Perspective d’Azure Well-Architected Framework sur le réseau virtuel Azure
Le réseau virtuel Azure est un bloc de construction fondamental pour l’établissement d’un réseau privé sur Azure. Vous pouvez l’utiliser pour activer la communication entre les ressources Azure et fournir une connectivité Internet. Le réseau virtuel s’intègre également aux systèmes locaux. Il inclut des fonctionnalités de filtrage intégrées pour garantir que seul le trafic attendu, autorisé et sécurisé atteint les composants dans les limites du réseau.
Cet article suppose qu’en tant qu’architecte, vous connaissez les constructions réseau sur Azure. Les orientations sont axées sur des recommandations architecturales associées aux principes des piliers du Framework Well-Architected.
Important
Comment utiliser ce guide
Chaque section dispose d’une liste de contrôle de conception qui présente des domaines d’intérêt architecturaux, ainsi que des stratégies de conception localisées dans l’étendue technologique.
Sont également incluses les recommandations relatives aux fonctionnalités technologiques qui peuvent aider à matérialiser ces stratégies. Les recommandations ne représentent pas une liste exhaustive de toutes les configurations disponibles pour le réseau virtuel et ses dépendances. Au lieu de cela, ils énumèrent les principales recommandations mappées aux perspectives de conception. Utilisez les recommandations pour créer votre preuve de concept ou pour optimiser vos environnements existants.
Architecture fondamentale qui illustre les recommandations clés : topologie de réseau hub-spoke dans Azure.
Champ d'application de la technologie
Cette révision se concentre sur les décisions liées aux ressources Azure suivantes :
- Réseau virtuel et ses sous-réseaux
- Cartes d’interface réseau (CIR)
- Points de terminaison privés
- Groupes de sécurité réseau (NSG)
- Adresses IP et allocations d’adresses IP
- Tables de routage
- Gestionnaires de réseau
Il existe d’autres services associés au réseau virtuel, tels que les équilibreurs de charge. Ces services sont couverts dans leurs guides respectifs.
Fiabilité
L'objectif du pilier Fiabilité est de fournir une fonctionnalité continue en construisant suffisamment de résilience et la capacité de récupérer rapidement en cas de défaillance.
principes de conception de fiabilité fournir une stratégie de conception de haut niveau appliquée pour les composants individuels, les flux système et le système dans son ensemble.
Liste de contrôle de conception
Commencez votre stratégie de conception sur la base de la liste de contrôle de la revue de conception pour la fiabilité. Déterminez sa pertinence pour vos besoins métier tout en gardant à l’esprit les fonctionnalités du réseau virtuel et de ses dépendances. Étendez la stratégie pour inclure davantage d’approches en fonction des besoins.
Définir vos cibles de fiabilité. Le réseau virtuel et la plupart de ses sous-services n’ont pas de garanties de contrat de niveau de service (SLA) soutenus par Microsoft. Toutefois, des services spécifiques tels que les équilibreurs de charge, les cartes réseau et les adresses IP publiques ont des contrats SLA. Vous devriez avoir une bonne compréhension de la couverture fournie autour du centile publié par Azure. N’oubliez pas que votre organisation de services informatiques centraux possède généralement le réseau virtuel et les services centraux. Assurez-vous que vos calculs objectifs incluent cette dépendance.
Atténuer les points de défaillance. Effectuez une analyse du mode d’échec et identifiez les points uniques d’échec dans les connexions réseau.
