Regiões da zona de desembarque
Este artigo explica como as zonas de aterrissagem usam as regiões do Azure. A arquitetura da zona de aterrissagem do Azure é agnóstica em relação à região, mas você precisa especificar as regiões do Azure para implantar sua arquitetura de zona de aterrissagem do Azure. As diretrizes a seguir descrevem como adicionar uma região a uma zona de aterrissagem existente e também fornecem considerações para quando você migra seu patrimônio do Azure para uma região diferente.
Em algumas situações, você deve implantar aplicativos em várias regiões do Azure para dar suporte aos seus requisitos de negócios de alta disponibilidade e recuperação de desastres. Você pode não ter uma necessidade imediata de aplicativos de várias regiões, mas deve projetar sua plataforma de zona de aterrissagem do Azure para dar suporte a várias regiões, especialmente para serviços de conectividade, identidade e gerenciamento. Certifique-se de que você pode habilitar e dar suporte rapidamente a zonas de aterrissagem de aplicativos de várias regiões.
Para obter mais informações, consulte Selecionar regiões do Azure.
Zonas de aterrissagem e regiões do Azure
As zonas de aterrissagem do Azure consistem em um conjunto de recursos e configuração. Alguns desses itens, como grupos de gerenciamento, políticas e atribuições de função, são armazenados em um nível de locatário ou grupo de gerenciamento dentro da arquitetura de zona de aterrissagem do Azure. Esses recursos não são implantados em uma região específica e, em vez disso, são implantados globalmente. No entanto, você ainda precisa especificar uma região de implantação porque o Azure rastreia alguns dos metadados de recursos em um repositório de metadados regional.
Outros recursos são implantados regionalmente. Dependendo da sua própria configuração de zona de aterrissagem, você pode ter alguns ou todos os seguintes recursos implantados regionalmente:
- Um espaço de trabalho de Logs do Azure Monitor, incluindo soluções selecionadas
- Uma conta de Automação do Azure
- Grupos de recursos, para os outros recursos
Se você implantar uma topologia de rede, também precisará selecionar uma região do Azure para implantar os recursos de rede. Essa região pode ser diferente da região que você usa para os recursos listados na lista anterior. Dependendo da topologia selecionada, os recursos de rede implantados podem incluir:
- WAN Virtual do Azure, incluindo um hub WAN Virtual
- Redes virtuais do Azure
- Gateway de VPN
- Gateway do Azure ExpressRoute
- Azure Firewall
- Planos de Proteção contra DDoS do Azure
- Zonas DNS privadas do Azure, incluindo zonas para o Azure Private Link
- Grupos de recursos, para conter os recursos anteriores
Nota
Para minimizar o efeito de interrupções regionais, recomendamos que você coloque os recursos na mesma região que o grupo de recursos. Para obter mais informações, consulte Alinhamento de local do grupo de recursos.
Adicionar uma nova região a uma zona de aterragem existente
Você deve considerar uma estratégia de várias regiões, desde o início de sua jornada na nuvem ou expandindo para mais regiões do Azure depois de concluir a implantação inicial da arquitetura da zona de aterrissagem do Azure. Por exemplo, se você usar o Azure Site Recovery para habilitar a recuperação de desastres para suas máquinas virtuais, convém replicá-las para uma região diferente do Azure. Para adicionar regiões do Azure à sua arquitetura de zona de aterrissagem do Azure, considere as seguintes recomendações:
| Área | Recomendação |
|---|---|
| Grupos de gestão | Nenhuma ação necessária. Os grupos de gerenciamento não estão vinculados a uma região. Você não deve criar uma estrutura de grupo de gerenciamento com base em regiões. |
| Subscrições | As subscrições não estão associadas a uma região. |
| Azure Policy | Faça alterações na Política do Azure se tiver atribuído políticas para negar a implantação de recursos a todas as regiões especificando uma lista de regiões do Azure "permitidas". Atualize essas atribuições para permitir implantações de recursos na nova região que você deseja habilitar. |
| Controlo de acesso baseado em funções (RBAC) | Nenhuma ação necessária. O RBAC do Azure não está vinculado a uma região. |
| Monitorização e Registos | Decida se deseja usar um único espaço de trabalho de Logs do Azure Monitor para todas as regiões ou criar vários espaços de trabalho para cobrir várias regiões geográficas. Cada abordagem tem vantagens e desvantagens, incluindo potenciais taxas de rede entre regiões. Para obter mais informações, consulte Criar uma arquitetura de espaço de trabalho do Log Analytics. |
| Rede | Se você implantar uma topologia de rede, WAN Virtual ou hub tradicional e falou, expanda a rede para a nova região do Azure. Crie outro hub de rede implantando os recursos de rede necessários na assinatura de Conectividade existente na nova região do Azure. O Azure Virtual Network Manager pode facilitar a expansão e o gerenciamento de redes virtuais em escala em várias regiões. De uma perspetiva de DNS (Sistema de Nomes de Domínio), você também pode querer implantar encaminhadores, se usá-los, na nova região do Azure. Use encaminhadores para redes virtuais faladas na nova região para resolução. As zonas DNS do Azure são recursos globais e não estão vinculadas a uma única região do Azure, portanto, não exigem nenhuma ação. |
| Identidade | Se você implantou os Serviços de Domínio Ative Directory ou os Serviços de Domínio Microsoft Entra em sua assinatura de Identidade ou falou, expanda o serviço para a nova região do Azure. |
Nota
Você também deve usar zonas de disponibilidade para alta disponibilidade dentro de uma região. Verifique se as suas regiões e serviços suportam zonas de disponibilidade.
