Perspektiva architektury Azure Well-Architected ve službě Azure Virtual Network
Azure Virtual Network je základním stavebním blokem pro vytvoření privátní sítě v Azure. Můžete ho použít k povolení komunikace mezi prostředky Azure a poskytování připojení k internetu. Virtuální síť se také integruje s místními systémy. Zahrnuje integrované možnosti filtrování, které zajišťují, že do komponent v rámci hranic sítě dorazí pouze očekávaný, povolený a bezpečný provoz.
Tento článek předpokládá, že jako architekt znáte síťové konstrukce v Azure. Pokyny se zaměřují na doporučení architektury, která jsou mapována na principy pilířů architektury Well-Architected.
Důležitý
Jak používat tohoto průvodce
Každá část obsahuje kontrolní seznam návrhu, který představuje architektonické oblasti zájmu spolu se strategiemi návrhu lokalizovanými do oboru technologie.
Součástí jsou také doporučení pro technologické možnosti, které můžou pomoct materializovat tyto strategie. Doporučení nepředstavují vyčerpávající seznam všech konfigurací, které jsou k dispozici pro virtuální síť a její závislosti. Místo toho zobrazí seznam klíčových doporučení přiřazených k perspektivám návrhu. Pomocí doporučení můžete vytvořit testování konceptu nebo optimalizovat vaše stávající prostředí.
Základní architektura, která demonstruje klíčová doporučení: hvězdicová síťová topologie v Azure.
oboru technologie
Tato kontrola se zaměřuje na vzájemně nesouvisející rozhodnutí pro následující prostředky Azure:
- Virtuální síť a její podsítě
- Síťové karty
- Privátní koncové body
- Skupiny zabezpečení sítě (NSG)
- IP adresy a přidělování IP adres
- Směrovací tabulky
- Správci sítě
diagram 
K virtuální síti jsou přidružené další služby, jako jsou nástroje pro vyrovnávání zatížení. Tyto služby jsou popsány v příslušných příručkách.
Spolehlivost
Účelem pilíře spolehlivosti je poskytovat nepřetržitou funkčnost budování dostatečné odolnosti a schopnost rychle se zotavit z selhání.
principy návrhu spolehlivosti poskytují základní strategii návrhu použitou pro jednotlivé komponenty, systémové toky a systém jako celek.
Kontrolní seznam návrhu
Začněte svou strategii návrhu na základě kontrolního seznamu návrhu pro spolehlivost. Určete její význam pro vaše obchodní požadavky a mějte přitom na paměti funkce virtuální sítě a její závislosti. Rozšiřte strategii tak, aby podle potřeby zahrnovala více přístupů.
Nastavte si cíle spolehlivosti. Virtuální síť a většina jejích dílčích služeb nemá záruky smlouvy o úrovni služeb (SLA) založené na Microsoftu. Konkrétní služby, jako jsou nástroje pro vyrovnávání zatížení, síťové karty a veřejné IP adresy, ale mají smlouvy SLA. Měli byste mít dobrý přehled o pokrytí poskytovaném kolem publikovaného percentilu v Azure. Mějte na paměti, že vaše organizace centrálních IT služeb obvykle vlastní virtuální síť a centrální služby. Ujistěte se, že vaše objektivní výpočty zahrnují tuto závislost.
zmírnění bodů selhání. Proveďte analýzu režimu selhání a identifikujte jednotlivé body selhání v síťových připojeních.
