Udostępnij za pośrednictwem

Perspektywa platformy Azure Well-Architected Framework w usłudze Azure Virtual Network

  • Artykuł

Usługa Azure Virtual Network to podstawowy blok konstrukcyjny do ustanawiania sieci prywatnej na platformie Azure. Służy do włączania komunikacji między zasobami platformy Azure i zapewnienia łączności z Internetem. Sieć wirtualna integruje się również z systemami lokalnymi. Obejmuje wbudowane funkcje filtrowania, aby zapewnić, że tylko oczekiwany, dozwolony i bezpieczny ruch dociera do składników w granicach sieci.

W tym artykule założono, że jako architekt znasz konstrukcje sieciowe na platformie Azure. Wskazówki koncentrują się na zaleceniach architektonicznych, które są przypisane do zasad filarów Well-Architected Framework.

Ważny

Jak używać tego przewodnika

Każda sekcja zawiera listę kontrolną projektu , która przedstawia zagadnienia dotyczące architektury wraz ze strategiami projektowania zlokalizowanymi w zakresie technologii.

Dostępne są również zalecenia dotyczące możliwości technologicznych, które mogą pomóc zmaterializować te strategie. Zalecenia nie reprezentują wyczerpującej listy wszystkich konfiguracji, które są dostępne dla sieci wirtualnej i jej zależności. Zamiast tego wyświetlają listę kluczowych zaleceń dopasowanych do perspektyw projektu. Skorzystaj z zaleceń, aby utworzyć weryfikację koncepcji lub zoptymalizować istniejące środowiska.

Podstawowa architektura, która demonstruje kluczowe zalecenia: topologia sieci hub-spoke w Azure.

Zakres technologii

Ten przegląd koncentruje się na powiązanych decyzjach dotyczących następujących zasobów platformy Azure:

  • Sieć wirtualna i jej podsieci
  • Karty interfejsu sieciowego (karty sieciowe)
  • Prywatne punkty końcowe
  • Sieciowe grupy zabezpieczeń
  • Adresy IP i alokacje adresów IP
  • Tabele tras
  • Menedżerowie sieci

Diagram przedstawiający prosty układ sieciowy na platformie Azure.

Istnieją inne usługi skojarzone z siecią wirtualną, takie jak moduły równoważenia obciążenia. Te usługi są objęte odpowiednimi przewodnikami.

Niezawodność

Celem filaru niezawodności jest zapewnienie ciągłej funkcjonalności przez budowanie wystarczającej odporności i możliwość szybkiego odzyskiwania po awariach.

zasady projektowania niezawodności zapewniają ogólną strategię projektowania stosowaną dla poszczególnych składników, przepływów systemowych i całego systemu.

Lista kontrolna projektu

Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu pod kątem niezawodności. Określ jego znaczenie dla wymagań biznesowych, pamiętając o funkcjach sieci wirtualnej i jej zależnościach. Rozszerz strategię w celu uwzględnienia większej liczby podejść zgodnie z potrzebami.

  • Ustaw cele dotyczące niezawodności. Sieć wirtualna i większość jej podusług nie ma gwarancji umowy dotyczącej poziomu usług (SLA, Service Level Agreement) wspieranej przez firmę Microsoft. Jednak określone usługi, takie jak moduły równoważenia obciążenia, karty sieciowe i publiczne adresy IP, mają umowy SLA. Należy dobrze zrozumieć zakres związany z opublikowanym percentylem dostarczanym przez platformę Azure. Należy pamiętać, że centralna organizacja usług IT zwykle jest właścicielem sieci wirtualnej i usług centralnych. Upewnij się, że obliczenia celów obejmują tę zależność.

  • Zminimalizuj punkty awarii. Analiza trybu awarii i identyfikowanie pojedynczych punktów awarii w połączeniach sieciowych.

    W poniższych przykładach pokazano pojedyncze punkty awarii w połączeniach sieciowych:

    Niepowodzenie Łagodzenia
    Błąd publicznego adresu IP w pojedynczej strefie dostępności. Wdróż zasoby adresów IP w różnych strefach lub użyj pomocniczego adresu IP z modułem równoważenia obciążenia.
    Awaria wirtualnego urządzenia sieciowego (NVA) w pojedynczej strefie. Wdróż drugie urządzenie NVA w innej strefie i użyj modułu równoważenia obciążenia, aby kierować ruch do NVA.
    Opóźnienie w obciążeniach rozłożonych między regionami lub strefami, co zmniejsza przepływność i powoduje przekroczenie limitu czasu. Współlokuj zasoby w jednym regionie lub strefie. Przeprojektuj architekturę tak, aby korzystała z wzorców niezawodności, takich jak znaczniki wdrożenia z modułami do równoważenia obciążenia, dzięki czemu każdy znacznik może obsługiwać obciążenie i współpracować z pobliskimi zasobami.
    Awaria obciążenia w jednym regionie z zimnym miejscem zapasowym. Wstępnie skonfiguruj ustawienia sieciowe w regionie trybu failover. Takie podejście gwarantuje, że żadne adresy IP nie nakładają się na siebie.
    Awaria aplikacji w jednym regionie w sieci wirtualnej, która komunikuje się z bazą danych za pośrednictwem usługi Azure Private Link, z użyciem lokacji zapasowej z trybem zimnego przełączania. Replikuj połączenia w regionie pomocniczym i równorzędnych sieciach wirtualnych na potrzeby komunikacji.