Les exemples suivants montrent des points de défaillance uniques dans les connexions réseau :
Échec Atténuation Échec de l’adresse IP publique dans une seule zone de disponibilité. Déployez des ressources d’adresse IP entre des zones ou utilisez une adresse IP secondaire avec un équilibreur de charge. Échec de l’appliance virtuelle réseau (NVA) dans une seule zone. Déployez une appliance virtuelle réseau secondaire dans une autre zone et utilisez un équilibreur de charge pour diriger le trafic vers l’appliance virtuelle réseau. Latence dans les charges de travail réparties entre régions ou zones, ce qui réduit le débit et provoque des délais d’attente. Colocalisez des ressources dans une région ou une zone. Redéfinissez l’architecture pour utiliser des modèles de fiabilité, tels que des tampons de déploiement avec des équilibreurs de charge, afin que chaque tampon puisse gérer la charge et travailler ensemble avec les ressources voisines. Défaillance d'une charge de travail dans une seule région avec un site de basculement à froid. Configurez à l'avance les paramètres réseau dans la région de basculement. Cette approche garantit qu’aucune adresse IP ne se chevauche. Défaillance d'une application à région unique dans un réseau virtuel qui communique avec une base de données via Azure Private Link en utilisant un site de basculement à froid. Répliquez les connexions dans la région secondaire et les réseaux virtuels homologues pour la communication. Surallocation des espaces d’adressage IP. Pour garantir une mise à l’échelle fiable, une stratégie courante consiste à surprovisionner la capacité pour empêcher l’épuisement des adresses IP. Toutefois, cette approche a un compromis entre la fiabilité et l’efficacité opérationnelle. Les sous-réseaux doivent uniquement utiliser une partie de l’espace d’adressage du réseau virtuel. L’objectif doit être d’avoir suffisamment d’espace d’adressage dans votre réseau virtuel et sous-réseaux pour équilibrer la fiabilité avec une efficacité opérationnelle.
Connaître les limites de mise en réseau. Azure impose des limites au nombre de ressources que vous pouvez déployer. Bien que la plupart des limites réseau Azure soient définies sur leurs valeurs maximales, vous pouvez augmenter certaines limites. Pour plus d'informations, consultez limites de mise en réseau d'Azure Resource Manager.
Créer des diagrammes réseau qui se concentrent sur les flux utilisateur. Ces diagrammes peuvent vous aider à visualiser la segmentation du réseau, à identifier les points de défaillance potentiels et à identifier les transitions clés comme les points d’entrée et de sortie Internet. Ils sont également des outils importants pour les audits et la réponse aux incidents.
Mettez en surbrillance les flux de trafic à priorité élevée entre les ressources utilisateur et celles de charge de travail. Par exemple, si vous hiérarchisez Azure ExpressRoute pour les flux réseau de l'entreprise ou pour sécuriser les requêtes des utilisateurs dans une architecture réseau à périmètre, vous pouvez obtenir des aperçus sur la planification de la capacité pour les pare-feu et d'autres services.
Ajoutez de la redondance. Envisagez de déployer des passerelles NAT et des réseaux virtuels dans plusieurs régions si nécessaire. Assurez-vous que les adresses IP publiques et les services pouvant prendre en charge la redondance par zone ont cette option activée, et que les ressources partagées telles que les pare-feu sont conçues pour être redondantes à l'échelle régionale.
Pour plus d'informations, voir Continuité d'activité des réseaux virtuels.
Éviter la complexité. Faites attention aux réseaux virtuels, sous-réseaux, adresses IP, itinéraires, groupes de sécurité d’application (ASG) et balises. Les configurations simples réduisent la probabilité de configurations incorrectes et d’erreurs. Les erreurs et les configurations incorrectes contribuent aux problèmes de fiabilité et ajoutent aux coûts opérationnels et de maintenance. Voici quelques exemples de simplification :
- Utilisez le DNS privé si possible et réduisez le nombre de zones DNS.
- Simplifiez les configurations de routage. Envisagez de router tout le trafic via le pare-feu, s’il est utilisé dans l’architecture.
tester la résilience du réseau. Utilisez Azure Chaos Studio pour simuler des interruptions de connectivité réseau. Cette approche garantit que vos charges de travail restent redondantes et vous aident à évaluer l’effet des défaillances potentielles.
Surveiller le trafic réseau pour les effets de fiabilité. La surveillance du flux de trafic est une opération cruciale pour la fiabilité. Par exemple, vous souhaitez identifier les communicators à volume élevé dans votre réseau pour déterminer s’ils peuvent provoquer des interruptions. Azure fournit des fonctionnalités de journalisation des flux. Pour plus d’informations, consultez l’Excellence opérationnelle .
