Regiões da zona de desembarque
A própria arquitetura da zona de aterrissagem do Azure é independente da região. No entanto, você será solicitado a especificar as regiões do Azure para implantar sua arquitetura de zona de aterrissagem do Azure. Este artigo explica como as zonas de aterrissagem usam regiões do Azure. Ele também explica como adicionar uma região a uma zona de aterrissagem existente e algumas considerações quando você migra seu estado do Azure para uma região diferente.
Para obter mais orientações sobre como escolher regiões do Azure, consulte Selecionar regiões do Azure.
Como as zonas de aterrissagem usam as regiões do Azure
As zonas de aterrissagem do Azure consistem em um conjunto de recursos e configuração. Alguns desses itens, como grupos de gerenciamento, políticas e atribuições de função, são armazenados em um nível de locatário ou grupo de gerenciamento dentro da arquitetura da zona de aterrissagem do Azure, portanto, esses recursos não são "implantados" em uma região específica e, em vez disso, são implantados globalmente. No entanto, você ainda precisa especificar uma região de implantação porque o Azure controla alguns dos metadados de recursos em um repositório de metadados regional.
Outros recursos são implantados regionalmente. Dependendo da sua própria configuração de zona de aterrissagem, você pode ter alguns ou todos os seguintes recursos implantados regionalmente:
- Workspace do Log Analytics (incluindo soluções selecionadas)
- Conta de automação
- Grupos de recursos (para os outros recursos)
Se você implantar uma topologia de rede, também precisará selecionar uma região do Azure para implantar os recursos de rede. Essa região pode ser diferente da região que você usa para os recursos listados na lista anterior. Dependendo da topologia selecionada, os recursos de rede implantados podem incluir:
- WAN Virtual do Azure (incluindo o Hub de WAN Virtual)
- Redes virtuais do Azure
- gateway de VPN
- Gateway do ExpressRoute
- Firewall do Azure
- Planos de proteção contra DDoS do Azure
- Zonas DNS Privadas do Azure, inclusive para o Link Privado do Azure
- Grupos de recursos, para conter os recursos listados acima
Observação
Para minimizar o efeito de paralisações regionais, recomendamos que você coloque recursos na mesma região que o grupo de recursos. Para obter mais informações, consulte Alinhamento de local do grupo de recursos.
Adicionar uma nova região a uma zona de aterrissagem existente
Você deve considerar uma estratégia de várias regiões, desde o início de sua jornada para a nuvem ou expandindo para mais regiões do Azure depois de concluir a implantação inicial de sua arquitetura de zona de aterrissagem do Azure. Por exemplo, se você habilitar a recuperação de desastre para suas máquinas virtuais usando o Azure Site Recovery, talvez você queira replicá-las em uma região diferente do Azure. Para adicionar regiões do Azure na arquitetura de zona de aterrissagem do Azure, considere as seguintes áreas e recomendações:
| Área | Recomendação |
|---|---|
| Grupos de gerenciamento | Nenhuma ação é necessária. Os grupos de gerenciamento não estão vinculados a uma região e não é uma boa prática criar uma estrutura de grupo de gerenciamento com base em regiões. |
| Assinaturas | As assinaturas não estão vinculadas a uma região. |
| Azure Policy | Faça alterações aqui se você atribuiu políticas para negar a implantação de recursos a todas as regiões, especificando uma lista de regiões do Azure "permitidas". Essas atribuições devem ser atualizadas para permitir implantações de recursos na nova região que você deseja habilitar. |
| Controle de acesso baseado em função | Nenhuma ação é necessária. O RBAC do Azure não está vinculado a uma região. |
| Monitoramento e registro em log | Decida se deseja usar um único espaço de trabalho do Log Analytics para todas as regiões ou criar vários espaços de trabalho para cobrir diferentes regiões geográficas. Há vantagens e desvantagens de cada abordagem, incluindo possíveis taxas de rede entre regiões. Para obter mais informações, consulte Projetar uma arquitetura de workspace do Log Analytics. |
| Rede | Se você implantou uma topologia de rede, um WAN Virtualou um hub e spoke tradicional, expanda a rede para a nova região do Azure. Crie outro hub de rede implantando os recursos de rede necessários na assinatura de conectividade existente na nova região do Azure. O Gerenciador de Rede Virtual do Azure pode facilitar a expansão e o gerenciamento de redes virtuais em escala em várias regiões. Do ponto de vista do DNS, talvez você também queira implantar encaminhadores, se usados, na nova região do Azure. Use encaminhadores para redes virtuais spoke na nova região para resolução. As zonas DNS do Azure são recursos globais e não estão vinculadas a uma única região do Azure, portanto, nada precisa ser feito com elas. |
| Identidade | Se você implantou os Serviços de Domínio Active Directory ou os Serviços de Domínio Microsoft Entra em sua assinatura/spoke do Identity , expanda o serviço para a nova região do Azure. |
Observação
Você também deve usar zonas de disponibilidade para alta disponibilidade em uma região. Verifique se há suporte para zonas de disponibilidade nas regiões escolhidas e para os serviços que você deseja usar.