  • Nadmiarowość przestrzeni adresowych IP. Aby zapewnić niezawodne skalowanie, powszechną strategią jest nadmierna aprowizacja pojemności, aby zapobiec wyczerpaniu adresów IP. Jednak takie podejście ma kompromis między niezawodnością a wydajnością operacyjną. Podsieci powinny używać tylko części przestrzeni adresowej sieci wirtualnej. Celem powinno być posiadanie wystarczającej ilości dodatkowej przestrzeni adresowej w sieci wirtualnej i podsieci, aby zrównoważyć niezawodność z wydajnością operacyjną.

  • Należy pamiętać o limitach sieci. Platforma Azure nakłada limity na liczbę zasobów, które można wdrożyć. Chociaż większość limitów sieci platformy Azure jest ustawiona na ich maksymalne wartości, możesz zwiększyć niektóre limity. Aby uzyskać więcej informacji, zobacz limity sieciowe dla usługi Azure Resource Manager.

  • Tworzenie diagramów sieciowych, które koncentrują się na przepływach użytkowników. Te diagramy mogą ułatwić wizualizowanie segmentacji sieci, identyfikowanie potencjalnych punktów awarii oraz wskazywanie kluczowych przejść, takich jak punkty ruchu przychodzącego i wychodzącego w Internecie. Są one również ważnymi narzędziami do inspekcji i reagowania na zdarzenia.

    Wyróżnij przepływy ruchu o wysokim priorytecie między użytkownikiem oraz zasobami obciążenia. Jeśli na przykład priorytetujesz usługę Azure ExpressRoute dla przepływów sieci przedsiębiorstwa lub zabezpieczasz żądania użytkowników w projekcie sieci obwodowej, możesz uzyskać wgląd w planowanie pojemności zapór i innych usług.

  • Dodaj nadmiarowość. W razie potrzeby rozważ wdrożenie bram NAT i sieci wirtualnych w wielu regionach. Upewnij się, że publiczne adresy IP i inne usługi obsługujące strefę dostępności mają włączoną nadmiarowość strefy, a udostępniane zasoby, takie jak zapory sieciowe, są nadmiarowe w różnych regionach.

    Aby uzyskać więcej informacji, zobacz Kontynuacja działalności sieci wirtualnych.

  • Unikaj złożoności. Zwróć szczególną uwagę na sieci wirtualne, podsieci, adresy IP, trasy, grupy zabezpieczeń aplikacji i tagi. Proste konfiguracje zmniejszają prawdopodobieństwo błędnej konfiguracji i błędu. Błędy i błędy konfiguracji przyczyniają się do problemów z niezawodnością i dodają je do kosztów operacyjnych i konserwacyjnych. Oto kilka przykładów uproszczenia:

    • Jeśli to możliwe, użyj prywatnej usługi DNS i zminimalizuj liczbę stref DNS.
    • Upraszczanie konfiguracji routingu. Rozważ kierowanie całego ruchu przez zaporę, jeśli jest on używany w architekturze.

  • przetestuj odporność sieci. Użyj narzędzia Azure Chaos Studio, aby symulować zakłócenia łączności sieciowej. Takie podejście zapewnia, że obciążenia pozostają nadmiarowe i pomagają ocenić wpływ potencjalnych awarii.

  • Monitorowanie ruchu sieciowego pod kątem efektów niezawodności. Monitorowanie przepływu ruchu to kluczowa operacja pod kątem niezawodności. Na przykład chcesz zidentyfikować komunikatory o dużej ilości w sieci, aby określić, czy mogą one powodować zakłócenia. Platforma Azure udostępnia funkcje rejestrowania przepływów. Aby uzyskać więcej informacji, zobacz Operational Excellence.

Zalecenia

Zalecenie Korzyść
Rozmiar sieci wirtualnych i podsieci zgodnie ze strategią skalowania. Wybierz mniej, większe sieci wirtualne, aby uwzględnić nadmiarowość jako strategię ograniczania ryzyka awarii.

Upewnij się, że nie ma nakładających się przestrzeni adresowych z innymi sieciami wirtualnymi, z którymi musisz się komunikować, i zaplanuj przestrzeń adresową z wyprzedzeniem.