Recommandations
| Recommandation | Avantage |
|---|---|
| Dimensionner les réseaux virtuels et les sous-réseaux en fonction de votre stratégie de mise à l’échelle. Choisissez moins de réseaux virtuels plus volumineux pour prendre en charge la redondance en tant que stratégie d’atténuation des défaillances. Assurez-vous qu’il n’y a pas de chevauchement d’espace d’adressage avec d’autres réseaux virtuels dont vous avez besoin pour communiquer et planifier l’espace d’adressage à l’avance. Pour plus d’informations, consultez Créer, modifier ou supprimer un réseau virtuel. |
Par une surprovisionnement, vous pouvez vous assurer du bon dimensionnement du réseau sans rencontrer de limitations de l'espace d'adressage. Planifiez l’espace d’adressage à l’avance pour éviter les conflits et garantir une architecture réseau fluide et évolutive. |
| Utilisez la référence SKU IP standard pour une meilleure prise en charge de la fiabilité via des zones de disponibilité. Par défaut, les adresses IP publiques sont déployées sur plusieurs zones, sauf si elles sont limitées à une seule zone. | Cette référence SKU permet de garantir que la communication au sein d’une adresse IP publique reste opérationnelle pendant les défaillances zonales. |
Sécurité
L'objectif du pilier Sécurité est de fournir des garanties de confidentialité, d'intégrité et de disponibilité à la charge de travail.
Les principes de conception sécurité fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs en appliquant des approches à la conception technique du réseau virtuel.
Liste de contrôle de conception
Commencez votre stratégie de conception en vous basant sur la liste de contrôle de l'examen de la conception pour la sécurité et identifiez les vulnérabilités et les contrôles pour améliorer la posture de sécurité Étendez la stratégie pour inclure davantage d’approches en fonction des besoins.
Établir une base de référence de sécurité. Passez en revue la base de référence de sécurité pour le réseau virtuel et incorporez les mesures applicables dans votre base de référence.
Maintenir le périmètre de votre réseau à jour. Les paramètres de sécurité, tels que les groupes de sécurité réseau, les groupes de sécurité d'application et les plages d’adresses IP, doivent être mis à jour régulièrement. Les règles obsolètes peuvent ne pas s’aligner sur l’architecture réseau ou les modèles de trafic actuels. Cette lacune de sécurité peut laisser votre réseau exposé à des attaques potentielles en réduisant les restrictions sur le trafic d’entrée et de sortie.
Utiliser la segmentation pour améliorer la sécurité. Utilisez les groupes de sécurité réseau comme pare-feu de niveau L4 au niveau du sous-réseau. Acheminer tout le trafic externe via une appliance virtuelle réseau, comme un pare-feu, à l’aide d’itinéraires définis par l’utilisateur pour la surveillance et la gestion. Utilisez des noms de domaine complets (FQDN) pour filtrer l’accès à Internet.
Sécuriser la connectivité de plateforme en tant que service avec des points de terminaison privés tout en bloquant les connexions sortantes.
Appliquer le principe du privilège minimum. Configurez le contrôle d'accès basé sur les rôles (RBAC) avec une approche de limitation d'accès pour les rôles liés au réseau. Assurez-vous que les utilisateurs ne sont en mesure de modifier les paramètres que si nécessaire par leur fonction de travail.
Limiter les adresses IP publiques. Utilisez des adresses IP publiques partagées à partir de services tels qu’Azure Front Door pour améliorer la sécurité et les vérifications initiales des requêtes. La gestion d’une adresse IP publique dédiée vous oblige à superviser sa sécurité, notamment la gestion des ports et la validation des demandes. Si possible, utilisez une connectivité privée.
