Sdílet prostřednictvím


Přehled síťových služeb Azure

Síťové služby v Azure poskytují různé síťové funkce, které je možné používat společně nebo samostatně. Pokud se o nich chcete dozvědět více, vyberte každý z následujících scénářů sítě:

  • Základ sítí: Síťové služby Azure poskytují základní připojení vašich prostředků v Azure – Virtual Network (VNet), Private Link, Azure DNS, Azure Bastion, Route Server, NAT Gateway a Traffic Manager.
  • Vyrovnávání zatížení a doručování obsahu: Služby vyrovnávání zatížení Azure a službypro doručování obsahu umožňují správu, distribuci a optimalizaci aplikací a úloh – Nástroj pro vyrovnávání zatížení, Application Gateway a Azure Front Door.
  • Hybridní připojení: Služby hybridního připojení Azure zajišťují komunikaci s vašimi prostředky v Azure – VPN Gateway, ExpressRoute, Virtual WAN a Peering Service.
  • Zabezpečení sítě: Služby zabezpečení sítě Azure chrání vaše webové aplikace a služby IaaS před útoky DDoS a škodlivými aktéry – Firewall, firewall, firewall webových aplikací a DDoS Protection.
  • Správa a monitorování sítě: Služby pro správu a monitorování sítě Azure poskytují nástroje pro správu a monitorování síťových prostředků – Network Watcher, Azure Monitor a Azure Virtual Network Manager.

Základy sítí

Tato část popisuje služby, které poskytují stavební bloky pro navrhování a navrhování síťového prostředí v Azure – Virtual Network (VNet), Private Link, Azure DNS, Azure Bastion, Route Server, NAT Gateway a Traffic Manager.

Virtuální síť

Azure Virtual Network (VNet) je základním stavebním blokem vaší privátní sítě v Azure. Virtuální sítě můžete použít k:

  • Komunikace mezi prostředky Azure: Virtuální počítače a několik dalších typů prostředků Azure můžete nasadit do virtuální sítě, jako jsou prostředí služby Aplikace Azure Service, Azure Kubernetes Service (AKS) a škálovací sady virtuálních počítačů Azure. Úplný seznam prostředků Azure, které můžete nasadit do virtuální sítě, najdete v tématu věnovaném integraci virtuální sítě do služeb.
  • Vzájemně komunikujte: Mezi sebou můžete propojit virtuální sítě a umožnit tak vzájemné komunikaci prostředků v obou virtuálních sítích pomocí partnerského vztahu virtuálních sítí nebo Azure Virtual Network Manageru. Propojené virtuální sítě se můžou nacházet ve stejné oblasti Azure nebo v různých oblastech. Další informace najdete v tématu Partnerské vztahy virtuálních sítí a Azure Virtual Network Manager.
  • Komunikace s internetem: Ve výchozím nastavení můžou všechny prostředky ve virtuální síti komunikovat odchozí s internetem. Příchozí komunikaci s prostředkem můžete umožnit tím, že prostředku přiřadíte veřejnou IP adresu nebo veřejný Load Balancer. Ke správě odchozích připojení můžete použít také veřejné IP adresy nebo veřejný Load Balancer .
  • Komunikace s místními sítěmi: Místní počítače a sítě můžete připojit k virtuální síti pomocí služby VPN Gateway nebo ExpressRoute.
  • Šifrování provozu mezi prostředky: Šifrování virtuální sítě můžete použít k šifrování provozu mezi prostředky ve virtuální síti.

Skupiny zabezpečení sítě

Pomocí skupiny zabezpečení sítě můžete filtrovat síťový provoz do a z prostředků Azure ve virtuální síti Azure. Další informace najdete v tématu Skupiny zabezpečení sítě.