Aby uzyskać więcej informacji, zobacz Tworzenie, zmienianie lub usuwanie sieci wirtualnej.		 Dzięki nadmiernej aprowizacji można zapewnić efektywne skalowanie sieci bez wystąpienia ograniczeń przestrzeni adresowej.

Zaplanuj przestrzeń adresową z wyprzedzeniem, aby zapobiec konfliktom i zapewnić bezproblemową, skalowalną architekturę sieci.
Aby zwiększyć niezawodność za pośrednictwem stref dostępności, użyj standardowej jednostki IP SKU . Domyślnie publiczne adresy IP są wdrażane w wielu strefach, chyba że są ograniczone do jednej strefy. Ta jednostka SKU pomaga zapewnić, że komunikacja w publicznym adresie IP pozostaje operacyjna podczas awarii strefowych.

Bezpieczeństwo

Celem filaru Zabezpieczenia jest zapewnienie poufności, integralności i dostępności gwarancji dla obciążenia.

Zasady projektowania zabezpieczeń zapewniają strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów, stosując podejścia do technicznego projektowania sieci wirtualnej.

Lista kontrolna projektu

Rozpocznij strategię projektowania w oparciu o listę kontrolną przeglądu projektu i zidentyfikuj luki w zabezpieczeniach oraz mechanizmy kontrolne, aby poprawić stan zabezpieczeń. Rozszerz strategię w celu uwzględnienia większej liczby podejść zgodnie z potrzebami.

  • ustanów punkt odniesienia zabezpieczeń. Przejrzyj punkt odniesienia zabezpieczeń dla sieci wirtualnej i uwzględnij odpowiednie miary w punkcie odniesienia.

  • Zachowaj aktualność obwodu sieci. Ustawienia zabezpieczeń, takie jak grupy zabezpieczeń sieciowych (NSG), grupy zabezpieczeń aplikacji (ASG) i zakresy adresów IP, muszą być regularnie aktualizowane. Nieaktualne reguły mogą nie być zgodne z bieżącą architekturą sieci lub wzorcami ruchu. Ta luka w zabezpieczeniach może pozostawić sieć narażoną na potencjalne ataki, obniżając ograniczenia ruchu przychodzącego i wychodzącego.

  • Użyj segmentacji, aby zwiększyć poziom zabezpieczeń. Użyj sieciowych grup zabezpieczeń jako zapór L4 na poziomie podsieci. Kierowanie całego ruchu zewnętrznego przez wirtualne urządzenie sieciowe, takie jak zapora, przy użyciu tras zdefiniowanych przez użytkownika na potrzeby monitorowania i zarządzania. Użyj w pełni kwalifikowanych nazw domen (FQDN), aby filtrować dostęp do Internetu.

    Zabezpieczanie łączności platformy jako usługi z prywatnymi punktami końcowymi przy jednoczesnym blokowaniu połączeń wychodzących.

  • Zastosuj zasadę najniższych uprawnień. Skonfiguruj kontrolę dostępu opartą na rolach (RBAC) z myślą o braku dostępu dla ról związanych z siecią. Upewnij się, że użytkownicy mogą modyfikować ustawienia zgodnie z wymaganiami funkcji zadania.

  • Ogranicz publiczne adresy IP. Użyj udostępnionych publicznych adresów IP z usług, takich jak Azure Front Door, aby uzyskać lepsze zabezpieczenia i wstępne testy żądań. Zarządzanie dedykowanym publicznym adresem IP wymaga nadzorowania jego zabezpieczeń, w tym zarządzania portami i weryfikacji żądań. Jeśli to możliwe, użyj łączności prywatnej.

Zalecenia

Zalecenie Korzyść
użyj szyfrowania sieci wirtualnej. Wymuszając zaszyfrowany ruch, można chronić dane przesyłane między usługami Azure Virtual Machines i Azure Virtual Machine Scale Sets w tej samej sieci wirtualnej. Szyfruje również ruch między regionalnymi i globalnie równorzędnymi sieciami wirtualnymi.
Włącz Virtual Network Verifier w usłudze Azure Virtual Network Manager.

Użyj tej funkcji w środowisku przedprodukcyjnym, aby przetestować łączność między zasobami. Ta funkcja nie jest zalecana w środowisku produkcyjnym.		 Upewnij się, że zasoby platformy Azure w sieci są osiągalne i nie są blokowane przez zasady.
Włącz Azure DDoS Protection dla sieci wirtualnej. Alternatywnie można chronić poszczególne publiczne adresy IP za pomocą usługi Azure DDoS IP Protection.

Przejrzyj funkcje zabezpieczeń dostępne w usługach DDoS IP Protection i DDoS Network Protection i wybierz te, które spełniają Twoje wymagania. Na przykład warstwa ochrony sieci DDoS zapewnia obsługę zespołu szybkiego reagowania w przypadku wystąpienia ataków. Warstwa IP ochrony przed atakami DDoS nie zapewnia tego wsparcia.		 Możesz zabezpieczyć się przed rozproszonymi atakami typu "odmowa usługi".
Zabezpieczanie segmentów w sieci wirtualnej przy użyciu sieciowych grup zabezpieczeń .

