Edytuj

Udostępnij za pośrednictwem

Topologia sieci piasty i szprych na platformie Azure

Azure Bastion
Azure Firewall
Azure Network Watcher
Azure Virtual Network
Azure VPN Gateway

Ta architektura referencyjna implementuje wzorzec sieci piasty i szprych z składnikami infrastruktury koncentratora zarządzanego przez klienta. Aby zapoznać się z rozwiązaniem infrastruktury koncentratora zarządzanego przez firmę Microsoft, zobacz Topologia sieci piasty i szprych za pomocą usługi Azure Virtual WAN.

Piasta-szprycha jest jedną z topologii sieci zalecanych przez przewodnik Cloud Adoption Framework. Zobacz Definiowanie topologii sieci platformy Azure, aby zrozumieć, dlaczego ta topologia jest uważana za najlepsze rozwiązanie dla wielu organizacji.

Architektura

Diagram przedstawiający topologię sieci wirtualnej piasty i szprych na platformie Azure z sieciami szprych połączonymi za pośrednictwem koncentratora lub bezpośrednio.

Pobierz plik programu Visio z tą architekturą.

Pojęcia dotyczące piasty i szprych

Topologie sieci piasty i szprych zwykle obejmują wiele następujących pojęć dotyczących architektury:

  • Hub virtual network — sieć wirtualna piasty hostuje udostępnione usługi platformy Azure. Obciążenia hostowane w sieciach wirtualnych szprych mogą korzystać z tych usług. Sieć wirtualna piasty to centralny punkt łączności dla sieci obejmujących wiele lokalizacji. Piasta zawiera podstawowy punkt ruchu wychodzącego i zapewnia mechanizm łączenia jednej szprychy z inną w sytuacjach, w których wymagany jest ruch między sieciami wirtualnymi.

    Koncentrator to zasób regionalny. Organizacje, które mają swoje obciążenia w wielu regionach, powinny mieć wiele centrów, po jednym na region.

    Centrum umożliwia wykonanie następujących pojęć:

    • bramy między lokalizacjami — łączność między lokalizacjami to możliwość łączenia się i integrowania różnych środowisk sieciowych ze sobą. Ta brama jest zwykle siecią VPN lub obwodem usługi ExpressRoute.

    • kontrola ruchu wychodzącego — zarządzanie i regulacje ruchu wychodzącego pochodzącego z równorzędnych sieci wirtualnych szprych.

    • (opcjonalnie) kontrola ruchu przychodzącego — zarządzanie i regulacje ruchu przychodzącego do punktów końcowych, które istnieją w wirtualnych sieciach równorzędnych szprych.

    • dostęp zdalny — dostęp zdalny to sposób uzyskiwania dostępu do poszczególnych obciążeń w sieciach szprych z lokalizacji sieciowej innej niż sieć szprychy. Może to dotyczyć danych lub płaszczyzny sterowania obciążenia.

    • zdalny dostęp do szprych dla maszyn wirtualnych — piasta może być wygodną lokalizacją do utworzenia rozwiązania łączności zdalnej między organizacjami dla protokołu RDP i SSH dostępu do maszyn wirtualnych rozproszonych w sieciach szprych.

    • Routing — zarządza i kieruje ruch między piastą a połączonymi szprychami, aby umożliwić bezpieczną i wydajną komunikację.

  • sieci wirtualne szprych — sieci wirtualne szprych izolować obciążenia i zarządzać nimi oddzielnie w każdej szprychy. Każde obciążenie może obejmować wiele warstw z wieloma podsieciami połączonymi za pośrednictwem modułów równoważenia obciążenia platformy Azure. Szprychy mogą istnieć w różnych subskrypcjach i reprezentować różne środowiska, takie jak produkcja i nieprodukcyjna. Jedno obciążenie może nawet rozłożyć się na wiele szprych.

    W większości scenariuszy szprycha powinna być równorzędna tylko z jedną siecią piasty, a sieć piasty powinna znajdować się w tym samym regionie co szprycha.

    Te sieci szprych są zgodne z regułami dotyczącymi domyślnego dostępu wychodzącego . Głównym celem tej topologii sieci piasty i szprych jest ogólnie kierowanie wychodzącego ruchu internetowego przez mechanizmy sterowania oferowane przez koncentrator.

  • łączność między sieciami wirtualnymi — łączność sieci wirtualnej to ścieżka, w której jedna izolowana sieć wirtualna może komunikować się z inną za pomocą mechanizmu sterowania. Mechanizm kontroli wymusza uprawnienia i dozwolony kierunek komunikacji między sieciami. Koncentrator zapewnia opcję obsługi wybranych połączeń między sieciami w celu przepływu przez scentralizowaną sieć.