Následující příklady ukazují jednotlivé body selhání v síťových připojeních:
Selhání Zmírnění Selhání veřejné IP adresy v jedné zóně dostupnosti Nasaďte prostředky IP adres napříč zónami nebo použijte sekundární IP adresu s nástrojem pro vyrovnávání zatížení. Selhání síťového virtuálního zařízení v jedné zóně Nasaďte sekundární síťové virtuální zařízení v jiné zóně a pomocí nástroje pro vyrovnávání zatížení směrujte provoz do síťového virtuálního zařízení. Latence úloh, které jsou rozložené mezi oblasti nebo zóny, což snižuje propustnost a způsobuje vypršení časového limitu. Umístěte zdroje do jedné oblasti nebo zóny. Přepracujte architekturu tak, aby používala vzory spolehlivosti, jako jsou razítka nasazení s nástroji pro vyrovnávání zatížení, aby každé razítko zvládlo zatížení a spolupracovalo s blízkými prostředky. Selhání úlohy v jedné oblasti s lokalitou pro studené převzetí při selhání. Předkonfigurujte nastavení sítě v regionu převzetí služeb při selhání. Tento přístup zajišťuje, že se žádné IP adresy nepřekrývají. Selhání aplikace v jedné oblasti ve virtuální síti, která komunikuje s databází přes Azure Private Link pomocí studené záložní lokality. Replikujte připojení v sekundární oblasti a partnerské virtuální sítě pro komunikaci. nadměrné přidělování IP adresního prostoru. Aby bylo možné zajistit spolehlivé škálování, je běžnou strategií nadměrné zřízení kapacity, aby se zabránilo vyčerpání IP adres. Tento přístup má ale kompromis mezi spolehlivostí a provozní efektivitou. Podsítě by měly používat jenom část adresního prostoru virtuální sítě. Cílem by mělo být mít ve virtuální síti a podsítích pouze dostatek dalšího adresního prostoru, aby se vyrovnala spolehlivost s provozní efektivitou.
Mějte na paměti omezení sítě. Azure omezuje počet prostředků, které můžete nasadit. I když je většina síťových limitů Azure nastavená na maximální hodnoty, můžete některé limity zvýšit. Další informace najdete v tématu omezení sítě Azure Resource Manageru.
Vytvářet síťové diagramy, které se zaměřují na toky uživatelů. Tyto diagramy vám můžou pomoct vizualizovat segmentaci sítě, identifikovat potenciální body selhání a určit klíčové přechody, jako jsou příchozí a výstupní body internetu. Jsou to také důležité nástroje pro audity a reakce na incidenty.
Zvýrazněte toky provozu s vysokou prioritou mezi uživateli a zdroji pracovních zátěží. Pokud například upřednostníte Azure ExpressRoute pro toky podnikové sítě nebo zabezpečíte požadavky uživatelů v návrhu hraniční sítě, můžete získat přehled o plánování kapacity pro brány firewall a další služby.
Přidat redundanci. V případě potřeby zvažte nasazení bran NAT a virtuálních sítí napříč několika oblastmi. Zajistěte, aby veřejné IP adresy a další služby, které jsou si vědomy zón dostupnosti, měly povolenou redundanci zón a aby sdílené prostředky, jako jsou brány firewall, byly s regionální redundancí.
Další informace najdete v tématu kontinuita podnikání virtuální sítě.
vyhnout se složitosti. Věnujte velkou pozornost virtuálním sítím, podsítím, IP adresám, trasám, skupinám zabezpečení aplikací (ASG) a značkám. Jednoduché konfigurace snižují pravděpodobnost chybných konfigurací a chyb. Chybná konfigurace a chyby přispívají k problémům se spolehlivostí a přidávají náklady na provozní a údržbu. Mezi příklady zjednodušení patří:
- Pokud je to možné, použijte privátní DNS a minimalizujte počet zón DNS.
- Zjednodušte konfiguraci směrování. Pokud se používá v architektuře, zvažte směrování veškerého provozu přes bránu firewall.
Otestujte odolnost sítě. K simulaci přerušení síťového připojení použijte Azure Chaos Studio. Tento přístup zajišťuje, že vaše úlohy zůstanou redundantní a pomáhají vyhodnotit dopad potenciálních selhání.
Monitorování síťového provozu pro dopady na spolehlivost. Monitorování toku provozu je zásadní operací pro spolehlivost. Chcete například identifikovat velké objemové komunikátory ve vaší síti, abyste zjistili, jestli můžou způsobit přerušení. Azure poskytuje možnosti protokolování toků. Další informace naleznete v tématu Provozní efektivita.
