共用方式為


單一區域數據登陸區域連線能力

在單一區域設定中,數據管理登陸區域、數據登陸區域和所有相關服務都會在相同的區域內建立。 所有登陸區域都位於相同的連線中樞訂用帳戶內。 此訂用帳戶會裝載共用的網路資源,其中包括網路虛擬設備(例如 Azure 防火牆)、ExpressRoute 閘道、虛擬專用網 (VPN) 閘道、中樞虛擬網路或虛擬 WAN (vWAN 中樞)。

單一區域連線能力

圖 1:單一區域連線。

根據 Azure 網路服務的目前功能,我們建議使用網狀網路架構。 您應該設定虛擬網路對等連接:

  • 線上中樞和 資料管理區域
  • 線上中樞和每個數據登陸區域
  • 資料管理 區域和每個數據登陸區域
  • 每個數據登陸區域

本文說明考慮用於雲端規模分析之每個網路架構選項的優缺點。

本文的第一節著重於單一區域模式,其中 資料管理 區域和所有數據登陸區域都裝載在相同的區域中。

每個設計模式都會使用下列準則進行評估:

  • 成本
  • 使用者存取管理
  • 服務管理
  • 頻寬
  • Latency

我們會使用下列跨數據登陸區域使用案例來分析每個設計選項:

注意

裝載於數據登陸區域 B 的虛擬機 B (VM B) 會從裝載於數據登陸區域 A 的記憶體帳戶 A 載入數據集。然後,VM B 會處理該數據集,並將其儲存在記憶體帳戶 B 中,此帳戶裝載於數據登陸區域 B 中。

重要

本文和網路一節中的其他文章概述共享數據的跨業務單位。 不過,這可能不是您的初始策略,而且您需要先從基底層級開始。

設計網路功能,以便您最終可以在數據登陸區域之間實作建議的設定。 請確定您有數據管理登陸區域直接連線到登陸區域以進行治理。

建議您在採用雲端規模分析時使用網路網格架構。 除了在租戶內設定的現有中樞和輪輻網路設計之外,您還需要做兩件事來實現網路網格架構:

  • 在所有資料著陸區域 Vnet 之間新增虛擬網路對等連線。
  • 在資料管理登陸區與所有資料登陸區之間新增虛擬網路對等連線。

在我們的範例中,從儲存帳戶 A 載入的數據經過設置於兩個數據登陸區域 Vnet 之間的虛擬網路對等互連(2)進行傳輸。 VM B (3) 和 (4) 會載入並處理,然後透過本機私人端點 (5) 傳送,以儲存在記憶體帳戶 B 中。

在此案例中,數據不會通過連線中樞。 它會保留在由數據管理登陸區域和一或多個數據登陸區域所組成的數據平臺內。

網格網路架構

圖 2:網格網路架構。

網格網路架構中的使用者存取管理

在網狀網路架構設計中,數據應用程式小組只需要兩件事才能建立新的服務(包括私人端點):

  • 在數據登陸區域中寫入其專用資源群組的存取權
  • 加入其指定子網的存取權

在此設計中,數據應用程式小組可以自行部署私人端點。 只要他們具有將 Private Endpoints 連接到指定輪輻中子網的必要存取權限,您的小組在設定必要的連線時就不需要任何支援。

摘要:

網格網路架構中的服務管理

在網狀網路架構設計中,沒有任何網路虛擬設備作為單一失敗點或節流。 透過連線中樞傳送的數據集缺乏可減少中央 Azure 平臺小組的額外負荷,前提是您不需要相應放大該虛擬設備。

這表示中央 Azure 平臺小組無法再檢查和記錄數據登陸區域之間傳送的所有流量。 不過,雲端規模分析是橫跨多個訂用帳戶的一致性平臺,可進行規模調整並克服平臺層級的限制,因此這不是缺點。

在單一訂用帳戶內裝載的所有資源之後,您的中央 Azure 平臺小組就不會再檢查中央連線中樞中的所有數據。 您仍然可以使用網路安全組流量記錄來擷取網路記錄。 您可以使用服務特定的診斷設定來合併及儲存其他應用程式和服務等級記錄。

