Was ist mehrschichtige Azure IoT-Netzwerkverwaltung (Vorschau)?
Der Azure IoT Layered Network Management-Dienst (Vorschau) ist eine Komponente, die die Verbindung zwischen Azure und Clustern in einer isolierten Netzwerkumgebung erleichtert. In industriellen Szenarien folgt das isolierte Netzwerk der ISA-95/Purdue-Netzwerkarchitektur. Der Layered Network Management-Dienst (Vorschau) kann den Netzwerkdatenverkehr von einer nicht im Internet zugänglichen Schicht über eine in das Internet gerichtete Schicht und dann an Azure weiterleiten. Sie müssen das Layered Network Management bereitstellen und es ordnungsgemäß für Ihre Netzwerkumgebung konfigurieren, bevor Sie Azure IoT Einsatz auf Arc-fähigen Kubernetes-Clustern bereitstellen. Überprüfen Sie die Netzwerkarchitektur Ihrer Lösung, und verwenden Sie den Layered Network Management-Dienst, falls dies für Ihre Szenarien geeignet und erforderlich ist. Wenn Sie andere Mechanismen zur Steuerung des Internetzugriffs für das isolierte Netzwerk integriert haben, sollten Sie die Funktionalität mit dem Dienst zur mehrschichtigen Netzwerkverwaltung vergleichen und sich für die Option entscheiden, die Ihren Anforderungen am besten entspricht. Layered Network Management ist eine optionale Komponente und stellt keine Abhängigkeit für ein Feature des Azure IoT Einsatz-Diensts dar.
Wichtig
Die in der Layered Network Management-Dokumentation beschriebenen Netzwerkumgebungen sind Beispiele zum Testen des Layered Network Management. Sie stellen keine Empfehlungen für den Aufbau Ihrer Netzwerk- und Clustertopologie für den Produktionseinsatz dar.
Zwar handelt es sich bei der Netzwerkisolation um ein Sicherheitsthema, jedoch ist der Layered Network Management-Dienst nicht für die Erhöhung der Sicherheit Ihrer Lösung konzipiert. Er ist dafür ausgelegt, das Sicherheitsniveau Ihres ursprünglichen Entwurfs so weit wie möglich beizubehalten und zugleich die Verbindung mit Azure Arc zu ermöglichen.
Layered Network Management (Vorschau) bietet mehrere Vorteile, darunter:
- Kubernetes-basierte Konfiguration und Kompatibilität mit IP- und NIC-Zuordnung für das Durchqueren von Schichten
- Möglichkeit, Geräte in isolierten Netzwerken in großem Maßstab mit Azure Arc zu verbinden, für die Verwaltung des Anwendungslebenszyklus und die Remotekonfiguration von zuvor isolierten Ressourcen von einer einzigen Azure-Steuerungsebene aus
- Übergreifende Sicherheit und Governance in Netzwerkschichten für Geräte und Dienste mit URL-Zulassungslisten und Verbindungsüberwachung für deterministische Netzwerkkonfigurationen
- Tools für schichtenübergreifende Kubernetes-Einblicke für zuvor isolierte Geräte und Anwendungen
- Standardmäßige Kompatibilität mit allen Azure IoT Operations-Dienstverbindungen
Isolierte Netzwerkumgebung für die Bereitstellung der mehrschichtigen Netzwerkverwaltung (Vorschau)
Es gibt mehrere Möglichkeiten zum Konfigurieren von Layered Network Management (Vorschau), um die Verbindung zwischen Clustern im isolierten Netzwerk und Diensten in Azure zu überbrücken. In der folgenden Liste sind Beispielnetzwerkumgebungen und Clusterszenarien für Layered Network Management aufgeführt.
- Ein vereinfachter virtueller Computer und Netzwerk: In diesem Szenario werden ein Azure AKS-Cluster und eine Azure Linux-VM verwendet. Sie benötigen ein Azure-Abonnement für die folgenden Ressourcen:
- Einen AKS-Cluster für Schicht 4 und 5.
- Eine Azure Linux-VM für Schicht 3.
- Ein vereinfachtes physisch isoliertes Netzwerk: Erfordert mindestens zwei physische Geräte (IoT/PC/Server) und einen drahtlosen Zugriffspunkt. Dieses Setup simuliert ein einfaches zweischichtiges Netzwerk (Schicht 3 und Schicht 4). Schicht 3 ist der isolierte Cluster und das Ziel für die Bereitstellung von Azure IoT Einsatz.
- Der drahtlose Zugriffspunkt wird zum Einrichten eines lokalen Netzwerks verwendet und bietet keinen Internetzugang.
- Cluster in Schicht 4: Ein Cluster aus einem Einzelknoten, der auf einem physischen Computer mit doppelter Netzwerkkarte (Dual NIC) gehostet ist und eine Verbindung zum Internet und dem lokalen Netzwerk herstellt. Die mehrschichtige Netzwerkverwaltung sollte für diesen Cluster bereitgestellt werden.
- Cluster in Schicht 3: Ein weiterer Cluster aus einem Einzelknoten, der auf einem physischen Computer gehostet ist. Dieser Gerätecluster ist nur mit dem lokalen Netzwerk verbunden.
- Benutzerdefiniertes DNS: Ein DNS-Serversetup im lokalen Netzwerk oder der CoreDNS-Konfiguration auf dem Cluster in Schicht 3. Es bietet Namensauflösung für benutzerdefinierte Domänen und verweist die Netzwerkanforderung an die IP des Clusters in Schicht 4.
- ISA-95-Netzwerk: Sie sollten versuchen, Layered Network Management in einem ISA-95-Netzwerk oder einer Vorproduktionsumgebung bereitzustellen.
Schlüsselfunktionen
Layered Network Management unterstützt die Azure IoT Operations-Komponenten in einer isolierten Netzwerkumgebung. In der folgenden Tabelle sind unterstützte Features und Integration zusammengefasst:
| Layered Network Management-Funktionen | Status |
|---|---|
| Weiterleitung von TLS-Datenverkehr | Öffentliche Vorschauversion |
| Datenverkehrsüberwachung – Einfach: Quell-/Ziel-IP-Adressen und Headerwerte | Öffentliche Vorschauversion |
| Verwaltung von Positivlisten über Kubernetes Custom Resource | Öffentliche Vorschauversion |
| Installation: Integrierte Installationsumgebung von Layered Network Management und anderen Azure IoT Operations-Komponenten | Öffentliche Vorschauversion |
| Reverseproxy für OSI-Schicht 4 (TCP) | Öffentliche Vorschauversion |
| Unterstützung der Ost-West-Datenverkehrsweiterleitung für Azure IoT Operations-Komponenten: manuelle Einrichtung | Öffentliche Vorschau |
| Installation: Layered Network Management wird als Arc-Erweiterung bereitgestellt | Öffentliche Vorschau |
Nächste Schritte
- Erfahren Sie Wie Azure IoT Operations in mehrschichtigem Netzwerk funktioniert
- Einrichten der mehrschichtigen Netzwerkverwaltung in einer vereinfachten Umgebung mit VM und Netzwerk, um ein Beispiel mit virtuellen Azure-Ressourcen zu testen. Es handelt sich um die schnellste Methode, um zu sehen, wie die mehrschichtige Netzwerkverwaltung funktioniert, ohne physische Computer und ein Purdue-Netzwerk einrichten zu müssen.