Přehled síťových služeb Azure
Síťové služby v Azure poskytují různé síťové funkce, které je možné používat společně nebo samostatně. Pokud se o nich chcete dozvědět více, vyberte každý z následujících scénářů sítě:
- Základ sítí: Síťové služby Azure poskytují základní připojení vašich prostředků v Azure – Virtual Network (VNet), Private Link, Azure DNS, Azure Bastion, Route Server, NAT Gateway a Traffic Manager.
- Vyrovnávání zatížení a doručování obsahu: Služby vyrovnávání zatížení Azure a službypro doručování obsahu umožňují správu, distribuci a optimalizaci aplikací a úloh – Nástroj pro vyrovnávání zatížení, Application Gateway a Azure Front Door.
- Hybridní připojení: Služby hybridního připojení Azure zajišťují komunikaci s vašimi prostředky v Azure – VPN Gateway, ExpressRoute, Virtual WAN a Peering Service.
- Zabezpečení sítě: Služby zabezpečení sítě Azure chrání vaše webové aplikace a služby IaaS před útoky DDoS a škodlivými aktéry – Firewall, firewall, firewall webových aplikací a DDoS Protection.
- Správa a monitorování sítě: Služby pro správu a monitorování sítě Azure poskytují nástroje pro správu a monitorování síťových prostředků – Network Watcher, Azure Monitor a Azure Virtual Network Manager.
Základy sítí
Tato část popisuje služby, které poskytují stavební bloky pro navrhování a navrhování síťového prostředí v Azure – Virtual Network (VNet), Private Link, Azure DNS, Azure Bastion, Route Server, NAT Gateway a Traffic Manager.
Virtuální síť
Azure Virtual Network (VNet) je základním stavebním blokem vaší privátní sítě v Azure. Virtuální sítě můžete použít k:
- Komunikace mezi prostředky Azure: Virtuální počítače a několik dalších typů prostředků Azure můžete nasadit do virtuální sítě, jako jsou prostředí služby Aplikace Azure Service, Azure Kubernetes Service (AKS) a škálovací sady virtuálních počítačů Azure. Úplný seznam prostředků Azure, které můžete nasadit do virtuální sítě, najdete v tématu věnovaném integraci virtuální sítě do služeb.
- Vzájemně komunikujte: Mezi sebou můžete propojit virtuální sítě a umožnit tak vzájemné komunikaci prostředků v obou virtuálních sítích pomocí partnerského vztahu virtuálních sítí nebo Azure Virtual Network Manageru. Propojené virtuální sítě se můžou nacházet ve stejné oblasti Azure nebo v různých oblastech. Další informace najdete v tématu Partnerské vztahy virtuálních sítí a Azure Virtual Network Manager.
- Komunikace s internetem: Ve výchozím nastavení můžou všechny prostředky ve virtuální síti komunikovat odchozí s internetem. Příchozí komunikaci s prostředkem můžete umožnit tím, že prostředku přiřadíte veřejnou IP adresu nebo veřejný Load Balancer. Ke správě odchozích připojení můžete použít také veřejné IP adresy nebo veřejný Load Balancer .
- Komunikace s místními sítěmi: Místní počítače a sítě můžete připojit k virtuální síti pomocí služby VPN Gateway nebo ExpressRoute.
- Šifrování provozu mezi prostředky: Šifrování virtuální sítě můžete použít k šifrování provozu mezi prostředky ve virtuální síti.
Skupiny zabezpečení sítě
Pomocí skupiny zabezpečení sítě můžete filtrovat síťový provoz do a z prostředků Azure ve virtuální síti Azure. Další informace najdete v tématu Skupiny zabezpečení sítě.
Koncové body služby
Koncové body služby virtuální sítě rozšiřují privátní adresní prostor virtuální sítě a identitu vaší virtuální sítě do služeb Azure přes přímé připojení. Koncové body umožňují svázat vaše důležité prostředky služeb Azure pouze s vašimi virtuálními sítěmi. Provoz z vaší virtuální sítě do služby Azure zůstává vždy v páteřní síti Microsoft Azure.
Azure Private Link
Azure Private Link umožňuje přístup ke službám Azure PaaS (například Azure Storage a SQL Database) a službám Hostovaným zákazníkem nebo partnerským službám Azure přes privátní koncový bod ve vaší virtuální síti. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu. Vystavení služby veřejnému internetu už není nutné. Můžete si vytvořit vlastní službu privátního propojení ve své virtuální síti a doručovat ji vašim zákazníkům.