Jeśli to możliwe, użyj grup ASG, aby zdefiniować reguły.		 Ruch, który przechodzi i opuszcza sieć, można filtrować na podstawie adresów IP i zakresów portów.
ASG upraszczają zarządzanie poprzez abstrakcję podstawowych zakresów adresów IP.
Użyj prywatnych punktów końcowych, aby uzyskać dostęp do usług platformy Azure za pośrednictwem prywatnego adresu IP w sieci wirtualnej.

Innym sposobem na implementację sieci prywatnej jest wykorzystanie punktów końcowych usługi w ramach . Te punkty końcowe kierują ruch do usługi za pośrednictwem sieci szkieletowej platformy Azure. Jeśli jest to możliwe dla usługi, wybierz prywatne punkty końcowe zamiast punktów końcowych usługi.		 Prywatne punkty końcowe usuwają potrzebę publicznych adresów IP, co zmniejsza obszar ataków.

Optymalizacja kosztów

Optymalizacja kosztów koncentruje się na wykrywaniu wzorców wydatków, określaniu priorytetów inwestycji w krytycznych obszarach i optymalizacji w innych w celu zmieszczenia się w budżecie organizacji przy jednoczesnym spełnieniu wymagań biznesowych.

Zasady projektowania optymalizacji kosztów zapewniają strategię projektowania wysokiego poziomu w celu osiągnięcia tych celów i podejmowania kompromisów zgodnie z potrzebami w projekcie technicznym związanym ze środowiskiem sieciowym.

Lista kontrolna projektu

Rozpocznij strategię projektowania na bazie checklisty przeglądu projektowego dla optymalizacji kosztów inwestycji. Dostosuj projekt tak, aby obciążenie było dostosowane do budżetu przydzielonego dla obciążenia. Projekt powinien korzystać z odpowiednich możliwości platformy Azure, monitorować inwestycje i znajdować możliwości optymalizacji w czasie.

  • Optymalizowanie dużych transferów danych między punktami końcowymi. Użyj peeringu sieci wirtualnych, aby efektywnie przenosić dane pomiędzy sieciami wirtualnymi. Mimo że peering wiąże się z kosztami ruchu przychodzącego i wychodzącego, takie podejście może być opłacalne, ponieważ zmniejsza zużycie przepustowości i problemy z wydajnością sieci. Unikaj routingu przez koncentrator, aby zminimalizować nieefektywność i koszty.

    Aby zoptymalizować transfer danych między regionami, należy wziąć pod uwagę zarówno częstotliwość, jak i metodę transferu. Na przykład w przypadku obsługi kopii zapasowych lokalizacja, w której zapisujesz kopie zapasowe, może znacząco wpłynąć na koszty. Przechowywanie danych kopii zapasowej w innym regionie wiąże się z przepustowością. Aby ograniczyć te koszty, upewnij się, że dane są kompresowane przed przesłaniem ich między regionami. Możesz dodatkowo zoptymalizować koszty i wydajność, dostosowując częstotliwość transferów danych.

  • uwzględnij składniki sieciowe w modelu kosztów. Uwzględnij ukryte koszty podczas tworzenia lub dostosowywania budżetu. Na przykład w architekturach wieloregionowych występują dodatkowe koszty związane z przesyłaniem danych między regionami.

    Raporty kosztów platformy Azure mogą nie zawierać wydatków związanych z wirtualnymi urządzeniami sieciowymi niezależnymi od Microsoft, które mają oddzielne koszty licencjonowania. Mogą one również mieć różne modele rozliczeń dla opcji stałej ceny i opartych na zużyciu. Pamiętaj, aby uwzględnić te czynniki w zagadnieniach dotyczących budżetu.

    Niektóre zasoby sieciowe mogą być kosztowne, takie jak Azure Firewall i ExpressRoute. Można przydzielać te zasoby w scentralizowanych modelach centralnych i przypisywać koszty zespołom. Uwzględnij te opłaty w modelu kosztów.

  • Nie płac za nieużywane możliwości. Regularnie przeglądaj koszty składników i usuwaj starsze funkcje lub konfiguracje domyślne. Ogranicz liczbę publicznych adresów IP, aby zmniejszyć koszty. Takie podejście zwiększa również bezpieczeństwo dzięki zmniejszeniu obszaru ataków.

  • Optymalizowanie prywatnych punktów końcowych. Ustal, czy można ponownie użyć łącza prywatnego do zasobu z innych sieci wirtualnych. W przypadku korzystania z prywatnego punktu końcowego w regionalnym peeringu sieci wirtualnej nie są naliczane opłaty za peering za ruch do i z prywatnego punktu końcowego. Płacisz tylko za dostęp do łącza prywatnego, a nie za ruch między sieciami wirtualnymi. Aby uzyskać więcej informacji, zobacz Private Link w architekturze sieciowej typu piasta i szprychy.

