共用方式為

Integration Services 登陸區域加速器的網路拓撲和連線考慮

  • 發行項

本文提供使用 Azure Integration Services (AIS) 登陸區域加速器時,可以套用的網路拓撲和連線設計考慮和建議。 網路是登陸區域中幾乎所有專案的核心。

此架構的網路拓撲和連線考慮取決於所裝載工作負載的需求,以及貴組織的安全性與合規性需求。

設計考量

如果您的組織使用以虛擬 WAN 為基礎的網路拓撲:

  • 計劃跨數個 Azure 區域部署資源,而且需要這些 Azure 區域中 VNet 與多個內部部署位置之間的全域連線。

  • 需要透過軟體定義的 WAN (SD-WAN) 部署將大規模分支網路直接整合到 Azure,或需要超過 30 個分支月臺才能終止原生 IPsec。

  • 您需要 VPN 與 ExpressRoute 之間的可轉移路由,例如透過站對站 VPN 連線的遠端分支,或透過點對站 VPN 連線的遠端使用者,需要透過 Azure 連線至 ExpressRoute 的 DC 連線。

組織會使用虛擬 WAN 來滿足大規模的互連需求。 Microsoft 會管理此服務,協助降低整體網路複雜性,並將組織網路現代化。

如果您的組織,請使用以中樞和輪輻架構為基礎的傳統 Azure 網路拓撲

  • 計劃只在選取 [Azure 區域] 中部署資源。

  • 不需要全域互連的網路。

  • 每個區域的遠端或分支位置很少,且需要少於 30 個 IP 安全性 (IPsec) 通道。

  • 需要完全控制設定,或需要手動自定義 Azure 網路的設定。

參考網路拓撲

下列架構圖顯示 AIS 企業部署的參考架構:

顯示 Azure Integration Services 登陸區域加速器架構的圖表。

規劃IP尋址

AIS 的企業部署應包含使用私人端點和 虛擬網絡。 規劃 IP 尋址時,應考慮下列設計考慮:

  • 某些 AIS 服務需要 專用子網

    • API 管理

    • Logic Apps

    • 您可以指定指定的子網 t0 指定的服務,以在子網內建立該服務的實例。 例如,您可以將子網指定為 App Service 方案,讓您可以隨著時間新增其他應用程式。

    • Azure VPN 閘道 可以透過其網路位址轉換 (NAT) 功能,連接重疊的內部部署網站與重疊的 IP 位址空間。

自訂 DNS

大部分的 AIS 服務都允許客戶針對公用端點使用自己的 DNS 名稱,無論是使用自己的 DNS 伺服器,還是透過 Azure DNS 供應專案。 這些設定是以資源為基礎來完成,但支援的資源如下所列:

私人 DNS

Azure 私用 DNS 為您的虛擬網路提供可靠且安全的 DNS 服務。 Azure 私人 DNS 可管理及解析虛擬網路的網域名稱,而無需設定自訂的 DNS 解決方案。

若要從虛擬網路解析私人 DNS 區域的記錄,您必須 將虛擬網路與區域連結。 鏈接的虛擬網路具有完整存取權,而且可以解析在私人區域中發佈的所有 DNS 記錄。

設計考量

  • 請務必正確設定 DNS 設定,將私人端點 IP 位址解析為資源的完整功能變數名稱(FQDN)。

  • 現有的 Microsoft Azure 服務可能已有公用端點的 DNS 設定。 必須覆寫此設定,才能使用您的私人端點連線。

加密和憑證驗證

如果您的網路設計需要加密傳輸中的流量和/或憑證型驗證,您可能需要考慮執行此加密/驗證的位置和方式。 例如,您需要識別哪個服務執行 TLS 終止。

設計考量

  • 您的設計是否需要加密 Azure 服務之間的流量? 您的加密是否可以在 Azure Front Door 終止,然後在周遊 Azure 骨幹或 VNet 內時未加密?

  • 您需要在多個位置終止加密嗎?

  • 您需要在多個位置處理驗證,還是可以針對外部要求執行一次驗證?

