Hvězdicová topologie sítě v Azure

Tato referenční architektura implementuje model hvězdicové sítě s komponentami infrastruktury spravované zákazníkem. Řešení infrastruktury spravované microsoftem najdete v tématu Hvězdicová síťová topologie s využitím služby Azure Virtual WAN.

Hvězdicová architektura je jednou ze síťových topologií doporučených architekturou přechodu na cloud. Viz Definování síťové topologie Azure, abyste pochopili, proč se tato topologie považuje za osvědčený postup pro mnoho organizací.

Architektura

Stáhněte si soubor aplikace Visio s touto architekturou.

Koncepty hvězdicové architektury

Hvězdicové síťové topologie obvykle zahrnují řadu následujících konceptů architektury:

• rozbočovač virtuální síť – centrální virtuální síť hostuje sdílené služby Azure. Tyto služby můžou využívat úlohy hostované v paprskových virtuálních sítích. Centrální virtuální síť je centrálním bodem připojení pro různé místní sítě. Centrum obsahuje váš primární bod výchozího přenosu dat a poskytuje mechanismus pro připojení jednoho paprsku k druhému v situacích, kdy je potřeba provoz mezi virtuálními sítěmi.

  Centrum je regionální prostředek. Organizace, které mají své úlohy ve více oblastech, by měly mít více center, jedno pro každou oblast.

  Centrum umožňuje následující koncepty:

  • mezi místními bránami – Připojení mezi různými místy je schopnost vzájemně se připojovat a integrovat různá síťová prostředí. Tato brána je obvykle okruh VPN nebo ExpressRoute.

  • řízení výchozího přenosu dat – správa a regulace odchozího provozu pocházejícího z partnerských virtuálních sítí.

  • (volitelné) Řízení příchozího přenosu dat – správa a regulace příchozího provozu do koncových bodů, které existují ve virtuálních sítích s partnerskými paprsky.

  • vzdálený přístup – Vzdálený přístup je způsob, jakým jsou jednotlivé úlohy v paprskových sítích přístupné z jiného síťového umístění, než je vlastní síť paprsku. Může to být pro data nebo řídicí rovinu úlohy.

  • vzdálený přístup paprsků pro virtuální počítače – centrum může být vhodným umístěním pro vytvoření řešení vzdáleného připojení mezi organizacemi pro přístup RDP a SSH k virtuálním počítačům distribuovaným v rámci paprskových sítí.

  • směrování – spravuje a směruje provoz mezi centrem a připojenými paprsky, aby bylo možné zabezpečenou a efektivní komunikaci.

• paprskové virtuální sítě – paprskové virtuální sítě izolují a spravují úlohy samostatně v jednotlivých paprskech. Každá úloha může zahrnovat více vrstev s více podsítěmi připojenými prostřednictvím nástrojů pro vyrovnávání zatížení Azure. Paprsky můžou existovat v různých předplatných a představují různá prostředí, jako je produkční a neprodukční prostředí. Jedna úloha se může dokonce rozprostřet mezi více paprsků.

  Ve většině scénářů by paprsk měl být v partnerském vztahu pouze s jednou centrální sítí a tato síť rozbočovače by měla být ve stejné oblasti jako paprsková síť.

  Tyto paprskové sítě se řídí pravidly pro výchozího odchozího přístupu. Základním účelem této hvězdicové síťové topologie je obecně směrovat odchozí internetový provoz prostřednictvím kontrolních mechanismů nabízených centrem.

• připojení k virtuální síti – Připojení k virtuální síti je cesta, ve které může jedna izolovaná virtuální síť komunikovat s jinou prostřednictvím kontrolního mechanismu. Kontrolní mechanismus vynucuje oprávnění a povolený směr komunikace mezi sítěmi. Centrum bude poskytovat možnost podpory výběru připojení mezi sítěmi, která se mají procházet přes centralizovanou síť.

• DNS – Hvězdicová řešení jsou často zodpovědná za poskytování řešení DNS, které budou používat všechny partnerské paprsky, zejména pro směrování mezi místy a pro záznamy DNS privátního koncového bodu.

