Udostępnij za pośrednictwem


Doskonałość operacyjna i usługa Azure Virtual Network

Podstawowy blok konstrukcyjny dla sieci prywatnej usługa Azure Virtual Network umożliwia zasobom platformy Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi.

Najważniejsze funkcje usługi Azure Virtual Network obejmują:

Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Virtual Network?

Aby dowiedzieć się, jak usługa Azure Virtual Network obsługuje doskonałość operacyjną, zapoznaj się z następującymi tematami:

Uwagi dotyczące projektowania

Sieć wirtualna obejmuje następujące zagadnienia dotyczące projektowania doskonałości operacyjnej:

  • Nakładające się przestrzenie adresów IP w lokalnych regionach i regionach platformy Azure tworzą poważne wyzwania związane z rywalizacją.
  • Chociaż po utworzeniu można dodać przestrzeń adresową sieci wirtualnej, ten proces wymaga awarii, jeśli sieć wirtualna jest już połączona z inną siecią wirtualną za pośrednictwem komunikacji równorzędnej. Awaria jest konieczna, ponieważ komunikacja równorzędna sieci wirtualnych została usunięta i utworzona ponownie.
  • Niektóre usługi platformy Azure wymagają dedykowanych podsieci, takich jak:
    • Azure Firewall
    • Azure Bastion
    • Brama sieci wirtualnej
  • Podsieci mogą być delegowane do niektórych usług w celu utworzenia wystąpień tej usługi w podsieci.
  • Platforma Azure rezerwuje pięć adresów IP w każdej podsieci, które powinny być uwzględniane podczas określania rozmiaru sieci wirtualnych i uwzględnionych podsieci.

Lista kontrolna

Czy skonfigurowano usługę Azure Virtual Network z myślą o doskonałości operacyjnej?

  • Użyj planów usługi Azure DDoS Standard Protection, aby chronić wszystkie publiczne punkty końcowe hostowane w sieciach wirtualnych klienta.
  • Klienci korporacyjni muszą zaplanować adresowanie IP na platformie Azure, aby upewnić się, że nie ma nakładających się przestrzeni adresów IP w lokalnych lokalizacjach i regionach świadczenia usługi Azure.
  • Użyj adresów IP z alokacji adresów dla prywatnych Internetu (żądanie komentarza (RFC) 1918).
  • W przypadku środowisk z ograniczonymi prywatnymi adresami IP (RFC 1918) rozważ użycie protokołu IPv6.
  • Nie twórz niepotrzebnie dużych sieci wirtualnych (na przykład: /16), aby upewnić się, że nie ma niepotrzebnych odpadów przestrzeni adresowej IP.
  • Nie twórz sieci wirtualnych bez wcześniejszego planowania wymaganej przestrzeni adresowej.
  • Nie używaj publicznych adresów IP dla sieci wirtualnych, zwłaszcza jeśli publiczne adresy IP nie należą do klienta.
  • Użyj punktów końcowych usługi sieci wirtualnej, aby zabezpieczyć dostęp do usług Azure Platform as a Service (PaaS) z poziomu sieci wirtualnej klienta.
  • Aby rozwiązać problemy z eksfiltracją danych z punktami końcowymi usługi, użyj filtrowania wirtualnego urządzenia sieciowego (WUS) i zasad punktu końcowego usługi sieci wirtualnej dla usługi Azure Storage.
  • Nie implementuj wymuszonego tunelowania, aby umożliwić komunikację z platformy Azure do zasobów platformy Azure.
  • Uzyskiwanie dostępu do usług PaaS platformy Azure ze środowiska lokalnego za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute.
  • Aby uzyskać dostęp do usług PaaS platformy Azure z sieci lokalnych, gdy iniekcja sieci wirtualnej lub usługa Private Link nie są dostępne, użyj usługi ExpressRoute z komunikacją równorzędną firmy Microsoft, jeśli nie ma problemów z eksfiltracją danych.
  • Nie replikuj lokalnych sieci obwodowych (nazywanej również strefą DMZ, strefą zdemilitaryzowaną i podsiecią ekranowaną) do platformy Azure.
  • Upewnij się, że komunikacja między usługami PaaS platformy Azure, które zostały wprowadzone do sieci wirtualnej, jest zablokowana w sieci wirtualnej przy użyciu tras zdefiniowanych przez użytkownika i sieciowych grup zabezpieczeń.
  • Nie używaj punktów końcowych usługi sieci wirtualnej, jeśli występują obawy dotyczące eksfiltracji danych, chyba że jest używane filtrowanie urządzenia WUS.
  • Nie włączaj domyślnie punktów końcowych usługi sieci wirtualnej we wszystkich podsieciach.

Zalecenia dotyczące konfiguracji

Podczas konfigurowania sieci wirtualnej platformy Azure należy wziąć pod uwagę następujące zalecenia dotyczące doskonałości operacyjnej:

Zalecenie opis
Nie twórz sieci wirtualnych bez wcześniejszego planowania wymaganej przestrzeni adresowej. Dodanie przestrzeni adresowej spowoduje awarię po nawiązaniu połączenia z siecią wirtualną za pośrednictwem komunikacji równorzędnej sieci wirtualnej.
Użyj punktów końcowych usługi sieci wirtualnej, aby zabezpieczyć dostęp do usług Azure Platform as a Service (PaaS) z poziomu sieci wirtualnej klienta. Tylko wtedy, gdy usługa Private Link nie jest dostępna i gdy nie ma problemów z eksfiltracją danych.
Uzyskiwanie dostępu do usług PaaS platformy Azure ze środowiska lokalnego za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute. Użyj iniekcji sieci wirtualnej dla dedykowanych usług platformy Azure lub usługi Azure Private Link dla dostępnych udostępnionych usług platformy Azure.
Aby uzyskać dostęp do usług PaaS platformy Azure z sieci lokalnych, gdy iniekcja sieci wirtualnej lub usługa Private Link nie są dostępne, użyj usługi ExpressRoute z komunikacją równorzędną firmy Microsoft, jeśli nie ma problemów z eksfiltracją danych. Unika przesyłania przez publiczny Internet.
Nie replikuj lokalnych sieci obwodowych (nazywanej również strefą DMZ, strefą zdemilitaryzowaną i podsiecią ekranowaną) do platformy Azure. Klienci mogą uzyskać podobne możliwości zabezpieczeń na platformie Azure jako lokalne, ale implementacja i architektura będą musiały zostać dostosowane do chmury.
Upewnij się, że komunikacja między usługami PaaS platformy Azure, które zostały wprowadzone do sieci wirtualnej, jest zablokowana w sieci wirtualnej przy użyciu tras zdefiniowanych przez użytkownika i sieciowych grup zabezpieczeń. Usługi PaaS platformy Azure, które zostały wprowadzone do sieci wirtualnej, nadal wykonują operacje płaszczyzny zarządzania przy użyciu publicznych adresów IP.

Następny krok