域虛擬網路互聯中沒有作為單一故障點或限制吞吐量的網路虛擬應用設備。 數據不會透過連線中樞傳送,因此您不需要調整連線中樞內的虛擬設備和閘道。 不需擴充可減少核心 Azure 平台團隊的管理負擔。 您也不需要允許列出個別跨區域連線。 您的數據小組可以從其他區域中的數據登陸區域存取數據,而不需要等候路由表變更。

在此網路設計中,您的中央 Azure 平臺小組無法再使用第 7 層防火牆檢查和記錄所有流量。 不過,雲端規模分析案例是橫跨多個訂用帳戶的一致性平臺,可進行規模調整並克服平臺層級的限制,因此這不是缺點。 您可以使用網路安全組流量記錄來擷取網路記錄。 您可以使用服務特定的診斷設定來合併及儲存其他應用程式和服務等級記錄。

您可以使用 Azure Policy 定義中的診斷設定來大規模擷取這些記錄

在某些情況下,由於法規或法律的影響,您需要進行限制。 例如,您可能有一個本機法規,要求特定數據集停留在顆粒物數據中心內,因此您無法跨區域傳輸這些數據集。 您可以依賴網路安全組來協助您遵守這種規則,只允許流量從美國東部移至西歐,反之亦然。 在您的網路安全組中,您可以確保來自美國東部的流量被拒絕,而來自西歐的流量則被允許。

此解決方案方法不會影響頻寬和延遲,並可讓客戶在合併來自多個區域的數據集時保持相容。 此選項也不會影響您的 DNS 架構,並可讓您使用以 Azure 私人 DNS 區域為基礎的 Azure 原生解決方案。

摘要:

全域虛擬網路對等連接成本

注意

當透過對等互連網路存取私人端點時,您只需支付私人端點本身的費用,而不是 VNet 對等互連的費用。 您可以在 常見問題中閱讀官方聲明:從對等互連網路存取私人端點時,計費將如何運作?

使用此網路設計時,您需支付私人端點(每小時)的費用,以及透過它們傳送的所有輸入和輸出流量。 您也必須為區域之間的流量支付 資料傳輸成本。 不過,您不會被收取任何全球虛擬網路對等互連的流入和流出成本,與 傳統輪輻中樞-中樞-輪輻選項相比,這具有顯著的成本優勢。

摘要:

全域虛擬網路對等互連中的頻寬和延遲

全域虛擬網路對等互連對頻寬和延遲的影響比傳統輪輻-中樞-輪輻選項更低。 全球虛擬網路對等在跨區域數據登陸區數據交換時,其躍點數較少,且沒有網路虛擬設備限制其傳輸量。 唯一決定跨區域流量之可達頻寬和延遲的因素,就是我們數據中心的物理限制(例如光纖纜線、網關和路由器的速度)。

摘要:

全域虛擬網路對等互連摘要

不同區域的數據登陸區域之間的全域虛擬網路對等互連可提供極大的好處,特別是隨著跨區域數據流量在您的數據平臺內增加。 這將簡化您的核心 Azure 平台團隊的服務管理,尤其有利於需要低延遲和高頻寬的使用情境。 它相比於傳統的輪輻-中樞-中樞-輪輻設計方案,提供了顯著的成本效益。

跨區域數據傳輸的另一個選項是傳統的輪輻中樞-中樞輪輻設計。 在我們的範例情境中,如果位於西歐的數據著陸區域 A 中的虛擬機從位於美國東部的數據著陸區域 B 載入儲存在儲存帳戶中的數據集,數據會通過兩個本地的虛擬網路對等互連(中樞與輪輻之間的連線)、一個全球虛擬網路對等互連(中樞之間的連線)和兩個網關或網路虛擬設備,最終由虛擬機載入,然後移回到本地的儲存帳戶。