O Microsoft Cloud for Sovereignty tem diretrizes para restringir serviços e regiões. Você pode usar essas diretrizes para impor a configuração do serviço para ajudar os clientes a atingir suas necessidades de residência de dados.
Abordagem de alto nível
Ao expandir uma zona de aterrissagem do Azure para uma nova região, considere seguir as etapas nestas seções. Antes de começar, você precisa decidir sobre uma nova região do Azure, ou várias regiões do Azure, para expandir.
Rede
Arquitetura tradicional de hub e spoke
Dica
Revise a área de design da zona de aterrissagem do Azure para a arquitetura tradicional de hub e spoke.
- Decida se uma nova assinatura da zona de aterrissagem da plataforma é necessária. Recomendamos que a maioria dos clientes use suas assinaturas de conectividade existentes, mesmo quando usam várias regiões.
- Dentro da assinatura, crie um novo grupo de recursos na nova região de destino.
- Crie uma nova rede virtual de hub na nova região de destino.
- Se aplicável, implante o Firewall do Azure ou dispositivos virtuais de rede (NVAs) em sua nova rede virtual de hub.
- Se aplicável, implante gateways de rede virtual para conectividade VPN e/ou Rota Expressa e estabeleça conexões. Certifique-se de que seus circuitos de Rota Expressa e locais sigam as recomendações de resiliência da Microsoft. Para obter mais informações, consulte Projetando para recuperação de desastres com emparelhamento privado da Rota Expressa.
- Estabeleça emparelhamento de rede virtual entre a nova rede virtual de hub e as outras redes virtuais de hub.
- Crie e configure qualquer roteamento necessário, como o Servidor de Rotas do Azure ou rotas definidas pelo usuário.
- Se necessário, habilite a resolução de nomes implantando encaminhadores DNS para a nova região de destino e vinculando a quaisquer zonas DNS privadas.
- Alguns clientes podem configurar a resolução de nomes em seus controladores de domínio do Active Directory dentro da assinatura da zona de destino da plataforma Identity .
Para hospedar suas cargas de trabalho, você pode conectar os raios da zona de aterrissagem do aplicativo à nova rede virtual de hub na nova região usando o emparelhamento de rede virtual.
Dica
O Gerenciador de Rede Virtual do Azure pode facilitar a expansão e o gerenciamento de redes virtuais em escala em várias regiões.
Arquitetura da WAN Virtual
Dica
Revise a área de design da zona de aterrissagem do Azure para a arquitetura de WAN Virtual.
- Dentro da WAN virtual existente, crie um novo hub virtual na nova região de destino.
- Implante o Firewall do Azure ou outros dispositivos virtuais de rede (NVAs) com suporte em seu novo hub virtual. Configure a intenção de roteamento da WAN Virtual do Azure e as políticas de roteamento para rotear o tráfego por meio do novo hub virtual seguro.
- Se aplicável, implante gateways de rede virtual para conectividade VPN e/ou Rota Expressa no novo hub virtual e estabeleça conexões. Certifique-se de que seus circuitos de Rota Expressa e locais sigam as recomendações de resiliência da Microsoft. Para obter mais informações, consulte Projetando para recuperação de desastres com emparelhamento privado da Rota Expressa.
- Se aplicável, crie e configure qualquer outro roteamento necessário, como rotas estáticas de hub virtual.
- Se aplicável, implante encaminhadores DNS para a nova região de destino e vincule-se a qualquer zona DNS privada para habilitar a resolução.