Komponenty

• Azure Virtual Network je základním stavebním blokem privátních sítí v Azure. Virtuální síť umožňuje mnoha prostředkům Azure, jako jsou virtuální počítače Azure, bezpečně komunikovat mezi sebou, mezi místními sítěmi a internetem.

  Tato architektura propojuje virtuální sítě k centru pomocí připojení peeringu , která mezi virtuálními sítěmi nejsou přenosná připojení s nízkou latencí. Partnerské virtuální sítě můžou vyměňovat provoz přes páteřní síť Azure, aniž by potřebovaly směrovač. V hvězdicové architektuře je přímý partnerský vztah virtuálních sítí k sobě minimální a vyhrazený pro zvláštní scénáře.

• Azure Bastion je plně spravovaná služba, která poskytuje bezpečnější a bezproblémový přístup RDP (Remote Desktop Protocol) a SSH (Secure Shell Protocol) k virtuálním počítačům bez vystavení jejich veřejných IP adres. V této architektuře se Azure Bastion používá jako spravovaná nabídka pro podporu přímého přístupu k virtuálním počítačům napříč připojenými paprsky.

• Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která chrání prostředky virtuální sítě. Tato stavová služba brány firewall má integrovanou vysokou dostupnost a neomezenou cloudovou škálovatelnost, která vám pomůže vytvářet, vynucovat a protokolovat zásady připojení aplikací a sítí napříč předplatnými a virtuálními sítěmi.

  V této architektuře má Azure Firewall několik potenciálních rolí. Brána firewall je primární výstupní bod pro internetový provoz směřující z virtuálních sítí s paprsky partnerského vztahu. Bránu firewall je také možné použít ke kontrole příchozího provozu pomocí pravidel IDPS. Bránu firewall je také možné použít jako proxy server DNS, který podporuje pravidla provozu plně kvalifikovaného názvu domény.

• vpn Gateway je konkrétní typ brány virtuální sítě, která odesílá šifrovaný provoz mezi virtuální sítí v Azure a jinou sítí přes veřejný internet. Bránu VPN Gateway můžete použít také k odesílání šifrovaného provozu mezi jinými virtuálními sítěmi center přes síť Microsoftu.

  V této architektuře by to byla jedna z možností připojení některých nebo všech paprsků ke vzdálené síti. Paprsky obvykle nenasazují vlastní bránu VPN Gateway a místo toho využívají centralizované řešení nabízené centrem. Ke správě tohoto připojení je potřeba vytvořit konfiguraci směrování.

• bráně Azure ExpressRoute vyměňují trasy IP adres a směrují síťový provoz mezi vaší místní sítí a virtuální sítí Azure. V této architektuře by ExpressRoute alternativou pro vpn Gateway pro připojení některých nebo všech paprsků ke vzdálené síti. Paprsky by nenasazovaly vlastní ExpressRoute a místo toho by tyto paprsky používaly centralizované řešení nabízené centrem. Stejně jako u služby VPN Gateway je potřeba vytvořit konfiguraci směrování pro správu tohoto připojení.

• Azure Monitor může shromažďovat, analyzovat a reagovat na telemetrická data z prostředí mezi místními prostředími, včetně Azure a místního prostředí. Azure Monitor pomáhá maximalizovat výkon a dostupnost vašich aplikací a aktivně identifikovat problémy v sekundách. V této architektuře je Azure Monitor jímkou protokolů a metrik pro prostředky centra a pro síťové metriky. Azure Monitor se může také použít jako jímka protokolování pro prostředky v paprskových sítích, ale to je rozhodnutí o různých připojených úlohách a není v této architektuře zmocněno.

Alternativy

Tato architektura zahrnuje vytváření, konfiguraci a údržbu několika primitiv prostředků Azure, a to: virtualNetworkPeerings, routeTablesa subnets. azure Virtual Network Manager je služba pro správu, která vám pomůže seskupovat, konfigurovat, nasazovat a spravovat virtuální sítě ve velkém měřítku napříč předplatnými, oblastmi a adresáři Microsoft Entra. Pomocí nástroje Virtual Network Manager můžete definovat skupiny sítí k identifikaci a logickému segmentu virtuálních sítí. Můžete použít připojené skupiny, které umožňují virtuálním sítím ve skupině vzájemně komunikovat, jako by byly ručně připojené. Tato vrstva přidá nad tyto primitivy vrstvu abstrakce, která se zaměří na popis síťové topologie vs. pracuje na implementaci této topologie.