Recommandations
| Recommandation | Avantage |
|---|---|
| Utiliser le chiffrement de réseau virtuel. | En appliquant le trafic chiffré, vous pouvez protéger les données en transit entre les machines virtuelles Azure et les groupes de machines virtuelles identiques Azure au sein du même réseau virtuel. Il permet également de chiffrer le trafic entre les réseaux virtuels appariés au niveau régional et mondial. |
| activer le vérificateur de réseau virtuel dans Azure Virtual Network Manager. Utilisez cette fonctionnalité dans votre environnement de préproduction pour tester la connectivité entre les ressources. Cette fonctionnalité n’est pas recommandée en production. |
Assurez-vous que les ressources Azure au sein du réseau sont accessibles et non bloquées par des stratégies. |
| Activez azure DDoS Protection pour le réseau virtuel. Vous pouvez également protéger des adresses IP publiques individuelles via Azure DDoS IP Protection. passez en revue les fonctionnalités de sécurité fournies dans protection IP DDoS et protection réseau DDoS, puis choisissez-en une qui répond à vos besoins. Par exemple, le niveau protection réseau DDoS fournit une prise en charge de l’équipe de réponse rapide lorsque des attaques se produisent. Le niveau protection IP DDoS ne fournit pas cette prise en charge. |
Vous pouvez vous protéger contre les attaques par déni de service distribuées. |
| Sécurisez les segments au sein d’un réseau virtuel à l’aide de NSG. Dans la mesure du possible, utilisez des ASG pour définir les règles. |
Le trafic qui entre et quitte le réseau peut être filtré en fonction de l’adresse IP et des plages de ports. Les ASG simplifient la gestion en abstraction des plages d’adresses IP sous-jacentes. |
| Utilisez points de terminaison privés pour accéder aux services Azure via une adresse IP privée au sein du réseau virtuel. Une autre façon d’implémenter la mise en réseau privée consiste à utiliser des points de terminaison de service . Ces points de terminaison acheminent le trafic vers un service via la colonne principale du réseau Azure. Si disponible pour le service, choisissez des points de terminaison privés plutôt que des points de terminaison du service. |
Les points de terminaison privés suppriment la nécessité d’adresses IP publiques, ce qui réduit la surface d’attaque. |
Optimisation des coûts
L’optimisation des coûts se concentre sur la détection des modèles de dépense, la hiérarchisation des investissements dans les domaines critiques et l’optimisation dans d’autres pour répondre au budget de l’organisation tout en répondant aux besoins de l’entreprise.
Les principes de conception de l’optimisation des coûts fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs et faire des compromis si nécessaire dans la conception technique liée à votre environnement réseau.
Liste de contrôle de conception
Lancez votre stratégie de conception en vous basant sur la liste de contrôle de l'optimisation des coûts pour les investissements. Ajustez la conception afin que la charge de travail soit alignée sur le budget alloué pour la charge de travail. Votre conception doit utiliser les fonctionnalités Azure appropriées, surveiller les investissements et trouver des opportunités d’optimisation au fil du temps.
Optimiser les transferts de données à volume élevé entre les points de terminaison. Utilisez le peering de réseaux virtuels pour déplacer efficacement des données entre des réseaux virtuels. Même si le peering a des coûts entrants et sortants, cette approche peut être rentable, car elle réduit la consommation de bande passante et les problèmes de performances réseau. Évitez le routage via un hub pour réduire les inefficacités et les coûts.
Pour optimiser le transfert de données entre les régions, il est important de prendre en compte la fréquence et la méthode de transfert. Par exemple, lorsque vous gérez des sauvegardes, l’emplacement où vous enregistrez vos sauvegardes peut considérablement affecter les coûts. Le stockage des données de sauvegarde dans une autre région entraîne une bande passante. Pour atténuer ces coûts, assurez-vous que les données sont compressées avant de les transférer dans différentes régions. Vous pouvez optimiser davantage les coûts et l’efficacité en ajustant la fréquence des transferts de données.
Inclure des composants réseau dans votre modèle de coût. Comptez des coûts cachés lorsque vous créez ou ajustez votre budget. Par exemple, dans les architectures multirégions, il coûte plus cher de transférer des données entre des régions.
Les rapports de coûts Azure peuvent ne pas inclure les dépenses associées aux appliances virtuelles de réseau non-Microsoft, qui ont des coûts de licence distincts. Ils peuvent également avoir différents modèles de facturation pour les options à prix fixe et basés sur la consommation. Veillez à inclure ces facteurs dans vos considérations budgétaires.
Certaines ressources réseau peuvent être coûteuses, comme pare-feu Azure et ExpressRoute. Vous pouvez provisionner ces ressources dans des modèles hub centralisés et allouer des frais aux équipes pour le coût engagé. Incluez ces frais dans votre modèle de coût.
Ne payez pas pour les fonctionnalités inutilisées. Passez en revue régulièrement les coûts des composants et supprimez les fonctionnalités héritées ou les configurations par défaut. Limitez le nombre d’adresses IP publiques pour réduire les coûts. Cette approche améliore également la sécurité en réduisant la surface d’attaque.
