Udostępnij za pośrednictwem

Doskonałość operacyjna i łączność sieciowa

  • Artykuł

Łączność sieciowa obejmuje trzy modele platformy Azure na potrzeby łączności z siecią prywatną:

Iniekcja sieci wirtualnej ma zastosowanie do usług wdrożonych specjalnie dla Ciebie, takich jak:

  • węzły Azure Kubernetes Service (AKS)
  • Wystąpienie zarządzane SQL
  • Virtual Machines

Te zasoby łączą się bezpośrednio z siecią wirtualną.

punkty końcowe usługi Virtual Network (VNet) zapewniają bezpieczną i bezpośrednią łączność z usługami platformy Azure. Te punkty końcowe usługi używają zoptymalizowanej trasy w sieci platformy Azure. Punkty końcowe usługi umożliwiają prywatnym adresom IP w sieci wirtualnej uzyskiwanie dostępu do punktu końcowego usługi platformy Azure bez konieczności korzystania z publicznego adresu IP w sieci wirtualnej.

Private Link zapewnia dedykowany dostęp przy użyciu prywatnych adresów IP do wystąpień paaS platformy Azure lub usług niestandardowych za Azure Load Balancer Standard.

Zagadnienia dotyczące projektowania

Łączność sieciowa obejmuje następujące zagadnienia projektowe związane z doskonałością operacyjną:

  • Użyj Private Link, jeśli są dostępne, dla udostępnionych usług PaaS platformy Azure. Private Link jest ogólnie dostępna dla kilku usług i jest dostępna w publicznej wersji zapoznawczej dla wielu usług.

  • Uzyskiwanie dostępu do usług PaaS platformy Azure ze środowiska lokalnego za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute .

  • Użyj iniekcji sieci wirtualnej dla dedykowanych usług platformy Azure lub Azure Private Link dla dostępnych udostępnionych usług platformy Azure. Aby uzyskać dostęp do usług PaaS platformy Azure ze środowiska lokalnego, gdy iniekcja sieci wirtualnej lub Private Link nie są dostępne, użyj usługi ExpressRoute z komunikacją równorzędną firmy Microsoft. Ta metoda pozwala uniknąć tranzytu przez publiczny Internet.

  • Użyj punktów końcowych usługi dla sieci wirtualnej, aby zabezpieczyć dostęp do usług PaaS platformy Azure z poziomu sieci wirtualnej. Używaj punktów końcowych usługi dla sieci wirtualnej tylko wtedy, gdy Private Link nie jest dostępna i nie ma problemów z nieautoryzowanym przenoszeniem danych.

  • Punkty końcowe usługi nie zezwalają na dostęp do usługi PaaS z sieci lokalnych. Prywatne punkty końcowe są do zrobienia.

  • Aby rozwiązać problemy związane z nieautoryzowanym przenoszeniem danych za pomocą punktów końcowych usługi, użyj filtrowania wirtualnego urządzenia sieciowego (WUS). Możesz również użyć zasad punktu końcowego usługi dla sieci wirtualnej dla usługi Azure Storage.

  • Następujące natywne usługi zabezpieczeń sieci to w pełni zarządzane usługi. Klienci nie generują kosztów operacyjnych i zarządzania związanych z wdrożeniami infrastruktury, które mogą stać się złożone na dużą skalę:

    • Azure Firewall
    • Application Gateway
    • Azure Front Door

  • Usługi PaaS są zwykle dostępne za pośrednictwem publicznych punktów końcowych. Platforma Azure zapewnia możliwości zabezpieczania tych punktów końcowych lub ich całkowitego prywatności.

  • Możesz również użyć wirtualnych urządzeń sieciowych innych firm, jeśli klient preferuje je w sytuacjach, w których usługi natywne nie spełniają określonych wymagań.

Lista kontrolna

Czy skonfigurowano łączność sieciową z myślą o doskonałości operacyjnej?

  • Nie implementuj wymuszonego tunelowania, aby umożliwić komunikację z platformy Azure do zasobów platformy Azure.
  • Jeśli nie używasz filtrowania wirtualnego urządzenia sieciowego (WUS), nie używaj punktów końcowych usługi sieci wirtualnej, gdy występują obawy dotyczące nieautoryzowanego przenoszenia danych.
  • Nie włączaj domyślnie punktów końcowych usługi dla sieci wirtualnej we wszystkich podsieciach.

Następny krok

Niezawodność i Virtual Network Azure