- Alguns clientes podem configurar a resolução de nomes em seus controladores de domínio do Active Directory dentro da assinatura da zona de destino da plataforma Identity .
- Em implantações de WAN Virtual, isso deve estar em uma rede virtual spoke conectada ao hub virtual por meio de uma conexão de rede virtual, seguindo o padrão de extensão de hub virtual.
Para hospedar suas cargas de trabalho, você pode conectar os raios da zona de aterrissagem do aplicativo ao novo hub virtual da WAN virtual na nova região usando conexões de rede virtual.
Identidade
Dica
Revise a área de design da zona de aterrissagem do Azure para gerenciamento de identidade e acesso.
- Decida se você precisa de uma nova assinatura da zona de aterrissagem da plataforma. Recomendamos que a maioria dos clientes use sua assinatura do Identity existente, mesmo quando usam várias regiões.
- Crie um novo grupo de recursos na nova região de destino.
- Crie uma nova rede virtual na nova região de destino.
- Estabeleça o emparelhamento de rede virtual de volta para a rede virtual de hub regional recém-criada na assinatura Conectividade .
- Implante cargas de trabalho de identidade, como máquinas virtuais do controlador de domínio do Active Directory, na nova rede virtual.
- Talvez seja necessário executar mais configurações das cargas de trabalho depois que elas forem provisionadas, como as seguintes etapas de configuração:
- Promova as máquinas virtuais do controlador de domínio do Active Directory para o domínio existente do Active Directory.
- Crie novos sites e sub-redes do Active Directory.
- Defina as configurações do servidor DNS como encaminhadores condicionais.
- Talvez seja necessário executar mais configurações das cargas de trabalho depois que elas forem provisionadas, como as seguintes etapas de configuração:
Mover sua propriedade do Azure para uma nova região
Ocasionalmente, talvez seja necessário mover todo o seu estado do Azure para uma região diferente. Por exemplo, suponha que você implantou sua zona de aterrissagem e cargas de trabalho em uma região do Azure em um país/região vizinho e, em seguida, uma nova região do Azure é iniciada em seu país/região de origem. Você pode optar por mover todas as suas cargas de trabalho para a nova região para melhorar a latência de comunicação ou para cumprir os requisitos de residência de dados.
Observação
Este documento fornece apenas informações sobre como migrar os componentes da zona de aterrissagem do seu estado. Para obter mais informações sobre como realocar seus componentes de carga de trabalho, consulte Realocar cargas de trabalho na nuvem.
Configuração global da zona de aterrissagem
A maioria das configurações de zona de aterrissagem implantadas globalmente normalmente não precisa ser modificada quando você move regiões. No entanto, verifique se há atribuições de política que restrinjam implantações de região e atualize a política para permitir implantações na nova região.
Recursos da zona de desembarque regional
Os recursos da zona de aterrissagem específicos da região geralmente exigem mais consideração porque alguns recursos do Azure não podem ser movidos entre regiões. Considere a seguinte abordagem:
- Adicione a região de destino como uma região adicional à sua zona de aterrissagem. Siga as orientações em Adicionar uma nova região a uma zona de aterrissagem existente.
- Implante componentes centralizados na região de destino. Por exemplo, implante um novo espaço de trabalho do Log Analytics em sua região de destino para que as cargas de trabalho possam começar a usar o novo componente quando forem migradas.
- Migre suas cargas de trabalho da região de origem para a região de destino. Durante o processo de migração da carga de trabalho, reconfigure os recursos para usar os componentes de rede, os componentes de identidade, o espaço de trabalho do Log Analytics e outros recursos regionais da região de destino.
- Descomissione os recursos na região de origem após a conclusão da migração.
Considere as seguintes dicas ao migrar recursos da zona de destino entre regiões:
- Usar infraestrutura como código: a configuração complexa, como regras para o Firewall do Azure, pode ser exportada e reimportada usando Bicep, modelos ARM, Terraform, scripts ou uma abordagem semelhante.
- Automação do Azure: a Automação do Azure fornece orientação e scripts para ajudar na migração entre regiões dos recursos de Automação do Azure.
- ExpressRoute: Considere se você pode usar o ExpressRoute Local em sua região de destino. Se seus ambientes locais estiverem na mesma área metropolitana que sua região do Azure, o ExpressRoute Local poderá fornecer uma opção de custo mais baixo do que outros SKUs da Rota Expressa.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de