傳統輪輻中樞-輪輻設計中的使用者存取管理

建議的跨區域數據登陸區域連線選項之一沒有特定的優缺點。

摘要: /

傳統輪輻中樞-中樞-輪輻設計中的服務管理

這個解決方案方法是眾所周知且與其他跨區域連線模式一致的,可讓您輕鬆地採用和實作。 它也不會影響 DNS 架構,並可讓您使用以 Azure 私人 DNS 區域為基礎的 Azure 原生解決方案。

雖然此連線選項可在正確設定時順暢地運作,但它確實有缺點。 根據預設,跨區域流量通常會被拒絕,而且必須個別啟用。 您必須針對每個必要的跨區域數據存取需求,將票證提交至核心 Azure 平臺小組,以便您的小組能夠列出虛擬機與跨區域記憶體帳戶之間的每個特定連線。 此過程大幅增加管理負擔。 它也會讓數據專案小組變慢速度,因為它們無法存取所需的數據。

您也應該注意,在此選項中,連線中樞會成為單一故障點。 在網路虛擬設備或閘道停機中,連線和對應的數據平台會失敗。 您也有在網路連結中樞中錯誤配置路由的高風險。 此設定錯誤可能會導致數據平臺更嚴重的停機時間,並導致一系列相依工作流程和數據產品失敗。

您應該監視在使用這個解決方案方法時,跨區域傳輸所需的數據量。 隨著時間的推移,這項監控可能會涉及數 GB 或數 TB 的數據通過您的中樞系統移動。 由於網路虛擬設備的頻寬通常受限於一到兩位數的千兆位元輸送量,因此這些設備可能成為區域間流量以及資料資產共享能力的重要瓶頸。 由於這個瓶頸,您的共用網路資源可能需要調整機制,這些機制通常耗時且成本高昂,而且可能會影響租使用者中的其他工作負載。

摘要:

傳統輪輻中樞 -Hub-Spoke 設計成本

注意

當在對等網路中存取私人端點時,您只需支付私人端點本身的費用,而不會因 VNet 對等網路而產生費用。 您可以在 常見問題中閱讀官方聲明:從對等互連網路存取私人端點時,計費如何運作?

在傳統的中樞輪輻式設計中,您會被收取兩個儲存帳戶的私人端點(每小時)的費用,以及所有透過它們的進入與流出流量的費用。 您也會向您收取一個局域網路對等互連的輸入和輸出流量,以及聯機中樞之間的全域虛擬網路對等互連。 不過,您不需要支付第一個虛擬網路連線的費用,正如我們在之前的說明中所提到的。

如果您選擇此網路設計,您的中央網路虛擬設備也會產生大量成本。 此成本是因為您必須購買額外的授權,才能根據需求調整設備規模,或支付每個已處理 GB 的費用,如同 Azure 防火牆。

摘要:

傳統輪輻中樞-中樞-輪輻設計的頻寬和延遲

此網路設計有嚴重的頻寬限制。 您的中央網路虛擬設備會隨著平臺成長而成為關鍵瓶頸,這會限制跨區域的數據登陸區域使用案例和共用數據集。 它也可能會隨著時間建立數據集的多個複本。 此設計也會大幅影響延遲,這對即時分析情境至關重要,因為您的數據需要經過許多跳轉。

摘要:

傳統輪輻中樞-中樞輪輻的設計

輪輻中樞-中樞輪輻設計是眾所周知且在許多組織中建立的,因此可以輕鬆地在現有的環境中建立。 不過,對於服務管理、成本、頻寬和延遲而言,它有顯著的缺點。 當您的跨區域使用案例數目增加時,這些問題特別明顯。

結論

全域虛擬網路對等互連 有許多優點,優於 傳統輪輻中樞-中樞輪輻設計,因為它符合成本效益、易於管理,而且跨區域提供可靠的連線能力。 雖然傳統輪輻中樞-中樞輪輻設計可以是可行的選項,而您的數據量和跨區域數據交換的需求很低,但建議您使用全域虛擬網路對等互連方法,因為您需要跨區域交換的數據量會成長。

後續步驟