Oblasti cílové zóny

  • Článek

Samotná architektura cílové zóny Azure je nezávislá na oblastech. Budete ale požádáni o zadání oblastí Azure pro nasazení architektury cílové zóny Azure. Tento článek vysvětluje, jak cílové zóny používají oblasti Azure. Vysvětluje také, jak přidat oblast do existující cílové zóny, a některé aspekty při migraci majetku Azure do jiné oblasti.

Další pokyny k výběru oblastí Azure najdete v tématu Výběr oblastí Azure.

Jak cílové zóny používají oblasti Azure

Cílové zóny Azure se skládají ze sady prostředků a konfigurace. Některé z těchto položek, jako jsou skupiny pro správu, zásady a přiřazení rolí, se ukládají na úrovni tenanta nebo skupiny pro správu v rámci architektury cílové zóny Azure, takže tyto prostředky nejsou nasazené do konkrétní oblasti a místo toho se nasazují globálně. Přesto ale potřebujete zadat oblast nasazení, protože Azure sleduje některá metadata prostředků v úložišti místních metadat.

Další prostředky se nasazují regionálně. V závislosti na vlastní konfiguraci cílové zóny můžete mít některé nebo všechny následující regionálně nasazené prostředky:

  • Pracovní prostor služby Log Analytics (včetně vybraných řešení)
  • Účet Automation
  • Skupiny prostředků (pro ostatní prostředky)

Pokud nasadíte topologii sítě, musíte také vybrat oblast Azure, do které chcete síťové prostředky nasadit. Tato oblast se může lišit od oblasti, kterou používáte pro prostředky uvedené v předchozím seznamu. V závislosti na vybrané topologii můžou síťové prostředky, které nasadíte, zahrnovat:

  • Azure Virtual WAN (včetně centra Virtual WAN)
  • Virtuální sítě Azure
  • VPN Gateway
  • Brána ExpressRoute
  • Azure Firewall
  • Plány služby Azure DDoS Protection
  • Zóny azure Privátní DNS, včetně pro Azure Private Link
  • Skupiny prostředků, které mají obsahovat výše uvedené prostředky

Poznámka:

Pokud chcete minimalizovat vliv oblastních výpadků, doporučujeme umístit prostředky do stejné oblasti jako skupina prostředků. Další informace najdete v tématu Zarovnání umístění skupiny prostředků.

Přidání nové oblasti do existující cílové zóny

Po dokončení počátečního nasazení architektury cílové zóny Azure byste měli zvážit strategii pro více oblastí, a to buď od začátku cesty ke cloudu, nebo rozšířením do více oblastí Azure. Pokud například povolíte zotavení po havárii pro virtuální počítače pomocí Azure Site Recovery, můžete je chtít replikovat do jiné oblasti Azure. Pokud chcete do architektury cílových zón Azure přidat oblasti Azure, zvažte následující oblasti a doporučení:

Plocha Doporučení
Skupiny pro správu Žádná akce není nutná. Skupiny pro správu nejsou svázané s oblastí a není vhodné vytvořit strukturu skupin pro správu na základě oblastí.
Předplatná Předplatná nejsou svázaná s oblastí.
Azure Policy Pokud jste přiřadili zásady pro odepření nasazení prostředků do všech oblastí, zadejte seznam povolených oblastí Azure. Tato přiřazení musí být aktualizována, aby umožňovala nasazení prostředků do nové oblasti, kterou chcete povolit.
Řízení přístupu na základě role Žádná akce není nutná. Azure RBAC není svázaný s oblastí.
Monitorování a protokolování Rozhodněte se, jestli chcete použít jeden pracovní prostor služby Log Analytics pro všechny oblasti, nebo vytvořit více pracovních prostorů pro pokrytí různých geografických oblastí. Každý přístup má výhody a nevýhody, včetně potenciálních poplatků za sítě napříč oblastmi. Další informace najdete v tématu Návrh architektury pracovního prostoru služby Log Analytics.
Sítě Pokud jste nasadili síťovou topologii, Virtual WAN nebo tradiční hvězdicovou hvězdicovou síť, rozbalte síť do nové oblasti Azure. Vytvořte další síťové centrum nasazením požadovaných síťových prostředků do stávajícího předplatného Připojení ivity v nové oblasti Azure. Azure Virtual Network Manager může usnadnit rozbalení a správu virtuálních sítí ve velkém měřítku ve více oblastech. Z hlediska DNS můžete také chtít nasadit služby předávání, pokud se používají, do nové oblasti Azure. Pro paprskové virtuální sítě v nové oblasti použijte pro překlad služby předávání. Zóny Azure DNS jsou globální prostředky, které nejsou svázané s jednou oblastí Azure, takže s nimi není potřeba nic dělat.
Identita Pokud jste do předplatného nebo paprsku identity nasadili služby Doména služby Active Directory Services nebo Microsoft Entra Domain Services, rozbalte tuto službu do nové oblasti Azure.

