了解数据主权
数字信息始终受到数据存储的国家或地区法律的制约。 此概念称为“数据主权”。 许多涉及数据主权的问题都与强制实施隐私条例和防止存储在国外的数据被东道国或地区政府传唤有关。
在 Azure 中,如果发生重大的数据中心灾难,可以在地理区域内复制客户数据以增强数据持久性。
重要
无论客户数据的存储位置如何,Microsoft 都不会控制或限制客户或其最终用户从中访问数据的位置。
配对区域
Azure 在世界各地的多个地理位置运营。 Azure 地理位置是至少包含一个“Azure 区域”的规定的世界区域。 Azure 区域是包含一个或多个数据中心的某个区域。
每个 Azure 区域都与同一地域内的另一个区域配对,形成一个“区域对”。 但巴西南部除外,它与自身地理位置外部的某个区域配对。 Azure 将跨区域对序列化平台更新(或计划内维护),以便一次只更新一个区域。 如果发生了影响多个区域的中断,则会优先恢复每个区域对中的一个区域。
建议跨区域对配置业务连续性和灾难恢复 (BCDR),以便从 Azure 的隔离和 VM 策略中受益。 对于支持多个活动区域的应用,建议尽可能使用区域对中的这两个区域。 该方法可确保应用的最佳可用性,并在发生灾难时最大限度地缩短恢复时间。
配对区域的示例
下图演示了一个使用区域对进行灾难恢复的虚构应用。 箭头突出显示了三个 Azure 服务(Azure 计算、Azure 存储和 Azure 数据库)的跨区域活动,以及这些服务如何配置为跨区域复制。
跨区域活动数字键
- Azure 计算 (IaaS):若要确保在发生灾难时另一个区域可以提供资源,必须提前预配附加的计算资源。 有关详细信息,请参阅执行失败模式分析的建议。
- Azure 存储:创建 Azure 存储帐户时,将按默认配置异地冗余存储 (GRS)。 使用 GRS 时,数据会在主要区域自动复制三次,并在配对区域复制三次。 有关详细信息,请参阅 Azure 存储冗余。
- Azure SQL 数据库:使用 Azure SQL 数据库异地复制,可以将事务的异步复制配置到全球任何区域;但是,我们建议在配对区域中为大多数灾难恢复方案部署这些资源。 有关详细信息,请参阅在 Azure 门户中为 Azure SQL 数据库配置活动异地复制。
- Azure 资源管理器:资源管理器原本就能跨区域提供组件的逻辑隔离。 这意味着某个区域发生逻辑故障不太可能会影响另一个区域。
Azure 配对区域数字键的优点
- 物理隔离:Azure 服务希望区域对中数据中心之间的距离尽量至少保持 300 英里(不过,要在所有地理位置满足这个要求并不实际且不可能)。 物理数据中心隔离能够降低自然灾害、社会动乱、电力中断或物理网络中断同时影响两个区域的可能性。 隔离受限于地理位置的约束,例如地理位置大小、电源、网络基础结构可用性和法规。
- 平台提供的复制:某些服务(如异地冗余存储)提供自动复制到配对区域的功能。
- 区域恢复顺序:如果发生广泛中断,会优先恢复每个对中的某一个区域。 可以保证跨配对区域部署的应用程在其中一个区域中优先恢复。 如果在未配对的区域中部署应用,则可能会出现恢复延迟。 在最坏的情况下,所选区域可能为最后两个要恢复的区域。
- 按顺序更新:计划内 Azure 系统更新会按顺序提供给配对的区域,而不是同时进行。 这有助于最大程度减少故障时间、bug 的影响和在极少的情况下发生错误的更新时的逻辑故障。
- 数据驻留:要符合税务和执法管辖范围方面的数据驻留要求,区域需驻留在与其配对区域相同的地理位置(巴西南部除外)。
Microsoft 还遵循有关跨境传输客户数据的国际数据保护法律。 例如,为适应国际业务所需的信息的持续流动(包括个人数据的跨境传输),很多 Microsoft 业务云服务都为客户提供了欧盟示范条款,提供针对范围内云服务的个人数据传输的其他合同保证。 欧盟数据保护机构已验证欧盟示范条款的 Microsoft 实现是否符合严格的隐私标准,这些标准规定了公司在其成员状态中运作的国际数据传输。
除了我们在标准合同条款和其他示范合同下做出的承诺,Microsoft 还获得了由美国商务部制定的《欧盟-美国隐私盾框架》的认证,该框架对收集、使用和保留从欧盟传输到美国的个人信息作出了相关要求。 Microsoft 对《欧盟-美国隐私盾》的参与适用于受 Microsoft 隐私声明制约且来自欧盟、欧洲经济区和瑞士的所有个人数据。 Microsoft 还遵守与处理来自洲经济区和瑞士的个人数据相关的瑞士数据保护法律。
重要
Microsoft 不会向任何第三方(即使出于存储目的也不会)传输你通过使用我们的业务云服务而向 Microsoft 提供的数据,此条款包含在 Microsoft Online Services 条款中。