Optimiser les points de terminaison privés. Déterminez si vous pouvez réutiliser une liaison privée vers une ressource à partir d’autres réseaux virtuels. Lorsque vous utilisez un point de terminaison privé sur un peering de réseaux virtuels régionaux, vous n’êtes pas facturé des frais de peering pour le trafic vers et depuis le point de terminaison privé. Vous payez uniquement pour l’accès de liaison privée lui-même, pas pour le trafic entre les réseaux virtuels. Pour plus d'informations, reportez-vous à la section Liaison privée dans un réseau en étoile.
Aligner les fonctions d’inspection du trafic réseau avec les exigences de priorité et de sécurité du flux. Pour les exigences de bande passante volumineuse, envisagez de router le trafic vers des chemins à moindre coût. ExpressRoute convient pour le trafic volumineux, mais il peut être coûteux. Envisagez des alternatives comme les points de terminaison publics pour réaliser des économies. Cependant, il y a un compromis sur la sécurité. Utilisez le peering réseau pour le trafic réseau à réseau, pour contourner le pare-feu et éviter les inspections inutiles.
Autorisez uniquement le trafic nécessaire entre les composants et bloquez le trafic inattendu. Si le trafic est attendu et que le flux est aligné sur vos exigences de sécurité, vous pouvez omettre ces points de contrôle. Par exemple, déterminez si vous devez router le trafic via un pare-feu si la ressource distante se trouve dans la limite d’approbation.
Évaluez le nombre de sous-réseaux et leurs groupes de sécurité réseau associés, même au sein d’un réseau virtuel. Plus vous avez de NSG, plus les coûts opérationnels liés à la gestion des ensembles de règles sont élevés. Dans la mesure du possible, utilisez des ASG pour simplifier la gestion et réduire les coûts.
Optimiser les coûts de code. Lorsque vous développez votre application, choisissez des protocoles plus efficaces et appliquez la compression des données pour optimiser les performances. Par exemple, vous pouvez améliorer l’efficacité dans une application web en configurant des composants pour compresser les données. Ces optimisations affectent également les performances.
Tirer parti des ressources du réseau virtuel centralisé. Utilisez des ressources centralisées pour réduire la duplication et la surcharge. En outre, le déchargement des responsabilités aux équipes existantes peut aider à optimiser les coûts et à permettre la délégation d’expertise pour des fonctions spécifiques.
Recommandations
| Recommandation | Avantage |
|---|---|
| Utilisez l'appairage de réseaux virtuels pour rendre le flux du réseau plus efficace en contournant les contrôles. Évitez de trop observer. |
Transfère les données directement entre les réseaux virtuels appariés pour contourner le pare-feu, ce qui réduit la consommation de bande passante et les problèmes de performances du réseau. Évitez de placer toutes vos ressources dans un seul réseau virtuel. Vous risquez d’entraîner un coût de peering, mais il n’est pas pratique de placer toutes les ressources dans un seul réseau virtuel pour économiser des coûts. Cela peut entraver la croissance. Le réseau virtuel peut finalement atteindre un point où de nouvelles ressources ne s’adaptent plus. |
| réduire les ressources d’adresse IP publique si vous n’en avez pas besoin. Avant la suppression, assurez-vous que l’adresse IP n’est liée à aucune configuration d’adresse IP ou interface réseau de machine virtuelle. |
Les adresses IP publiques inutiles peuvent augmenter les coûts en raison des frais de ressources et de la surcharge opérationnelle. |
Excellence opérationnelle
L’excellence opérationnelle se concentre principalement sur les procédures relatives aux pratiques de développement , l’observabilité et la gestion des mises en production.
Les principes de conception d’excellence opérationnelle fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs vers les exigences opérationnelles de la charge de travail.
Liste de contrôle de conception
Démarrez votre stratégie de conception en vous basant sur la liste de contrôle de révision de conception pour l’excellence opérationnelle afin de définir des processus d’observabilité, de test et de déploiement liés à votre environnement réseau.
Découvrez les nouvelles constructions de mise en réseau Azure. Lorsque vous intégrez Azure, les équipes réseau supposent souvent que leurs connaissances existantes sont suffisantes. Toutefois, Azure a de nombreux aspects différents. Assurez-vous que l’équipe comprend les concepts de mise en réseau Azure fondamentaux, les complexités DNS, le routage et les fonctionnalités de sécurité. Créez une taxonomie des services de mise en réseau afin que l’équipe puisse partager des connaissances et avoir une compréhension commune.