Poznámka:

Pro zajištění vysoké dostupnosti v rámci oblasti byste také měli používat zóny dostupnosti. Zkontrolujte, jestli jsou zóny dostupnosti podporované ve vybraných oblastech a pro služby, které chcete použít.

Microsoft Cloud for Sovereignty má pokyny pro omezení služeb a oblastí. Pomocí těchto pokynů můžete vynutit konfiguraci služby, která zákazníkům pomůže dosáhnout potřeb jejich rezidence dat.

Přístup vysoké úrovně

Když cílovou zónu Azure rozbalíte do nové oblasti, zvažte postup v těchto částech. Než začnete, musíte se rozhodnout o nové oblasti Azure nebo několika oblastech Azure, do kterých se chcete rozšířit.

Sítě

Tradiční hvězdicová architektura

Tip

Projděte si oblast návrhu cílové zóny Azure pro tradiční hvězdicovou architekturu.

  1. Rozhodněte se, jestli je potřeba nové předplatné cílové zóny platformy. Doporučujeme, aby většina zákazníků používala stávající předplatná Připojení ivity, i když používají více oblastí.
  2. V rámci předplatného vytvořte novou skupinu prostředků v nové cílové oblasti.
  3. Vytvořte novou virtuální síť centra v nové cílové oblasti.
  4. Pokud je to možné, nasaďte do své nové virtuální sítě centra azure firewall nebo síťová virtuální zařízení.
  5. Pokud je to možné, nasaďte brány virtuální sítě pro připojení VPN nebo ExpressRoute a navazujte připojení. Ujistěte se, že vaše okruhy ExpressRoute a místní umístění dodržují doporučení Microsoftu pro odolnost. Další informace najdete v tématu Návrh pro zotavení po havárii pomocí privátního partnerského vztahu ExpressRoute.
  6. Vytvořte partnerský vztah virtuálních sítí mezi novou virtuální sítí rozbočovače a dalšími virtuálními sítěmi centra.
  7. Vytvořte a nakonfigurujte veškeré požadované směrování, jako je Azure Route Server nebo trasy definované uživatelem.
  8. V případě potřeby povolte překlad názvů nasazením serverů pro předávání DNS pro novou cílovou oblast a propojením se všemi privátními zónami DNS.
    • Někteří zákazníci můžou nakonfigurovat překlad adres IP na svých řadičích domény služby Active Directory v rámci předplatného cílové zóny platformy Identity Platform.

K hostování úloh pak můžete připojit paprsky cílových zón aplikace k nové virtuální síti centra v nové oblasti pomocí partnerského vztahu virtuálních sítí.

Tip

Azure Virtual Network Manager může usnadnit rozbalení a správu virtuálních sítí ve velkém měřítku ve více oblastech.

Architektura služby Virtual WAN

Tip

Projděte si oblast návrhu cílové zóny Azure pro architekturu Virtual WAN.

  1. Ve stávající virtuální síti WAN vytvořte nové virtuální centrum v nové cílové oblasti.
  2. Nasaďte službu Azure Firewall nebo jiná podporovaná síťová virtuální zařízení (NVA) do nového virtuálního centra. Nakonfigurujte záměr směrování Azure Virtual WAN a zásady směrování tak, aby směrovali provoz přes nové zabezpečené virtuální centrum.
  3. Pokud je to možné, nasaďte brány virtuální sítě pro připojení VPN nebo ExpressRoute v novém virtuálním centru a navazujte připojení. Ujistěte se, že vaše okruhy ExpressRoute a místní umístění dodržují doporučení Microsoftu pro odolnost. Další informace najdete v tématu Návrh pro zotavení po havárii pomocí privátního partnerského vztahu ExpressRoute.
  4. Pokud je to možné, vytvořte a nakonfigurujte jakékoli jiné směrování, které potřebujete, například statické trasy virtuálního centra.
  5. Pokud je to možné, nasaďte služby předávání DNS pro novou cílovou oblast a propojte všechny privátní zóny DNS, aby bylo možné překlad povolit.
    • Někteří zákazníci můžou nakonfigurovat překlad adres IP na svých řadičích domény služby Active Directory v rámci předplatného cílové zóny platformy Identity Platform.
    • V nasazeních služby Virtual WAN musí být v paprskové virtuální síti, která je připojená k virtuálnímu rozbočovači přes připojení k virtuální síti, a to podle vzoru rozšíření virtuálního centra.