Koncové body služby

Koncové body služby virtuální sítě rozšiřují privátní adresní prostor virtuální sítě a identitu vaší virtuální sítě do služeb Azure přes přímé připojení. Koncové body umožňují svázat vaše důležité prostředky služeb Azure pouze s vašimi virtuálními sítěmi. Provoz z vaší virtuální sítě do služby Azure zůstává vždy v páteřní síti Microsoft Azure.

Diagram koncových bodů služby virtuální sítě

Azure Private Link umožňuje přístup ke službám Azure PaaS (například Azure Storage a SQL Database) a službám Hostovaným zákazníkem nebo partnerským službám Azure přes privátní koncový bod ve vaší virtuální síti. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu. Vystavení služby veřejnému internetu už není nutné. Můžete si vytvořit vlastní službu privátního propojení ve své virtuální síti a doručovat ji vašim zákazníkům.

Snímek obrazovky s přehledem privátního koncového bodu

Azure DNS

Azure DNS poskytuje hostování a překlad DNS pomocí infrastruktury Microsoft Azure. Azure DNS se skládá ze tří služeb:

  • Azure Public DNS je hostitelská služba pro domény DNS. Pokud své domény hostujete v Azure, můžete spravovat záznamy DNS pomocí stejných přihlašovacích údajů, rozhraní API a nástrojů a za stejných fakturačních podmínek jako u ostatních služeb Azure.
  • Azure Privátní DNS je služba DNS pro vaše virtuální sítě. Azure Privátní DNS spravuje a překládá názvy domén ve virtuální síti bez nutnosti konfigurace vlastního řešení DNS.
  • Privátní překladač Azure DNS je služba, která umožňuje dotazovat privátní zóny Azure DNS z místního prostředí a naopak bez nasazení serverů DNS založených na virtuálních počítačích.

Pomocí Azure DNS můžete hostovat a překládat veřejné domény, spravovat překlad DNS ve virtuálních sítích a povolovat překlad názvů mezi Azure a místními prostředky.

Azure Bastion

Azure Bastion je služba, kterou můžete nasadit ve virtuální síti, abyste se mohli připojit k virtuálnímu počítači pomocí prohlížeče a webu Azure Portal. Můžete se také připojit pomocí nativního klienta SSH nebo RDP, který je již v místním počítači nainstalovaný. Služba Azure Bastion je plně platforma spravovaná služba PaaS, kterou nasadíte ve své virtuální síti. Nabízí možnosti bezpečného a bezproblémového připojení RDP/SSH k virtuálním počítačům přímo na webu Azure Portal přes protokol TLS. Když se připojíte přes Azure Bastion, virtuální počítače nepotřebují veřejnou IP adresu, agenta ani speciální klientský software. Pro Azure Bastion jsou k dispozici různé skladové položky nebo úrovně. Úroveň, kterou vyberete, ovlivňuje funkce, které jsou k dispozici. Další informace najdete v tématu o nastavení konfigurace Bastionu.

Diagram znázorňující architekturu služby Azure Bastion

Server tras Azure

Azure Route Server zjednodušuje dynamické směrování mezi síťovým virtuálním zařízením (NVA) a vaší virtuální sítí. Umožňuje vyměňovat si informace o směrování přímo prostřednictvím směrovacího protokolu BGP (Border Gateway Protocol) mezi všemi síťovými virtuálními zařízeními, které podporují směrovací protokol BGP a SDN (Azure Software Defined Network) ve virtuální síti Azure bez nutnosti ruční konfigurace nebo údržby směrovacích tabulek.

Diagram znázorňující Azure Route Server nakonfigurovaný ve virtuální síti

NAT Gateway

NAT Gateway zjednodušuje odchozí připojení k internetu pro virtuální sítě. Při konfiguraci v podsíti používá všechna odchozí připojení vaše zadané statické veřejné IP adresy. Odchozí připojení je možné bez nástroje pro vyrovnávání zatížení nebo veřejných IP adres přímo připojených k virtuálním počítačům. Další informace najdete v tématu Co je Azure NAT Gateway?