Formaliser votre conception réseau et s’efforcer de simplicité. Documentez la conception et toutes les modifications, y compris les détails de configuration tels que les tables de routage, les groupes de sécurité réseau et les règles de pare-feu. Incluez les stratégies de gouvernance en place, telles que le blocage des ports. Une documentation claire facilite la collaboration avec d’autres équipes et parties prenantes.
Les réseaux simplifiés sont plus faciles à surveiller, dépanner et gérer. Par exemple, si vous disposez d'une topologie en étoile, minimisez les appariages directs entre les rayons afin de réduire la charge opérationnelle et de renforcer la sécurité. Documentez toujours la conception et fournissez des justifications pour chaque décision de conception.
Réduisez la complexité en utilisant des alias au lieu de plages d’adresses IP directes. Cette méthode réduit la charge opérationnelle.
Utiliser des modèles de conception qui optimisent le trafic réseau. Pour optimiser l’utilisation et la configuration du réseau, implémentez des modèles de conception connus qui réduisent ou optimisent le trafic réseau. Validez la configuration réseau pendant les builds à l’aide de scanneurs de sécurité pour vous assurer que tout est configuré correctement.
Effectuer des déploiements réseau cohérents. Utilisez l’infrastructure en tant que code (IaC) pour tous les composants, notamment les peerings réseau et les points de terminaison privés. Comprenez que les principaux composants réseau sont susceptibles de changer moins fréquemment que d’autres composants. Implémentez une approche de déploiement en couches pour votre pile afin de pouvoir déployer chaque couche indépendamment. Évitez de combiner IaC avec le script pour éviter la complexité.
Surveillez la pile de mise en réseau. Surveillez les modèles de trafic en continu pour identifier les anomalies et les problèmes, tels que les suppressions de connexion, avant qu’elles ne provoquent des défaillances en cascade. Lorsque cela est possible, définissez des alertes pour être avertis de ces interruptions.
Comme pour d'autres composants de cette architecture, capturez toutes les métriques et journaux pertinents provenant de différents composants réseau, tels que le réseau virtuel, les sous-réseaux, les groupes de sécurité réseau, les pare-feu et les balanceurs de charge. Agrégez, visualisez et analysez-les dans vos tableaux de bord. Créez des alertes pour les événements importants.
Inclure la mise en réseau dans votre stratégie d’atténuation des défaillances. Les réseaux virtuels et les sous-réseaux sont déployés initialement et restent généralement inchangés, ce qui rend les restaurations difficiles. Toutefois, vous pouvez optimiser votre récupération en suivant quelques stratégies :
Dupliquez l'infrastructure de mise en réseau à l'avance, en particulier pour les configurations hybrides. Assurez-vous que des itinéraires distincts dans différentes régions sont prêts à communiquer entre eux au préalable. Répliquez et maintenez des NSG et des règles de pare-feu Azure cohérents sur les sites principaux et de reprise après sinistre (DR). Ce processus peut prendre du temps et exiger l’approbation, mais le faire à l’avance permet d’éviter les problèmes et les défaillances. Veillez à tester la pile de mise en réseau sur le site DR.
Évitez le chevauchement des plages d'adresses IP entre vos réseaux de production et DR. En conservant des plages d’adresses IP distinctes, vous pouvez simplifier la gestion du réseau et accélérer la transition pendant un événement de basculement.
Tenez compte des compromis entre les coûts et la fiabilité. Pour plus d'informations, consultez la section Compromis.
Transférer les opérations réseau aux équipes centrales. Centraliser la gestion et la gouvernance de l’infrastructure réseau, le cas échéant. Par exemple, dans une topologie hub-spoke, des services comme le Pare-feu Azure, ExpressRoute et DNS destinés à une utilisation partagée sont placés dans le réseau central. Cette pile de mise en réseau doit être gérée de manière centralisée, ce qui enlève le fardeau à l’équipe responsable de la charge de travail.
Déchargez l’administration du réseau virtuel à l’équipe centrale, même dans le réseau spoke. Réduisez les opérations réseau aux éléments pertinents pour la charge de travail, comme la gestion des NSGs (groupes de sécurité réseau).
