Azure Stack Hub 防火牆整合
建議您使用防火牆裝置來協助保護 Azure Stack Hub 的安全。 防火牆可協助防禦分散式阻斷服務 (DDOS) 攻擊、入侵檢測和內容檢查等專案。 不過,它們也可以成為 Azure 儲存服務的傳輸瓶頸,例如 Blob、表格和佇列。
如果使用中斷連線的部署模式,您必須發佈AD FS端點。 如需詳細資訊,請參閱 資料中心整合身分識別一文。
Azure Resource Manager(系統管理員)、系統管理員入口網站和 Key Vault(系統管理員)端點不一定需要外部發佈。 例如,身為服務提供者,您可以透過僅在內部網路管理 Azure Stack Hub,而非從網際網路進行管理,來限制攻擊面。
對於企業組織,外部網路可以是現有的公司網路。 在此案例中,您必須發佈端點,以便從公司網路管理 Azure Stack Hub。
網路地址轉譯
網路位址轉換 (NAT) 是建議的方法,允許部署虛擬機 (DVM) 在部署期間存取外部資源和因特網,以及在註冊和疑難解答期間緊急復原控制台 (ERCS) VM 或特殊許可權端點 (PEP) 存取因特網。
NAT 也可以替代外部網路上的公用IP位址或公用VIP。 不過,不建議這麼做,因為它會限制租用戶用戶體驗並增加複雜度。 其中一個選項是一對一 NAT,該 NAT 仍然需要集區上的每個使用者 IP 一個公用 IP。 另一個選項是多對一 NAT 配置,其中每個使用者 VIP 都需要針對使用者可能使用的所有埠建立 NAT 規則。
使用 NAT 進行公用 VIP 的一些缺點如下:
- NAT 會在管理防火牆規則時增加額外負荷,因為使用者在軟體定義網路堆疊中控制自己的端點和自己的發佈規則。 用戶必須連絡 Azure Stack Hub 操作員以發布其 VIP,並更新埠清單。
- 雖然 NAT 使用量會限制用戶體驗,但它可完全控制作員的發佈要求。
- Azure 不支援使用 NAT 設定至終端點的 VPN 通道,因此在使用 Azure 的混合式雲端案例中,請仔細考慮這一點。
SSL 攔截
目前建議停用所有在 Azure Stack Hub 流量上的 SSL 攔截功能(例如解密卸載)。 如果未來更新支援,將會提供有關如何啟用 Azure Stack Hub SSL 攔截的指引。
Edge 防火牆案例
在邊緣部署中,Azure Stack Hub 會直接部署在邊緣路由器或防火牆後方。 在這些案例中,支援防火牆位於邊界之上(案例 1),其同時支持主動-主動和主動-被動防火牆設定,或作為邊界裝置(案例 2),其僅支援使用成本相等的多路徑 (ECMP) 搭配 BGP 或靜態路由進行故障轉移的主動-主動防火牆組態。
公用可路由IP位址會在部署時針對外部網路的公用VIP集區指定。 在邊緣案例中,基於安全性考慮,不建議在任何其他網路上使用公用可路由IP。 此案例可讓用戶體驗完整的自我控制雲端體驗,就像在 Azure 之類的公用雲端中一樣。
企業內部網路或周邊網路防火牆案例
在企業內部網路或周邊部署中,Azure Stack Hub 會部署在多區域防火牆或邊緣防火牆與內部公司網路防火牆之間。 其流量接著會分散在安全、周邊網路(或 DMZ)和不安全的區域之間,如下所述:
- 安全區域:這是使用內部或公司可路由IP位址的內部網路。 安全網路可以分割、透過防火牆上的NAT進行因特網輸出存取,而且通常可透過內部網路從資料中心內的任何位置存取。 除了外部網路的公用VIP集區之外,所有Azure Stack Hub 網路都應該位於安全區域中。
- 周邊區域。 周邊網路是通常部署 Web 伺服器等外部或因特網面向應用程式的位置。 通常防火牆會監控並防止像 DDoS 和入侵(駭客攻擊)這樣的攻擊,同時仍允許來自網際網路的特定輸入流量。 只有 Azure Stack Hub 的外部網路公用 VIP 集區應該位於 DMZ 區域中。
- 不安全的區域。 這是外部網路、因特網。 不建議 在不安全區域中部署 Azure Stack Hub。
瞭解更多資訊
深入瞭解 Azure Stack Hub 端點所使用的 埠和通訊協定。