Diagram služby NAT Gateway virtuální sítě

Traffic Manager

Azure Traffic Manager je nástroj pro vyrovnávání zatížení provozu založený na DNS, který umožňuje optimálně distribuovat provoz do služeb napříč globálními oblastmi Azure a zároveň poskytuje vysokou dostupnost a rychlost odezvy. Traffic Manager poskytuje řadu metod směrování provozu pro distribuci provozu, jako je priorita, vážený výkon, geografická, vícehodnotová nebo podsíť.

Následující diagram znázorňuje směrování na základě priority koncového bodu pomocí Traffic Manageru:

Diagram metody směrování provozu v Azure Traffic Manageru podle priority

Další informace o Traffic Manageru najdete v tématu Co je Azure Traffic Manager?

Vyrovnávání zatížení a doručování obsahu

Tato část popisuje síťové služby v Azure, které pomáhají dodávat aplikace a úlohy – Load Balancer, Application Gateway a Azure Front Door Service.

Load Balancer

Azure Load Balancer poskytuje vysoce výkonné vyrovnávání zatížení vrstvy 4 s nízkou latencí pro všechny protokoly UDP a TCP. Spravuje příchozí a odchozí připojení. Můžete nakonfigurovat veřejné a interní koncové body s vyrovnáváním zatížení. Pravidla pro mapování příchozích připojení k cílům back-endového fondu můžete definovat pomocí možností monitorování stavu PROTOKOLU TCP a HTTP pro správu dostupnosti služeb.

Azure Load Balancer je k dispozici ve skladových poplatcích Standard, Regional a Gateway.

Následující obrázek znázorňuje vícevrstvou aplikaci s internetem, která využívá externí i interní nástroje pro vyrovnávání zatížení:

Snímek obrazovky s příkladem Azure Load Balanceru

Application Gateway

Azure Application Gateway je nástroj pro vyrovnávání zatížení webových přenosů, který vám umožní spravovat provoz do webových aplikací. Jedná se o službu ADC (Application Delivery Controller) jako službu, která nabízí pro vaše aplikace různé možnosti vyrovnávání zatížení vrstvy 7.

Následující diagram znázorňuje směrování na základě cest url se službou Application Gateway.

Obrázek příkladu služby Application Gateway

Azure Front Door

Azure Front Door umožňuje definovat, spravovat a monitorovat globální směrování webového provozu optimalizací nejlepšího výkonu a okamžitého globálního převzetí služeb při selhání pro zajištění vysoké dostupnosti. Se službou Front Door můžete transformovat svoje globální (zahrnující více oblastí) spotřebitelské a podnikové aplikace do robustních a vysoce výkonných přizpůsobených moderních aplikací, rozhraní API a obsahu, kterými s pomocí Azure oslovíte globální cílovou skupinu.

Diagram služby Azure Front Door s firewallem webových aplikací

Hybridní připojení

Tato část popisuje služby síťového připojení, které poskytují zabezpečenou komunikaci mezi vaší místní sítí a Azure – VPN Gateway, ExpressRoute, Virtual WAN a Peering Service.

VPN Gateway

Služba VPN Gateway pomáhá vytvářet šifrovaná připojení mezi různými místy k vaší virtuální síti z místních umístění nebo vytvářet šifrovaná připojení mezi virtuálními sítěmi. Pro připojení ke službě VPN Gateway jsou k dispozici různé konfigurace. Mezi hlavní funkce patří:

  • Možnosti připojení site-to-site VPN
  • Připojení VPN typu Point-to-Site
  • Připojení VPN typu VNet-to-VNet

Následující diagram znázorňuje několik připojení VPN typu site-to-site ke stejné virtuální síti. Další diagramy připojení zobrazíte v tématu VPN Gateway – návrh.