  • Dopasuj funkcje inspekcji ruchu sieciowego z priorytetem i wymaganiami dotyczącymi zabezpieczeń przepływu. W przypadku wymagań dotyczących dużej przepustowości rozważ kierowanie ruchu do ścieżek o niższych kosztach. Usługa ExpressRoute jest odpowiednia dla dużego ruchu, ale może być kosztowna. Rozważ alternatywy, takie jak publiczne punkty końcowe, aby uzyskać oszczędności kosztów. Jednak istnieje kompromis w zakresie bezpieczeństwa. Użyj peeringu sieciowego dla ruchu między sieciami, aby pominąć zaporę i uniknąć niepotrzebnych inspekcji.

    Zezwalaj tylko na wymagany ruch między składnikami i blokuj nieoczekiwany ruch. Jeśli ruch jest oczekiwany, a przepływ jest zgodny z wymaganiami dotyczącymi zabezpieczeń, możesz pominąć te punkty kontrolne. Na przykład sprawdź, czy ruch musi być kierowany przez zaporę, jeśli zasób zdalny znajduje się w strefie zaufania.

    Oceń liczbę podsieci i skojarzonych z nimi sieciowych grup zabezpieczeń, nawet w ramach sieci wirtualnej. Im więcej NSG posiadasz, tym wyższe są koszty operacyjne zarządzania zestawami reguł. Jeśli to możliwe, użyj grup roboczych ASG, aby usprawnić zarządzanie i zmniejszyć koszty.

  • Optymalizuj koszty kodu. Podczas opracowywania aplikacji wybierz bardziej wydajne protokoły i zastosuj kompresję danych, aby zoptymalizować wydajność. Na przykład można zwiększyć wydajność w aplikacji internetowej, konfigurując składniki do kompresowania danych. Te optymalizacje wpływają również na wydajność.

  • Skorzystaj z zasobów w scentralizowanej sieci wirtualnej. Użyj scentralizowanych zasobów, aby zmniejszyć duplikację i obciążenie. Ponadto przeniesienie obowiązków do istniejących zespołów może jeszcze bardziej pomóc w optymalizacji kosztów i umożliwić delegowanie wiedzy specjalistycznej dla określonych funkcji.

Zalecenia

Zalecenie Korzyść
Użyj spajania sieci wirtualnych, aby zwiększyć wydajność przepływu sieci poprzez ominięcie kontroli.

Unikaj nadmiernego przyglądania się.		 Transferuje dane bezpośrednio między równorzędnymi sieciami wirtualnymi, aby ominąć zaporę, co zmniejsza zużycie przepustowości i problemy z wydajnością sieci.

Unikaj umieszczania wszystkich zasobów w jednej sieci wirtualnej. Koszty peeringu mogą być naliczane, ale nie jest praktyczne umieszczać wszystkich zasobów w jednej sieci wirtualnej wyłącznie dla oszczędności. Może to utrudnić wzrost. Sieć wirtualna może ostatecznie dotrzeć do punktu, w którym nowe zasoby nie mieszczą się już.
zminimalizować zasoby publicznych adresów IP, jeśli ich nie potrzebujesz.

Przed usunięciem upewnij się, że adres IP nie jest połączony z żadną konfiguracją adresu IP ani interfejsem sieciowym maszyny wirtualnej.		 Niepotrzebne publiczne adresy IP mogą zwiększyć koszty z powodu opłat za zasoby i obciążeń operacyjnych.

Doskonałość operacyjna

Doskonałość operacyjna koncentruje się głównie na procedurach praktyk rozwojowych, obserwowalności i zarządzania wydaniami.

Zasady projektowania operacyjnej doskonałości zapewniają strategię projektowania na wysokim poziomie dla osiągnięcia wskazanych celów zgodnie z wymaganiami operacyjnymi obciążenia.

Lista kontrolna projektu

Rozpocznij swoją strategię projektowania na podstawie listy kontrolnej przeglądu projektu zgodnie z wytycznymi dla Doskonałości Operacyjnej, aby zdefiniować procesy związane z obserwacją, testowaniem i wdrażaniem w środowisku sieciowym.

  • Poznaj nowe konstrukcje sieciowe platformy Azure. Podczas dołączania do platformy Azure zespoły sieciowe często zakładają, że ich istniejąca wiedza jest wystarczająca. Jednak platforma Azure ma wiele różnych aspektów. Upewnij się, że zespół rozumie podstawowe pojęcia dotyczące sieci platformy Azure, złożoność dns, routing i możliwości zabezpieczeń. Utwórz taksonomię usług sieciowych, aby zespół mógł dzielić się wiedzą i mieć wspólną wiedzę.