Doporučení
| Doporučení | Prospěch |
|---|---|
| Nastavte velikost virtuálních sítí a podsítí podle vaší strategie škálování. Zvolte méně větších virtuálních sítí, aby vyhovovaly redundanci jako strategii pro zmírnění rizik selhání. Ujistěte se, že se nepřekrývá adresní prostor s jinými virtuálními sítěmi, se kterými potřebujete komunikovat, a naplánujte adresní prostor předem. Další informace najdete v tématu Vytvoření, změna nebo odstranění virtuální sítě. |
Díky nadměrnému zřízení můžete zajistit efektivní škálování sítě bez omezení adresního prostoru. Naplánujte adresní prostor předem, abyste zabránili konfliktům a zajistili bezproblémovou škálovatelnou síťovou architekturu. |
| Pro lepší podporu spolehlivosti prostřednictvím zón dostupnosti použijte skladovou položku STANDARD IP. Ve výchozím nastavení se veřejné IP adresy nasazují napříč několika zónami, pokud nejsou omezené na jednu zónu. | Tato skladová položka pomáhá zajistit, aby komunikace v rámci veřejné IP adresy zůstala funkční během zónových selhání. |
Bezpečnost
Účelem pilíře zabezpečení je poskytnout důvěrnosti, integritě a dostupnosti zárukám úlohy.
Principy návrhu zabezpečení poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů použitím přístupů k technickému návrhu virtuální sítě.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro zabezpečení a identifikujte ohrožení zabezpečení a kontrolní mechanismy, které zlepšují stav zabezpečení. Rozšiřte strategii tak, aby podle potřeby zahrnovala více přístupů.
Vytvoření standardních hodnot zabezpečení. Přehodnoťte základní bezpečnostní standardy pro virtuální síť a začleňte příslušná opatření do svého základního standardu.
Udržování hraniční sítě v aktualizovaném stavu. Nastavení zabezpečení, jako jsou skupiny zabezpečení sítě (NSG), skupiny zabezpečení aplikací (ASG) a rozsahy IP adres, je nutné pravidelně aktualizovat. Zastaralá pravidla nemusí být v souladu s aktuální architekturou sítě nebo vzory provozu. Tato bezpečnostní mezera může zanechat vaši síť vystavenou potenciálním útokům tím, že sníží omezení na příchozí a odchozí provoz.
Použijte segmentaci ke zvýšení zabezpečení. Používejte Skupiny zabezpečení sítě (NSG) jako firewally na úrovni L4 na úrovni podsítě. Směrování veškerého externího provozu přes síťové virtuální zařízení, jako je brána firewall, pomocí tras definovaných uživatelem pro monitorování a správu. K filtrování přístupu k internetu použijte plně kvalifikované názvy domén (FQDN).
Zabezpečte připojení platformy jako služby s privátními koncovými body a zablokujte odchozí připojení.
Použít zásadu nejnižších oprávnění. Nakonfigurujte řízení přístupu založené na rolích (RBAC) s přístupem zaměřeným na omezení pro role související se sítí. Ujistěte se, že uživatelé můžou měnit nastavení jenom podle potřeby funkce úlohy.
Omezit veřejné IP adresy. Pro lepší zabezpečení a počáteční kontroly požadavků použijte sdílené veřejné IP adresy ze služeb, jako je Azure Front Door. Správa vyhrazené veřejné IP adresy vyžaduje, abyste dohlíželi na jeho zabezpečení, včetně správy portů a ověřování požadavků. Pokud je to možné, použijte privátní připojení.