Doporučuje se vyhodnotit použití nástroje Virtual Network Manager jako způsob, jak optimalizovat čas strávený operacemi správy sítě. Vyhodnoťte náklady na službu oproti vypočítané hodnotě nebo úsporám, abyste zjistili, jestli je správce virtuálních sítí pro vaši síť čistou výhodou pro velikost a složitost vaší sítě.

Podrobnosti scénáře

Tato referenční architektura implementuje hvězdicový model sítě, ve kterém virtuální síť centra funguje jako centrální bod připojení k mnoha paprskovým virtuálním sítím. Paprskové virtuální sítě se připojují k centru a dají se použít k izolaci úloh. Můžete také povolit scénáře mezi místy pomocí centra pro připojení k místním sítím.

Tato architektura popisuje model sítě se součástmi infrastruktury spravované zákazníkem. Řešení infrastruktury spravované microsoftem najdete v tématu Hvězdicová síťová topologie s využitím služby Azure Virtual WAN.

Mezi výhody použití hvězdicové konfigurace spravované zákazníkem patří:

• Úspora nákladů
• Překročení limitů předplatného
• Izolace úloh
• Flexibilita
  • Větší kontrola nad tím, jak se nasazují síťová virtuální zařízení (NVA), například počet síťových adaptérů, počet instancí nebo velikost výpočetních prostředků.
  • Použití síťových virtuálních zařízení, která virtual WAN nepodporují

Další informace najdete v tématu Hvězdicová síťová topologie.

Potenciální případy použití

Mezi typické použití hvězdicové architektury patří úlohy, které:

• Máte několik prostředí, která vyžadují sdílené služby. Například úloha může mít vývojové, testovací a produkční prostředí. Sdílené služby můžou zahrnovat ID DNS, protokol NTP (Network Time Protocol) nebo Doména služby Active Directory Services (AD DS). Sdílené služby se umístí do virtuální sítě centra a každé prostředí se nasadí do jiného paprsku, aby se zachovala izolace.
• Nevyžaduje připojení k sobě navzájem, ale vyžaduje přístup ke sdíleným službám.
• Vyžadovat centrální kontrolu nad zabezpečením, jako je hraniční síť (označovaná také jako brána firewall DMZ) v centru s oddělením správy úloh v jednotlivých paprskech.
• Vyžadovat centrální kontrolu nad připojením, jako je selektivní připojení nebo izolace mezi paprsky určitých prostředí nebo úloh.

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte specifické požadavky, které je přepíší, postupujte podle těchto doporučení.

Skupiny prostředků, předplatná a oblasti

Toto ukázkové řešení používá jednu skupinu prostředků Azure. Centrum a jednotlivé paprsky můžete implementovat také v různých skupinách prostředků a předplatných.

Při peeringu virtuálních sítí v různých předplatných můžete přidružit předplatná ke stejným nebo různým tenantům Microsoft Entra. Tato flexibilita umožňuje decentralizovanou správu jednotlivých úloh při zachování sdílených služeb v centru. Viz Vytvoření partnerského vztahu virtuálních sítí – Resource Manager, různá předplatná a tenanti Microsoft Entra.

Cílové zóny Azure

Architektura cílové zóny Azure je založená na hvězdicové topologii. V této architektuře spravuje sdílené prostředky a síť centra centralizovaný tým platformy, zatímco paprsky sdílejí model spoluvlastnictví s týmem platformy a týmem úloh, který používá paprskovou síť. Všechna centra se nacházejí v předplatném Připojení pro centralizovanou správu, zatímco paprskové virtuální sítě existují v mnoha jednotlivých předplatných úloh, označované jako předplatná cílových zón aplikací.

Podsítě virtuální sítě

Následující doporučení popisují, jak nakonfigurovat podsítě ve virtuální síti.

GatewaySubnet

Brána virtuální sítě vyžaduje tuto podsíť. Hvězdicovou topologii můžete použít i bez brány, pokud nepotřebujete připojení mezi místními sítěmi.