設計建議

對內部部署資源的 連線 性

許多企業整合案例都需要將內部部署系統連線至 Azure。 請務必考慮建議的模型來提供此連線能力。

設計考量

  • Azure ExpressRoute 會從內部部署位置提供 Azure 基礎結構即服務 (IaaS) 和平臺即服務 (PaaS) 資源的專用私人連線。

  • Azure VPN 閘道 提供從內部部署位置透過公用因特網與 Azure 基礎結構即服務 (IaaS) 虛擬網路資源的站對站 (S2S) 共用連線。

  • Azure ExpressRoute 和 Azure VPN 閘道 具有不同的功能、成本和效能

  • 內部部署數據閘道 (OPDG) 或 Azure Hybrid 連線 ion 可用來使用 ExpressRoute 或 VPN 閘道 不實用 – OPDG/Hybrid 連線 ion 都是轉送服務的範例,利用 服務匯流排 從內部部署網路進行連線以接收來自 Azure 的要求,而不需要在外部防火牆/網路中開啟埠。

    • OPDG 受限於每分鐘支援的要求數目(節流限制)、具有特定數據大小限制,且僅適用於有限的 Azure 資源(Logic Apps、Power BI、Power Apps、Power Automate、Analysis Services)。

    • 混合式連線可與 App Services(Function Apps 或 Web Apps)搭配運作,並有自己的節流和重設大小限制。

    • Azure 轉送混合式 連線 是 服務匯流排 的關鍵部分,可允許 App Services 或 OPDG 以外的轉送。

設計建議

  • 使用 Azure ExpressRoute 作為將內部部署網路連線到 Azure 的主要連線通道。

  • 請確定您是針對 ExpressRoute 和/或 VPN 閘道,根據頻寬和效能需求使用正確的 SKU。

  • 使用 Azure VPN 閘道 將分支或遠端位置連線至 Azure。

  • 使用無法使用 ExpressRoute 或 VPN 閘道 的 OPDG 和/或混合式 連線、輸送量限制不會是問題,以及您使用支援 Azure 資源的位置(例如 Logic Apps、Function Apps)。

對 AIS PaaS 服務的 連線 性

Azure AIS PaaS 服務通常會透過公用端點存取。 Azure 平臺提供保護這些端點,甚至讓端點完全私人的功能。

您可以使用 私人端點來保護這些端點

  • 若要封鎖目標資源的所有因特網流量,請使用私人端點。

  • 如果您想要保護 VNet 資源的特定子資源,請使用私人端點。

  • 如果您想要保護 VNet 資源的特定記憶體帳戶,您可以使用私人端點。

Azure Private Link 可讓您透過虛擬網路中的私人端點存取 Azure AIS 服務(例如,服務匯流排 和 API 管理),以及 Azure 裝載的客戶擁有/合作夥伴服務。

使用 Private Link 時,虛擬網路與服務之間的流量會周遊 Microsoft 骨幹網路,因此不再需要向公用因特網公開您的服務。 您可以在虛擬網路中建立自己的 Private Link 服務,並提供給客戶。 在 Azure PaaS 服務、客戶擁有的服務和共用合作夥伴服務中,使用 Azure Private Link 的設定和取用都是一致的。

設計考量

  • 虛擬網路插入可為支援的服務提供專用的私人部署。 管理平面流量仍會流經公用IP位址。

  • Azure Private Link 會針對 Azure Load Balancer 標準層後方的 Azure PaaS 實例或自定義服務使用私人 IP 位址來提供專用存取。

  • 企業客戶通常會擔心必須適當減輕 PaaS 服務的公用端點。

設計建議

  • 針對支援的 Azure 服務使用虛擬網路插入,使其可從您的虛擬網路內取得。

  • 插入虛擬網路的 Azure PaaS 服務仍會使用服務特定的公用 IP 位址來執行管理平面作業。 服務必須保證 連線 能正常運作。

  • 透過具有私人對等互連的 ExpressRoute,從內部部署存取 Azure PaaS 服務。 針對專用 Azure 服務使用虛擬網路插入,或針對可用的共用 Azure 服務使用 Azure Private Link。

  • 若要在無法使用虛擬網路插入或 Private Link 時從內部部署存取 Azure PaaS 服務,請使用 ExpressRoute 搭配 Microsoft 對等互連,讓您避免周遊公用因特網。

  • 透過 ExpressRoute 透過 Microsoft 對等互連從內部部署存取 Azure PaaS 服務,並不會防止存取 PaaS 服務的公用端點。 您必須視需要個別設定和限制。

  • 根據預設,請勿在所有子網上啟用虛擬網路服務端點。

  • 停用對 AIS PaaS 服務的公用存取。

API 管理的網路設計

設計考量

  • 決定 API 是否可在外部、內部或混合兩者存取。

  • 決定是否要使用內部 API 管理 閘道作為主要端點,或想要使用 Azure 應用程式閘道Azure Front Door 等 Web 應用程式防火牆 (WAF) 服務。