Doporučení
| Doporučení | Prospěch |
|---|---|
| Použijte šifrování virtuální sítě. | Vynucením šifrovaného provozu můžete chránit přenášená data mezi virtuálními počítači Azure a škálovacími sadami virtuálních počítačů Azure ve stejné virtuální síti. Také šifruje provoz mezi regionálními a globálně partnerskými virtuálními sítěmi. |
|
Povolte Ověřovatel virtuálních sítí v Azure Virtual Network Manager. Pomocí této funkce v předprodukčním prostředí otestujte připojení mezi prostředky. Tato funkce se nedoporučuje v produkčním prostředí. |
Ujistěte se, že jsou prostředky Azure v síti dostupné a neblokované zásadami. |
| Povolte azure DDoS Protection pro virtuální síť. Alternativně můžete chránit jednotlivé veřejné IP adresy prostřednictvím Ochrany IP služby Azure DDoS . Zkontrolujte funkce zabezpečení, které jsou k dispozici ve službě DDoS IP Protection a DDoS Network Protection, a vyberte si funkce, které vyhovují vašim požadavkům. Například úroveň DDoS Network Protection poskytuje podporu týmu rychlé reakce, když dojde k útokům. Úroveň ochrany IP adres před útoky DDoS neposkytuje tuto podporu. |
Můžete chránit před distribuovanými útoky na dostupnost služby. |
| Ochrana segmentů ve virtuální síti pomocí NSG . Pokud je to možné, definujte pravidla pomocí asgů. |
Provoz, který vstupuje do sítě a opouští ji, je možné filtrovat na základě IP adresy a rozsahů portů. Skupiny ASG zjednodušují správu abstrahováním základních rozsahů IP adres. |
| Pro přístup ke službám Azure přes soukromou IP adresu ve virtuální síti použijte soukromé koncové body. Dalším způsobem realizace soukromých sítí je prostřednictvím koncových bodů služby. Tyto koncové body směrují provoz do služby přes páteřní síť Azure. Pokud jsou dostupné pro službu, zvolte privátní koncové body namísto koncových bodů služby. |
Privátní koncové body odstraňují potřebu veřejných IP adres, což snižuje prostor pro útoky. |
Optimalizace nákladů
Optimalizace nákladů se zaměřuje na zjišťování vzorců útraty, stanovení priorit investic do kritických oblastí a optimalizaci v jiných tak, aby organizace splnila svůj rozpočet a zároveň plnila obchodní požadavky.
Principy návrhu optimalizace nákladů poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů a dosažení kompromisů v technickém návrhu souvisejícím s vaším síťovým prostředím.
Kontrolní seznam návrhu
Zahajte návrhovou strategii na základě kontrolního seznamu pro revizi návrhu pro optimalizaci nákladů na investice. Dolaďte návrh tak, aby úloha byla v souladu s rozpočtem přiděleným pro danou úlohu. Váš návrh by měl využívat správné možnosti Azure, monitorovat investice a hledat příležitosti k optimalizaci v průběhu času.
Optimalizace přenosů dat s velkým objemem mezi koncovými body. Pomocí propojení virtuálních sítí můžete efektivně přesouvat data mezi virtuálními sítěmi. I když peerování zahrnuje příchozí a odchozí náklady, tento přístup může být nákladově efektivní, protože snižuje spotřebu šířky pásma v síti a problémy s jejím výkonem. Vyhněte se směrování přes centrum, abyste minimalizovali efektivitu a náklady.
Pokud chcete optimalizovat přenos dat mezi oblastmi, je důležité zvážit četnost i metodu přenosu. Například při řešení záloh může umístění, kam ukládáte zálohy, výrazně ovlivnit náklady. Ukládání zálohovaných dat v jiné oblasti způsobuje šířku pásma. Pokud chcete tyto náklady zmírnit, ujistěte se, že se data před přenosem mezi oblastmi komprimují. Náklady a efektivitu můžete dále optimalizovat úpravou frekvence přenosů dat.
Zahrnout síťové komponenty do modelu nákladů. Při vytváření nebo úpravě vašeho rozpočtu zohledněte skryté náklady. Například v architekturách s více oblastmi stojí další náklady na přenos dat mezi oblastmi.
Sestavy nákladů Azure nemusí zahrnovat výdaje spojené s síťovými virtuálními zařízeními jiných společností než Microsoft, které mají samostatné licenční náklady. Můžou mít také různé fakturační modely pro pevné ceny a možnosti založené na spotřebě. Nezapomeňte tyto faktory zahrnout do aspektů rozpočtu.
Některé síťové prostředky můžou být nákladné, například Azure Firewall a ExpressRoute. Tyto prostředky můžete zřídit v centralizovaných modelech centra a přidělit týmům poplatky za vzniklé náklady. Zahrňte tyto poplatky do modelu nákladů.
Neplatíte za nevyužité funkce. Pravidelně kontrolujte náklady na komponenty a odstraňte starší funkce nebo výchozí konfigurace. Omezte počet veřejných IP adres, abyste ušetřili náklady. Tento přístup také zvyšuje zabezpečení tím, že snižuje prostor pro útoky.