您可以使用診斷設定的 Azure 原則 定義,大規模擷取所有這些記錄。

此設計也可讓您根據 私用 DNS 區域建立 Azure 原生 DNS 解決方案。 您可以透過私人 DNS 群組 Azure 原則 定義,將 DNS A 記錄生命週期自動化。

摘要:

網格網路架構成本

注意

跨對等互連網路存取私人端點時,您只需支付私人端點本身的費用,而不是針對 VNet 對等互連。 您可以在常見問題中 閱讀官方聲明:從對等互連網路存取私人端點時,計費如何運作?

在此網路設計中,您只需支付:

  • 您的私人端點(每小時)
  • 透過私人端點傳送的輸入和輸出流量,以載入原始資料集 (1) 並儲存已處理的數據集 (6)

虛擬網路對等互連不會收費 (2),這就是為什麼此選項的成本最低。

摘要:

網狀網路架構中的頻寬和延遲

此設計沒有已知的頻寬或延遲限制,因為沒有網路虛擬設備限制其跨數據登陸區域數據交換的輸送量。 設計的唯一限制因素是數據中心的實體限制(光纖纜線的速度)。

摘要:

網格網路架構摘要

如果您打算採用雲端規模分析,建議您使用網狀網路設計。 網狀網路以最低成本提供最大頻寬和低延遲,但不會危害使用者存取管理或 DNS 層。

如果您需要在數據平臺內強制執行其他網路原則,請使用網路安全組,而不是中央網路虛擬設備。

中樞和輪輻網路架構設計是最明顯的選擇,也是許多企業採用的選項。 在此期間,網路傳遞性是在連接中樞中設定,以從 VM B 存取儲存帳戶 A 中的數據。數據會經過兩個虛擬網路對等互連((2) 和 (5)),以及裝載在連接中樞內的網路虛擬設備((3) 和 (4))。 然後,由虛擬機載入資料(6),並儲存回儲存帳戶 B(8)。

顯示中樞和輪輻架構的圖表。

圖 3:中樞和輪輻架構。

傳統中樞和輪輻架構中的使用者存取管理

在傳統的中樞和輪輻設計中,數據應用程式小組只需要兩件事才能建立新的服務(包括私人端點):

  • 在數據登陸區域中寫入其資源群組的存取權
  • 加入其指定子網的存取權

在此設計中,數據應用程式小組可以自行部署私人端點。 只要他們具有將私有端點連接至指定輪輻中子網的必要存取權限,您的小組在設定必要的連線時就不需要任何支援。

摘要:

傳統中樞和輪輻架構中的服務管理

此網路設計是眾所周知且與大部分組織現有的網路設定一致。 這可讓您輕鬆地解釋和實作設計。 您也可以使用集中式 Azure 原生 DNS 解決方案搭配 私用 DNS 區域,在您的 Azure 租使用者內提供 FQDN 解析。 使用 私用 DNS 區域可讓您透過 Azure 原則將 DNS A 記錄生命週期自動化。

此設計的另一個優點是流量透過中央網路虛擬設備進行路由傳送,因此可以記錄和檢查從一個子網傳送到另一個子網的網路流量。

此設計的一個缺點是,您的中央 Azure 平臺小組必須手動管理路由表。 這是確保輪輻之間的可轉移性,這可讓數據資產跨多個數據登陸區域共用。 路由管理可能會隨著時間變得複雜且容易出錯,而且必須事先考慮。

此網路設定的另一個缺點是設定中央網路虛擬設備的方式。 網路虛擬設備可作為單一失敗點,如果發生失敗,可能會導致數據平臺內嚴重停機。 此外,當數據集大小在數據平臺內增加,且跨數據登陸區域使用案例的數目增加時,會透過中央網路虛擬設備傳送更多流量。

經過一段時間,這可能會導致透過中央實例傳送的 GB 或甚至數 TB 的數據。 由於現有網路虛擬設備的頻寬通常僅限於一到兩位數的 GB 輸送量,因此中央網路虛擬設備可能會成為瓶頸,嚴重限制數據登陸區域之間的流量,並限制數據資產的共享性。

避免此問題的唯一方法是跨多個實例相應放大您的中央網路虛擬設備,這對此設計具有重大成本影響。

摘要:

傳統中樞和輪輻架構成本

注意

跨對等互連網路存取私人端點時,您只會支付私人端點本身的費用,而不是針對 VNet 對等互連。 您可以在常見問題中 閱讀官方聲明:從對等互連網路存取私人端點時,計費如何運作?

