Doskonałość operacyjna i usługa Azure Virtual Network
Podstawowy blok konstrukcyjny dla sieci prywatnej usługa Azure Virtual Network umożliwia zasobom platformy Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi.
Najważniejsze funkcje usługi Azure Virtual Network obejmują:
- Komunikacja z zasobami platformy Azure
- Komunikacja z Internetem
- Komunikacja z zasobami lokalnymi
- Filtrowanie ruchu sieciowego
Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Virtual Network?
Aby dowiedzieć się, jak usługa Azure Virtual Network obsługuje doskonałość operacyjną, zapoznaj się z następującymi tematami:
- Monitorowanie sieci wirtualnej platformy Azure
- Dokumentacja dotycząca monitorowania danych usługi Azure Virtual Network
- Pojęcia i najlepsze rozwiązania dotyczące usługi Azure Virtual Network
Uwagi dotyczące projektowania
Sieć wirtualna obejmuje następujące zagadnienia dotyczące projektowania doskonałości operacyjnej:
- Nakładające się przestrzenie adresów IP w lokalnych regionach i regionach platformy Azure tworzą poważne wyzwania związane z rywalizacją.
- Chociaż po utworzeniu można dodać przestrzeń adresową sieci wirtualnej, ten proces wymaga awarii, jeśli sieć wirtualna jest już połączona z inną siecią wirtualną za pośrednictwem komunikacji równorzędnej. Awaria jest konieczna, ponieważ komunikacja równorzędna sieci wirtualnych została usunięta i utworzona ponownie.
- Niektóre usługi platformy Azure wymagają dedykowanych podsieci, takich jak:
- Azure Firewall
- Azure Bastion
- Brama sieci wirtualnej
- Podsieci mogą być delegowane do niektórych usług w celu utworzenia wystąpień tej usługi w podsieci.
- Platforma Azure rezerwuje pięć adresów IP w każdej podsieci, które powinny być uwzględniane podczas określania rozmiaru sieci wirtualnych i uwzględnionych podsieci.
Lista kontrolna
Czy skonfigurowano usługę Azure Virtual Network z myślą o doskonałości operacyjnej?
- Użyj planów usługi Azure DDoS Standard Protection, aby chronić wszystkie publiczne punkty końcowe hostowane w sieciach wirtualnych klienta.
- Klienci korporacyjni muszą zaplanować adresowanie IP na platformie Azure, aby upewnić się, że nie ma nakładających się przestrzeni adresów IP w lokalnych lokalizacjach i regionach świadczenia usługi Azure.
- Użyj adresów IP z alokacji adresów dla prywatnych Internetu (żądanie komentarza (RFC) 1918).
- W przypadku środowisk z ograniczonymi prywatnymi adresami IP (RFC 1918) rozważ użycie protokołu IPv6.
- Nie twórz niepotrzebnie dużych sieci wirtualnych (na przykład:
/16
), aby upewnić się, że nie ma niepotrzebnych odpadów przestrzeni adresowej IP. - Nie twórz sieci wirtualnych bez wcześniejszego planowania wymaganej przestrzeni adresowej.
- Nie używaj publicznych adresów IP dla sieci wirtualnych, zwłaszcza jeśli publiczne adresy IP nie należą do klienta.
- Użyj punktów końcowych usługi sieci wirtualnej, aby zabezpieczyć dostęp do usług Azure Platform as a Service (PaaS) z poziomu sieci wirtualnej klienta.
- Aby rozwiązać problemy z eksfiltracją danych z punktami końcowymi usługi, użyj filtrowania wirtualnego urządzenia sieciowego (WUS) i zasad punktu końcowego usługi sieci wirtualnej dla usługi Azure Storage.
- Nie implementuj wymuszonego tunelowania, aby umożliwić komunikację z platformy Azure do zasobów platformy Azure.
- Uzyskiwanie dostępu do usług PaaS platformy Azure ze środowiska lokalnego za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute.
- Aby uzyskać dostęp do usług PaaS platformy Azure z sieci lokalnych, gdy iniekcja sieci wirtualnej lub usługa Private Link nie są dostępne, użyj usługi ExpressRoute z komunikacją równorzędną firmy Microsoft, jeśli nie ma problemów z eksfiltracją danych.
- Nie replikuj lokalnych sieci obwodowych (nazywanej również strefą DMZ, strefą zdemilitaryzowaną i podsiecią ekranowaną) do platformy Azure.
- Upewnij się, że komunikacja między usługami PaaS platformy Azure, które zostały wprowadzone do sieci wirtualnej, jest zablokowana w sieci wirtualnej przy użyciu tras zdefiniowanych przez użytkownika i sieciowych grup zabezpieczeń.
- Nie używaj punktów końcowych usługi sieci wirtualnej, jeśli występują obawy dotyczące eksfiltracji danych, chyba że jest używane filtrowanie urządzenia WUS.
- Nie włączaj domyślnie punktów końcowych usługi sieci wirtualnej we wszystkich podsieciach.
Zalecenia dotyczące konfiguracji
Podczas konfigurowania sieci wirtualnej platformy Azure należy wziąć pod uwagę następujące zalecenia dotyczące doskonałości operacyjnej:
Zalecenie | opis |
---|---|
Nie twórz sieci wirtualnych bez wcześniejszego planowania wymaganej przestrzeni adresowej. | Dodanie przestrzeni adresowej spowoduje awarię po nawiązaniu połączenia z siecią wirtualną za pośrednictwem komunikacji równorzędnej sieci wirtualnej. |
Użyj punktów końcowych usługi sieci wirtualnej, aby zabezpieczyć dostęp do usług Azure Platform as a Service (PaaS) z poziomu sieci wirtualnej klienta. | Tylko wtedy, gdy usługa Private Link nie jest dostępna i gdy nie ma problemów z eksfiltracją danych. |
Uzyskiwanie dostępu do usług PaaS platformy Azure ze środowiska lokalnego za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute. | Użyj iniekcji sieci wirtualnej dla dedykowanych usług platformy Azure lub usługi Azure Private Link dla dostępnych udostępnionych usług platformy Azure. |
Aby uzyskać dostęp do usług PaaS platformy Azure z sieci lokalnych, gdy iniekcja sieci wirtualnej lub usługa Private Link nie są dostępne, użyj usługi ExpressRoute z komunikacją równorzędną firmy Microsoft, jeśli nie ma problemów z eksfiltracją danych. | Unika przesyłania przez publiczny Internet. |
Nie replikuj lokalnych sieci obwodowych (nazywanej również strefą DMZ, strefą zdemilitaryzowaną i podsiecią ekranowaną) do platformy Azure. | Klienci mogą uzyskać podobne możliwości zabezpieczeń na platformie Azure jako lokalne, ale implementacja i architektura będą musiały zostać dostosowane do chmury. |
Upewnij się, że komunikacja między usługami PaaS platformy Azure, które zostały wprowadzone do sieci wirtualnej, jest zablokowana w sieci wirtualnej przy użyciu tras zdefiniowanych przez użytkownika i sieciowych grup zabezpieczeń. | Usługi PaaS platformy Azure, które zostały wprowadzone do sieci wirtualnej, nadal wykonują operacje płaszczyzny zarządzania przy użyciu publicznych adresów IP. |