Amazon EC2 区域和 Windows Azure 关联组 - 安全注意事项

Question

我读到了有关 Amazon EC2 / Windows Azure 中的区域和关联组的信息。看起来它们首先是为了确保性能。

我担心的是安全问题。如果这些服务存在性能瓶颈，是否可以“切换”一个区域并将我在云中的部分数据传输到另一个区域？到目前为止我找不到任何关于此的信息。

对于我的雇主来说，数据永远不会跨地区非常重要，因为我们的客户要求他们的所有数据都保留在欧洲数据中心。

Answer 1

在 Azure 中，关联组是一个抽象概念，它只是告诉 Fabric 控制器尽最大努力确保部署相关服务组，以确保应用间通信的优化。团队确保服务、存储等尽可能靠近放置。

亲和力组与区域绑定，因此您无需担心 AG 自行切换国家/地区，因为这会与区域绑定。

在 Azure 中，显式地理位置概念是区域。如果您指定一个区域，则您将绑定到该特定地理区域中的数据中心（或 DC 的虚拟概念）。目前，您无法自行在区域之间移动/迁移服务。

Fabric 控制器确实会跨物理数据中心进行复制以实现容错，但此操作与区域定义的特定于国家/地区的性质相关。因此，美国中北部的数据中心 1 可能会复制到美国中南部的数据中心 2，但绝不会复制到欧洲区域。即使是让 FC 确定代码最佳位置的“任何地方”区域也受到国家边界的约束。

将来，如果 Azure 有异地复制选项，我不会感到惊讶（尽管我认为有 50% 的可能性），但我非常怀疑这将是该平台的被动功能。仅仅开启这一功能有太多的政府和法律影响。

Answer 2

我没有使用过 Amazon EC2，因此无法回答这个问题。然而，就 Windows Azure 而言，一旦您决定使用“关联组”（我认为这是“数据中心”的一种很酷的说法），您的数据就会保留在那里（至少到目前为止）。目前，Windows Azure 不提供开箱即用的数据地理复制，因此我认为该服务中没有任何内容可以跨多个数据中心自动复制数据。

值得关注的一件有趣的事情是灾难恢复场景，其中一个数据中心发生故障。然后我认为（仅推测）Windows Azure 可能会尝试将数据从一个数据中心移动到另一个数据中心。不过，为了确定起见，我建议您阅读一些 SLA 协议。

Answer 3

这是欧盟客户普遍关心的问题，因此亚马逊和微软都非常清楚这一点。

对于 EC2，Amazon 有 2 个不同的概念 - 区域和可用区（请参阅 http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?using-regions-availability-zones.html) - 您的应用程序可以在多个区域中运行，但是永远不应该切换区域。

有关 S3 数据，请参阅 Amazon 的常见问题解答 http://aws.amazon.com/s3/faqs/# Can_I_comply_with_EU_data_privacy_regulations_using_Amazon_S3

问：使用 Amazon S3 可以遵守欧盟数据隐私法规吗？

存储在欧盟（爱尔兰）的对象
该地区永远不会离开欧盟，除非你
将他们转移出去。然而，这是你的
有责任确保您
遵守欧盟隐私法。

对于 Azure，我相信答案是相似的 - 但我找不到关于此的正式常见问题解答

Answer 4

据我对 Azure 的了解，答案是否定的，您的应用程序无法迁移区域。您选择了一个区域，它保留在该区域，灾难恢复和故障转移也保留在该区域，这正是您所问的原因，我相信每个区域至少有 2 个数据中心。

关于亲和力组的说明 - 它不仅仅是性能，通过分配亲和力组，您无需为节点之间的带宽付费，如果您正在处理大量数据，这一点很重要。