Niezawodność i Virtual Network platformy Azure
Podstawowy blok konstrukcyjny dla sieci prywatnej, usługa Azure Virtual Network umożliwia zasobom platformy Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi.
Najważniejsze funkcje usługi Azure Virtual Network obejmują:
- Komunikacja z zasobami platformy Azure
- Komunikacja z Internetem
- Komunikacja z zasobami lokalnymi
- Filtrowanie ruchu sieciowego
Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Virtual Network?
Aby dowiedzieć się, jak usługa Azure Virtual Network obsługuje niezawodne obciążenie, zapoznaj się z następującymi tematami:
- Samouczek: przenoszenie maszyn wirtualnych platformy Azure w różnych regionach
- Szybki start: tworzenie sieci wirtualnej przy użyciu witryny Azure Portal
- Virtual Network — ciągłość działania
Zagadnienia dotyczące projektowania
Virtual Network (sieć wirtualna) obejmuje następujące zagadnienia projektowe dotyczące niezawodnego obciążenia platformy Azure:
- Nakładające się przestrzenie adresów IP w lokalnych regionach i regionach platformy Azure tworzą poważne wyzwania związane z rywalizacją.
- Chociaż po utworzeniu można dodać Virtual Network przestrzeń adresową, proces ten wymaga awarii, jeśli Virtual Network jest już połączona z innym Virtual Network za pośrednictwem komunikacji równorzędnej. Awaria jest konieczna, ponieważ komunikacja równorzędna Virtual Network została usunięta i utworzona ponownie.
- Zmiana rozmiaru równorzędnych sieci wirtualnych jest dostępna w publicznej wersji zapoznawczej (20 sierpnia 2021 r.).
- Niektóre usługi platformy Azure wymagają dedykowanych podsieci, takich jak:
- Azure Firewall
- Azure Bastion
- Brama sieci wirtualnej
- Podsieci można delegować do niektórych usług w celu utworzenia wystąpień tej usługi w podsieci.
- Platforma Azure rezerwuje pięć adresów IP w każdej podsieci, która powinna być uwzględniana podczas określania rozmiaru sieci wirtualnych i obejmujących podsieci.
Lista kontrolna
Czy skonfigurowano Virtual Network platformy Azure z myślą o niezawodności?
- Użyj planów usługi Azure DDoS Standard Protection, aby chronić wszystkie publiczne punkty końcowe hostowane w sieciach wirtualnych klienta.
- Klienci korporacyjni muszą zaplanować adresowanie IP na platformie Azure, aby upewnić się, że nie ma nakładających się przestrzeni adresów IP w różnych lokalizacjach lokalnych i regionach świadczenia usługi Azure.
- Użyj adresów IP z alokacji adresów dla prywatnych Internetu (Żądanie komentarza (RFC) 1918).
- W przypadku środowisk z ograniczoną dostępnością prywatnych adresów IP (RFC 1918) rozważ użycie protokołu IPv6.
- Nie twórz niepotrzebnie dużych sieci wirtualnych (na przykład:
/16
) w celu zapewnienia, że nie ma niepotrzebnych odpadów przestrzeni adresowej IP. - Nie twórz sieci wirtualnych bez wcześniejszego planowania wymaganej przestrzeni adresowej.
- Nie używaj publicznych adresów IP dla sieci wirtualnych, zwłaszcza jeśli publiczne adresy IP nie należą do klienta.
- Użyj punktów końcowych usługi sieci wirtualnej, aby zabezpieczyć dostęp do usług Platformy jako usługi (PaaS) platformy Azure z poziomu sieci wirtualnej klienta.
- Aby rozwiązać problemy z eksfiltracją danych w przypadku punktów końcowych usługi, użyj filtrowania wirtualnego urządzenia sieciowego (WUS) i zasad punktu końcowego usługi sieci wirtualnej dla usługi Azure Storage.
- Nie implementuj wymuszonego tunelowania, aby umożliwić komunikację z platformy Azure do zasobów platformy Azure.
- Uzyskiwanie dostępu do usług PaaS platformy Azure ze środowiska lokalnego za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute.
- Aby uzyskać dostęp do usług PaaS platformy Azure z sieci lokalnych, gdy iniekcja sieci wirtualnej lub Private Link nie są dostępne, użyj usługi ExpressRoute z komunikacją równorzędną firmy Microsoft, jeśli nie ma obaw dotyczących eksfiltracji danych.
- Nie replikuj lokalnej sieci obwodowej (nazywanej również strefą DMZ, strefą zdemilitaryzowaną i podsiecią ekranowaną) koncepcji i architektur na platformie Azure.
- Upewnij się, że komunikacja między usługami PaaS platformy Azure, które zostały wprowadzone do Virtual Network, jest zablokowana w Virtual Network przy użyciu tras zdefiniowanych przez użytkownika i sieciowych grup zabezpieczeń.
- Nie używaj punktów końcowych usługi sieci wirtualnej, jeśli występują obawy dotyczące eksfiltracji danych, chyba że jest używane filtrowanie urządzenia WUS.
- Nie włączaj punktów końcowych usługi sieci wirtualnej domyślnie we wszystkich podsieciach.
Zalecenia dotyczące konfiguracji
Podczas konfigurowania Virtual Network platformy Azure należy wziąć pod uwagę następujące zalecenia:
Zalecenie | Opis |
---|---|
Nie twórz sieci wirtualnych bez wcześniejszego planowania wymaganej przestrzeni adresowej. | Dodanie przestrzeni adresowej spowoduje awarię po połączeniu Virtual Network za pośrednictwem komunikacji równorzędnej Virtual Network. |
Użyj punktów końcowych usługi sieci wirtualnej, aby zabezpieczyć dostęp do usług Platformy jako usługi (PaaS) platformy Azure z poziomu sieci wirtualnej klienta. | Tylko wtedy, gdy Private Link nie jest dostępna i gdy nie ma obaw dotyczących eksfiltracji danych. |
Uzyskiwanie dostępu do usług PaaS platformy Azure ze środowiska lokalnego za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute. | Użyj iniekcji sieci wirtualnej dla dedykowanych usług platformy Azure lub Azure Private Link dostępnych udostępnionych usług platformy Azure. |
Aby uzyskać dostęp do usług PaaS platformy Azure z sieci lokalnych, gdy iniekcja sieci wirtualnej lub Private Link nie są dostępne, użyj usługi ExpressRoute z komunikacją równorzędną firmy Microsoft, jeśli nie ma obaw dotyczących eksfiltracji danych. | Unika przesyłania przez publiczny Internet. |
Nie replikuj lokalnej sieci obwodowej (nazywanej również strefą DMZ, strefą zdemilitaryzowaną i podsiecią ekranowaną) koncepcji i architektur na platformie Azure. | Klienci mogą uzyskać podobne możliwości zabezpieczeń na platformie Azure jako lokalne, ale implementacja i architektura muszą zostać dostosowane do chmury. |
Upewnij się, że komunikacja między usługami PaaS platformy Azure, które zostały wprowadzone do Virtual Network, jest zablokowana w Virtual Network przy użyciu tras zdefiniowanych przez użytkownika i sieciowych grup zabezpieczeń. | Usługi PaaS platformy Azure, które zostały wprowadzone do Virtual Network nadal wykonują operacje płaszczyzny zarządzania przy użyciu publicznych adresów IP. |