Vytvořit podsíť s názvem GatewaySubnet s rozsahem adres alespoň 26. Rozsah adres /26 poskytuje podsíti dostatek možností konfigurace škálovatelnosti, aby se zabránilo dosažení omezení velikosti brány v budoucnu a aby vyhovoval vyššímu počtu okruhů ExpressRoute. Další informace o nastavení brány najdete v tématu Hybridní síť využívající bránu VPN.

AzureFirewallSubnet

Vytvořte podsíť s názvem AzureFirewallSubnet s rozsahem adres alespoň /26. Bez ohledu na měřítko /26 je rozsah adres doporučená velikost a pokrývá omezení budoucí velikosti. Tato podsíť nepodporuje skupiny zabezpečení sítě (NSG).

Azure Firewall vyžaduje tuto podsíť. Pokud používáte virtuální zařízení partnerské sítě( NVA), postupujte podle svých požadavků na síť.

Paprskové síťové připojení

Partnerské vztahy virtuálních sítí nebo připojené skupiny jsou nepřenosné vztahy mezi virtuálními sítěmi. Pokud potřebujete paprskové virtuální sítě pro vzájemné připojení, přidejte mezi ně partnerské propojení nebo je umístěte do stejné skupiny sítě.

Paprsková připojení prostřednictvím služby Azure Firewall nebo síťového virtuálního zařízení

Počet partnerských vztahů virtuálních sítí na virtuální síť je omezený. Pokud máte mnoho paprsků, které se potřebujete vzájemně propojit, mohlo by dojít k výpadku připojení peeringu. Připojené skupiny mají také omezení. Další informace najdete v tématu Omezení sítě a Omezení připojených skupin.

V tomto scénáři zvažte použití tras definovaných uživatelem k vynucení odesílání paprskového provozu do služby Azure Firewall nebo jiného síťového virtuálního zařízení, které funguje jako směrovač v centru. Tato změna umožní, aby se paprsky mezi sebou připojily. Pokud chcete tuto konfiguraci podporovat, musíte implementovat službu Azure Firewall s povolenou konfigurací vynucených tunelů. Další informace najdete v části Vynucené tunelování Azure Firewall.

Topologie v tomto architektonickém návrhu usnadňuje toky výchozího přenosu dat. Ačkoli brána Azure Firewall slouží především k zabezpečení výstupu, může být také vstupním bodem. Další informace o směrování příchozího přenosu dat síťového virtuálního zařízení centra najdete v tématu Brána firewall a Application Gateway pro virtuální sítě.

Paprsková připojení ke vzdáleným sítím prostřednictvím brány centra

Ke konfiguraci paprsků pro komunikaci se vzdálenými sítěmi prostřednictvím brány centra můžete použít partnerské vztahy virtuálních sítí nebo připojené skupiny sítí.

Pokud chcete použít partnerské vztahy virtuálních sítí, v nastavení partnerského vztahu virtuálních sítí:

• Nakonfigurujte připojení peeringu v centru tak, aby umožňovalo průchod bránou.
• Nakonfigurujte připojení peeringu v každém paprsku tak, aby používalo bránu vzdálené virtuální sítě.
• Nakonfigurujte všechna připojení peeringu tak, aby povolovala přesměrovaný provoz.

Další informace najdete v tématu Vytvoření partnerského vztahu virtuálních sítí.

Použití připojených skupin sítě:

1. Ve Správci virtuální sítě vytvořte skupinu sítě a přidejte členské virtuální sítě.
2. Vytvořte konfiguraci připojení centra a paprsku.
3. Pro skupiny sítě Paprsky vyberte jako bránu centrum.

Další informace najdete v tématu Vytvoření hvězdicové topologie pomocí Azure Virtual Network Manageru.

Paprsková síťová komunikace

Existují dva hlavní způsoby, jak umožnit vzájemné komunikaci paprskových virtuálních sítí:

• Komunikace přes síťové virtuální zařízení, jako je brána firewall a směrovač. Tato metoda způsobuje segment směrování mezi dvěma paprsky.
• Komunikace pomocí partnerského vztahu virtuálních sítí nebo přímého připojení nástroje Virtual Network Manager mezi paprsky. Tento přístup nezpůsobí segment směrování mezi těmito dvěma paprsky a doporučuje se minimalizovat latenci.
• Private Link se dá použít k selektivnímu zveřejnění jednotlivých prostředků do jiných virtuálních sítí. Například zveřejnění interního nástroje pro vyrovnávání zatížení do jiné virtuální sítě, aniž byste museli vytvářet nebo udržovat partnerské vztahy nebo vztahy směrování.

Další informace o schématech sítí paprsků na paprsky najdete v tématu síťovépaprsků .

Komunikace prostřednictvím NVA

Pokud potřebujete připojení mezi paprsky, zvažte nasazení služby Azure Firewall nebo jiného síťového virtuálního zařízení v centru. Pak vytvořte trasy pro přesměrování provozu z paprsku do brány firewall nebo síťového virtuálního zařízení, které pak může směrovat do druhého paprsku. V tomto scénáři musíte nakonfigurovat připojení s partnerským vztahem tak, aby umožňovala přesměrované přenosy.

Bránu VPN můžete také použít ke směrování provozu mezi paprsky, i když tato volba ovlivňuje latenci a propustnost. Podrobnosti o konfiguraci najdete v tématu Konfigurace průchodu bránou VPN pro partnerský vztah virtuálních sítí.

Vyhodnoťte služby, které v centru sdílíte, a ujistěte se, že se centrum škáluje pro větší počet paprsků. Pokud například vaše centrum poskytuje služby brány firewall, zvažte omezení šířky pásma vašeho řešení brány firewall při přidávání více paprsků. Některé z těchto sdílených služeb můžete přesunout na druhou úroveň center.

Přímá komunikace mezi propojenými sítěmi

Pokud se chcete připojit přímo mezi paprskovými virtuálními sítěmi bez procházení virtuální sítě rozbočovače, můžete vytvořit připojení peeringu mezi paprsky nebo povolit přímé připojení pro skupinu sítí. Nejlepší je omezit partnerské vztahy nebo přímé připojení k paprskovým virtuálním sítím, které jsou součástí stejného prostředí a úlohy.

Když používáte Virtual Network Manager, můžete přidat paprskové virtuální sítě do skupin sítí ručně nebo přidat sítě automaticky na základě podmínek, které definujete.

Následující diagram znázorňuje použití Virtual Network Manageru pro přímé připojení mezi paprsky.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Spolehlivost

Spolehlivost zajišťuje, že vaše aplikace může splňovat závazky, které uděláte pro vaše zákazníky. Další informace najdete v tématu Přehled pilíře spolehlivosti.

V centru, které je podporují, použijte zóny dostupnosti pro služby Azure.

Obecně platí, že nejlepší je mít alespoň jedno centrum pro každou oblast a připojit k těmto rozbočovačům pouze paprsky ze stejné oblasti. Tato konfigurace pomáhá předcházet selhání v centru jedné oblasti, což způsobuje rozsáhlé selhání síťového směrování v nesouvisejících oblastech.

Kvůli vyšší dostupnosti můžete použít ExpressRoute a VPN pro převzetí služeb při selhání. Viz Připojení místní sítě k Azure pomocí ExpressRoute s převzetím služeb při selhání sítě VPN a postupujte podle pokynů k návrhu a architektuře Azure ExpressRoute pro zajištění odolnosti.

Vzhledem k tomu, jak Azure Firewall implementuje pravidla aplikace plně kvalifikovaných názvů domén, zajistěte, aby všechny prostředky, které procházejí bránou firewall, používaly stejného poskytovatele DNS jako samotný firewall. Bez toho může Azure Firewall blokovat legitimní provoz, protože ip adresa plně kvalifikovaného názvu domény brány firewall se liší od ip adresy původce provozu stejného plně kvalifikovaného názvu domény. Začlenění proxy služby Azure Firewall jako součást paprskového překladu DNS je jedním z řešení, které zajistí synchronizaci plně kvalifikovaných názvů domén s původcem provozu i službou Azure Firewall.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace naleznete v tématu Kontrolní seznam pro kontrolu návrhu prozabezpečení .

Pokud chcete chránit před útoky DDoS, povolte azure DDOS Protection v jakékoli hraniční virtuální síti. Jakýkoli prostředek s veřejnou IP adresou je náchylný k útoku DDoS. I když vaše úlohy nejsou veřejně přístupné, stále máte veřejné IP adresy, které je potřeba chránit, například:

• Veřejné IP adresy služby Azure Firewall
• Veřejné IP adresy brány VPN
• Veřejná IP adresa řídicí roviny ExpressRoute

Pokud chcete minimalizovat riziko neoprávněného přístupu a vynucovat přísné zásady zabezpečení, vždy nastavte explicitní pravidla odepření ve skupinách zabezpečení sítě (NSG).

Pomocí verze Azure Firewall Premium povolte kontrolu protokolu TLS, detekci narušení sítě a systém ochrany před únikem informací (IDPS) a filtrování adres URL.

Zabezpečení Virtual Network Manageru

Pokud chcete zajistit základní sadu pravidel zabezpečení, nezapomeňte přidružit pravidla správce zabezpečení k virtuálním sítím ve skupinách sítí. Pravidla správce zabezpečení mají přednost před pravidly skupiny zabezpečení sítě a vyhodnocují se před pravidly skupiny zabezpečení sítě. Podobně jako pravidla NSG podporují pravidla správy zabezpečení priorit, značky služeb a protokoly L3-L4. Další informace najdete v tématu Pravidla správce zabezpečení v nástroji Virtual Network Manager.

Nasazení nástroje Virtual Network Manager slouží k usnadnění řízeného zavedení potenciálně zásadních změn pravidel zabezpečení skupin sítě.

Optimalizace nákladů

Optimalizace nákladů se týká způsobů, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace naleznete v tématu Kontrolní seznam pro kontrolu návrhu proOptimalizace nákladů .

Při nasazování a správě hvězdicových sítí zvažte následující faktory související s náklady. Další informace najdete v tématu Ceny virtuální sítě.

Náklady na Azure Firewall

Tato architektura nasadí instanci služby Azure Firewall v centrální síti. Použití nasazení služby Azure Firewall jako sdíleného řešení využívaného více úlohami může výrazně ušetřit náklady na cloud v porovnání s jinými síťovými virtuálními virtuálními zařízeními. Další informace najdete v tématu Azure Firewall vs. síťová virtuální zařízení.

Pokud chcete efektivně používat všechny nasazené prostředky, zvolte správnou velikost služby Azure Firewall. Rozhodněte se, jaké funkce potřebujete a která úroveň nejlépe vyhovuje vaší aktuální sadě úloh. Další informace o dostupných cenových úrovních služby Azure Firewall najdete v tématu Co je Azure Firewall?

Přímý partnerský vztah

Selektivní použití přímého partnerského vztahu nebo jiné komunikace směrované mimo centrum mezi paprsky může zabránit nákladům na zpracování služby Azure Firewall. Úspory můžou být významné pro sítě, které mají úlohy s vysokou propustností, nízkou mírou rizika komunikace mezi paprsky, jako je synchronizace databáze nebo velké operace kopírování souborů.

Efektivita provozu

Efektivita provozu se zabývá provozními procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace naleznete v tématu kontrolní seznam pro kontrolu efektivity provozu.

Povolte nastavení diagnostiky pro všechny služby, jako jsou Azure Bastion, Azure Firewall a brána křížové preméze. Určete, která nastavení jsou pro vaše operace smysluplná. Vypněte nastavení, která nemají smysl, abyste se vyhnuli zbytečným nákladům. Prostředky, jako je Azure Firewall, můžou být podrobné s protokolováním a můžou vám vzniknout vysoké náklady na monitorování.

K detekci anomálií a identifikaci a řešení problémů se sítí použijte monitorování připojení.

Pomocí služby Azure Network Watcher můžete monitorovat a řešit potíže se síťovými komponentami, včetně použití Analýzy provozu k zobrazení systémů ve virtuálních sítích, které generují největší provoz. Než se stanou problémy, můžete vizuálně identifikovat kritické body.

Pokud používáte ExpressRoute, použijte kolektoru provozu ExpressRoute, kde můžete analyzovat protokoly toků sítě odesílané přes okruhy ExpressRoute. Kolektor provozu ExpressRoute poskytuje přehled o provozu, který prochází přes hraniční směrovače Microsoftu.

Pravidla založená na plně kvalifikovaném názvu domény ve službě Azure Firewall použijte pro jiné protokoly než HTTP nebo při konfiguraci SQL Serveru. Používání plně kvalifikovaných názvů domén snižuje zatížení správy nad správou jednotlivých IP adres.

Naplánujte přidělování IP adres na základě požadavků na partnerský vztah a ujistěte se, že se adresní prostor nepřekrývá mezi místními umístěními a umístěními Azure.

Automatizace pomocí Azure Virtual Network Manageru

K centrální správě připojení a kontrolních mechanismů zabezpečení použijte azure Virtual Network Manageru k vytvoření nových topologií hvězdicové virtuální sítě nebo k onboardingu existujících topologií. Použití Virtual Network Manageru zajišťuje, aby hvězdicové síťové topologie byly připravené na rozsáhlý budoucí růst napříč několika předplatnými, skupinami pro správu a oblastmi.

Příklady scénářů použití Virtual Network Manageru:

• Demokratizace paprskové správy virtuálních sítí do skupin, jako jsou obchodní jednotky nebo aplikační týmy. Demokratizace může mít za následek velký počet požadavků na připojení virtuální sítě k virtuální síti a pravidla zabezpečení sítě.
• Standardizace více architektur replik v několika oblastech Azure za účelem zajištění globální stopy pro aplikace.

Pokud chcete zajistit jednotné připojení a pravidla zabezpečení sítě, můžete pomocí skupin sítí seskupit virtuální sítě v libovolném předplatném, skupině pro správu nebo oblasti ve stejném tenantovi Microsoft Entra. Virtuální sítě můžete automaticky nebo ručně připojit ke skupinám sítí prostřednictvím dynamických nebo statických přiřazení členství.

Definujete zjistitelnost virtuálních sítí, které spravuje Správce virtuálních sítí pomocí oborů. Tato funkce poskytuje flexibilitu pro požadovaný počet instancí správce sítě, což umožňuje další demokratizaci správy pro skupiny virtuálních sítí.

Pokud chcete propojit paprskové virtuální sítě ve stejné skupině sítí, použijte Virtual Network Manager k implementaci partnerského vztahu virtuálních sítí nebo přímého připojení. Pomocí možnosti globální sítě můžete rozšířit přímé připojení k paprskům sítí v různých oblastech. Následující diagram znázorňuje globální propojení sítí mezi oblastmi.

Virtuální sítě v rámci skupiny sítí můžete přidružit ke standardní sadě pravidel správce zabezpečení. Pravidla pro správu zabezpečení skupin sítě brání vlastníkům paprskových virtuálních sítí v přepisování standardních pravidel zabezpečení a umožňují jim nezávisle přidávat vlastní sady pravidel zabezpečení a skupin zabezpečení sítě. Příklad použití pravidel správce zabezpečení v hvězdicových topologiích najdete v tématu Kurz: Vytvoření zabezpečené hvězdicové sítě.

Pro usnadnění řízeného zavedení skupin sítí, připojení a pravidel zabezpečení vám nasazení konfigurace virtual Network Manageru pomůže bezpečně uvolnit potenciálně zásadní změny konfigurace v hvězdicových prostředích. Další informace najdete v tématu Nasazení konfigurace ve službě Azure Virtual Network Manager.

Pro zjednodušení a zjednodušení procesu vytváření a údržby konfigurací tras můžete použít automatizovanou správu tras definovaných uživatelem vAzure Virtual Network Manageru.

Ke zjednodušení a centralizaci správy IP adres můžete použít správu IP adres (IPAM) ve službě Azure Virtual Network Manager. Správa IP adres zabraňuje konfliktům adresního prostoru IP adres mezi místními a cloudovými virtuálními sítěmi.

Pokud chcete začít používat Virtual Network Manager, přečtěte si téma Vytvoření hvězdicové topologie pomocí Azure Virtual Network Manageru.

Efektivita výkonu

Efektivita výkonu je schopnost vaší úlohy škálovat tak, aby splňovala požadavky, které na ni mají uživatelé efektivním způsobem. Další informace najdete v tématu Přehled pilíře efektivity výkonu.