Optimalizovat privátní koncové body. Určete, jestli můžete znovu použít privátní odkaz na prostředek z jiných virtuálních sítí. Pokud používáte privátní koncový bod v rámci propojení regionální virtuální sítě, neúčtují se poplatky za provoz do a z privátního koncového bodu. Platíte jenom za samotný přístup k privátnímu propojení, ne za provoz mezi virtuálními sítěmi. Další informace najdete v tématu Private Link v síti typu hub-and-spoke.
sladit funkce kontroly síťového provozu s prioritami a požadavky na zabezpečení toku. U požadavků na velkou šířku pásma zvažte směrování provozu do cest s nižšími náklady. ExpressRoute je vhodný pro velký provoz, ale může být nákladný. Zvažte alternativy, jako jsou veřejné koncové body pro úsporu nákladů. Existuje však kompromis týkající se bezpečnosti. Použijte síťové propojení pro provoz mezi sítěmi, k obejití brány firewall a zabránění zbytečným kontrolám.
Povolte pouze nezbytný provoz mezi komponentami a zablokujte neočekávaný provoz. Pokud se očekává provoz a tok odpovídá vašim požadavkům na zabezpečení, můžete tyto kontrolní body vynechat. Například vyhodnoťte, jestli potřebujete směrovat provoz přes bránu firewall, pokud je vzdálený prostředek v rámci důvěryhodného prostředí.
Vyhodnoťte počet podsítí a jejich přidružené skupiny zabezpečení sítě, a to i ve virtuální síti. Čím více skupin zabezpečení sítě máte, tím vyšší jsou provozní náklady pro správu sad pravidel. Pokud je to možné, využijte ASG ke zjednodušení správy a snížení nákladů.
Optimalizujte náklady na kód. Při vývoji aplikace zvolte efektivnější protokoly a použijte kompresi dat pro optimalizaci výkonu. Efektivitu webové aplikace můžete zvýšit například konfigurací komponent pro komprimaci dat. Tyto optimalizace také ovlivňují výkon.
Využijte prostředky v centralizované virtuální síti. Použití centralizovaných prostředků ke snížení duplicitních dat a režijních nákladů Snižování zátěže zodpovědností stávajícím týmům také může dále pomoct optimalizovat náklady a umožnit delegování odborných znalostí pro konkrétní funkce.
Doporučení
| Doporučení | Prospěch |
|---|---|
|
Použijte propojení virtuálních sítí, abyste zefektivnili tok sítě obcházením kontrolních mechanismů. Vyhněte se nadměrnému peeringu. |
Přenáší data přímo mezi partnerskými virtuálními sítěmi obcházením brány firewall, což snižuje spotřebu šířky pásma a řeší problémy s výkonem sítě. Vyhněte se vkládání všech prostředků do jedné virtuální sítě. Můžete mít náklady spojené s peeringem, ale není praktické umístit všechny prostředky do jedné virtuální sítě jen proto, abyste ušetřili na nákladech. Může bránit růstu. Virtuální síť může nakonec dosáhnout bodu, kdy se nové prostředky už nevejdou. |
|
Minimalizujte prostředky veřejných IP adres, pokud je nepotřebujete. Před odstraněním se ujistěte, že IP adresa není propojená s žádnou konfigurací IP adresy ani síťovým rozhraním virtuálního počítače. |
Nepotřebné veřejné IP adresy můžou zvýšit náklady kvůli poplatkům za prostředky a provozní režii. |
Efektivita provozu
Efektivita provozu se primárně zaměřuje na postupy vývojových postupů, pozorovatelnosti a správy verzí.
Principy návrhu Efektivita provozu poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů směrem k provozním požadavkům úlohy.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro kontrolu návrhu pro provozní efektivitu pro definování procesů pozorovatelnosti, testování a nasazení souvisejících s vaším síťovým prostředím.
Naučte se vytvářet nové síťové konstrukty Azure. Když se připojíte k Azure, síťové týmy často předpokládají, že jejich stávající znalosti stačí. Azure má ale mnoho různých aspektů. Ujistěte se, že tým rozumí základním konceptům sítí Azure, složitostem DNS, směrováním a možnostem zabezpečení. Vytvořte taxonomii síťových služeb, aby tým mohl sdílet znalosti a mít společné znalosti.