Conservez les équipes centrales informées des modifications nécessaires dans la charge de travail susceptibles d’affecter la configuration des ressources partagées. Les alias résument les adresses IP sous-jacentes, ce qui simplifie les opérations.
Ajustez votre réseau virtuel et vos sous-réseaux. Choisissez moins de réseaux virtuels plus volumineux pour réduire la surcharge de gestion et éviter de rendre les sous-réseaux excessivement volumineux. La gestion des sous-réseaux et de leurs groupes de sécurité réseau peut s’ajouter à la charge opérationnelle. Pour les environnements qui ont des adresses IP privées limitées (RFC 1918), envisagez d’utiliser IPv6.
| Recommandation | Avantage |
|---|---|
| Déployez le Gestionnaire de réseau virtuel . | Au lieu de configurer chaque réseau virtuel individuellement, Virtual Network Manager gère de manière centralisée la connectivité en fonction des règles. Cette approche simplifie les opérations de mise en réseau. |
| Utilisez les outils de surveillance réseau. Utilisez régulièrement les journaux de flux de réseau virtuel et les outils d'analyse du trafic pour identifier les changements de la demande et les schémas. Utilisez la fonctionnalité de moniteur de connexion pour analyser et identifier les problèmes tels que les suppressions de connexion avant qu’elles n’affectent les applications. |
Vous pouvez comprendre comment les données circulent via votre réseau, identifient les goulots d’étranglement et identifient les tentatives d’accès inhabituelles ou non autorisées. |
| Lorsque vous définissez des itinéraires, utilisez balises de service au lieu d’adresses IP spécifiques. De même, utilisez des ASGs lorsque vous définissez des règles de trafic pour les NSGs. |
Cette approche garantit la fiabilité, car les adresses IP peuvent changer, mais la configuration n’a pas besoin. En outre, il permet de surmonter les limites du nombre d’itinéraires ou de règles que vous pouvez définir à l’aide de noms plus génériques. |
Efficacité des performances
L’efficacité opérationnelle consiste à maintenir l’expérience utilisateur même en cas d’augmentation de la charge grâce à la gestion de la capacité. La stratégie inclut la mise à l’échelle des ressources, l’identification et l’optimisation des goulots d’étranglement potentiels et l’optimisation des performances maximales.
Les principes de conception Performance Efficiency fournissent une stratégie de conception de haut niveau pour atteindre ces objectifs de capacité par rapport à l’utilisation attendue.
Liste de contrôle de conception
Démarrez votre stratégie de conception en fonction de la liste de vérification de la révision de conception pour l’efficience des performances afin de définir une base de référence basée sur les indicateurs clés de performance.
Définir des cibles de performances. Pour définir des cibles de performances, reposez sur les métriques de surveillance, en particulier pour la latence et la bande passante. Utilisez les données du moniteur de connexion, telles que la latence et le nombre de tronçons, pour définir des cibles et des seuils pour des performances acceptables. Application Insights fournit une vue détaillée du temps passé par les demandes de charge de travail dans le réseau, ce qui permet d’affiner ces cibles.
Dimensionnez vos sous-réseaux. Lorsque vous allouez des sous-réseaux, il est important d’équilibrer la taille et l’extensibilité. Vous souhaitez que les sous-réseaux soient suffisamment volumineux pour prendre en charge la croissance prévue sans charge opérationnelle.
Pour gérer efficacement la capacité, une stratégie commune consiste à surprovisionner la capacité en raison de l’incertitude, mais l’objectif doit être d’optimiser au fil du temps. Analysez en continu les données afin que votre réseau puisse gérer la charge, mais vous ne payez pas d’extra pour les ressources inutilisées.
Effectuez des tests de performance. Utilisez une combinaison de données synthétiques et de production pour tester la latence et la bande passante. Cette approche permet d’évaluer la façon dont ces facteurs peuvent affecter les performances de la charge de travail. Par exemple, il peut détecter les ressources qui provoquent des problèmes de voisin bruyant et consomment plus de bande passante que prévu. En outre, il identifie le trafic qui fait plusieurs tronçons et provoque une latence élevée.
Nous vous recommandons de tester en production ou de capturer et de relire les données de production en tant que données de test. Cette approche garantit que les tests reflètent l’utilisation réelle, ce qui vous permet de définir des cibles de performances réalistes.
