通过

Azure 上的 Red Hat Enterprise Linux 的网络拓扑和连接注意事项

  • 项目

本文介绍 Red Hat Enterprise Linux(RHEL)网络注意事项和建议,这些注意事项和建议基于 网络拓扑和连接的 Azure 登陆区域设计区域中的指导。

体系结构

以下 RHEL 体系结构是一个起点,可以进一步适应特定的业务和技术要求。 可以在虚拟机(VM)上部署各种 RHEL 平台组件和角色,并根据需要进行特定的大小调整和冗余。 这些示例中简化的网络布局演示了体系结构原则,并不描述整个企业网络。

显示 RHEL 参考体系结构的关系图。

下载此体系结构的 Visio 文件

元素 说明
A Microsoft 客户协议和计费中的组件
B Microsoft Entra 标识和访问管理中的组件
C Azure 管理组中的组件
D Windows Server Active Directory 标识管理订阅中的组件
E 网络中心订阅中的组件
周五 RHEL 管理和标识订阅中的组件
G Azure 管理组订阅中的组件
H RHEL 生产工作负荷订阅中的组件
I 本地组件
J Red Hat 云服务

RHEL 登陆区域网络的设计注意事项

请考虑以下有关登陆区域网络设计的建议:

  • 将中心辐射型网络拓扑用于单区域或多区域部署。 Azure 虚拟 WAN中心提供额外的功能,也可以使用传统的虚拟网络中心。 有关详细信息,请参阅 Azure 登陆区域网络

  • 使用 基础结构即代码 为所有登陆区域网络相关组件自动执行部署、配置管理和第 2 天操作。

  • 对所有支持的 Azure 服务使用 专用终结点 来提高安全性。 专用终结点可确保所有流量通过专用网络而不是通过公共 IP 地址进行路由。

防火墙考虑因素

下图显示了混合 Azure 区域 RHEL 登陆区域体系结构。

显示混合 Azure 区域 RHEL 登陆区域体系结构的关系图。

元素 说明
A 通过 Red Hat 管理订阅包含的 Red Hat 管理虚拟网络中的组件
B 通过 RHEL 生产工作负荷订阅包含的 RHEL 工作负荷虚拟网络中的组件
C 通过 Red Hat Identity Management 订阅包含的标识管理虚拟网络中的组件
D 通过 RHEL 生产工作负荷订阅包含的 RHEL 工作负荷虚拟网络中的组件

  • 对于虚拟 WAN拓扑,请考虑使用Azure 防火墙跨登陆区域路由流量。 Azure 防火墙提供流量筛选和日志记录功能。

  • Azure VPN 网关或 Azure ExpressRoute 网关控制到中心的混合连接。 若要监视和控制流量,请使用中心内的Azure 防火墙或虚拟网络设备(NVA)。

  • 可以使用本地防火墙来保护和路由所有入口和出口 Internet 流量。 防火墙可能会给基于云的资源带来延迟。 了解性能和安全要求,以确定应如何路由入口和出口流量。

子网注意事项

下图显示了区域复原配置中的管理和工作负荷子网。

显示区域复原配置中的管理和工作负荷子网的关系图。

  • 为 RHEL 登陆区域规划 IP 地址范围和虚拟网络大小时,请考虑针对应用程序、数据库和存储资源的专用子网。

  • 采用基于零信任的方法来实现外围网络和流量安全性。 有关详细信息,请参阅 Azure 上的网络安全策略

网络安全组注意事项

显示流量安全的 NSG 配置的关系图。

  • 使用网络安全组(NSG)帮助保护跨子网和跨平台的东部和西部流量(登陆区域之间的流量)。 Azure Policy 可以为所有子网设置此配置默认值。

  • 使用 NSG 和 应用程序安全组 在登陆区域中对流量进行微分段,并避免使用中央 NVA 来筛选流量流。

  • 启用 NSG 流日志并将其馈送到流量分析。 若要优化审核能力和安全性,请在订阅中的所有关键虚拟网络和子网上启用流日志。

  • 使用 NSG 可以选择性地允许在登陆区域之间建立连接。

  • 应用程序团队应使用子网级 NSG 上的应用程序安全组来帮助保护登陆区域中的多层 VM。

  • 如果组织实施强制隧道或播发的默认路由到本地位置,请考虑合并出站 NSG 规则来拒绝从虚拟网络直接流出到 Internet 的出口流量。 如果边界网关协议(BGP)会话断开,则此配置提供复原能力。 有关详细信息,请参阅 “规划登陆区域网络分段”。

其他注意事项

  • 启用 Internet 并筛选和检查流量。 用于启用 Internet 和筛选和检查流量的出站选项包括:

    • 通过中心网络出站访问 Red Hat Cloud。
    • 使用本地 Internet 访问的本地默认路由。
    • 使用 Azure 防火墙 或 NVA 保护的虚拟 WAN或传统虚拟网络中心。

  • 提供内容和应用程序。 用于传送内容和应用程序的入站选项包括:

    • 使用 L7、传输层安全性(TLS)终止和Web 应用程序防火墙Azure 应用程序网关。
    • 来自本地的动态网络转换(DNAT)和负载均衡器。
    • 使用 Azure 防火墙 或 NVA 的 Azure 虚拟网络,以及各种方案中的 Azure 路由服务器。
    • 虚拟 WAN具有 Azure 防火墙、L4 和 DNAT 的中心。
    • 在各种方案中虚拟 WAN具有 NVA 的中心。

  • 为本地和 Azure 资源配置域名解析。 RHEL 环境通常使用本地和 Azure 资源,这需要有效名称解析资源。 请考虑以下建议:

    • Azure 在虚拟网络中提供默认的内部名称解析。 此方案不需要任何配置。 不能修改域名解析后缀或执行手动注册。 有关详细信息,请参阅 Azure 提供的名称解析。
    • 对于跨虚拟网络的名称解析,RHEL 部署通常使用 Redhat Identity Management Server (IdM) 或 Azure DNS 中的域名系统(DNS)服务。 若要提供基于规则的转发,请结合 Azure 私人 DNS 解析程序和现有的 DNS 基础结构。

下一步