針對此網路,您每小時需支付記憶體帳戶私人端點的費用。 您也需支付透過私人端點傳送的輸入和輸出流量的費用,以載入原始資料集 (1) 並儲存已處理的數據集 (8)。

您的客戶會被收取虛擬網路對等連線的進出傳輸費用(5)。 如先前所述,第一個虛擬網路對等互連不會收費(2)。

如果使用這種網路設計(3)和(4),最終會導致中央網路虛擬設備的成本增加。 您必須購買額外的授權,並根據需求調整中央網路虛擬設備,或支付每 GB 處理的費用,因為它已完成 Azure 防火牆。

摘要:

傳統中樞和輪輻架構中的頻寬和延遲

此網路設計有嚴重的頻寬限制。 當平臺成長時,中央網路虛擬設備會成為關鍵瓶頸,這會限制跨數據登陸區域使用案例和數據集共用。 它也可能會隨著時間建立多個數據集復本。

此設計也會嚴重影響延遲,這在即時分析案例中變得特別重要。

摘要:

傳統中樞和輪輻架構摘要

此中樞和輪輻網路設計具有存取管理和一些服務管理優點,但由於服務管理和頻寬和延遲的重要限制,我們無法針對跨數據登陸區域使用案例建議此網路設計。

另一個設計選項是跨每個登陸區域的私人端點投影。 在此設計中,會在每個登陸區域中建立記憶體帳戶 A 的私人端點。 這會導致數據登陸區域中的第一個私人端點 A 連線到數據登陸區域 A 中的虛擬網路、第二個連線到數據登陸區域 B 中虛擬網路的私人端點等等。

這同樣適用於記憶體帳戶 B,而且可能適用於數據登陸區域內的其他服務。 如果我們將數據登陸區域 數目定義為 n,則最後會針對至少所有記憶體帳戶和數據登陸區域內的其他服務,使用 n 個私人端點。 這會導致私人端點數目呈指數增加。

私人端點投影

圖 4:私人端點投影架構。

由於特定服務的所有私人端點(例如記憶體帳戶 A)具有相同的 FQDN(例如storageaccounta.privatelink.blob.core.windows.net),此解決方案會在 DNS 層中建立無法使用 私用 DNS 區域來解決的挑戰。 相反地,您需要能夠根據要求者的來源/IP 位址解析 DNS 名稱的自定義 DNS 解決方案。 這可讓您將 VM A 連線到連線至數據登陸區域 A 中虛擬網路的私人端點,並讓 VM B 連線到連線到數據登陸區域 B 中虛擬網路的私人端點。您可以使用以 Windows Server 為基礎的設定來執行此動作,而您可以透過活動記錄和 Azure Functions 的組合,將 DNS A 記錄生命週期自動化。

在這裡設定中,您可以透過本機私人端點存取資料集,將記憶體帳戶 A 中的原始資料集載入 VM B。 載入並處理資料集 (2) 和 (3)之後,您可以直接存取本機私人端點 #4,將其儲存在記憶體帳戶 B 上。 在此情境中,數據不得通過任何虛擬網路對等互連。

私人端點投影架構中的使用者存取管理

此設計對使用者存取管理的方法類似於 網狀網路架構的方法。 不過,在此設計中,您可以要求其他數據登陸區域的存取權,以建立私人端點,而不只是在指定的數據登陸區域和虛擬網路內,也會在其他數據登陸區域及其各自的 Vnet 中建立私人端點。