Azure DNS
Azure DNS poskytuje hostování a překlad DNS pomocí infrastruktury Microsoft Azure. Azure DNS se skládá ze tří služeb:
- Azure Public DNS je hostitelská služba pro domény DNS. Pokud své domény hostujete v Azure, můžete spravovat záznamy DNS pomocí stejných přihlašovacích údajů, rozhraní API a nástrojů a za stejných fakturačních podmínek jako u ostatních služeb Azure.
- Azure Privátní DNS je služba DNS pro vaše virtuální sítě. Azure Privátní DNS spravuje a překládá názvy domén ve virtuální síti bez nutnosti konfigurace vlastního řešení DNS.
- Privátní překladač Azure DNS je služba, která umožňuje dotazovat privátní zóny Azure DNS z místního prostředí a naopak bez nasazení serverů DNS založených na virtuálních počítačích.
Pomocí Azure DNS můžete hostovat a překládat veřejné domény, spravovat překlad DNS ve virtuálních sítích a povolovat překlad názvů mezi Azure a místními prostředky.
Azure Bastion
Azure Bastion je služba, kterou můžete nasadit ve virtuální síti, abyste se mohli připojit k virtuálnímu počítači pomocí prohlížeče a webu Azure Portal. Můžete se také připojit pomocí nativního klienta SSH nebo RDP, který je již v místním počítači nainstalovaný. Služba Azure Bastion je plně platforma spravovaná služba PaaS, kterou nasadíte ve své virtuální síti. Nabízí možnosti bezpečného a bezproblémového připojení RDP/SSH k virtuálním počítačům přímo na webu Azure Portal přes protokol TLS. Když se připojíte přes Azure Bastion, virtuální počítače nepotřebují veřejnou IP adresu, agenta ani speciální klientský software. Pro Azure Bastion jsou k dispozici různé skladové položky nebo úrovně. Úroveň, kterou vyberete, ovlivňuje funkce, které jsou k dispozici. Další informace najdete v tématu o nastavení konfigurace Bastionu.
Server tras Azure
Azure Route Server zjednodušuje dynamické směrování mezi síťovým virtuálním zařízením (NVA) a vaší virtuální sítí. Umožňuje vyměňovat si informace o směrování přímo prostřednictvím směrovacího protokolu BGP (Border Gateway Protocol) mezi všemi síťovými virtuálními zařízeními, které podporují směrovací protokol BGP a SDN (Azure Software Defined Network) ve virtuální síti Azure bez nutnosti ruční konfigurace nebo údržby směrovacích tabulek.
NAT Gateway
NAT Gateway zjednodušuje odchozí připojení k internetu pro virtuální sítě. Při konfiguraci v podsíti používá všechna odchozí připojení vaše zadané statické veřejné IP adresy. Odchozí připojení je možné bez nástroje pro vyrovnávání zatížení nebo veřejných IP adres přímo připojených k virtuálním počítačům. Další informace najdete v tématu Co je Azure NAT Gateway?
Traffic Manager
Azure Traffic Manager je nástroj pro vyrovnávání zatížení provozu založený na DNS, který umožňuje optimálně distribuovat provoz do služeb napříč globálními oblastmi Azure a zároveň poskytuje vysokou dostupnost a rychlost odezvy. Traffic Manager poskytuje řadu metod směrování provozu pro distribuci provozu, jako je priorita, vážený výkon, geografická, vícehodnotová nebo podsíť.
Následující diagram znázorňuje směrování na základě priority koncového bodu pomocí Traffic Manageru:
Další informace o Traffic Manageru najdete v tématu Co je Azure Traffic Manager?
Vyrovnávání zatížení a doručování obsahu
Tato část popisuje síťové služby v Azure, které pomáhají dodávat aplikace a úlohy – Load Balancer, Application Gateway a Azure Front Door Service.
Load Balancer
Azure Load Balancer poskytuje vysoce výkonné vyrovnávání zatížení vrstvy 4 s nízkou latencí pro všechny protokoly UDP a TCP. Spravuje příchozí a odchozí připojení. Můžete nakonfigurovat veřejné a interní koncové body s vyrovnáváním zatížení. Pravidla pro mapování příchozích připojení k cílům back-endového fondu můžete definovat pomocí možností monitorování stavu PROTOKOLU TCP a HTTP pro správu dostupnosti služeb.
Azure Load Balancer je k dispozici ve skladových poplatcích Standard, Regional a Gateway.
Následující obrázek znázorňuje vícevrstvou aplikaci s internetem, která využívá externí i interní nástroje pro vyrovnávání zatížení:
Application Gateway
Azure Application Gateway je nástroj pro vyrovnávání zatížení webových přenosů, který vám umožní spravovat provoz do webových aplikací. Jedná se o službu ADC (Application Delivery Controller) jako službu, která nabízí pro vaše aplikace různé možnosti vyrovnávání zatížení vrstvy 7.