Formalizujte svůj návrh sítě a usilujte o jednoduchost. Zdokumentujte návrh a všechny změny, včetně podrobností konfigurace, jako jsou směrovací tabulky, NSG a pravidla brány firewall. Zahrňte zavedené zásady správného řízení, například blokování portů. Jasná dokumentace umožňuje efektivní spolupráci s ostatními týmy a zúčastněnými stranami.
Zjednodušené sítě se snadněji monitorují, diagnostikují a spravují. Pokud máte například topologii hvězdice a paprsků, minimalizujte přímá propojení mezi paprsky, abyste snížili provozní zátěž a posílili zabezpečení. Vždy zdokumentujte návrh a uveďte odůvodnění každého rozhodnutí o návrhu.
Snižte složitost použitím aliasů místo rozsahů přímých IP adres. Tato metoda snižuje provozní zátěž.
Použití vzorů návrhu, které optimalizují síťový provoz. Pokud chcete optimalizovat použití a konfiguraci sítě, implementujte známé vzory návrhu, které minimalizují nebo optimalizují síťový provoz. Ověřte konfiguraci sítě během sestavení pomocí bezpečnostních skenerů, abyste měli jistotu, že je všechno správně nastavené.
Konzistentní síťová nasazení. Použijte infrastrukturu jako kód (IaC) pro všechny komponenty, včetně propojení sítě a soukromých koncových bodů. Porozumíte tomu, že základní síťové komponenty se pravděpodobně změní méně často než jiné komponenty. Implementujte pro svůj technologický stack vícevrstvý přístup k nasazení, abyste mohli nasadit každou vrstvu nezávisle. Vyhněte se kombinování IaC se skriptováním, abyste zabránili složitosti.
Monitorovatsíťový zásobník. Sledujte vzory provozu nepřetržitě a identifikujte anomálie a problémy, jako jsou poklesy připojení, předtím, než způsobí kaskádové selhání. Pokud je to možné, nastavte upozornění, aby se o těchto přerušeních dostávala oznámení.
Podobně jako u jiných komponent v této architektuře zachyťte všechny relevantní metriky a protokoly z různých síťových komponent, jako jsou virtuální síť, podsítě, skupiny zabezpečení sítě, brány firewall a nástroje pro vyrovnávání zatížení. Agregujte, vizualizujte a analyzujte je na řídicích panelech. Vytváření výstrah pro důležité události
Zahrnout sítě do strategie zmírnění selhání. Virtuální sítě a podsítě se nasazují zpočátku a obvykle zůstávají beze změny, což ztěžuje vrácení zpět. Obnovení však můžete optimalizovat pomocí několika strategií:
Zdvojená síťová infrastruktura by měla být připravena předem, zejména pro hybridní nastavení. Ujistěte se, že jsou samostatné trasy v různých oblastech připravené k vzájemné komunikaci předem. Replikace a údržba konzistentních skupin zabezpečení sítě a pravidel služby Azure Firewall v primárních lokalitách i zotavení po havárii (DR). Tento proces může být časově náročný a vyžaduje schválení, ale předem pomáhá předcházet problémům a selháním. Ujistěte se, že testujete zásobník sítě v lokalitě zotavení po havárii.
Vyhněte se překrývání rozsahů IP adres mezi produkčními sítěmi a záložními sítěmi. Díky zachování různých rozsahů IP adres můžete zjednodušit správu sítě a urychlit přechod během události převzetí služeb při selhání.
Zvažte kompromisy mezi náklady a spolehlivostí. Další informace najdete v tématu výhody a nevýhody.
Přenést síťové operace na centrální týmy. Pokud je to možné, centralizujte správu a řízení síťové infrastruktury. Například v hvězdicové topologii jsou služby, jako je Azure Firewall a ExpressRoute, DNS určené ke sdílenému použití umístěné v centrální síti. Tento síťový zásobník by se měl centrálně spravovat, což ulehčuje týmu úloh.
Přesměrujte správu virtuální sítě centrálnímu týmu, a to i v paprskové síti. Minimalizujte síťové operace na to, co se týká úlohy, jako je správa skupin zabezpečení sítě.