因此,您的數據應用程式小組需要三件事,而不是兩個,才能自行建立新的服務:

  • 在指定的數據登陸區域中寫入資源群組的存取權
  • 加入其指定子網的存取權
  • 存取所有其他數據登陸區域內的資源群組和子網,以建立各自的本機私人端點

此網路設計會增加存取管理層的複雜性,因為您的數據應用程式小組需要每個單一數據登陸區域的許可權。 設計也可能令人困惑,並導致一段時間的 RBAC 不一致。

如果數據登陸區域小組和數據應用程式小組未獲得必要的訪問許可權,就會發生傳統中樞和輪輻架構中所述的問題(不建議使用)。

摘要:

私人端點投影架構中的服務管理

這同樣類似於 網狀網路架構 的設計,但此網路設計的優點是沒有網路虛擬設備做為單一失敗點或節流輸送量。 它也會藉由不透過連線中樞傳送數據集來減少中央 Azure 平臺小組的管理額外負荷,因為不需要相應放大虛擬設備。 這表示中央 Azure 平臺小組無法再檢查和記錄數據登陸區域之間傳送的所有流量。 不過,雲端規模分析是橫跨多個訂用帳戶的一致性平臺,可進行規模調整並克服平臺層級的限制,因此這不是缺點。

在單一訂用帳戶內裝載的所有資源時,不會在中央連線中樞檢查流量。 您仍然可以使用網路安全組流量記錄來擷取網路記錄,而且您可以使用服務特定的診斷設定來合併和儲存其他應用程式和服務等級記錄。 您可以使用 Azure 原則大規模擷取所有這些記錄。 另一方面,您的數據平臺所需的網路位址空間會因為所需私人端點的指數增加而增加,這並非最佳。

此網路架構的主要考慮是先前提及的 DNS 挑戰。 您無法以私人 DNS 區域的形式使用 Azure 原生解決方案,因此此架構需要能夠根據要求者的來源/IP 位址解析 FQDN 的第三方解決方案。 您也必須開發和維護工具和工作流程,將私人 DNS A 記錄自動化,相較於建議的 Azure 原則驅動解決方案,管理額外負荷會大幅增加。

您可以使用 私用 DNS 區域來建立分散式 DNS 基礎結構,但這會建立 DNS 島嶼,這最終會導致您嘗試存取租使用者內其他登陸區域中託管的私人鏈接服務時發生問題。 因此,此設計不是可行的選項。

摘要:

私人端點投影架構成本

注意

跨對等互連網路存取私人端點時,您只會支付私人端點本身的費用,而不是針對 VNet 對等互連。 您可以在常見問題中 閱讀官方聲明:從對等互連網路存取私人端點時,計費如何運作?

在此網路設計中,您只需支付私人端點的費用(每小時)和透過這些私人端點傳送的輸入和輸出流量,以載入未經處理的數據集 (1) 和儲存已處理的數據集 (4)。 不過,由於數據平臺的私人端點數目呈指數增加,因此必須預期額外的成本。 由於每小時會向您收費,因此高度的額外成本量取決於建立多少私人端點。

摘要:

私人端點投影架構中的頻寬和延遲

此設計沒有已知的頻寬和延遲限制,因為它沒有網路虛擬設備會限制跨數據登陸區域數據交換的輸送量。 設計的唯一限制因素是數據中心的實體限制(光纖纜線的速度)。

摘要:

私人端點投影架構摘要

此網路架構中私人端點的指數成長,可能會讓您無法追蹤哪些私人端點用於哪個位置。 您也受限於存取管理問題和 DNS 層複雜度。 由於這些問題,我們無法針對跨數據登陸區域使用案例建議此網路設計。

另一個網路選項是在連線中樞裝載私人端點,並將其聯機到中樞虛擬網路。 在此解決方案中,您會為公司虛擬網路上的每個服務裝載單一私人端點。 由於大部分公司現有的中樞和輪輻網路架構,以及聯機中樞在此解決方案中裝載私人端點的事實,因此不需要轉移性。 您的連接中樞與數據登陸區域之間的虛擬網路對等互連,允許直接存取。