  • Sformalizuj projekt sieci i dąż do uproszczenia. Udokumentuj projekt i wszelkie zmiany, w tym szczegóły konfiguracji, takie jak tabele tras, NSG i reguły zapory. Uwzględnij zasady zarządzania, które obowiązują, takie jak blokowanie portów. Jasna dokumentacja umożliwia efektywną współpracę z innymi zespołami i uczestnikami projektu.

    Uproszczone sieci są łatwiejsze do monitorowania, rozwiązywania problemów i obsługi. Jeśli na przykład masz topologię typu hub-and-spoke, zminimalizuj bezpośrednie połączenia między szprychami, aby zmniejszyć obciążenie operacyjne i zwiększyć bezpieczeństwo. Zawsze dokumentuj projekt i podaj uzasadnienie każdej decyzji projektowej.

    Zmniejsz złożoność, używając aliasów zamiast bezpośrednich zakresów adresów IP. Ta metoda obniża obciążenie operacyjne.

  • Użyj wzorców projektowych, które optymalizują ruch sieciowy. Aby zoptymalizować użycie i konfigurację sieci, zaimplementuj znane wzorce projektowe, które minimalizują lub optymalizują ruch sieciowy. Zweryfikuj konfigurację sieci podczas kompilacji przy użyciu skanerów zabezpieczeń, aby upewnić się, że wszystko jest poprawnie skonfigurowane.

  • Wykonaj spójne wdrożenia sieciowe. Użyj infrastruktury jako kodu (IaC) dla wszystkich składników, w tym komunikacji równorzędnej sieci i prywatnych punktów końcowych. Dowiedz się, że podstawowe składniki sieciowe mogą się zmieniać rzadziej niż inne składniki. Zaimplementuj podejście wdrażania warstwowego dla Twojego stosu, aby móc wdrożyć każdą warstwę niezależnie. Unikaj łączenia IaC ze skryptami, aby zapobiec złożoności.

  • Monitoruj stos sieciowy. Monitoruj wzorce ruchu w sposób ciągły, aby identyfikować anomalie i problemy, takie jak przerywanie połączeń, zanim spowodują awarie kaskadowe. Jeśli to możliwe, ustaw alerty, aby otrzymywać powiadomienia o tych zakłóceniach.

    Podobnie jak w przypadku innych składników tej architektury, przechwyć wszystkie istotne metryki i dzienniki z różnych składników sieci, takich jak sieć wirtualna, podsieci, sieciowe grupy zabezpieczeń, zapory i moduły równoważenia obciążenia. Agreguj, wizualizuj i analizuj je na pulpitach nawigacyjnych. Utwórz alerty dla ważnych zdarzeń.

  • uwzględnij sieć w strategii ograniczania ryzyka awarii. Sieci wirtualne i podsieci są wdrażane początkowo i zwykle pozostają niezmienione, co sprawia, że wycofywanie jest trudne. Można jednak zoptymalizować odzyskiwanie, wykonując kilka strategii:

  • Zduplikuj tę infrastrukturę sieciową z wyprzedzeniem, szczególnie w przypadku ustawień hybrydowych. Upewnij się, że oddzielne trasy w różnych regionach są gotowe do wcześniejszej komunikacji ze sobą. Replikowanie i utrzymywanie spójnych sieciowych grup zabezpieczeń i reguł usługi Azure Firewall zarówno w lokacjach podstawowych, jak i odzyskiwania po awarii (DR). Ten proces może być czasochłonny i wymaga zatwierdzenia, ale wykonanie go z wyprzedzeniem pomaga zapobiegać problemom i awariom. Upewnij się, że testujesz stos sieciowy w lokalizacji odzyskiwania po awarii.

  • Staraj się unikać nakładających się zakresów adresów IP między sieciami produkcyjnymi a sieciami odzyskiwania po awarii. Dzięki zachowaniu odrębnych zakresów adresów IP można uprościć zarządzanie siecią i przyspieszyć przejście podczas zdarzenia trybu failover.

    Rozważ kompromis między kosztami a niezawodnością. Aby uzyskać więcej informacji, zobacz Wady i zalety.

  • Odciążenie operacji sieciowych na centralne zespoły. W miarę możliwości scentralizuj zarządzanie i nadzór nad infrastrukturą sieciową. Na przykład w topologii hubu i szprych, usługi takie jak Azure Firewall, ExpressRoute i DNS przeznaczone do użytku współużytkowanego są umieszczane w sieci hubu. Ten stos sieciowy powinien być centralnie zarządzany, co eliminuje obciążenie zespołu ds. obciążeń.

    Przekaż administrację sieci wirtualnej na rzecz centralnego zespołu, nawet w sieci obwodowej. Zminimalizuj operacje sieciowe do tego, co jest istotne dla obciążenia, takie jak zarządzanie NSG.