Udržujte centrální týmy informované o všech nezbytných změnách úlohy, které by mohly ovlivnit konfiguraci sdílených prostředků. Aliasy abstrahuje základní IP adresy, což zjednodušuje operace.
Optimalizujte virtuální sítě a podsítě. Zvolte méně větších virtuálních sítí, abyste snížili režii správy a vyhnuli se nadměrnému zvětšení podsítí. Správa podsítí a jejich NSG může zvýšit provozní zátěž. U prostředí s omezenou dostupností privátních IP adres (RFC 1918) zvažte použití protokolu IPv6.
| Doporučení | Prospěch |
|---|---|
| Nasazení virtual network manageru. | Místo individuální konfigurace každé virtuální sítě spravuje Správce virtuálních sítí centrálně připojení na základě pravidel. Tento přístup zjednodušuje síťové operace. |
| Použijte nástroje pro monitorování sítě. Pravidelně používejte protokoly toku virtuální sítě a analýzy provozu k identifikaci změn v poptávce a vzorech. Pomocí funkce monitorování připojení můžete analyzovat a identifikovat problémy, jako jsou poklesy připojení, než ovlivní aplikace. |
Dokážete pochopit, jak data procházejí vaší sítí, identifikují kritické body a identifikují neobvyklé nebo neoprávněné pokusy o přístup. |
| Při definování tras použijte značky služeb místo konkrétních IP adres. Podobně používejte ASG při definování pravidel provozu pro NSG. |
Tento přístup zajišťuje spolehlivost, protože IP adresy se můžou změnit, ale konfigurace se nemusí měnit. Pomáhá také překonat limity počtu tras nebo pravidel, které můžete nastavit pomocí obecnějších názvů. |
Efektivita výkonu
Efektivita výkonu se týká zachování uživatelského prostředí, i když se zvyšuje zatížení správou kapacity. Strategie zahrnuje škálování prostředků, identifikaci a optimalizaci potenciálních kritických bodů a optimalizaci výkonu ve špičce.
Principy návrhu efektivního výkonu poskytují strategii návrhu vysoké úrovně pro dosažení těchto cílů kapacity pro očekávané využití.
Kontrolní seznam návrhu
Zahajte strategii návrhu na základě kontrolního seznamu pro přezkoumání návrhu efektivity výkonu k definování základní linie na základě klíčových ukazatelů výkonu.
Definovat cíle výkonu. Pokud chcete definovat cíle výkonu, spoléhat se na metriky monitorování, konkrétně pro latenci a šířku pásma. K nastavení cílů a prahových hodnot pro přijatelný výkon použijte data monitorování připojení, jako je latence a počet skoků. Application Insights poskytuje podrobné zobrazení doby, po kterou požadavky na úlohy tráví v síti, což pomáhá tyto cíle upřesnit.
Optimalizujte velikost svých podsítí. Při přidělování podsítí je důležité vyvážit velikost a škálovatelnost. Chcete, aby podsítě byly dostatečně velké, aby vyhovovaly předpokládanému růstu bez provozní zátěže.
Aby bylo možné efektivně spravovat kapacitu, je běžnou strategií přezajištění kapacity z důvodu nejistoty, ale cílem by mělo být optimalizovat postupem času. Nepřetržitě analyzujte data, aby vaše síť zvládla zatížení, ale za nevyužité prostředky neplatíte navíc.
Provésttestování výkonu. K otestování latence a šířky pásma použijte kombinaci syntetických a produkčních dat. Tento přístup pomáhá vyhodnotit, jak můžou tyto faktory ovlivnit výkon úloh. Může například zjistit prostředky, které způsobují hlučné problémy se sousedy, a spotřebovávat větší šířku pásma, než se čekalo. Také identifikuje provoz, který provádí více přeskoků a způsobuje vysokou latenci.
Doporučujeme testovat v produkčním prostředí nebo zachytávat a přehrávat produkční data jako testovací data. Tento přístup zajišťuje, že testy odrážejí skutečné využití, což vám pomůže nastavit reálné výkonnostní cíle.