數據會周遊連線中樞與數據登陸區域之間的單一虛擬網路對等互連,以載入儲存在 VM B 中記憶體帳戶 A 中的數據集。載入並處理資料集之後 ((3) 和 (4)之後,它會在第二次 (5) 周遊相同的虛擬網路對等互連,最後透過連線到中樞虛擬網路的私人端點 #6 儲存在記憶體帳戶 B 中。

線上中樞的私人端點

圖 5:連線中樞架構中的私人端點。

線上中樞架構中的使用者存取管理

在此網路設計中,您的數據登陸區域小組和數據應用程式小組需要兩件事才能將私人端點連線到中樞虛擬網路:

  • 將許可權寫入至連線中樞訂用帳戶中的資源群組
  • 將許可權加入中樞虛擬網路

您的連線中樞會針對組織的 Azure 平臺小組指定,並專門用來裝載貴組織的必要和共用網路基礎結構(包括防火牆、網關和網路管理工具)。 此網路選項會使該設計不一致,因為它沒有遵循 Enterprise-Scale 登陸區基本原則中的存取管理原則。 因此,大部分的 Azure 平臺小組都不會核准此設計選項。

摘要:

線上中樞架構中的服務管理

雖然與 網狀網路架構 的設計類似,但此設計沒有網路虛擬設備做為單一失敗點或節流輸送量。 它也會藉由不透過連線中樞傳送數據集來減少中央 Azure 平臺小組的管理額外負荷,因為不需要相應放大虛擬設備。 這表示中央 Azure 平臺小組無法再檢查和記錄數據登陸區域之間傳送的所有流量。 不過,雲端規模分析是橫跨多個訂用帳戶的一致性平臺,可進行規模調整並克服平臺層級的限制,因此這不是缺點。

在單一訂用帳戶內裝載的所有資源時,不會在中央連線中樞檢查流量。 您仍然可以使用網路安全組流量記錄來擷取網路記錄,而且您可以使用服務特定的診斷設定來合併和儲存其他應用程式和服務等級記錄。 您可以使用 Azure 原則大規模擷取所有這些記錄。

此設計也可讓您根據 私用 DNS 區域建立 Azure 原生 DNS 解決方案,並可讓您透過 Azure 原則將 DNS A 記錄生命週期自動化。

摘要:

連接樞紐架構成本

注意

跨對等互連網路存取私人端點時,您只會支付私人端點本身的費用,而不是針對 VNet 對等互連。 您可以在常見問題中 閱讀官方聲明:從對等互連網路存取私人端點時,計費如何運作?

在此網路設計中,您只需要支付私人端點的費用(每小時)和透過這些私人端點傳送的輸入和輸出流量,以載入原始數據集 (1) 並儲存已處理的數據集 (6)。

摘要:

線上中樞架構中的頻寬和延遲

此設計沒有已知的頻寬和延遲限制,因為它沒有網路虛擬設備會限制跨數據登陸區域數據交換的輸送量。 設計的唯一限制因素是數據中心的實體限制(光纖纜線的速度)。

摘要:

聯機中樞架構摘要中的私人端點

雖然此網路架構設計具有多項優點,但其先前提及的存取管理不一致會使它變得不一致。 因此,我們不建議使用此設計方法。

單一區域數據著陸區連接結果

在所有已檢閱的網路架構選項及其優缺點中, 網狀網路架構 是明確的贏家。 它對於輸送量和成本和管理有很大的好處,這就是為什麼我們建議您在部署雲端規模分析時使用它的原因。 對等互連輪輻虛擬網路以前並不常見,這會導致跨網域和業務單位共用數據集的問題。

您可以將雲端規模分析視為橫跨多個訂用帳戶的一致性解決方案。 在單一訂用帳戶設定中,網路流量流程等於網狀網路架構中的流程。 在單一訂用帳戶設定內,使用者很可能會達到平臺的 訂用帳戶層級限制和配額,而雲端規模分析的目標是要避免這種限制

後續步驟