Регионы Amazon EC2 и аффинные группы Windows Azure - вопросы безопасности

Question

Я читал о регионах и группах сходства в Amazon EC2 / Windows Azure.Кажется, они используются в первую очередь для обеспечения производительности.

Меня беспокоит безопасность.Могут ли эти службы «переключить» регион и перенести некоторые мои данные в облаке в другой регион, если у них есть узкая область производительности?Пока я не смог найти никакой информации об этом.

Для моего работодателя важно, чтобы данные никогда не пересекали регионы, поскольку наши клиенты требуют, чтобы все их данные оставались в европейских центрах обработки данных.

Answer 1

В Azure аффинные группы представляют собой концепцию абстракции, которая просто говорит контроллеру Fabric сделать все возможное для обеспечения развертывания групп связанных служб для обеспечения оптимизации взаимодействия между приложениями.Группы гарантируют, что службы, хранилище и т. Д. Будут, по возможности, размещаться в непосредственной близости.

Группы аффинити привязаны к регионам, поэтому вам не нужно беспокоиться о том, что AG переключает страны самостоятельно, так какбудет привязан к региону.

В Azure явная концепция географического местоположения - это регион .Если вы указываете регион, вы привязываетесь к центру обработки данных (или виртуальной концепции DC) в этом конкретном географическом регионе.В настоящее время нет возможности перемещать / переносить службы между регионами самостоятельно.

Fabric Controller выполняет репликацию между физическими центрами обработки данных для обеспечения отказоустойчивости, но это действие связано со спецификой региона для конкретной страны.определение.Таким образом, Датацентр 1 в северной части центральной части США, скорее всего, скопирован в Датацентр 2 в южной части центральной части США, но никогда в европейский регион.Даже регионы «где угодно», которые позволяют FC определять лучшее место для вашего кода, связаны национальными границами.

В будущем я не удивлюсь (хотя я бы сказал, что 50% шансов), если Azureбыла опция гео-репликации, но я очень сомневаюсь, что это будет пассивной особенностью платформы.Просто слишком много правительственных и правовых разветвлений, чтобы просто включить это.

Answer 2

Исходя из того, что я знаю об Azure, ответ - нет, ваши приложения не могут переносить регионы.Вы выбрали регион, в котором он находится в этом регионе, аварийное восстановление и восстановление после сбоя также остаются в этом регионе по той же причине, о которой вы спрашиваете. Я полагаю, что в каждом регионе есть как минимум 2 центра обработки данных.

Примечание по группам привязки- это больше, чем просто производительность, назначая группу сходства, за которую вы не платите за пропускную способность между узлами, что важно, если вы обрабатываете много данных.

Answer 3

Это общая проблема для клиентов из ЕС, поэтому Amazon и Microsoft очень хорошо об этом осведомлены.

Для EC2 у Amazon есть две разные концепции - регионы и зоны доступности (см. http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?using-regions-availability-zones.html) -Ваше приложение может работать в нескольких зонах, но никогда не должно переключать регион.

Для данных S3 см. часто задаваемые вопросы Amazon http://aws.amazon.com/s3/faqs/#Can_I_comply_with_EU_data_privacy_regulations_using_Amazon_S3

В: Могу ли я соблюдать данные ЕСправила конфиденциальности с использованием Amazon S3?

Объекты, хранящиеся в регионе ЕС (Ирландия), никогда не покидают ЕС, если вы их не передаете. Однако вы несете ответственность за соблюдение законов ЕС о конфиденциальности.

Я думаю, что для Azure ответ аналогичный - но я не смог найти формальный FAQ по этому вопросу

Answer 4

Я не работал с Amazon EC2, поэтому не могу ответить об этом.Однако, что касается Windows Azure, после того, как вы определитесь с «Affinity Group» (что, я думаю, классный способ сказать «Центр данных»), ваши данные останутся там (по крайней мере, на данный момент).В настоящее время Windows Azure не обеспечивает гео-репликацию данных из коробки, поэтому я не думаю, что в сервисе есть что-то, что могло бы автоматически реплицировать данные для вас в нескольких центрах обработки данных.

быть настороже сценарий аварийного восстановления, когда один центр обработки данных выходит из строя.Тогда я думаю (просто размышляя), что Windows Azure может попытаться переместить данные из одного центра обработки данных в другой.Однако я бы порекомендовал прочитать некоторые соглашения SLA просто для уверенности.