Následující diagram znázorňuje směrování na základě cest url se službou Application Gateway.
Azure Front Door
Azure Front Door umožňuje definovat, spravovat a monitorovat globální směrování webového provozu optimalizací nejlepšího výkonu a okamžitého globálního převzetí služeb při selhání pro zajištění vysoké dostupnosti. Se službou Front Door můžete transformovat svoje globální (zahrnující více oblastí) spotřebitelské a podnikové aplikace do robustních a vysoce výkonných přizpůsobených moderních aplikací, rozhraní API a obsahu, kterými s pomocí Azure oslovíte globální cílovou skupinu.
Hybridní připojení
Tato část popisuje služby síťového připojení, které poskytují zabezpečenou komunikaci mezi vaší místní sítí a Azure – VPN Gateway, ExpressRoute, Virtual WAN a Peering Service.
VPN Gateway
Služba VPN Gateway pomáhá vytvářet šifrovaná připojení mezi různými místy k vaší virtuální síti z místních umístění nebo vytvářet šifrovaná připojení mezi virtuálními sítěmi. Pro připojení ke službě VPN Gateway jsou k dispozici různé konfigurace. Mezi hlavní funkce patří:
- Možnosti připojení site-to-site VPN
- Připojení VPN typu Point-to-Site
- Připojení VPN typu VNet-to-VNet
Následující diagram znázorňuje několik připojení VPN typu site-to-site ke stejné virtuální síti. Další diagramy připojení zobrazíte v tématu VPN Gateway – návrh.
ExpressRoute
ExpressRoute umožňuje rozšířit vaše místní sítě do cloudu Microsoftu přes privátní připojení, které poskytovatel připojení usnadňuje. Toto připojení je soukromé. Provoz neprochází přes internet. V ExpressRoute můžete vytvořit připojení ke cloudovým službám, jako je Microsoft Azure, Microsoft 365 a Dynamics 365.
Virtuální síť WAN
Azure Virtual WAN je síťová služba, která spojuje řadu funkcí sítě, zabezpečení a směrování, aby poskytovala jedno provozní rozhraní. Připojení k virtuálním sítím Azure se naváže pomocí připojení virtuální sítě. Mezi hlavní funkce patří:
- Připojení k větvím (prostřednictvím automatizace připojení z partnerských zařízení virtual WAN, jako je SD-WAN nebo VPN CPE)
- Možnosti připojení site-to-site VPN
- Připojení VPN vzdáleného uživatele (point-to-site)
- Privátní připojení (ExpressRoute)
- Možnosti připojení uvnitř cloudu (přenositelné pro virtuální sítě)
- Možnosti připojení ExpressRoute mezi sítěmi VPN
- Směrování, Azure Firewall a šifrování pro privátní připojení
Peering Service
Azure Peering Service vylepšuje možnosti připojení zákazníků ke cloudovým službám Microsoftu, jako jsou Microsoft 365, Dynamics 365, služby saaS (software jako služba), Azure nebo jakékoli služby Microsoft přístupné přes veřejný internet.
Zabezpečení sítě
Tato část popisuje síťové služby v Azure, které chrání a monitorují síťové prostředky – Firewall Manager, Firewall, Firewall webových aplikací a DDoS Protection.
Firewall Manager
Azure Firewall Manager je služba pro správu zabezpečení, která poskytuje centrální zásady zabezpečení a správu směrování pro cloudové hraniční sítě. Správce brány firewall může poskytovat správu zabezpečení pro dva různé typy síťové architektury: zabezpečené virtuální centrum a virtuální síť rozbočovače. Pomocí Azure Firewall Manageru můžete nasadit více instancí služby Azure Firewall napříč oblastmi a předplatnými Azure, implementovat plány ochrany před útoky DDoS, spravovat zásady firewallu webových aplikací a integrovat je s partnerským zabezpečením jako službou pro lepší zabezpečení.
Azure Firewall
Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která chrání vaše prostředky služby Azure Virtual Network. Pomocí služby Azure Firewall můžete centrálně vytvářet, vynucovat a protokolovat zásady připojení aplikací a sítí napříč předplatnými a virtuálními sítěmi. Brána Azure Firewall používá statickou veřejnou IP adresu pro prostředky virtuální sítě a díky tomu umožňuje venkovním bránám firewall identifikovat provoz pocházející z vaší virtuální sítě.