  • DNS — rozwiązania typu piasta-szprychy są często odpowiedzialne za udostępnianie rozwiązania DNS, które ma być używane przez wszystkie szprychy równorzędne, zwłaszcza w przypadku routingu między lokalizacjami i prywatnych rekordów DNS punktu końcowego.

Składniki

  • Usługa Azure Virtual Network to podstawowy blok konstrukcyjny dla sieci prywatnych na platformie Azure. Sieć wirtualna umożliwia wielu zasobom platformy Azure, takim jak maszyny wirtualne platformy Azure, bezpieczne komunikowanie się ze sobą, między sieciami lokalnymi i Internetem.

    Ta architektura łączy sieci wirtualne z koncentratorem przy użyciu połączeń komunikacji równorzędnej , które nie są przechodnimi połączeniami o małych opóźnieniach między sieciami wirtualnymi. Równorzędne sieci wirtualne mogą wymieniać ruch przez sieć szkieletową platformy Azure bez konieczności używania routera. W architekturze piasty i szprych bezpośrednia komunikacja równorzędna między sieciami wirtualnymi jest minimalna i zarezerwowana dla scenariuszy przypadków specjalnych.

  • Azure Bastion to w pełni zarządzana usługa, która zapewnia bezpieczniejszy i bezproblemowy dostęp protokołu RDP (Remote Desktop Protocol) i protokołu SSH (Secure Shell Protocol) do maszyn wirtualnych bez ujawniania publicznych adresów IP. W tej architekturze usługa Azure Bastion jest używana jako oferta zarządzana do obsługi bezpośredniego dostępu do maszyn wirtualnych w połączonych szprychach.

  • Azure Firewall to zarządzana usługa zabezpieczeń sieci oparta na chmurze, która chroni zasoby sieci wirtualnej. Ta stanowa usługa zapory ma wbudowaną wysoką dostępność i nieograniczoną skalowalność chmury, która ułatwia tworzenie, wymuszanie i rejestrowanie zasad łączności aplikacji oraz sieci w subskrypcjach i sieciach wirtualnych.

    W tej architekturze usługa Azure Firewall ma wiele potencjalnych ról. Zapora jest podstawowym punktem ruchu wychodzącego przeznaczonego do Internetu z równorzędnych sieci wirtualnych szprych. Zapora może również służyć do inspekcji ruchu przychodzącego przy użyciu reguł IDPS. Ponadto zapora może być również używana jako serwer proxy DNS do obsługi reguł ruchu nazw FQDN.

  • vpn Gateway to określony typ bramy sieci wirtualnej, która wysyła zaszyfrowany ruch między siecią wirtualną na platformie Azure a inną siecią za pośrednictwem publicznego Internetu. Za pomocą usługi VPN Gateway można również wysyłać zaszyfrowany ruch między innymi sieciami wirtualnymi koncentratorów za pośrednictwem sieci firmy Microsoft.

    W tej architekturze jest to jedna opcja łączenia niektórych lub wszystkich szprych z siecią zdalną. Szprychy zwykle nie wdrażają własnej bramy SIECI VPN, a zamiast tego używają scentralizowanego rozwiązania oferowanego przez koncentrator. Aby zarządzać tą łącznością, musisz ustanowić konfigurację routingu.

  • bramy usługi Azure ExpressRoute wymienia trasy IP i kieruje ruch sieciowy między siecią lokalną a siecią wirtualną platformy Azure. W tej architekturze usługa ExpressRoute byłaby alternatywną opcją dla bramy sieci VPN w celu połączenia niektórych lub wszystkich szprych z siecią zdalną. Szprychy nie wdrażałyby własnej usługi ExpressRoute, a zamiast tego szprychy używałyby scentralizowanego rozwiązania oferowanego przez piastę. Podobnie jak w przypadku usługi VPN Gateway, należy ustanowić konfigurację routingu, aby zarządzać tą łącznością.

  • Usługa Azure Monitor może zbierać, analizować i wykonywać działania dotyczące danych telemetrycznych ze środowisk obejmujących wiele lokalizacji, w tym platformy Azure i środowiska lokalnego. Usługa Azure Monitor pomaga zmaksymalizować wydajność i dostępność aplikacji oraz proaktywnie identyfikować problemy w ciągu kilku sekund. W tej architekturze usługa Azure Monitor to dziennik i ujście metryk dla zasobów centrum i metryk sieci. Usługa Azure Monitor może być również używana jako ujście rejestrowania zasobów w sieciach szprych, ale jest to decyzja dotycząca różnych połączonych obciążeń i nie jest upoważniona przez tę architekturę.