    Informuj centralne zespoły o wszelkich niezbędnych zmianach w obciążeniu, które mogą mieć wpływ na konfigurację udostępnionych zasobów. Aliasy tworzą abstrakcję podstawowych adresów IP, co upraszcza operacje.

  • Dostosuj rozmiar swojej sieci wirtualnej i podsieci. Wybierz mniej, większe sieci wirtualne, aby zmniejszyć nakład pracy związany z zarządzaniem i uniknąć nadmiernego zmniejszania liczby podsieci. Zarządzanie podsieciami i ich sieciowymi grupami zabezpieczeń może zwiększyć obciążenie operacyjne. W przypadku środowisk z ograniczoną dostępnością prywatnych adresów IP (RFC 1918) rozważ użycie protokołu IPv6.

Zalecenie Korzyść
Wdróż program Virtual Network Manager. Zamiast konfigurować każdą sieć wirtualną osobno, menedżer sieci wirtualnej centralnie zarządza łącznością na podstawie reguł. Takie podejście usprawnia operacje sieciowe.
Użyj narzędzi do monitorowania sieci.

Regularnie korzystaj z dzienników przepływu sieci wirtualnej oraz analizy ruchu , aby identyfikować zmiany w zapotrzebowaniu i wzorcach.
Użyj funkcji monitora połączeń , aby analizować i identyfikować problemy, takie jak przerywanie połączeń, zanim wpłyną one na aplikacje.		 Możesz zrozumieć, w jaki sposób dane przepływają przez Twoją sieć, identyfikować wąskie gardła oraz wykrywać nietypowe lub nieautoryzowane próby dostępu.
Podczas definiowania tras użyj tagów usługi zamiast określonych adresów IP.

Podobnie użyj grup ASG podczas definiowania reguł ruchu dla sieciowych grup zabezpieczeń.		 Takie podejście zapewnia niezawodność, ponieważ adresy IP mogą ulec zmianie, ale konfiguracja nie jest konieczna. Ponadto pomaga przezwyciężyć limity liczby tras lub reguł, które można ustawić przy użyciu bardziej ogólnych nazw.

Wydajność

Wydajność operacyjna polega na utrzymaniu doświadczenia użytkownika nawet w przypadku wzrostu obciążenia poprzez zarządzanie wydajnością. Strategia obejmuje skalowanie zasobów, identyfikowanie i optymalizowanie potencjalnych wąskich gardeł oraz optymalizowanie pod kątem szczytowej wydajności.

Zasady projektowania efektywności wydajności zapewniają strategię projektowania na wysokim poziomie w celu osiągnięcia tych celów pojemnościowych wobec oczekiwanego użycia.

Lista kontrolna projektu

Rozpocznij strategię projektowania na podstawie listy kontrolnej przeglądu projektu dla efektywności wydajności, aby zdefiniować punkt odniesienia na podstawie kluczowych wskaźników wydajności.

  • Zdefiniuj cele wydajności. Aby zdefiniować cele wydajności, należy opierać się na metrykach monitorowania, w szczególności na potrzeby opóźnień i przepustowości. Użyj danych monitora połączeń, takich jak opóźnienie i liczba przeskoków, aby ustawić cele i progi dla akceptowalnej wydajności. Usługa Application Insights udostępnia szczegółowy widok czasu, jak długo żądania obciążeń są przetwarzane w sieci, co pomaga uściślić te cele.

  • Dopasuj rozmiar swoich podsieci. Podczas przydzielania podsieci ważne jest zrównoważenie rozmiaru i skalowalności. Chcesz, aby podsieci były wystarczająco duże, aby pomieścić przewidywany wzrost bez obciążenia operacyjnego.

    Aby efektywnie zarządzać pojemnością, powszechną strategią jest przeznaczanie nadmiernych zasobów z powodu niepewności, ale celem powinno być ich optymalizowanie z czasem. Stale analizuj dane, aby sieć mogła obsłużyć obciążenie, ale nie płacisz za nieużywane zasoby.

  • Przeprowadzanie testów wydajnościowych. Użyj kombinacji danych syntetycznych i produkcyjnych, aby przetestować opóźnienie i przepustowość. Takie podejście pomaga ocenić, w jaki sposób te czynniki mogą mieć wpływ na wydajność obciążenia. Na przykład może wykrywać zasoby, które powodują hałaśliwe problemy sąsiadów i zużywają większą przepustowość niż oczekiwano. Ponadto identyfikuje ruch, który wykonuje wiele przeskoków i powoduje duże opóźnienie.

    Zalecamy przetestowanie w środowisku produkcyjnym lub przechwycenie i ponowne odtwarzanie danych produkcyjnych jako danych testowych. Takie podejście zapewnia, że testy odzwierciedlają rzeczywiste użycie, co ułatwia określenie realistycznych celów wydajności.