Diagram znázorňující několik připojení typu site-to-site ke službě Azure VPN Gateway

ExpressRoute

ExpressRoute umožňuje rozšířit vaše místní sítě do cloudu Microsoftu přes privátní připojení, které poskytovatel připojení usnadňuje. Toto připojení je soukromé. Provoz neprochází přes internet. V ExpressRoute můžete vytvořit připojení ke cloudovým službám, jako je Microsoft Azure, Microsoft 365 a Dynamics 365.

Snímek obrazovky Azure ExpressRoute

Virtuální síť WAN

Azure Virtual WAN je síťová služba, která spojuje řadu funkcí sítě, zabezpečení a směrování, aby poskytovala jedno provozní rozhraní. Připojení k virtuálním sítím Azure se naváže pomocí připojení virtuální sítě. Mezi hlavní funkce patří:

  • Připojení k větvím (prostřednictvím automatizace připojení z partnerských zařízení virtual WAN, jako je SD-WAN nebo VPN CPE)
  • Možnosti připojení site-to-site VPN
  • Připojení VPN vzdáleného uživatele (point-to-site)
  • Privátní připojení (ExpressRoute)
  • Možnosti připojení uvnitř cloudu (přenositelné pro virtuální sítě)
  • Možnosti připojení ExpressRoute mezi sítěmi VPN
  • Směrování, Azure Firewall a šifrování pro privátní připojení

Diagram virtuální sítě WAN

Peering Service

Azure Peering Service vylepšuje možnosti připojení zákazníků ke cloudovým službám Microsoftu, jako jsou Microsoft 365, Dynamics 365, služby saaS (software jako služba), Azure nebo jakékoli služby Microsoft přístupné přes veřejný internet.

Zabezpečení sítě

Tato část popisuje síťové služby v Azure, které chrání a monitorují síťové prostředky – Firewall Manager, Firewall, Firewall webových aplikací a DDoS Protection.

Firewall Manager

Azure Firewall Manager je služba pro správu zabezpečení, která poskytuje centrální zásady zabezpečení a správu směrování pro cloudové hraniční sítě. Správce brány firewall může poskytovat správu zabezpečení pro dva různé typy síťové architektury: zabezpečené virtuální centrum a virtuální síť rozbočovače. Pomocí Azure Firewall Manageru můžete nasadit více instancí služby Azure Firewall napříč oblastmi a předplatnými Azure, implementovat plány ochrany před útoky DDoS, spravovat zásady firewallu webových aplikací a integrovat je s partnerským zabezpečením jako službou pro lepší zabezpečení.

Diagram několika bran Azure Firewall v zabezpečeném virtuálním centru a virtuální síti centra

Azure Firewall

Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která chrání vaše prostředky služby Azure Virtual Network. Pomocí služby Azure Firewall můžete centrálně vytvářet, vynucovat a protokolovat zásady připojení aplikací a sítí napříč předplatnými a virtuálními sítěmi. Brána Azure Firewall používá statickou veřejnou IP adresu pro prostředky virtuální sítě a díky tomu umožňuje venkovním bránám firewall identifikovat provoz pocházející z vaší virtuální sítě.

Diagram přehledu brány firewall

Firewall webových aplikací

Azure Web Application Firewall (WAF) poskytuje ochranu webových aplikací před běžnými webovými zneužitími a ohroženími zabezpečení, jako je injektáž SQL a skriptování mezi weby. Azure WAF poskytuje ochranu před 10 hlavními ohroženími zabezpečení OWASP prostřednictvím spravovaných pravidel. Zákazníci také můžou nakonfigurovat vlastní pravidla, což jsou pravidla spravovaná zákazníkem, aby poskytovala dodatečnou ochranu na základě rozsahu zdrojových IP adres a atributy požadavků, jako jsou hlavičky, soubory cookie, datová pole formuláře nebo parametry řetězce dotazu.

Zákazníci se můžou rozhodnout nasadit Azure WAF se službou Application Gateway, která poskytuje místní ochranu entitm ve veřejném a privátním adresním prostoru. Zákazníci se také můžou rozhodnout nasadit Azure WAF se službou Front Door , která poskytuje ochranu na hraničních zařízeních sítě do veřejných koncových bodů.

Snímek obrazovky brány firewall webových aplikací

DDoS Protection

Azure DDoS Protection poskytuje proti nejobsáhodnějším hrozbám DDoS proti hrozbám proti útokům DDoS. Služba poskytuje rozšířené možnosti omezení rizik útoků DDoS pro vaši aplikaci a prostředky nasazené ve vašich virtuálních sítích. Zákazníci, kteří používají Azure DDoS Protection, mají navíc přístup k podpoře DDoS Rapid Response, aby mohli během aktivního útoku zapojit odborníky na DDoS.

Azure DDoS Protection se skládá ze dvou úrovní:

  • DDoS Network Protection v kombinaci s osvědčenými postupy návrhu aplikací poskytuje vylepšené funkce omezení rizik DDoS pro ochranu před útoky DDoS. Automaticky je vyladěná tak, aby chránila vaše konkrétní prostředky Azure ve virtuální síti.
  • DDoS IP Protection je model IP adres s platbami za chráněné IP adresy. Ochrana IP adres DDoS obsahuje stejné základní technické funkce jako DDoS Network Protection, ale liší se v následujících službách s přidanou hodnotou: podpora rychlé reakce DDoS, ochrana nákladů a slevy na WAF.

Diagram referenční architektury pro webovou aplikaci PaaS chráněnou službou DDoS

Zabezpečení sítě kontejnerů

Zabezpečení sítě kontejnerů je součástí služby Advanced Container Networking Services (ACNS). Poskytuje vylepšenou kontrolu nad zabezpečením sítě AKS. Díky funkcím, jako je plně kvalifikovaný název domény (FQDN), můžou clustery využívající Azure CNI Powered by Cilium implementovat zásady sítě založené na plně kvalifikovaném názvu domény, aby bylo možné dosáhnout architektury zabezpečení nulová důvěra (Zero Trust) v AKS.

Správa a monitorování sítě

Tato část popisuje služby správy a monitorování sítě v Azure – Network Watcher, Azure Monitor a Azure Virtual Network Manager.

Azure Network Watcher

Azure Network Watcher poskytuje nástroje pro monitorování, diagnostiku, zobrazení metrik a povolení nebo zakázání protokolů pro prostředky ve virtuální síti Azure.

Diagram znázorňující možnosti služby Azure Network Watcher

Azure Monitor

Azure Monitor maximalizuje dostupnost a výkon aplikací tím, že vám dává komplexní řešení pro shromažďování, analýzy a akce na základě telemetrie z cloudového i místního prostředí. Pomůže vám při zjišťování stavu vašich aplikací a proaktivně identifikuje problémy, které je ovlivňují, a prostředky, na kterých jsou závislé.

Azure Virtual Network Manager

Azure Virtual Network Manager je služba pro správu, která umožňuje seskupovat, konfigurovat, nasazovat a spravovat virtuální sítě globálně napříč předplatnými. Pomocí nástroje Virtual Network Manager můžete definovat skupiny sítí , které identifikují a logicky segmentuje virtuální sítě. Pak můžete určit požadované možnosti připojení a zabezpečení a použít je ve všech vybraných virtuálních sítích ve skupinách sítě najednou.

Diagram prostředků nasazených pro síťovou topologii virtuální sítě pomocí Azure Virtual Network Manageru

Pozorovatelnost sítě kontejnerů

Pozorovatelnost sítě kontejnerů je součástí služby Advanced Container Networking Services (ACNS). ACNS používá řídicí rovinu Hubble k zajištění komplexního přehledu o sítích a výkonu AKS. Nabízí podrobné přehledy v reálném čase napříč metrikami na úrovni uzlů, pody, TCP a DNS, které zajišťují důkladné monitorování síťové infrastruktury.

Diagram pozorovatelnosti kontejnerové sítě

Další kroky