Alternatywy

Ta architektura obejmuje tworzenie, konfigurowanie i konserwację kilku elementów pierwotnych zasobów platformy Azure, a mianowicie: virtualNetworkPeerings, routeTablesi subnets. azure Virtual Network Manager to usługa zarządzania, która ułatwia grupowanie, konfigurowanie, wdrażanie i zarządzanie sieciami wirtualnymi na dużą skalę w subskrypcjach, regionach i katalogach firmy Microsoft Entra. Za pomocą menedżera sieci wirtualnej można zdefiniować grupy sieci w celu identyfikowania i logicznego segmentowania sieci wirtualnych. Można użyć połączonych grup, które umożliwiają sieciom wirtualnym w grupie komunikowanie się ze sobą tak, jakby były połączone ręcznie. Ta warstwa dodaje warstwę abstrakcji nad tymi elementami pierwotnymi, aby skupić się na opisywaniu topologii sieci a pracy nad implementacją tej topologii.

Zaleca się przeprowadzenie oceny przy użyciu Menedżera sieci wirtualnej jako sposobu optymalizacji wydatków na czas przy użyciu operacji zarządzania siecią. Oceń koszt usługi względem obliczonej wartości/oszczędności, aby ustalić, czy menedżer sieci wirtualnej jest korzyścią netto dla rozmiaru i złożoności sieci.

Szczegóły scenariusza

Ta architektura referencyjna implementuje wzorzec sieci piasty i szprych, w którym sieć wirtualna piasty działa jako centralny punkt łączności z wieloma sieciami wirtualnymi szprych. Sieci wirtualne będące szprychami łączą się z piastą i mogą służyć do izolowania obciążeń. Scenariusze obejmujące wiele lokalizacji można również włączyć za pomocą koncentratora w celu nawiązania połączenia z sieciami lokalnymi.

Ta architektura opisuje wzorzec sieci ze składnikami infrastruktury centrum zarządzanego przez klienta. Aby zapoznać się z rozwiązaniem infrastruktury koncentratora zarządzanego przez firmę Microsoft, zobacz Topologia sieci piasty i szprych za pomocą usługi Azure Virtual WAN.

Korzyści wynikające z używania centrum zarządzanego przez klienta i konfiguracji szprych obejmują:

  • Redukcja kosztów
  • Przekraczanie limitów subskrypcji
  • Izolacja obciążeń
  • Elastyczność
    • Większa kontrola nad wdrażaniem wirtualnych urządzeń sieciowych (WUS), takich jak liczba kart sieciowych, liczba wystąpień lub rozmiar obliczeniowy.
    • Korzystanie z urządzeń WUS, które nie są obsługiwane przez usługę Virtual WAN

Aby uzyskać więcej informacji, zobacz Topologia sieci piasty i szprych.

Potencjalne przypadki użycia

Typowe zastosowania architektury piasty i szprych obejmują obciążenia, które:

  • Istnieje kilka środowisk, które wymagają usług udostępnionych. Na przykład obciążenie może mieć środowiska programistyczne, testowe i produkcyjne. Usługi udostępnione mogą obejmować identyfikatory DNS, protokół NTP (Network Time Protocol) lub usługi domena usługi Active Directory (AD DS). Usługi udostępnione są umieszczane w sieci wirtualnej piasty, a każde środowisko jest wdrażane w innej szprychy w celu zachowania izolacji.
  • Nie wymagaj łączności ze sobą, ale wymagaj dostępu do usług udostępnionych.
  • Wymagaj centralnej kontroli nad zabezpieczeniami, na przykład zapory sieci obwodowej (znanej również jako DMZ) w centrum z segregacją zarządzania obciążeniami w każdej szprychy.
  • Wymagaj centralnej kontroli nad łącznością, taką jak selektywna łączność lub izolacja między szprychami niektórych środowisk lub obciążeń.

Zalecenia

Poniższe zalecenia dotyczą większości scenariuszy. Postępuj zgodnie z tymi zaleceniami, chyba że masz określone wymagania, które je zastępują.

Grupy zasobów, subskrypcje i regiony

W tym przykładowym rozwiązaniu jest używana pojedyncza grupa zasobów platformy Azure. Można również zaimplementować piastę i każdą szprychę w różnych grupach zasobów i subskrypcjach.

W przypadku komunikacji równorzędnej sieci wirtualnych w różnych subskrypcjach można skojarzyć subskrypcje z tymi samymi lub różnymi dzierżawami firmy Microsoft Entra. Ta elastyczność umożliwia zdecentralizowane zarządzanie każdym obciążeniem przy zachowaniu usług udostępnionych w centrum. Zobacz Tworzenie komunikacji równorzędnej sieci wirtualnej — Resource Manager, różne subskrypcje i dzierżawy firmy Microsoft Entra.