  • Monitorowanie ruchu między regionami. Należy wziąć pod uwagę, że zasoby robocze mogą znajdować się w różnych regionach. Komunikacja między regionami może zwiększyć znaczne opóźnienie. Ruch między strefami dostępności w tym samym regionie ma małe opóźnienia, ale może nie być wystarczająco szybki dla niektórych wyspecjalizowanych obciążeń.

Zalecenia

Zalecenie Korzyść
Włącz monitor połączeń usługi Azure Network Watcher.

Użyj monitora połączeń podczas testowania, który może generować syntetyczny ruch.		 Możesz zbierać metryki wskazujące utratę i opóźnienie w sieciach. Ponadto można śledzić całą ścieżkę ruchu, co jest ważne w przypadku wykrywania wąskich gardeł sieci.
Zachowaj wystarczająco dużą przestrzeń adresową sieci wirtualnej, aby obsługiwać skalowanie. Możesz uwzględnić przewidywany wzrost bez obciążenia operacyjnego.

Kompromisy

W przypadku używania podejść z list kontrolnych filarów może być konieczne wprowadzenie kompromisów projektowych. W poniższych przykładach przedstawiono zalety i wady.

nadmiarowy stos sieciowy

Jeśli zdecydujesz się wdrożyć nadmiarowy stos sieciowy, w tym NSG, trasy i inne konfiguracje, istnieje dodatkowy koszt związany z infrastrukturą i dokładnym testowaniem.

Ta inwestycja z góry zwiększa niezawodność. Możesz mieć pewność, że wszystko działa zgodnie z oczekiwaniami oraz zwiększyć szybkość odzyskiwania podczas zakłóceń.

komunikacja równorzędna sieci wirtualnych

Bezpośredni peering sieci wirtualnych zwiększa wydajność przez zmniejszenie opóźnień, ponieważ pozwala uniknąć konieczności kierowania ruchu przez koncentrator, w którym zapora ogniowa odszyfrowuje, inspekcjonuje i ponownie szyfruje ładunek.

Ten wzrost wydajności wiąże się z kosztem zmniejszonego bezpieczeństwa. Bez inspekcji firewalla, które zapewnia routing hub, obciążenie jest bardziej narażone na potencjalne zagrożenia.

Duże podsieci

Duże podsieci zapewniają dużą przestrzeń adresową, która umożliwia bezproblemowe skalowanie obciążeń w poziomie. Duża przestrzeń adresowa może chronić przed nieoczekiwanymi wzrostami zapotrzebowania. Może to jednak prowadzić do nieefektywnego używania adresów IP. W miarę upływu czasu ta nieefektywność może potencjalnie spowodować wyczerpanie adresów IP w miarę rozwoju obciążenia. Ponadto ta strategia wiąże się z wyższymi kosztami operacyjnymi. Z punktu widzenia doskonałości operacyjnej idealne jest utrzymanie podsieci tak małych, jak to możliwe.

Zasady platformy Azure

Platforma Azure udostępnia obszerny zestaw wbudowanych zasad związanych z siecią wirtualną i jej zależnościami. Definiowanie i przypisywanie zasad w celu zapewnienia zgodności zasobów ze standardami organizacyjnymi. Utwórz pulpit nawigacyjny zgodności usługi Azure Policy, aby zidentyfikować niezgodne zasoby i podjąć działania naprawcze.

Zestaw zasad platformy Azure może przeprowadzać inspekcję niektórych powyższych zaleceń. Można na przykład ustawić zasady, które automatycznie:

  • Chroń sieć wirtualną przed atakami woluminowymi i protokołami.
  • Odmów tworzenia interfejsów sieciowych, które mają publiczne adresy IP.
  • Wdrażanie usługi Network Watcher dla sieci wirtualnych.
  • Włącz analizę ruchu i dzienniki przepływów, aby monitorować wzorce ruchu.

Aby uzyskać kompleksowe zarządzanie, zapoznaj się z wbudowanymi definicjami Azure Policy i innymi zasadami, które mogą mieć wpływ na bezpieczeństwo warstwy sieciowej.

Rekomendacje usługi Azure Advisor

usługa Azure Advisor to spersonalizowany konsultant ds. chmury, który pomaga stosować najlepsze rozwiązania w celu zoptymalizowania wdrożeń platformy Azure. Poniżej przedstawiono kilka zaleceń, które mogą pomóc w poprawie niezawodności, bezpieczeństwa, efektywności kosztów, wydajności i doskonałości operacyjnej sieci wirtualnej.

Następne kroki

W poniższych artykułach przedstawiono zalecenia omówione w tym artykule.

  • Dla topologii piasty i szprych użyj referencyjnej architektury topologii sieci piasty i szprych , aby skonfigurować początkowy układ.

  • Skorzystaj z następującej dokumentacji produktu, aby zwiększyć wiedzę na temat implementacji: