Udostępnij za pośrednictwem


Topologia sieci i łączność

Topologia sieci i obszar projektowania łączności mają kluczowe znaczenie dla ustanowienia podstaw projektu sieci w chmurze.

Przegląd obszaru projektowania

Zaangażowane role lub funkcje: ten obszar projektowania prawdopodobnie wymaga obsługi jednej lub większej liczby funkcji platformy w chmurze i centrum doskonałości w chmurze w celu podejmowania i wdrażania decyzji.

Zakres: celem projektowania sieci jest dostosowanie projektu sieci w chmurze do ogólnych planów wdrażania chmury. Jeśli plany wdrażania chmury obejmują zależności hybrydowe lub wielochmurowe lub jeśli potrzebujesz łączności z innych powodów, projekt sieci powinien również uwzględniać te opcje łączności i oczekiwane wzorce ruchu.

Poza zakresem: ten obszar projektowania ustanawia podstawę sieci. Nie dotyczy problemów związanych ze zgodnością, takich jak zaawansowane zabezpieczenia sieci lub zautomatyzowane zabezpieczenia wymuszania. Te wskazówki są dostępne podczas przeglądania obszarów projektowania zgodności zabezpieczeń i ładu . Publikowanie dyskusji dotyczących zabezpieczeń i ładu pozwala zespołowi platformy w chmurze sprostać początkowym wymaganiom sieciowym, zanim rozszerzą odbiorców na bardziej złożone tematy.

Omówienie obszaru projektowania

Topologia sieci i łączność są podstawowe dla organizacji, które planują projektowanie strefy docelowej. Sieć jest kluczowa dla niemal wszystkich elementów wewnątrz strefy docelowej. Umożliwia ona łączność z innymi usługami platformy Azure, użytkownikami zewnętrznymi i infrastrukturą lokalną. Topologia sieci i łączność znajdują się w grupie środowiskowej obszarów projektowych strefy docelowej platformy Azure. To grupowanie opiera się na ich znaczeniu w podstawowych decyzjach projektowych i wdrożeniowych.

Diagram obszarów sieciowych hierarchii grup zarządzania koncepcyjnego ALZ.

W koncepcyjnej architekturze strefy docelowej platformy Azure istnieją dwie główne grupy zarządzania hostujące obciążenia: Corp i Online. Te grupy zarządzania służą odrębnym celom w organizowaniu i zarządzaniu subskrypcjami platformy Azure. Relacja sieci między różnymi grupami zarządzania strefami docelowymi platformy Azure zależy od konkretnych wymagań organizacji i architektury sieci. W następnych kilku sekcjach omówiono relację sieciową między firmami Corp, Online i grupami zarządzania łącznością w odniesieniu do tego, co zapewnia akcelerator strefy docelowej platformy Azure.

Jaki jest cel grup zarządzania Łączności, Corp i Online?

  • Grupa zarządzania łącznością: ta grupa zarządzania zawiera dedykowane subskrypcje dla łączności, często jedną subskrypcję dla większości organizacji. Te subskrypcje hostować zasoby sieciowe platformy Azure wymagane dla platformy, takie jak Azure Virtual WAN, bramy sieci wirtualnej, usługa Azure Firewall i prywatne strefy usługi Azure DNS. Jest to również miejsce, w którym jest ustanawiana łączność hybrydowa między środowiskami chmurowymi i lokalnymi, przy użyciu usług takich jak ExpressRoute itp.
  • Grupa zarządzania corp: dedykowana grupa zarządzania dla firmowych stref docelowych. Ta grupa ma zawierać subskrypcje hostujące obciążenia wymagające tradycyjnej łączności routingu IP lub łączności hybrydowej z siecią firmową za pośrednictwem centrum w subskrypcji łączności, a tym samym stanowią część tej samej domeny routingu. Obciążenia, takie jak systemy wewnętrzne, nie są widoczne bezpośrednio w Internecie, ale mogą być uwidocznione za pośrednictwem odwrotnych serwerów proxy itp., takich jak usługi Application Gateway.
  • Grupa zarządzania online: dedykowana grupa zarządzania dla stref docelowych online. Ta grupa ma zawierać subskrypcje używane dla zasobów publicznych, takich jak witryny internetowe, aplikacje handlu elektronicznego i usługi dostępne dla klientów. Na przykład organizacje mogą korzystać z grupy zarządzania online, aby odizolować zasoby publiczne od reszty środowiska platformy Azure, zmniejszając obszar ataków i zapewniając, że zasoby publiczne są bezpieczne i dostępne dla klientów.

Dlaczego utworzyliśmy grupy zarządzania Corp i Online w celu oddzielenia obciążeń?

Różnica w zagadnieniach dotyczących sieci między grupami zarządzania Corp i Online w koncepcyjnej architekturze strefy docelowej platformy Azure polega na ich zamierzonym użyciu i podstawowym celu.

Grupa zarządzania corp służy do zarządzania i zabezpieczania wewnętrznych zasobów i usług, takich jak aplikacje biznesowe, bazy danych i zarządzanie użytkownikami. Zagadnienia dotyczące sieci dla grupy zarządzania Corp koncentrują się na zapewnianiu bezpiecznej i wydajnej łączności między zasobami wewnętrznymi, a jednocześnie wymuszaniu rygorystycznych zasad zabezpieczeń w celu ochrony przed nieautoryzowanym dostępem.

Grupa zarządzania online w koncepcyjnej architekturze strefy docelowej platformy Azure może być traktowana jako izolowane środowisko służące do zarządzania zasobami i usługami dostępnymi z Internetu. Korzystając z grupy zarządzania online do zarządzania zasobami publicznymi, architektura strefy docelowej platformy Azure umożliwia odizolowanie tych zasobów od zasobów wewnętrznych, co zmniejsza ryzyko nieautoryzowanego dostępu i minimalizowanie obszaru ataków.

W koncepcyjnej architekturze strefy docelowej platformy Azure sieć wirtualna w grupie zarządzania Online może być, opcjonalnie, za pomocą komunikacji równorzędnej z sieciami wirtualnymi w grupie zarządzania Corp, bezpośrednio lub pośrednio za pośrednictwem centrum i skojarzonych wymagań routingu za pośrednictwem usługi Azure Firewall lub urządzenia WUS, umożliwiając publicznym zasobom komunikację z zasobami wewnętrznymi w bezpieczny i kontrolowany sposób. Ta topologia zapewnia, że ruch sieciowy między zasobami publicznymi a zasobami wewnętrznymi jest bezpieczny i ograniczony, a jednocześnie umożliwia komunikację zasobów zgodnie z potrzebami.

Napiwek

Ważne jest również, aby zrozumieć i przejrzeć przypisane i dziedziczone zasady platformy Azure w każdej grupie zarządzania w ramach strefy docelowej platformy Azure. W miarę kształtowania tej pomocy należy chronić i zarządzać obciążeniami wdrożonym w ramach subskrypcji znajdujących się w tych grupach zarządzania. Przypisania zasad dla stref docelowych platformy Azure można znaleźć tutaj.