Strefy docelowe platformy Azure

Architektura strefy docelowej platform y azure jest oparta na topologii piasty i szprych. W tej architekturze współużytkowane zasoby i sieć piasty są zarządzane przez scentralizowany zespół platformy, a szprychy współwłaściciel współwłaścicielami są współwłaścicielami z zespołem platformy i zespołem ds. obciążeń korzystającym z sieci szprych. Wszystkie koncentratory znajdują się w subskrypcji "Łączność" na potrzeby scentralizowanego zarządzania, podczas gdy sieci wirtualne będące szprychami istnieją w wielu indywidualnych subskrypcjach obciążeń, nazywanych subskrypcjami strefy docelowej aplikacji.

Podsieci sieci wirtualnej

Poniższe zalecenia przedstawiają sposób konfigurowania podsieci w sieci wirtualnej.

GatewaySubnet

Brama sieci wirtualnej wymaga tej podsieci. Można również użyć topologii piasty i szprych bez bramy, jeśli nie potrzebujesz łączności sieciowej obejmującej wiele lokalizacji.

Utwórz podsieć o nazwie GatewaySubnet z zakresem adresów co najmniej 26. Zakres adresów /26 zapewnia podsieci wystarczającą liczbę opcji konfiguracji skalowalności, aby zapobiec osiągnięciu ograniczeń rozmiaru bramy w przyszłości i uwzględnienia większej liczby obwodów usługi ExpressRoute. Aby uzyskać więcej informacji na temat konfigurowania bramy, zobacz Sieć hybrydowa przy użyciu bramy sieci VPN.

AzureFirewallSubnet

Utwórz podsieć o nazwie AzureFirewallSubnet z zakresem adresów co najmniej /26. Niezależnie od skali /26 zakres adresów jest zalecanym rozmiarem i obejmuje wszelkie przyszłe ograniczenia rozmiaru. Ta podsieć nie obsługuje sieciowych grup zabezpieczeń.

Usługa Azure Firewall wymaga tej podsieci. Jeśli używasz wirtualnego urządzenia sieciowego partnera (WUS), postępuj zgodnie z wymaganiami sieci.

Łączność sieciowa szprychy

Komunikacja równorzędna sieci wirtualnych lub połączone grupy to relacje przechodnie między sieciami wirtualnymi. Jeśli potrzebujesz sieci wirtualnych szprych do łączenia się ze sobą, dodaj połączenie komunikacji równorzędnej między tymi szprychami lub umieść je w tej samej grupie sieciowej.

Połączenia szprych za pośrednictwem usługi Azure Firewall lub urządzenia WUS

Liczba wirtualnych sieci równorzędnych na sieć wirtualną jest ograniczona. Jeśli masz wiele szprych, które wymagają połączenia ze sobą, możesz zabrakło połączeń komunikacji równorzędnej. Połączone grupy mają również ograniczenia. Aby uzyskać więcej informacji, zobacz Limity sieci i Limity połączonych grup.

W tym scenariuszu rozważ użycie tras zdefiniowanych przez użytkownika w celu wymuszenia wysyłania ruchu szprychy do usługi Azure Firewall lub innego urządzenia WUS działającego jako router w koncentratorze. Ta zmiana pozwoli szprychom łączyć się ze sobą. Aby obsługiwać tę konfigurację, należy zaimplementować usługę Azure Firewall z włączoną wymuszoną konfiguracją tunelu. Aby uzyskać więcej informacji, zobacz Wymuszone tunelowanie usługi Azure Firewall.

Topologia w tym projekcie architektury ułatwia przepływy ruchu wychodzącego. Usługa Azure Firewall jest przeznaczona głównie dla zabezpieczeń ruchu wychodzącego, ale może być również punktem ruchu przychodzącego. Aby uzyskać więcej informacji na temat routingu ruchu przychodzącego urządzenia WUS koncentratora, zobacz Zapora i usługa Application Gateway dla sieci wirtualnych.

Połączenia szprych z sieciami zdalnymi za pośrednictwem bramy koncentratora

Aby skonfigurować szprychy do komunikowania się z sieciami zdalnymi za pośrednictwem bramy koncentratora, możesz użyć komunikacji równorzędnej sieci wirtualnych lub połączonych grup sieciowych.

