Betrouwbaarheid en Azure Virtual Network
Azure Virtual Network is een fundamentele bouwsteen voor uw particuliere netwerk en stelt Azure-resources in staat om veilig met elkaar, internet en on-premises netwerken te communiceren.
Belangrijke functies van Azure Virtual Network zijn onder andere:
- Communicatie met Azure-resources
- Communicatie met internet
- Communicatie met on-premises resources
- Filteren van netwerkverkeer
Raadpleeg Wat is Azure Virtual Network? voor meer informatie.
Raadpleeg de volgende onderwerpen om te begrijpen hoe Azure Virtual Network ondersteuning biedt voor een betrouwbare workload:
- Zelfstudie: Virtuele Azure-machines tussen regio's verplaatsen
- Quickstart: Een virtueel netwerk maken met Azure Portal
- Virtual Network – Bedrijfscontinuïteit
Overwegingen bij het ontwerpen
Het Virtual Network (VNet) bevat de volgende ontwerpoverwegingen voor een betrouwbare Azure-workload:
- Overlappende IP-adresruimten in on-premises en Azure-regio's brengen grote conflicten met zich mee.
- Hoewel een Virtual Network adresruimte kan worden toegevoegd na het maken, vereist dit proces een storing als de Virtual Network al is verbonden met een andere Virtual Network via peering. Er is een storing nodig omdat de Virtual Network-peering wordt verwijderd en opnieuw wordt gemaakt.
- Het wijzigen van de grootte van virtuele netwerken met peering is in openbare preview (20 augustus 2021).
- Voor sommige Azure-services zijn toegewezen subnetten vereist, zoals:
- Azure Firewall
- Azure Bastion
- Gateway voor een virtueel netwerk
- Subnetten kunnen worden gedelegeerd aan bepaalde services om exemplaren van die service binnen het subnet te maken.
- Azure reserveert vijf IP-adressen binnen elk subnet, die moeten worden meegerekend bij het bepalen van de grootte van virtuele netwerken en omvattende subnetten.
Controlelijst
Hebt u Azure Virtual Network geconfigureerd met het oog op betrouwbaarheid?
- Gebruik Standaardbeveiligingsplannen voor Azure DDoS om alle openbare eindpunten te beveiligen die worden gehost in virtuele netwerken van klanten.
- Zakelijke klanten moeten IP-adressering in Azure plannen om ervoor te zorgen dat er geen overlappende IP-adresruimte is tussen beschouwde on-premises locaties en Azure-regio's.
- Gebruik IP-adressen van de adrestoewijzing voor privé-internets (RFC (Request for Comment) 1918).
- Voor omgevingen met beperkte beschikbaarheid van privé-IP-adressen (RFC 1918) kunt u het gebruik van IPv6 overwegen.
- Maak geen onnodig grote virtuele netwerken (bijvoorbeeld )
/16
om ervoor te zorgen dat er geen onnodige verspilling van IP-adresruimte is. - Maak geen virtuele netwerken zonder de vereiste adresruimte vooraf te plannen.
- Gebruik geen openbare IP-adressen voor virtuele netwerken, met name als de openbare IP-adressen niet van de klant zijn.
- Gebruik VNet-service-eindpunten om toegang te beveiligen tot PaaS-services (Platform as a Service) vanuit een klant-VNet.
- Als u problemen met gegevensexfiltratie met service-eindpunten wilt oplossen, gebruikt u NVA-filtering (Network Virtual Appliance) en VNet Service Endpoint Policies voor Azure Storage.
- Implementeer geen geforceerde tunneling om communicatie van Azure naar Azure-resources mogelijk te maken.
- On-premises toegang tot Azure PaaS-services via ExpressRoute-privépeering.
- Als u toegang wilt krijgen tot Azure PaaS-services vanuit on-premises netwerken wanneer VNet-injectie of Private Link niet beschikbaar zijn, gebruikt u ExpressRoute met Microsoft-peering wanneer er geen problemen zijn met gegevensexfiltratie.
- Repliceer geen concepten en architecturen van on-premises perimeternetwerken (ook wel DMZ, gedemilitariseerde zone en gescreend subnet genoemd) naar Azure.
- Zorg ervoor dat de communicatie tussen Azure PaaS-services die zijn geïnjecteerd in een Virtual Network is vergrendeld binnen de Virtual Network met behulp van door de gebruiker gedefinieerde routes (UDR's) en netwerkbeveiligingsgroepen (NSG's).
- Gebruik geen VNet-service-eindpunten wanneer er problemen zijn met gegevensexfiltratie, tenzij NVA-filtering wordt gebruikt.
- Schakel VNet-service-eindpunten niet standaard in op alle subnetten.
Configuratieaanbeveling
Houd rekening met de volgende aanbevelingen om de betrouwbaarheid te optimaliseren bij het configureren van een Azure-Virtual Network:
Aanbeveling | Beschrijving |
---|---|
Maak geen virtuele netwerken zonder de vereiste adresruimte vooraf te plannen. | Het toevoegen van adresruimte veroorzaakt een storing zodra een Virtual Network is verbonden via Virtual Network-peering. |
Gebruik VNet-service-eindpunten om toegang te beveiligen tot PaaS-services (Platform as a Service) vanuit een klant-VNet. | Alleen wanneer Private Link niet beschikbaar is en er geen problemen zijn met gegevensexfiltratie. |
On-premises toegang tot Azure PaaS-services via ExpressRoute-privépeering. | Gebruik VNet-injectie voor toegewezen Azure-services of Azure Private Link voor beschikbare gedeelde Azure-services. |
Als u toegang wilt krijgen tot Azure PaaS-services vanuit on-premises netwerken wanneer VNet-injectie of Private Link niet beschikbaar zijn, gebruikt u ExpressRoute met Microsoft-peering wanneer er geen problemen zijn met gegevensexfiltratie. | Vermijdt transit via het openbare internet. |
Repliceer geen concepten en architecturen van on-premises perimeternetwerken (ook wel DMZ, gedemilitariseerde zone en gescreend subnet genoemd) naar Azure. | Klanten kunnen in Azure vergelijkbare beveiligingsmogelijkheden krijgen als on-premises, maar de implementatie en architectuur moeten worden aangepast aan de cloud. |
Zorg ervoor dat de communicatie tussen Azure PaaS-services die zijn geïnjecteerd in een Virtual Network is vergrendeld binnen de Virtual Network met behulp van door de gebruiker gedefinieerde routes (UDR's) en netwerkbeveiligingsgroepen (NSG's). | Azure PaaS-services die zijn geïnjecteerd in een Virtual Network nog steeds beheervlakbewerkingen uitvoeren met behulp van openbare IP-adressen. |