Udostępnij za pośrednictwem


Niezawodność i Virtual Network platformy Azure

Podstawowy blok konstrukcyjny dla sieci prywatnej, usługa Azure Virtual Network umożliwia zasobom platformy Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi.

Najważniejsze funkcje usługi Azure Virtual Network obejmują:

Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Virtual Network?

Aby dowiedzieć się, jak usługa Azure Virtual Network obsługuje niezawodne obciążenie, zapoznaj się z następującymi tematami:

Zagadnienia dotyczące projektowania

Virtual Network (sieć wirtualna) obejmuje następujące zagadnienia projektowe dotyczące niezawodnego obciążenia platformy Azure:

  • Nakładające się przestrzenie adresów IP w lokalnych regionach i regionach platformy Azure tworzą poważne wyzwania związane z rywalizacją.
  • Chociaż po utworzeniu można dodać Virtual Network przestrzeń adresową, proces ten wymaga awarii, jeśli Virtual Network jest już połączona z innym Virtual Network za pośrednictwem komunikacji równorzędnej. Awaria jest konieczna, ponieważ komunikacja równorzędna Virtual Network została usunięta i utworzona ponownie.
  • Zmiana rozmiaru równorzędnych sieci wirtualnych jest dostępna w publicznej wersji zapoznawczej (20 sierpnia 2021 r.).
  • Niektóre usługi platformy Azure wymagają dedykowanych podsieci, takich jak:
    • Azure Firewall
    • Azure Bastion
    • Brama sieci wirtualnej
  • Podsieci można delegować do niektórych usług w celu utworzenia wystąpień tej usługi w podsieci.
  • Platforma Azure rezerwuje pięć adresów IP w każdej podsieci, która powinna być uwzględniana podczas określania rozmiaru sieci wirtualnych i obejmujących podsieci.

Lista kontrolna

Czy skonfigurowano Virtual Network platformy Azure z myślą o niezawodności?

  • Użyj planów usługi Azure DDoS Standard Protection, aby chronić wszystkie publiczne punkty końcowe hostowane w sieciach wirtualnych klienta.
  • Klienci korporacyjni muszą zaplanować adresowanie IP na platformie Azure, aby upewnić się, że nie ma nakładających się przestrzeni adresów IP w różnych lokalizacjach lokalnych i regionach świadczenia usługi Azure.
  • Użyj adresów IP z alokacji adresów dla prywatnych Internetu (Żądanie komentarza (RFC) 1918).
  • W przypadku środowisk z ograniczoną dostępnością prywatnych adresów IP (RFC 1918) rozważ użycie protokołu IPv6.
  • Nie twórz niepotrzebnie dużych sieci wirtualnych (na przykład: /16) w celu zapewnienia, że nie ma niepotrzebnych odpadów przestrzeni adresowej IP.
  • Nie twórz sieci wirtualnych bez wcześniejszego planowania wymaganej przestrzeni adresowej.
  • Nie używaj publicznych adresów IP dla sieci wirtualnych, zwłaszcza jeśli publiczne adresy IP nie należą do klienta.
  • Użyj punktów końcowych usługi sieci wirtualnej, aby zabezpieczyć dostęp do usług Platformy jako usługi (PaaS) platformy Azure z poziomu sieci wirtualnej klienta.
  • Aby rozwiązać problemy z eksfiltracją danych w przypadku punktów końcowych usługi, użyj filtrowania wirtualnego urządzenia sieciowego (WUS) i zasad punktu końcowego usługi sieci wirtualnej dla usługi Azure Storage.
  • Nie implementuj wymuszonego tunelowania, aby umożliwić komunikację z platformy Azure do zasobów platformy Azure.
  • Uzyskiwanie dostępu do usług PaaS platformy Azure ze środowiska lokalnego za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute.
  • Aby uzyskać dostęp do usług PaaS platformy Azure z sieci lokalnych, gdy iniekcja sieci wirtualnej lub Private Link nie są dostępne, użyj usługi ExpressRoute z komunikacją równorzędną firmy Microsoft, jeśli nie ma obaw dotyczących eksfiltracji danych.
  • Nie replikuj lokalnej sieci obwodowej (nazywanej również strefą DMZ, strefą zdemilitaryzowaną i podsiecią ekranowaną) koncepcji i architektur na platformie Azure.
  • Upewnij się, że komunikacja między usługami PaaS platformy Azure, które zostały wprowadzone do Virtual Network, jest zablokowana w Virtual Network przy użyciu tras zdefiniowanych przez użytkownika i sieciowych grup zabezpieczeń.
  • Nie używaj punktów końcowych usługi sieci wirtualnej, jeśli występują obawy dotyczące eksfiltracji danych, chyba że jest używane filtrowanie urządzenia WUS.
  • Nie włączaj punktów końcowych usługi sieci wirtualnej domyślnie we wszystkich podsieciach.

Zalecenia dotyczące konfiguracji

Podczas konfigurowania Virtual Network platformy Azure należy wziąć pod uwagę następujące zalecenia:

Zalecenie Opis
Nie twórz sieci wirtualnych bez wcześniejszego planowania wymaganej przestrzeni adresowej. Dodanie przestrzeni adresowej spowoduje awarię po połączeniu Virtual Network za pośrednictwem komunikacji równorzędnej Virtual Network.
Użyj punktów końcowych usługi sieci wirtualnej, aby zabezpieczyć dostęp do usług Platformy jako usługi (PaaS) platformy Azure z poziomu sieci wirtualnej klienta. Tylko wtedy, gdy Private Link nie jest dostępna i gdy nie ma obaw dotyczących eksfiltracji danych.
Uzyskiwanie dostępu do usług PaaS platformy Azure ze środowiska lokalnego za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute. Użyj iniekcji sieci wirtualnej dla dedykowanych usług platformy Azure lub Azure Private Link dostępnych udostępnionych usług platformy Azure.
Aby uzyskać dostęp do usług PaaS platformy Azure z sieci lokalnych, gdy iniekcja sieci wirtualnej lub Private Link nie są dostępne, użyj usługi ExpressRoute z komunikacją równorzędną firmy Microsoft, jeśli nie ma obaw dotyczących eksfiltracji danych. Unika przesyłania przez publiczny Internet.
Nie replikuj lokalnej sieci obwodowej (nazywanej również strefą DMZ, strefą zdemilitaryzowaną i podsiecią ekranowaną) koncepcji i architektur na platformie Azure. Klienci mogą uzyskać podobne możliwości zabezpieczeń na platformie Azure jako lokalne, ale implementacja i architektura muszą zostać dostosowane do chmury.
Upewnij się, że komunikacja między usługami PaaS platformy Azure, które zostały wprowadzone do Virtual Network, jest zablokowana w Virtual Network przy użyciu tras zdefiniowanych przez użytkownika i sieciowych grup zabezpieczeń. Usługi PaaS platformy Azure, które zostały wprowadzone do Virtual Network nadal wykonują operacje płaszczyzny zarządzania przy użyciu publicznych adresów IP.

Następny krok