Aby użyć komunikacji równorzędnej sieci wirtualnych, w konfiguracji komunikacji równorzędnej sieci wirtualnej:

  • Skonfiguruj połączenie komunikacji równorzędnej w centrum, aby zezwolić na tranzyt bramy.
  • Skonfiguruj połączenie komunikacji równorzędnej w każdej szprychy, aby użyć bramy zdalnej sieci wirtualnej.
  • Skonfiguruj wszystkie połączenia komunikacji równorzędnej z ustawieniem Zezwalaj na ruch przekazywany.

Aby uzyskać więcej informacji, zobacz Tworzenie komunikacji równorzędnej sieci wirtualnej.

Aby użyć połączonych grup sieciowych:

  1. W Menedżerze sieci wirtualnej utwórz grupę sieci i dodaj sieci wirtualne członkowskie.
  2. Utwórz konfigurację łączności piasty i szprych.
  3. W przypadku grup sieci szprych wybierz pozycję Koncentrator jako bramę.

Aby uzyskać więcej informacji, zobacz Create a hub and spoke topology with Azure Virtual Network Manager (Tworzenie topologii piasty i szprych za pomocą usługi Azure Virtual Network Manager).

Komunikacja sieciowa szprychy

Istnieją dwa główne sposoby zezwalania sieciom wirtualnym szprych na komunikowanie się ze sobą:

  • Komunikacja za pośrednictwem urządzenia WUS, takiego jak zapora i router. Ta metoda powoduje przeskok między dwiema szprychami.
  • Komunikacja za pomocą komunikacji równorzędnej sieci wirtualnej lub bezpośredniej łączności między szprychami lub Menedżera sieci wirtualnej. Takie podejście nie powoduje przeskoku między dwiema szprychami i jest zalecane w celu zminimalizowania opóźnienia.
  • Usługa Private Link może służyć do selektywnego uwidaczniania poszczególnych zasobów innym sieciom wirtualnym. Na przykład uwidacznianie wewnętrznego modułu równoważenia obciążenia do innej sieci wirtualnej bez konieczności tworzenia ani obsługi relacji komunikacji równorzędnej lub routingu.

Aby uzyskać więcej informacji na temat wzorców sieci typu szprycha-szprych, zobacz sieci typu szprycha-szprycha.

Komunikacja za pośrednictwem urządzenia WUS

Jeśli potrzebujesz łączności między szprychami, rozważ wdrożenie usługi Azure Firewall lub innego urządzenia WUS w centrum. Następnie utwórz trasy do przesyłania dalej ruchu z szprychy do zapory lub urządzenia WUS, które następnie mogą kierować się do drugiej szprychy. W tym scenariuszu musisz skonfigurować połączenia komunikacji równorzędnej, aby zezwolić na przekazywany ruch.

Diagram przedstawiający routing między szprychami przy użyciu usługi Azure Firewall

Bramę sieci VPN można również użyć do kierowania ruchu między szprychami, chociaż wybór ten wpływa na opóźnienie i przepływność. Aby uzyskać szczegółowe informacje na temat konfiguracji, zobacz Konfigurowanie tranzytu bramy sieci VPN na potrzeby komunikacji równorzędnej sieci wirtualnych.

Oceń usługi, które udostępniasz w centrum, aby upewnić się, że piasta skaluje większą liczbę szprych. Jeśli na przykład centrum zapewnia usługi zapory, rozważ limity przepustowości rozwiązania zapory podczas dodawania wielu szprych. Niektóre z tych usług udostępnionych można przenieść do drugiego poziomu centrów.

Bezpośrednia komunikacja między sieciami z topologią szprych

Aby połączyć się bezpośrednio między sieciami wirtualnymi szprych bez przechodzenia przez sieć wirtualną koncentratora, możesz utworzyć połączenia komunikacji równorzędnej między szprychami lub włączyć bezpośrednią łączność dla grupy sieci. Najlepiej ograniczyć komunikację równorzędną lub bezpośrednią łączność z sieciami wirtualnymi szprych, które są częścią tego samego środowiska i obciążenia.

W przypadku korzystania z menedżera sieci wirtualnej można ręcznie dodać sieci wirtualne będące szprychami do grup sieciowych lub automatycznie dodawać sieci na podstawie zdefiniowanych warunków.

Na poniższym diagramie przedstawiono użycie menedżera sieci wirtualnej do bezpośredniej łączności między szprychami.

Diagram przedstawiający używanie menedżera sieci wirtualnej do bezpośredniej łączności między szprychami.

Kwestie wymagające rozważenia

Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Niezawodność

Niezawodność zapewnia, że aplikacja może spełnić zobowiązania podjęte przez klientów. Aby uzyskać więcej informacji, zobacz Omówienie filaru niezawodności.

Użyj stref dostępności dla usług platformy Azure w centrum, które je obsługują.