Firewall webových aplikací
Azure Web Application Firewall (WAF) poskytuje ochranu webových aplikací před běžnými webovými zneužitími a ohroženími zabezpečení, jako je injektáž SQL a skriptování mezi weby. Azure WAF poskytuje ochranu před 10 hlavními ohroženími zabezpečení OWASP prostřednictvím spravovaných pravidel. Zákazníci také můžou nakonfigurovat vlastní pravidla, což jsou pravidla spravovaná zákazníkem, aby poskytovala dodatečnou ochranu na základě rozsahu zdrojových IP adres a atributy požadavků, jako jsou hlavičky, soubory cookie, datová pole formuláře nebo parametry řetězce dotazu.
Zákazníci se můžou rozhodnout nasadit Azure WAF se službou Application Gateway, která poskytuje místní ochranu entitm ve veřejném a privátním adresním prostoru. Zákazníci se také můžou rozhodnout nasadit Azure WAF se službou Front Door , která poskytuje ochranu na hraničních zařízeních sítě do veřejných koncových bodů.
DDoS Protection
Azure DDoS Protection poskytuje proti nejobsáhodnějším hrozbám DDoS proti hrozbám proti útokům DDoS. Služba poskytuje rozšířené možnosti omezení rizik útoků DDoS pro vaši aplikaci a prostředky nasazené ve vašich virtuálních sítích. Zákazníci, kteří používají Azure DDoS Protection, mají navíc přístup k podpoře DDoS Rapid Response, aby mohli během aktivního útoku zapojit odborníky na DDoS.
Azure DDoS Protection se skládá ze dvou úrovní:
- DDoS Network Protection v kombinaci s osvědčenými postupy návrhu aplikací poskytuje vylepšené funkce omezení rizik DDoS pro ochranu před útoky DDoS. Automaticky je vyladěná tak, aby chránila vaše konkrétní prostředky Azure ve virtuální síti.
- DDoS IP Protection je model IP adres s platbami za chráněné IP adresy. Ochrana IP adres DDoS obsahuje stejné základní technické funkce jako DDoS Network Protection, ale liší se v následujících službách s přidanou hodnotou: podpora rychlé reakce DDoS, ochrana nákladů a slevy na WAF.
Zabezpečení sítě kontejnerů
Zabezpečení sítě kontejnerů je součástí služby Advanced Container Networking Services (ACNS). Poskytuje vylepšenou kontrolu nad zabezpečením sítě AKS. Díky funkcím, jako je plně kvalifikovaný název domény (FQDN), můžou clustery využívající Azure CNI Powered by Cilium implementovat zásady sítě založené na plně kvalifikovaném názvu domény, aby bylo možné dosáhnout architektury zabezpečení nulová důvěra (Zero Trust) v AKS.
Správa a monitorování sítě
Tato část popisuje služby správy a monitorování sítě v Azure – Network Watcher, Azure Monitor a Azure Virtual Network Manager.
Azure Network Watcher
Azure Network Watcher poskytuje nástroje pro monitorování, diagnostiku, zobrazení metrik a povolení nebo zakázání protokolů pro prostředky ve virtuální síti Azure.
Azure Monitor
Azure Monitor maximalizuje dostupnost a výkon aplikací tím, že vám dává komplexní řešení pro shromažďování, analýzy a akce na základě telemetrie z cloudového i místního prostředí. Pomůže vám při zjišťování stavu vašich aplikací a proaktivně identifikuje problémy, které je ovlivňují, a prostředky, na kterých jsou závislé.
Azure Virtual Network Manager
Azure Virtual Network Manager je služba pro správu, která umožňuje seskupovat, konfigurovat, nasazovat a spravovat virtuální sítě globálně napříč předplatnými. Pomocí nástroje Virtual Network Manager můžete definovat skupiny sítí , které identifikují a logicky segmentuje virtuální sítě. Pak můžete určit požadované možnosti připojení a zabezpečení a použít je ve všech vybraných virtuálních sítích ve skupinách sítě najednou.
Pozorovatelnost sítě kontejnerů
Pozorovatelnost sítě kontejnerů je součástí služby Advanced Container Networking Services (ACNS). ACNS používá řídicí rovinu Hubble k zajištění komplexního přehledu o sítích a výkonu AKS. Nabízí podrobné přehledy v reálném čase napříč metrikami na úrovni uzlů, pody, TCP a DNS, které zajišťují důkladné monitorování síťové infrastruktury.
Další kroky
- Vytvořte první virtuální síť a připojte k ní několik virtuálních počítačů provedením kroků v článku Vytvoření první virtuální sítě .
- Připojte počítač k virtuální síti dokončením kroků v článku Konfigurace připojení typu point-to-site.
- Vyrovnávání zatížení internetového provozu na veřejné servery provedením kroků v článku Vytvoření internetového nástroje pro vyrovnávání zatížení.