Monitorování provozu napříč oblastmi. Je důležité vzít v úvahu, že prostředky pracovní zátěže se můžou nacházet v různých oblastech. Komunikace mezi oblastmi může znamenat významnou latenci. Provoz napříč zónami dostupnosti ve stejné oblasti má nízkou latenci, ale pro některé specializované úlohy nemusí být dostatečně rychlý.
Doporučení
| Doporučení | Prospěch |
|---|---|
|
Povolit monitorování připojení služby Azure Network Watcher. Během testování použijte monitorování připojení, které může generovat syntetický provoz. |
Můžete shromažďovat metriky, které označují ztrátu a latenci napříč sítěmi. Můžete také sledovat celou cestu provozu, která je důležitá pro detekci kritických bodů sítě. |
| Nechte adresní prostor virtuální sítě dostatečně velký, aby podporoval škálování. | Můžete pojmout předpokládaný růst bez provozní zátěže. |
Kompromisy
Pokud použijete přístupy v kontrolních seznamech pilířů, budete možná muset učinit kompromisy v návrhu. Následující příklady zvýrazňují výhody a nevýhody.
redundantní síťová architektura
Když se rozhodnete implementovat redundantní síťový zásobník, včetně skupin zabezpečení sítě, tras a dalších konfigurací, jsou s tím spojeny dodatečné náklady na infrastrukturu a důkladné testování.
Tato počáteční investice zvyšuje spolehlivost. Můžete mít jistotu, že všechno funguje podle očekávání, a zrychlit obnovení během přerušení.
Propojování virtuálních sítí
Přímé peerování virtuálních sítí zvyšuje výkon snížením latence, protože eliminuje potřebu směrovat provoz přes uzel, kde brána firewall dešifruje, kontroluje a znovu šifruje užitečná data.
Tento nárůst výkonu jde na úkor snížení zabezpečení. Bez inspekcí brány firewall, které zajišťuje směrování rozbočovače, je pracovní zátěž zranitelnější vůči potenciálním hrozbám.
velké podsítě
Velké podsítě poskytují dostatečný adresní prostor, který umožňuje bezproblémově škálovat úlohy. Velký adresní prostor může chránit před neočekávanými špičkami poptávky. Může to ale vést k neefektivnímu používání IP adres. V průběhu času může tato neefektivita způsobit vyčerpání IP adres při vývoji úloh. Tato strategie má také vyšší provozní náklady. Z hlediska efektivity provozu je ideální udržovat podsítě co nejmenší.
Zásady Azure
Azure poskytuje rozsáhlou sadu předdefinovaných zásad souvisejících s virtuální sítí a jejími závislostmi. Definujte a přiřaďte zásady, které pomáhají zajistit, aby prostředky splňovaly standardy organizace. Vytvořte řídicí panel dodržování předpisů Azure Policy k identifikaci nesouladných prostředků a provedení nápravných akcí.
Sada zásad Azure může auditovat některá z předchozích doporučení. Můžete například nastavit zásady, které automaticky:
- Chraňte virtuální síť před objemovými útoky a útoky na protokoly.
- Odepřít vytváření síťových rozhraní s veřejnými IP adresami.
- Nasaďte Network Watcher pro virtuální sítě.
- Povolte analýzu provozu a protokoly toků pro monitorování vzorů provozu.
Komplexní zásady správného řízení najdete v předdefinovaných definic Azure Policy a dalších zásadách, které by mohly ovlivnit zabezpečení síťové vrstvy.
Doporučení azure Advisoru
azure Advisor je individuální cloudový konzultant, který vám pomůže postupovat podle osvědčených postupů pro optimalizaci nasazení Azure. Tady je několik doporučení, která vám pomůžou zlepšit spolehlivost, zabezpečení, nákladovou efektivitu, výkon a efektivitu provozu vaší virtuální sítě.
- spolehlivost
- zabezpečení
- optimalizace nákladů
- Výkon
- operační dokonalost
Další kroky
Následující články ukazují doporučení, která jsou popsána v tomto článku.
Pro hvězdicovou topologii použijte referenční architekturu síťové topologie hvězdicové topologie k nastavení počátečního razítka.
K vylepšení odborných znalostí implementace použijte následující produktovou dokumentaci:
- virtuální síť
- Dokumentace SLUŽBY IP pro virtuální síť