Ogólnie rzecz biorąc, najlepiej mieć co najmniej jedno centrum na region i połączyć tylko szprychy z tymi koncentratorami z tego samego regionu. Ta konfiguracja ułatwia regionom grodziowym uniknięcie awarii w centrum jednego regionu, co powoduje powszechne błędy routingu sieciowego w niepowiązanych regionach.

Aby zapewnić wyższą dostępność, możesz użyć usługi ExpressRoute i sieci VPN dla trybu failover. Zobacz Connect an on-premises network to Azure using ExpressRoute with VPN failover and follow the guidance to design and architect Azure ExpressRoute for resiliency.

Ze względu na to, jak usługa Azure Firewall implementuje reguły aplikacji FQDN, upewnij się, że wszystkie zasoby wychodzące przez zaporę używają tego samego dostawcy DNS co sam zapora. Bez tego usługa Azure Firewall może blokować prawidłowy ruch, ponieważ rozpoznawanie adresów IP zapory nazwy FQDN różni się od rozpoznawania adresów IP tego samego adresu FQDN obiektu źródłowego. Włączenie serwera proxy usługi Azure Firewall w ramach rozpoznawania nazw DNS będącego szprychą jest jednym z rozwiązań zapewniających synchronizację nazw FQDN zarówno z inicjatorem ruchu, jak i z usługą Azure Firewall.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotyczącazabezpieczeń.

Aby chronić się przed atakami DDoS, włącz usługi Azure DDOS Protection w dowolnej sieci wirtualnej obwodowej. Każdy zasób, który ma publiczny adres IP, jest podatny na atak DDoS. Nawet jeśli obciążenia nie są uwidocznione publicznie, nadal masz publiczne adresy IP, które muszą być chronione, takie jak:

  • Publiczne adresy IP usługi Azure Firewall
  • Publiczne adresy IP bramy sieci VPN
  • Publiczny adres IP płaszczyzny sterowania usługi ExpressRoute

Aby zminimalizować ryzyko nieautoryzowanego dostępu i wymusić ścisłe zasady zabezpieczeń, zawsze ustawiaj jawne reguły odmowy w sieciowych grupach zabezpieczeń.

Użyj wersji Azure Firewall Premium, aby włączyć inspekcję protokołu TLS, system wykrywania i zapobiegania włamaniom do sieci (IDPS) oraz filtrowanie adresów URL.

Zabezpieczenia programu Virtual Network Manager

Aby zapewnić podstawowy zestaw reguł zabezpieczeń, pamiętaj, aby skojarzyć reguły administratora zabezpieczeń z sieciami wirtualnymi w grupach sieciowych. Reguły administratora zabezpieczeń mają pierwszeństwo przed regułami sieciowej grupy zabezpieczeń i są oceniane. Podobnie jak reguły sieciowej grupy zabezpieczeń, reguły administratora zabezpieczeń obsługują priorytetyzację, tagi usług i protokoły L3-L4. Aby uzyskać więcej informacji, zobacz Reguły administratora zabezpieczeń w Menedżerze sieci wirtualnej.

Użyj wdrożeń menedżera sieci wirtualnej, aby ułatwić kontrolowane wprowadzanie potencjalnie powodujących niezgodność zmian w regułach zabezpieczeń grupy sieciowej.

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dlaoptymalizacji kosztów.

Podczas wdrażania sieci piasty i szprych oraz zarządzania nimi należy wziąć pod uwagę następujące czynniki związane z kosztami. Aby uzyskać więcej informacji, zobacz Cennik sieci wirtualnej.

Koszty usługi Azure Firewall

Ta architektura wdraża wystąpienie usługi Azure Firewall w sieci piasty. Użycie wdrożenia usługi Azure Firewall jako rozwiązania współużytkowanego przez wiele obciążeń może znacznie obniżyć koszty chmury w porównaniu z innymi urządzeniami WUS. Aby uzyskać więcej informacji, zobacz Usługa Azure Firewall a wirtualne urządzenia sieciowe.

Aby efektywnie korzystać ze wszystkich wdrożonych zasobów, wybierz odpowiedni rozmiar usługi Azure Firewall. Zdecyduj, jakich funkcji potrzebujesz, a która warstwa najlepiej odpowiada bieżącemu zestawowi obciążeń. Aby dowiedzieć się więcej o dostępnych jednostkach SKU usługi Azure Firewall, zobacz Co to jest usługa Azure Firewall?

Bezpośrednia komunikacja równorzędna

Selektywne użycie bezpośredniej komunikacji równorzędnej lub innej komunikacji nienależących do piasty między szprychami może uniknąć kosztów przetwarzania usługi Azure Firewall. Oszczędności mogą być znaczące w przypadku sieci, które mają obciążenia z wysoką przepływnością, komunikacją o niskim ryzyku między szprychami, takimi jak synchronizacja bazy danych lub operacje kopiowania dużych plików.

