Efektivita provozu a virtuální síť Azure
Základní stavební blok pro vaši privátní síť umožňuje službě Azure Virtual Network bezpečně komunikovat mezi sebou, internetem a místními sítěmi.
Mezi klíčové funkce služby Azure Virtual Network patří:
- Komunikace s prostředky Azure
- Komunikace s internetem
- Komunikace s místními prostředky
- Filtrování síťového provozu
Další informace najdete v tématu Co je Azure Virtual Network?
Informace o tom, jak Azure Virtual Network podporuje efektivitu provozu, najdete v následujících tématech:
- Monitorování služby Azure Virtual Network
- Referenční informace k monitorování dat služby Azure Virtual Network
- Koncepty a osvědčené postupy služby Azure Virtual Network
Aspekty návrhu
Virtuální síť zahrnuje následující aspekty návrhu pro efektivitu provozu:
- Překrývající se adresní prostory IP adres napříč místními oblastmi a oblastmi Azure vytvářejí velké problémy s kolizemi.
- I když je možné po vytvoření přidat adresní prostor virtuální sítě, tento proces vyžaduje výpadek, pokud už je virtuální síť připojená k jiné virtuální síti prostřednictvím partnerského vztahu. K výpadku je potřeba, protože partnerský vztah virtuálních sítí se odstraní a znovu vytvoří.
- Některé služby Azure vyžadují vyhrazené podsítě, například:
- Azure Firewall
- Azure Bastion
- Brána virtuální sítě
- Podsítě je možné delegovat na určité služby a vytvářet instance této služby v rámci podsítě.
- Azure si v rámci každé podsítě vyhrazuje pět IP adres, které by se měly počítat při nastavování velikosti virtuálních sítí a zahrnujících podsítí.
Kontrolní seznam
Nakonfigurovali jste virtuální síť Azure s ohledem na efektivitu provozu?
- Pomocí plánů Azure DDoS Standard Protection můžete chránit všechny veřejné koncové body hostované ve virtuálních sítích zákazníka.
- Podnikoví zákazníci musí naplánovat přidělování IP adres v Azure, aby se zajistilo, že nedojde k překrývání adresního prostoru IP adres napříč místními umístěními a oblastmi Azure.
- Použijte IP adresy z přidělování adres pro privátní internety (Požadavek na komentář (RFC) 1918).
- U prostředí s omezenou dostupností privátních IP adres (RFC 1918) zvažte použití protokolu IPv6.
- Nevytvářejte zbytečně velké virtuální sítě (například:
/16), abyste zajistili, že nedojde k zbytečnému plýtvání adresními prostory IP adres. - Nevytvávejte virtuální sítě bez plánování požadovaného adresního prostoru předem.
- Nepoužívejte veřejné IP adresy pro virtuální sítě, zejména pokud veřejné IP adresy nepatří zákazníkovi.
- Pomocí koncových bodů služeb virtuální sítě zabezpečte přístup ke službám Azure Platform as a Service (PaaS) z virtuální sítě zákazníka.
- Pokud chcete řešit problémy s exfiltrací dat u koncových bodů služby, použijte filtrování síťových virtuálních zařízení a zásady koncových bodů služby virtuální sítě pro Azure Storage.
- Neimplementujte vynucené tunelování, které umožňuje komunikaci z Azure do prostředků Azure.
- Přístup ke službám Azure PaaS z místního prostředí prostřednictvím privátního partnerského vztahu ExpressRoute
- Pokud chcete získat přístup ke službám Azure PaaS z místních sítí, když není k dispozici injektáž virtuální sítě nebo Private Link, použijte ExpressRoute s partnerským vztahem Microsoftu, pokud se nemusíte týkat exfiltrace dat.
- Nereplikujte do Azure koncepty a architektury místní hraniční sítě (označované také jako DMZ, demilitarizovaná zóna a monitorovaná podsíť).
- Zajistěte, aby komunikace mezi službami Azure PaaS vloženými do virtuální sítě byla uzamčena v rámci virtuální sítě pomocí tras definovaných uživatelem (UDR) a skupin zabezpečení sítě (NSG).
- Nepoužívejte koncové body služeb virtuální sítě, pokud se nepoužívají filtrování síťových virtuálních zařízení.
- Ve výchozím nastavení nepovolujte koncové body služeb virtuální sítě ve všech podsítích.
Doporučení pro konfiguraci
Při konfiguraci virtuální sítě Azure zvažte následující doporučení pro efektivitu provozu:
| Doporučení | Popis |
|---|---|
| Nevytvávejte virtuální sítě bez plánování požadovaného adresního prostoru předem. | Přidání adresního prostoru způsobí výpadek po připojení virtuální sítě prostřednictvím partnerského vztahu virtuálních sítí. |
| Pomocí koncových bodů služeb virtuální sítě zabezpečte přístup ke službám Azure Platform as a Service (PaaS) z virtuální sítě zákazníka. | Pouze v případě, že private Link není k dispozici a pokud neexistují žádné obavy o exfiltraci dat. |
| Přístup ke službám Azure PaaS z místního prostředí prostřednictvím privátního partnerského vztahu ExpressRoute | Použijte injektáž virtuální sítě pro vyhrazené služby Azure nebo Azure Private Link pro dostupné sdílené služby Azure. |
| Pokud chcete získat přístup ke službám Azure PaaS z místních sítí, když není k dispozici injektáž virtuální sítě nebo Private Link, použijte ExpressRoute s partnerským vztahem Microsoftu, pokud se nemusíte týkat exfiltrace dat. | Vyhněte se průchodu přes veřejný internet. |
| Nereplikujte do Azure koncepty a architektury místní hraniční sítě (označované také jako DMZ, demilitarizovaná zóna a monitorovaná podsíť). | Zákazníci můžou v Azure získat podobné možnosti zabezpečení jako v místním prostředí, ale implementace a architektura se bude muset přizpůsobit cloudu. |
| Zajistěte, aby komunikace mezi službami Azure PaaS vloženými do virtuální sítě byla uzamčena v rámci virtuální sítě pomocí tras definovaných uživatelem (UDR) a skupin zabezpečení sítě (NSG). | Služby Azure PaaS, které byly vloženy do virtuální sítě, stále provádějí operace roviny správy pomocí veřejných IP adres. |