K hostování úloh pak můžete připojit paprsky cílové zóny aplikace k novému virtuálnímu rozbočovači sítě Virtual WAN v nové oblasti pomocí připojení virtuální sítě.

Identita

Tip

Projděte si oblast návrhu cílové zóny Azure pro správu identit a přístupu.

  1. Rozhodněte se, jestli potřebujete nové předplatné cílové zóny platformy. Doporučujeme, aby většina zákazníků používala své stávající předplatné identity , i když používají více oblastí.
  2. Vytvořte novou skupinu prostředků v nové cílové oblasti.
  3. Vytvořte novou virtuální síť v nové cílové oblasti.
  4. Vytvořte partnerský vztah virtuálních sítí zpět k nově vytvořené virtuální síti místního centra v předplatném Připojení ivity.
  5. Nasaďte úlohy identit, jako jsou virtuální počítače řadiče domény služby Active Directory, do nové virtuální sítě.
    • Po zřízení možná budete muset provést další nastavení úloh, například následující kroky konfigurace:
      • Zvyšte úroveň virtuálních počítačů řadiče domény služby Active Directory na existující doménu služby Active Directory.
      • Vytvořte nové lokality a podsítě služby Active Directory.
      • Nakonfigurujte nastavení serveru DNS, jako jsou podmíněné služby předávání.

Přesun majetku Azure do nové oblasti

Někdy může být potřeba přesunout celá aktiva Azure do jiné oblasti. Předpokládejme například, že jste nasadili cílovou zónu a úlohy do oblasti Azure v sousední zemi nebo oblasti a pak se ve vaší domovské zemi nebo oblasti spustí nová oblast Azure. Můžete se rozhodnout přesunout všechny úlohy do nové oblasti, abyste zlepšili latenci komunikace nebo splnili požadavky na rezidenci dat.

Poznámka:

Tento dokument obsahuje pouze informace o migraci součástí cílové zóny vašich aktiv. Další informace o přemístění komponent úloh najdete v tématu Přemístění cloudových úloh.

Konfigurace globální cílové zóny

Většina konfigurace globálně nasazené cílové zóny se při přesouvání oblastí obvykle nemusí měnit. Ujistěte se ale, že zkontrolujete všechna přiřazení zásad, která omezují nasazení oblastí, a aktualizujte zásadu tak, aby povolovala nasazení do nové oblasti.

Prostředky regionální cílové zóny

Prostředky cílové zóny specifické pro jednotlivé oblasti často vyžadují větší pozornost, protože některé prostředky Azure se mezi oblastmi nedají přesouvat. Zvažte následující přístup:

  1. Přidejte cílovou oblast jako další oblast do cílové zóny. Postupujte podle pokynů v části Přidání nové oblasti do existující cílové zóny.
  2. Nasaďte centralizované komponenty v cílové oblasti. Například do cílové oblasti nasaďte nový pracovní prostor služby Log Analytics, aby úlohy mohly začít používat novou komponentu při migraci.
  3. Migrujte úlohy ze zdrojové oblasti do cílové oblasti. Během procesu migrace úloh překonfigurujte prostředky tak, aby používaly síťové komponenty cílové oblasti, komponenty identit, pracovní prostor služby Log Analytics a další regionální prostředky.
  4. Po dokončení migrace vyřadíte prostředky ze zdrojové oblasti z provozu.

Při migraci prostředků cílové zóny napříč oblastmi zvažte následující tipy:

  • Použití infrastruktury jako kódu: Složitá konfigurace, jako jsou pravidla pro Azure Firewall, je možné exportovat a znovu importovat pomocí Bicep, šablon ARM, Terraformu, skriptování nebo podobného přístupu.
  • Azure Automation: Azure Automation poskytuje pokyny a skripty , které vám pomůžou s migrací prostředků Azure Automation do jednotlivých oblastí.
  • ExpressRoute: Zvažte, jestli můžete v cílové oblasti použít Místní ExpressRoute. Pokud jsou vaše místní prostředí ve stejné metropolitní oblasti jako vaše oblast Azure, může místní služba ExpressRoute poskytovat nižší cenu než jiné skladové položky ExpressRoute.

Další kroky

Vylepšení zásad správného řízení cílových zón