Doskonałość operacyjna

Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca doskonałości operacyjnej.

Włącz ustawienia diagnostyczne dla wszystkich usług, takich jak Azure Bastion, Azure Firewall i brama międzypremierowa. Określ, które ustawienia mają znaczenie dla operacji. Wyłącz ustawienia, które nie mają znaczenia, aby uniknąć niepotrzebnych kosztów. Zasoby, takie jak Usługa Azure Firewall, mogą być pełne z rejestrowaniem i mogą wiązać się z wysokimi kosztami monitorowania.

Użyj Monitor połączeń na potrzeby kompleksowego monitorowania w celu wykrywania anomalii oraz identyfikowania i rozwiązywania problemów z siecią.

Użyj usługi Azure Network Watcher do monitorowania i rozwiązywania problemów ze składnikami sieciowymi, w tym używania analiza ruchu, aby pokazać systemy w sieciach wirtualnych, które generują najwięcej ruchu. Możesz wizualnie zidentyfikować wąskie gardła, zanim staną się problemami.

Jeśli używasz usługi ExpressRoute, użyj modułu zbierającego ruch usługi ExpressRoute, w którym można analizować dzienniki przepływów dla przepływów sieci wysyłanych za pośrednictwem obwodów usługi ExpressRoute. Moduł zbierający ruch usługi ExpressRoute zapewnia wgląd w ruch przepływujący przez routery brzegowe przedsiębiorstwa firmy Microsoft.

Używaj reguł opartych na nazwach FQDN w usłudze Azure Firewall dla protokołów innych niż HTTP lub podczas konfigurowania programu SQL Server. Korzystanie z nazw FQDN zmniejsza obciążenie związane z zarządzaniem poszczególnymi adresami IP.

Zaplanuj adresowanie IP na podstawie wymagań dotyczących komunikacji równorzędnej i upewnij się, że przestrzeń adresowa nie nakłada się na lokalizacje między lokalizacjami i lokalizacjami platformy Azure.

Automatyzacja za pomocą usługi Azure Virtual Network Manager

Aby centralnie zarządzać łącznością i mechanizmami kontroli zabezpieczeń, użyj usługi Azure Virtual Network Manager, aby utworzyć nowe topologie sieci wirtualnej piasty i szprych lub dołączyć istniejące topologie. Użycie menedżera sieci wirtualnej gwarantuje, że topologie sieci piasty i szprych są przygotowane do przyszłego wzrostu na dużą skalę w wielu subskrypcjach, grupach zarządzania i regionach.

Przykładowe scenariusze przypadków użycia menedżera sieci wirtualnej obejmują:

  • Demokratyzacja zarządzania siecią wirtualną szprychą do grup, takich jak jednostki biznesowe lub zespoły aplikacji. Demokratyzacja może spowodować dużą liczbę wymagań dotyczących łączności między sieciami wirtualnymi i reguł zabezpieczeń sieci.
  • Standaryzacja wielu architektur replik w wielu regionach świadczenia usługi Azure w celu zapewnienia globalnego zużycia aplikacji.

Aby zapewnić jednolitą łączność i reguły zabezpieczeń sieci, można użyć grup sieciowych do grupowania sieci wirtualnych w dowolnej subskrypcji, grupie zarządzania lub regionie w ramach tej samej dzierżawy firmy Microsoft. Możesz automatycznie lub ręcznie dołączyć sieci wirtualne do grup sieciowych za pomocą dynamicznych lub statycznych przypisań członkostwa.

Definiowanie możliwości odnajdywania sieci wirtualnych zarządzanych przez menedżera sieci wirtualnej przy użyciu zakresów. Ta funkcja zapewnia elastyczność dla żądanej liczby wystąpień menedżera sieci, co umożliwia dalsze zarządzanie demokratyzacją dla grup sieci wirtualnych.

Aby połączyć sieci wirtualne będące szprychami w tej samej grupie sieci, użyj menedżera sieci wirtualnej do zaimplementowania komunikacji równorzędnej sieci wirtualnych lub bezpośredniej łączności. Użyj opcji globalnej siatki, aby rozszerzyć bezpośrednią łączność siatki z sieciami szprych w różnych regionach. Na poniższym diagramie przedstawiono globalną łączność siatki między regionami.

Diagram przedstawiający łączność bezpośrednią z siatką globalną szprych w regionach.

Sieci wirtualne można skojarzyć w grupie sieci z bazowym zestawem reguł administratora zabezpieczeń. Reguły administratora zabezpieczeń grupy sieciowej uniemożliwiają właścicielom sieci wirtualnej będącej szprychą zastępowanie reguł zabezpieczeń punktów odniesienia, umożliwiając im niezależne dodawanie własnych zestawów reguł zabezpieczeń i sieciowych grup zabezpieczeń. Aby zapoznać się z przykładem używania reguł administratora zabezpieczeń w topologii piasty i szprych, zobacz Samouczek: tworzenie zabezpieczonej sieci piasty i szprych.

Aby ułatwić kontrolowane wdrażanie grup sieciowych, łączności i reguł zabezpieczeń, wdrożenia konfiguracji programu Virtual Network Manager ułatwiają bezpieczne wydawanie potencjalnie powodujących niezgodność zmian konfiguracji w środowiskach piasty i szprych. Aby uzyskać więcej informacji, zobacz Configuration deployments in Azure Virtual Network Manager (Wdrożenia konfiguracji w usłudze Azure Virtual Network Manager).

Aby uprościć i usprawnić proces tworzenia i utrzymywania konfiguracji tras, można użyć zautomatyzowanego zarządzania trasami zdefiniowanymi przez użytkownika w usłudze Azure Virtual Network Manager.

Aby uprościć i scentralizować zarządzanie adresami IP, można użyć zarządzania adresami IP (IPAM) w usłudze Azure Virtual Network Manager. Usługa IPAM uniemożliwia konflikty przestrzeni adresów IP w sieciach wirtualnych lokalnych i w chmurze.

Aby rozpocząć pracę z usługą Virtual Network Manager, zobacz Create a hub and spoke topology with Azure Virtual Network Manager (Tworzenie topologii piasty i szprych za pomocą usługi Azure Virtual Network Manager).

Wydajność

Wydajność to możliwość skalowania obciążenia w celu spełnienia wymagań, które są na nim nakładane przez użytkowników w wydajny sposób. Aby uzyskać więcej informacji, zobacz performance efficiency pillar overview (Omówienie filaru wydajności wydajności).

W przypadku obciążeń, które komunikują się ze środowiska lokalnego do maszyn wirtualnych w sieci wirtualnej platformy Azure, które wymagają małych opóźnień i wysokiej przepustowości, rozważ użycie ExpressRoute FastPath. Funkcja FastPath umożliwia wysyłanie ruchu bezpośrednio do maszyn wirtualnych w sieci wirtualnej ze środowiska lokalnego, pomijając bramę sieci wirtualnej usługi ExpressRoute, zwiększając wydajność.

W przypadku komunikacji typu szprycha-szprych, które wymagają małych opóźnień, rozważ skonfigurowanie sieci typu szprycha-szprycha.

Wybierz odpowiednią jednostkę SKU bramy spełniającą wymagania, takie jak liczba połączeń punkt-lokacja lub lokacja-lokacja, wymagane pakiety na sekundę, wymagania dotyczące przepustowości i przepływy TCP.

W przypadku przepływów wrażliwych na opóźnienia, takich jak sap lub dostęp do magazynu, należy rozważyć pominięcie usługi Azure Firewall, a nawet routing przez centrum. Możesz opóźnienia testowe wprowadzone przez usługę Azure Firewall, aby ułatwić podjęcie decyzji. Można użyć funkcji, takich jak komunikacja równorzędna sieci wirtualnych , która łączy dwie lub więcej sieci lub usługi Azure Private Link, która umożliwia łączenie się z usługą za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej.

Dowiedz się, że włączenie niektórych funkcji w usłudze Azure Firewall, takich jak system wykrywania nieautoryzowanego dostępu i zapobiegania im (IDPS), zmniejsza przepływność. Aby uzyskać więcej informacji, zobacz wydajności usługi Azure Firewall.

Wdrażanie tego scenariusza

To wdrożenie obejmuje jedną sieć wirtualną piasty i dwie połączone szprychy, a także wdraża wystąpienie usługi Azure Firewall i hosta usługi Azure Bastion. Opcjonalnie wdrożenie może obejmować maszyny wirtualne w pierwszej sieci szprych i bramę sieci VPN. W celu utworzenia połączeń sieciowych można wybrać między wirtualnymi sieciami równorzędnym lub połączonymi grupami menedżera sieci wirtualnej. Każda metoda ma kilka opcji wdrażania.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Autorzy zabezpieczeń:

Inni współautorzy:

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

Scenariusze zaawansowane

Architektura może się różnić od tej prostej architektury piasty i szprych. Poniżej przedstawiono listę wskazówek dotyczących niektórych zaawansowanych scenariuszy:

Zapoznaj się z następującymi powiązanymi architekturami: