Tillförlitlighet och Azure Virtual Network
Azure Virtual Network är en grundläggande byggsten för ditt privata nätverk och gör att Azure-resurser kan kommunicera säkert med varandra, Internet och lokala nätverk.
Viktiga funktioner i Azure Virtual Network är:
- Kommunikation med Azure-resurser
- Kommunikation med Internet
- Kommunikation med lokala resurser
- Filtrering av nätverkstrafik
Mer information finns i Vad är Azure Virtual Network?
Information om hur Azure Virtual Network stöder en tillförlitlig arbetsbelastning finns i följande avsnitt:
- Självstudie: Flytta virtuella Azure-datorer mellan regioner
- Snabbstart: Skapa ett virtuellt nätverk med hjälp av Azure-portalen
- Virtual Network – Affärskontinuitet
Designöverväganden
Virtual Network (VNet) innehåller följande designöverväganden för en tillförlitlig Azure-arbetsbelastning:
- Överlappande IP-adressutrymmen i lokala regioner och Azure-regioner skapar stora konkurrensutmaningar.
- Även om ett Virtual Network adressutrymme kan läggas till efter skapandet kräver den här processen ett avbrott om Virtual Network redan är ansluten till en annan Virtual Network via peering. Ett avbrott är nödvändigt eftersom Virtual Network-peering tas bort och återskapas.
- Storleksändring av peerkopplade virtuella nätverk finns i offentlig förhandsversion (20 augusti 2021).
- Vissa Azure-tjänster kräver dedikerade undernät, till exempel:
- Azure Firewall
- Azure Bastion
- Virtuell nätverksgateway
- Undernät kan delegeras till vissa tjänster för att skapa instanser av tjänsten i undernätet.
- Azure reserverar fem IP-adresser inom varje undernät, vilket bör beaktas vid storleksändring av virtuella nätverk och undernät.
Checklista
Har du konfigurerat Azure Virtual Network med tillförlitlighet i åtanke?
- Använd Azure DDoS Standard Protection-planer för att skydda alla offentliga slutpunkter som finns i kundens virtuella nätverk.
- Företagskunder måste planera för IP-adressering i Azure för att säkerställa att det inte finns något överlappande IP-adressutrymme i lokala platser och Azure-regioner.
- Använd IP-adresser från adressallokeringen för privata Internet (Request for Comment (RFC) 1918).
- Överväg att använda IPv6 för miljöer med begränsad tillgänglighet för privata IP-adresser (RFC 1918).
- Skapa inte onödigt stora virtuella nätverk (till exempel :
/16
) för att säkerställa att det inte finns något onödigt slöseri med IP-adressutrymme. - Skapa inte virtuella nätverk utan att planera det nödvändiga adressutrymmet i förväg.
- Använd inte offentliga IP-adresser för virtuella nätverk, särskilt inte om de offentliga IP-adresserna inte tillhör kunden.
- Använd VNet-tjänstslutpunkter för att skydda åtkomsten till Azure PaaS-tjänster (Plattform som en tjänst) inifrån ett kund-VNet.
- Om du vill åtgärda problem med dataexfiltrering med tjänstslutpunkter använder du NVA-filtrering (Network Virtual Appliance) och VNet-tjänstslutpunktsprinciper för Azure Storage.
- Implementera inte tvingad tunneltrafik för att aktivera kommunikation från Azure till Azure-resurser.
- Få åtkomst till Azure PaaS-tjänster lokalt via privat ExpressRoute-peering.
- Om du vill komma åt Azure PaaS-tjänster från lokala nätverk när VNet-inmatning eller Private Link inte är tillgängliga använder du ExpressRoute med Microsoft-peering när det inte finns några problem med dataexfiltrering.
- Replikera inte lokala perimeternätverk (även kallat DMZ, demilitariserad zon och skärmat undernät) begrepp och arkitekturer till Azure.
- Se till att kommunikationen mellan Azure PaaS-tjänster som har matats in i en Virtual Network är låst inom Virtual Network med hjälp av användardefinierade vägar (UDR) och nätverkssäkerhetsgrupper (NSG:er).
- Använd inte VNet-tjänstslutpunkter när det finns problem med dataexfiltrering, såvida inte NVA-filtrering används.
- Aktivera inte VNet-tjänstslutpunkter som standard i alla undernät.
Konfigurationsrekommendationer
Överväg följande rekommendationer för att optimera tillförlitligheten när du konfigurerar en Azure-Virtual Network:
Rekommendation | Description |
---|---|
Skapa inte virtuella nätverk utan att planera det nödvändiga adressutrymmet i förväg. | Om du lägger till adressutrymme uppstår ett avbrott när en Virtual Network är ansluten via Virtual Network peering. |
Använd VNet-tjänstslutpunkter för att skydda åtkomsten till Azure PaaS-tjänster (Plattform som en tjänst) inifrån ett kund-VNet. | Endast när Private Link inte är tillgängligt och när det inte finns några dataexfiltreringsproblem. |
Få åtkomst till Azure PaaS-tjänster lokalt via privat ExpressRoute-peering. | Använd antingen VNet-inmatning för dedikerade Azure-tjänster eller Azure Private Link för tillgängliga delade Azure-tjänster. |
Om du vill komma åt Azure PaaS-tjänster från lokala nätverk när VNet-inmatning eller Private Link inte är tillgängliga använder du ExpressRoute med Microsoft-peering när det inte finns några problem med dataexfiltrering. | Undviker överföring via det offentliga Internet. |
Replikera inte lokala perimeternätverk (även kallat DMZ, demilitariserad zon och skärmat undernät) begrepp och arkitekturer till Azure. | Kunder kan få liknande säkerhetsfunktioner i Azure som lokalt, men implementeringen och arkitekturen måste anpassas till molnet. |
Se till att kommunikationen mellan Azure PaaS-tjänster som har matats in i en Virtual Network är låst inom Virtual Network med hjälp av användardefinierade vägar (UDR) och nätverkssäkerhetsgrupper (NSG:er). | Azure PaaS-tjänster som har matats in i en Virtual Network fortfarande utföra hanteringsplanåtgärder med offentliga IP-adresser. |