Niezawodność i łączność sieciowa
Łączność sieciowa obejmuje trzy modele platformy Azure na potrzeby łączności z siecią prywatną:
- Iniekcja sieci wirtualnej
- Punkty końcowe usługi sieci wirtualnej
- Link prywatny
Wstrzyknięcie sieci wirtualnej dotyczy usług wdrożonych specjalnie dla Ciebie, takich jak:
- węzły Azure Kubernetes Service (AKS)
- Wystąpienie zarządzane SQL
- Virtual Machines
Te zasoby łączą się bezpośrednio z siecią wirtualną.
punkty końcowe usługi Virtual Network (VNet) zapewniają bezpieczną i bezpośrednią łączność z usługami platformy Azure. Te punkty końcowe usługi używają zoptymalizowanej trasy w sieci platformy Azure. Punkty końcowe usługi umożliwiają prywatnym adresom IP w sieci wirtualnej uzyskiwanie dostępu do punktu końcowego usługi platformy Azure bez konieczności korzystania z publicznego adresu IP w sieci wirtualnej.
Private Link zapewnia dedykowany dostęp przy użyciu prywatnych adresów IP do wystąpień usługi Azure PaaS lub usług niestandardowych za Azure Load Balancer Standard.
Zagadnienia dotyczące projektowania
Łączność sieciowa obejmuje następujące zagadnienia projektowe związane z niezawodnym obciążeniem:
Użyj Private Link, jeśli są dostępne, dla udostępnionych usług PaaS platformy Azure. Private Link jest ogólnie dostępna dla kilku usług i jest dostępna w publicznej wersji zapoznawczej dla wielu usług.
Uzyskiwanie dostępu do usług PaaS platformy Azure ze środowiska lokalnego za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute .
Użyj iniekcji sieci wirtualnej dla dedykowanych usług platformy Azure lub Azure Private Link dostępnych udostępnionych usług platformy Azure. Aby uzyskać dostęp do usług PaaS platformy Azure ze środowiska lokalnego, gdy iniekcja sieci wirtualnej lub Private Link nie są dostępne, użyj usługi ExpressRoute z komunikacją równorzędną firmy Microsoft. Ta metoda pozwala uniknąć przesyłania przez publiczny Internet.
Użyj punktów końcowych usługi sieci wirtualnej, aby zabezpieczyć dostęp do usług PaaS platformy Azure z poziomu sieci wirtualnej. Używaj punktów końcowych usługi sieci wirtualnej tylko wtedy, gdy Private Link jest niedostępna i nie ma obaw dotyczących nieautoryzowanego przenoszenia danych.
Punkty końcowe usługi nie zezwalają na dostęp do usługi PaaS z sieci lokalnych. Prywatne punkty końcowe robią.
Aby rozwiązać problemy związane z nieautoryzowanym przenoszeniem danych z punktami końcowymi usługi, użyj filtrowania wirtualnego urządzenia sieciowego (WUS). Możesz również użyć zasad punktu końcowego usługi sieci wirtualnej dla usługi Azure Storage.
Następujące natywne usługi zabezpieczeń sieci są w pełni zarządzanymi usługami. Klienci nie ponoszą kosztów operacyjnych i zarządzania związanych z wdrożeniami infrastruktury, które mogą stać się złożone na dużą skalę:
- Azure Firewall
- Application Gateway
- Azure Front Door
Usługi PaaS są zwykle dostępne za pośrednictwem publicznych punktów końcowych. Platforma Azure zapewnia możliwości zabezpieczania tych punktów końcowych lub tworzenia ich całkowicie prywatnych.
Możesz również użyć urządzeń wirtualnych innych firm, jeśli klient preferuje je w sytuacjach, w których usługi natywne nie spełniają określonych wymagań.
Lista kontrolna
Czy skonfigurowano łączność sieciową z myślą o niezawodności?
- Nie implementuj wymuszonego tunelowania, aby umożliwić komunikację z platformy Azure do zasobów platformy Azure.
- Jeśli nie używasz filtrowania wirtualnego urządzenia sieciowego (WUS), nie używaj punktów końcowych usługi sieci wirtualnej, gdy istnieją obawy dotyczące nieautoryzowanego przenoszenia danych.
- Nie włączaj punktów końcowych usługi sieci wirtualnej domyślnie we wszystkich podsieciach.