Surveiller le trafic entre les régions. Il est important de considérer que les ressources de charge de travail peuvent se trouver dans différentes régions. La communication entre les régions peut ajouter une latence significative. Le trafic entre les zones de disponibilité de la même région a une faible latence, mais il peut ne pas être assez rapide pour certaines charges de travail spécialisées.
Recommandations
| Recommandation | Avantage |
|---|---|
| Activer le moniteur de connexion Azure Network Watcher. Utilisez le moniteur de connexion pendant les tests, ce qui peut générer du trafic synthétique. |
Vous pouvez collecter des métriques qui indiquent une perte et une latence sur les réseaux. En outre, vous pouvez suivre l’intégralité du chemin du trafic, ce qui est important pour détecter les goulots d’étranglement réseau. |
| Conservez l’espace d’adressage du réseau virtuel suffisamment grand pour prendre en charge la mise à l’échelle. | Vous pouvez prendre en charge la croissance prévue sans charge opérationnelle. |
Compromis
Vous devrez peut-être faire des compromis en matière de conception si vous utilisez les approches dans les listes de contrôle des piliers. Les exemples suivants mettent en évidence les avantages et les inconvénients.
Mise en réseau redondante
Lorsque vous choisissez de mettre en œuvre une pile réseau redondante, y compris ses NSG, routes et autres configurations, il y a un coût supplémentaire de l'infrastructure et des tests approfondis.
Cet investissement initial améliore la fiabilité. Vous pouvez être sûr que tout fonctionne comme prévu et accélère la récupération pendant les interruptions.
Interconnexion de réseaux virtuels
Le peering de réseaux virtuels directs améliore les performances en réduisant la latence, car il évite d’avoir à router le trafic via un hub où un pare-feu déchiffre, inspecte et chiffre à nouveau la charge utile.
Ce gain de performances est lié au coût d’une sécurité réduite. Sans les inspections de pare-feu que le routage hub fournit, la charge de travail est plus vulnérable aux menaces potentielles.
Grands sous-réseaux
Les sous-réseaux volumineux fournissent un espace d’adressage suffisant, ce qui permet aux charges de travail de s'étendre sans interruption. Un grand espace d’adressage peut se protéger contre des pics inattendus de la demande. Toutefois, cela peut entraîner une utilisation inefficace des adresses IP. Au fil du temps, cette inefficacité peut entraîner l’épuisement de l’adresse IP à mesure que la charge de travail évolue. En outre, cette stratégie entraîne des coûts opérationnels plus élevés. Du point de vue de l’excellence opérationnelle, il est idéal de garder vos sous-réseaux aussi petits que possible.
Stratégies Azure
Azure fournit un ensemble complet de stratégies intégrées liées au réseau virtuel et à ses dépendances. Définissez et affectez des stratégies pour vous assurer que les ressources sont conformes aux normes organisationnelles. Créez un tableau de bord de conformité Azure Policy pour identifier les ressources non conformes et prendre des mesures correctives.
Un ensemble de stratégies Azure peut auditer certaines des recommandations précédentes. Par exemple, vous pouvez définir automatiquement des stratégies :
- Protégez le réseau virtuel contre les attaques volumétriques et de protocole.
- Refuser la création d’interfaces réseau qui ont des adresses IP publiques.
- Déployez Network Watcher pour les réseaux virtuels.
- Activez l'analytique des journaux d'activité pour surveiller les schémas de trafic.
Pour une gouvernance complète, passez en revue les définitions intégrées Azure Policy et d’autres stratégies susceptibles d’affecter la sécurité de la couche réseau.
Recommandations d’Azure Advisor
Azure Advisor est un consultant cloud personnalisé qui vous aide à suivre les meilleures pratiques pour optimiser vos déploiements Azure. Voici quelques recommandations qui peuvent vous aider à améliorer la fiabilité, la sécurité, l’efficacité des coûts, les performances et l’excellence opérationnelle de votre réseau virtuel.
Étapes suivantes
Les articles suivants illustrent les recommandations présentées dans cet article.
Pour une topologie en étoile, utilisez l'architecture de référence de topologie de réseau en étoile pour mettre en place votre réseau initial.
Utilisez la documentation de produit suivante pour améliorer votre expertise en matière d’implémentation :