U úloh, které komunikují z místního prostředí s virtuálními počítači ve virtuální síti Azure, které vyžadují nízkou latenci a velkou šířku pásma, zvažte použití ExpressRoute FastPath. FastPath umožňuje odesílat provoz přímo do virtuálních počítačů ve vaší virtuální síti z místního prostředí, obejít bránu virtuální sítě ExpressRoute a zvýšit výkon.

U paprskových komunikací, které vyžadují nízkou latenci, zvažte konfiguraci síťovýchpaprsků.

Vyberte odpovídající skladovou položku brány , která splňují vaše požadavky, například počet připojení typu point-to-site nebo site-to-site, požadované pakety za sekundu, požadavky na šířku pásma a toky TCP.

U toků citlivých na latenci, jako je SAP nebo přístup k úložišti, zvažte obejití služby Azure Firewall nebo dokonce směrování přes centrum. Můžete latenci testů zavedenou službou Azure Firewall, která vám pomůže s rozhodováním. Můžete použít funkce, jako je VNet Peering, které propojují dvě nebo více sítí nebo Azure Private Link, které umožňují připojení ke službě přes privátní koncový bod ve virtuální síti.

Mějte na vědomí, že povolení určitých funkcí ve službě Azure Firewall, jako je detekce neoprávněných vniknutí a prevence(IDPS), snižuje propustnost. Další informace najdete v tématu výkonu služby Azure Firewall.

Nasazení tohoto scénáře

Toto nasazení zahrnuje jednu virtuální síť centra a dvě připojené paprsky a také nasadí instanci služby Azure Firewall a hostitele služby Azure Bastion. Volitelně může nasazení zahrnovat virtuální počítače v první paprskové síti a bránu VPN. Můžete si vybrat mezi partnerskými vztahy virtuálních sítí nebo skupinami připojenými ke službě Virtual Network Manager a vytvořit síťová připojení. Každá metoda má několik možností nasazení.

• hvězdicová architektura s nasazením partnerského vztahu virtuálních sítí

• hvězdicová architektura s nasazením připojených skupin virtual network manageru

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autoři:

• Alejandra Palacios | Vedoucí zákaznický inženýr
• Jose Moreno | Hlavní inženýr
• Adam Torkar | Globální blackbelt pro sítě Azure v Microsoftu

Další přispěvatelé:

• Matthew Bratschun | Customer Engineer
• Jay Li | Vedoucí produktový manažer
• Telmo Sampaio | Principal Service Engineering Manager

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Další informace o zabezpečených virtuálních centrech a přidružených zásadách zabezpečení a směrování, které Azure Firewall Manager konfiguruje, najdete v tématu Co je zabezpečené virtuální centrum?

Pokročilé scénáře

Vaše architektura se může lišit od této jednoduché hvězdicové architektury. Následuje seznam doprovodných materiálů pro některé pokročilé scénáře:

• přidat další oblasti a plně propojit rozbočovače mezi sebou - paprskové síťové pro vzory připojení mezi více oblastmi a sítě s více oblastmi pomocí azure Route Serveru

• Nahrazení služby Azure Firewall vlastním síťovým virtuálním zařízením - Nasazení vysoce dostupných síťových virtuálních zařízení

• nahrazení brány virtuální sítě Azure vlastní integrací síťového virtuálního zařízení SDWAN - SDWAN s hvězdicovou topologií sítě Azure

• Použití Azure Route Serveru k zajištění tranzitivity mezi expressRoute a sítí VPN nebo SDWAN nebo přizpůsobení předpon inzerovaných přes protokol BGP na branách virtuální sítě Azure - podporu azure Route Serveru pro ExpressRoute a Azure VPN

• přidání privátního překladače nebo serverů DNS - architektury privátního překladače

Související prostředky

Prozkoumejte následující související architektury:

• Průvodce architekturou brány Azure Firewall
• Brána firewall a Application Gateway pro virtuální sítě
• Řešení potíží s hybridním připojením VPN
• Paprskové sítě
• Základní architektura pro cluster Azure Kubernetes Service (AKS)