O Microsoft Cloud for Sovereignty tem diretrizes para restringir serviços e regiões. Você pode usar essas diretrizes para impor a configuração do serviço para ajudar os clientes a atingir suas necessidades de residência de dados.
Abordagem de alto nível
Ao expandir uma zona de aterrissagem do Azure para uma nova região, considere seguir as etapas nestas seções. Antes de começar, você precisa decidir sobre uma nova região do Azure, ou várias regiões do Azure, para expandir.
Rede
Arquitetura hub-and-spoke tradicional
Gorjeta
Veja uma arquitetura tradicional de hub-and-spoke.
Decida se precisa de uma nova subscrição da zona de aterragem da plataforma. Recomendamos que a maioria dos clientes use suas assinaturas de conectividade existentes, mesmo quando usam várias regiões.
Dentro da assinatura, crie um novo grupo de recursos na nova região de destino.
Crie uma nova rede virtual de hub na nova região de destino.
Se aplicável, implante o Firewall do Azure ou dispositivos virtuais de rede (NVAs) em sua nova rede virtual de hub.
Se aplicável, implante gateways de rede virtual para conectividade VPN ou ExpressRoute e estabeleça conexões. Certifique-se de que seus circuitos de Rota Expressa e locais sigam as recomendações de resiliência da Microsoft. Para obter mais informações, consulte Projetando para recuperação de desastres com emparelhamento privado da Rota Expressa.
Estabeleça emparelhamento de rede virtual entre a nova rede virtual de hub e as outras redes virtuais de hub.
Crie e configure qualquer roteamento necessário, como o Servidor de Rotas do Azure ou rotas definidas pelo usuário.
Se necessário, implante encaminhadores DNS para a nova região de destino e vincule-se a quaisquer zonas DNS privadas para habilitar a resolução de nomes.
- Alguns clientes podem configurar a resolução de nomes em seus controladores de domínio do Ative Directory do Windows Server dentro da assinatura da zona de aterrissagem da plataforma Identity .
Para hospedar suas cargas de trabalho, você pode usar o emparelhamento de rede virtual para conectar raios de zona de aterrissagem de aplicativos à nova rede virtual de hub na nova região.
Gorjeta
O Virtual Network Manager pode facilitar a expansão e o gerenciamento de redes virtuais em escala em várias regiões.
Arquitetura WAN virtual
Gorjeta
Veja uma arquitetura de WAN virtual.
Dentro da WAN Virtual existente, crie um novo hub virtual na nova região de destino.
Implante o Firewall do Azure ou outros dispositivos virtuais de rede (NVAs) com suporte em seu novo hub virtual. Configure a intenção de roteamento da WAN Virtual e as políticas de roteamento para rotear o tráfego por meio do novo hub virtual seguro.
Se aplicável, implante gateways de rede virtual para conectividade VPN ou ExpressRoute no novo hub virtual e estabeleça conexões. Certifique-se de que seus circuitos de Rota Expressa e locais sigam as recomendações de resiliência da Microsoft. Para obter mais informações, consulte Projetando para recuperação de desastres com emparelhamento privado da Rota Expressa.
Crie e configure qualquer outro roteamento necessário, como rotas estáticas de hub virtual.
Se aplicável, implante encaminhadores DNS para a nova região de destino e vincule-se a quaisquer zonas DNS privadas para habilitar a resolução.
Alguns clientes podem configurar a resolução de nomes em seus controladores de domínio do Ative Directory dentro da assinatura da zona de aterrissagem da plataforma Identity .
Em implantações de WAN virtual, isso deve estar em uma rede virtual spoke conectada ao hub virtual por meio de uma conexão de rede virtual, seguindo o padrão de extensão de hub virtual.
Para hospedar suas cargas de trabalho, você pode usar o emparelhamento de rede virtual para conectar raios de zona de aterrissagem de aplicativos à nova rede virtual de hub na nova região.
Identidade
Gorjeta
Analise a área de design da zona de aterrissagem do Azure para gerenciamento de identidade e acesso.
Decida se precisa de uma nova subscrição da zona de aterragem da plataforma. Recomendamos que a maioria dos clientes use sua assinatura de identidade existente, mesmo quando usam várias regiões.
Crie um novo grupo de recursos na nova região de destino.
Crie uma nova rede virtual na nova região de destino.
Estabeleça emparelhamento de rede virtual para a rede virtual do hub regional recém-criada na assinatura de Conectividade .
Implante cargas de trabalho de identidade, como máquinas virtuais do controlador de domínio do Ative Directory, na nova rede virtual.
Talvez seja necessário executar mais configurações das cargas de trabalho depois que elas forem provisionadas, como as seguintes etapas de configuração:
Promova as máquinas virtuais do controlador de domínio do Ative Directory para o domínio existente do Ative Directory.
Crie novos sites e sub-redes do Ative Directory.
Configure as configurações do servidor DNS como encaminhadores condicionais.
Mova seu patrimônio do Azure para uma nova região
Ocasionalmente, você pode precisar mover todo o seu patrimônio do Azure para uma região diferente. Por exemplo, suponha que você implantou sua zona de aterrissagem e cargas de trabalho em uma região do Azure em um país ou região vizinho e, em seguida, uma nova região do Azure é iniciada em seu país ou região de origem. Você pode optar por mover todas as suas cargas de trabalho para a nova região para melhorar a latência de comunicação ou para cumprir os requisitos de residência de dados.
Nota
Este artigo fornece informações sobre como migrar os componentes da zona de desembarque da sua propriedade. Para obter mais informações, consulte Relocalizar cargas de trabalho na nuvem.
Configuração da zona de aterragem global
A maioria das configurações de zona de aterrissagem implantadas globalmente normalmente não precisa ser modificada quando você move regiões. No entanto, certifique-se de verificar se há atribuições de política que restrinjam implantações de região e atualize a política para permitir implantações na nova região.
Recursos das zonas de desembarque regionais
Os recursos da zona de aterrissagem específicos da região geralmente exigem mais consideração porque você não pode mover alguns recursos do Azure entre regiões. Considere a seguinte abordagem:
Adicione a região de destino como uma região adicional à sua zona de destino: para obter mais informações, consulte Adicionar uma nova região a uma zona de aterrissagem existente.
Implantar componentes centralizados na região de destino: por exemplo, implante um novo espaço de trabalho de Logs do Azure Monitor em sua região de destino para que as cargas de trabalho possam começar a usar o novo componente depois de migrar a carga de trabalho.
Migre suas cargas de trabalho da região de origem para a região de destino: durante o processo de migração da carga de trabalho, reconfigure os recursos para usar os componentes de rede da região de destino, os componentes de identidade, o espaço de trabalho Logs do Azure Monitor e outros recursos regionais.
Descomissione os recursos na região de origem depois de concluir a migração.
Considere as seguintes dicas ao migrar recursos da zona de destino entre regiões:
Usar infraestrutura como código: use Bicep, modelos do Azure Resource Manager (modelos ARM), Terraform, scripts ou uma abordagem semelhante para exportar e reimportar configurações complexas, como regras para o Firewall do Azure.
Automação: use scripts para migrar recursos de automação entre regiões.
Rota Expressa: considere se você pode usar a SKU Local da Rota Expressa em sua região de destino. Se seus ambientes locais estiverem dentro da mesma área metropolitana que sua região do Azure, o ExpressRoute Local pode fornecer uma opção de custo mais baixo em comparação com outros SKUs de Rota Expressa.
Próximo passo
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários