Azure 中的数据驻留

Azure 包含比任何其他云提供商都多的全球区域,提供使应用更贴近全球用户所需的规模和数据驻留方案。

对于大多数 Azure 服务,你都可指定客户数据的存储区域。Microsoft 可能会复制到其他区域来提高数据复原能力,但 Microsoft 不会将客户数据复制或移动到相应地区之外(请参阅本页中的附加信息)。你和你的用户可从全球任何位置移动、复制或访问你的客户数据。

其他信息

区域服务的数据存储

大多数 Azure 服务的部署都是区域性的,客户可指定将在其中部署服务的区域。此类 Azure 服务包括虚拟机、存储器和 SQL 数据库等。有关区域性服务的完整列表,请查看各区域的服务可用性

Microsoft 可能会在特定地区内的两个区域之间复制客户数据,以实现数据冗余或其他操作目的。例如,异地冗余存储将在同一地区内的两个区域之间复制 Blob 和表数据,这样在主要数据中心发生灾难时仍然能够使用数据。

Microsoft 不会将客户数据存储在客户指定的地区之外,但以下区域性服务除外:

  • Azure 云服务,无论部署区域如何都将 Web 角色和辅助角色软件部署包备份到美国。
  • 语言理解,它可能会基于客户使用的创作区域将活动的学习数据存储在美国、欧洲或澳大利亚。请详细了解语言理解
  • Azure Databricks,它在美国存储身份验证数据。
  • Azure 机器学习,它可能会将客户提供的自由格式文本(例如工作区、资源组、试验、文件和图像的名称)以及试验参数存储在美国。
  • Azure Sentinel,它会生成新的安全数据(例如事件、预警规则和书签),这些数据可能包含客户在 Azure Monitor 日志实例中的数据。Azure Sentinel 生成的此类安全数据将静态存储在欧洲(针对客户在欧洲的 Monitor 日志工作区中生成的安全数据)或美国(针对客户在其他区域的 Monitor 日志工作区生成的安全数据)。
  • 预览版、Beta 版或其他预发布服务,它们通常将客户数据存储在美国,但也可能存储在全球各地。

客户可将某些 Azure 服务、层级或计划配置为仅将客户数据存储在一个区域中。具体包括:

本地冗余存储 (LRS)

区域冗余存储 (ZRS)

虚拟机

Azure 应用服务环境

Azure API 管理

Azure 备份

Azure Bastion

Azure Cache for Redis

Azure Databricks

Azure 数据资源管理器

Azure 数据工厂

Azure Data Lake

Azure DDoS 保护

Azure 事件中心

Azure 防火墙

Azure Functions

Azure HDInsight

Azure Kubernetes 服务 (AKS)

Azure 负载均衡器

Azure Monitor(Application Insights 和 Azure Monitor 日志)

Azure Red Hat OpenShift

Azure 服务总线(高级)

Azure Service Fabric

Azure SignalR 服务

Azure 站点恢复

Azure SQL Database

Azure Database for MariaDB

Azure SQL Database for MySQL

Azure Database for PostgreSQL

Azure SQL 托管实例

Azure 流分析

Azure 容器实例

Azure 网络观察程序

非区域性服务的数据存储

某些 Azure 服务不允许客户指定服务的部署区域。除非另行指定,否则这些服务可能会将客户数据存储在任何 Microsoft 数据中心。

  • Azure 内容分发网络,提供全球缓存服务并将客户数据存储在全球的边缘位置。
  • Azure Active Directory (Azure AD),可在全球各地存储 Azure AD 数据。这不适用于美国和欧洲的 Azure AD 部署,其中美国的部署将 Azure AD 数据仅存储在美国,欧洲的部署将 Azure AD 数据存储在欧洲或美国。详细了解针对 Azure AD 欧洲客户的标识存储。
  • Azure 多重身份验证,它在美国存储身份验证数据。详细了解多重身份验证
  • Azure 安全中心,可存储从客户资源(如虚拟机或 Azure AD 租户)收集或与之关联的客户安全数据的副本:

    存储在该资源所属的地区,Microsoft 尚未部署安全中心的地区除外(在这种情况下,此类数据的副本将存储在美国);

    当安全中心使用其他联机服务来处理此类数据时,它可能会根据该联机服务的地理位置规则来存储此类数据。

  • 提供全球路由功能但无法自行处理或存储客户数据的服务。这包括 Azure 流量管理器和 Azure DNS,前者在不同的区域之间提供负载均衡,后者提供路由到不同区域的域名服务。

有关非区域性服务的完整列表,请查看各区域的服务可用性并选择“非区域性”。