  • 決定是否應該部署多個閘道,以及這些閘道的負載平衡方式,例如,在 API 管理 閘道前使用 應用程式閘道。

  • 決定是否需要連線到內部部署或多重雲端環境。

設計建議

儲存體 帳戶的網路設計

Azure 儲存體 會作為 Azure Logic Apps 和 Azure Functions 的記憶體解決方案。

設計建議

  • 為了獲得最佳效能,邏輯應用程式/函式應用程式應該使用相同的區域中的記憶體帳戶,以減少延遲。

  • 針對 Azure 儲存體 帳戶使用私人端點,允許虛擬網路 (VNet) 上的用戶端透過 Private Link 安全地存取資料。

  • 應該為每個數據表、佇列和 Blob 記憶體服務建立不同的私人端點。

App Service 環境的網路設計

App Service 環境 (ASE) 是專用的隔離環境,可用於執行 Web 應用程式、函式應用程式和 Logic Apps(標準)。 它會部署在您的 VNet 中,並包含一些 App Service 方案,每個方案都用來裝載您的應用程式服務。

設計考量

  • ASE 會部署到 VNet 內的單一子網。 ASE 可以使用虛擬IP位址 (VIP) 來部署,允許外部連線使用公開可見的IP位址,而該位址可以新增至公用 DNS 記錄。

  • 根據網路存取規則,ASE 內的應用程式將可存取 虛擬網絡 內所有其他資源。 您可以使用 虛擬網絡 對等互連來存取其他 VNet 中的資源。

  • ASE 內的應用程式不需要設定為屬於 VNet , 它們就會自動在 VNet 內部署至 ASE。 這表示,您不必根據每個資源設定網路存取權,而是可以在ASE層級設定一次。

設計建議

  • 盡可能使用 ASE v3,因為這樣可提供最大的 網路彈性,同時減少 ASE 內個別資源所需的設定。 ASE v3也支持區域備援。

App Service 方案的網路設計

  • 您可以在多租用戶環境中使用私人或公用端點來部署應用程式服務。 使用 私人端點部署時,會移除App Service的公開公開。 如果 App Service 的私人端點也需要透過因特網連線,請考慮使用應用程式閘道來公開應用程式服務。

  • 請仔細規劃子網,以考慮所需的IP位址數目,進行輸出 VNet 整合。 VNet 整合需要專用子網。 規劃子網大小時,請注意 Azure 會在每個子網中保留 5 個 IP 位址 。 此外,每個方案實例的整合子網會使用一個位址。 若將應用程式調整為四個執行個體,則會使用四個位址。 擴大或縮小規模時,所需的位址空間會在短時間內加倍。 這會影響子網中實際可用的支持實例。

當需要從 App Service 連線到內部部署、私人或 IP 限制的服務時,請考慮:

  • 在多租用戶環境中執行時,App Service 呼叫可能源自各種IP位址,而且可能需要VNet整合才能符合您的網路需求。

  • API 管理 (APIM) 等服務可用來 Proxy 網路界限之間的呼叫,並視需要提供靜態 IP。

設計建議

  • 由於在指派之後無法變更子網大小,因此請使用夠大的子網來容納應用程式可能達到的任何規模。 若要避免子網容量發生任何問題,您應該使用 /26 後綴(64 個位址)進行 VNet 整合。

Azure Data Factory 的網路設計

設計考量

  • 若要將 Data Factory 連線到位於內部部署網路的數據源,或可能已設定為封鎖來自所有 Azure 服務的存取的 Azure 服務,除非您特別允許,否則您必須考慮將 Data Factory 與提供目標數據源網路存取權的虛擬網路整合。

  • Data Factory 會採用稱為 整合運行時間的不同環境。 默認 Data Factory 運行時間 Azure 整合運行時間未與 VNet 相關聯,因此無法用來連線到使用最嚴格防火牆保護的數據源。 請考慮 其中哪一個運行時間 最符合您的需求。

  • 受控 VNet 需要一些時間才能啟動,而一般 Azure 運行時間幾乎會立即可供使用。 這在排程管線和偵錯管線時,您需要牢記這一點。

  • 使用 VNet 整合運行時間的 SSIS 執行時間最多需要 30 分鐘才能啟動。

  • 自我裝載整合運行時間只能執行複製活動,該活動會將數據從某個來源複製到另一個來源。 如果您想要對數據執行任何轉換,則無法使用Data Factory的數據流來執行這些轉換。

  • 受控私人端點是在 Azure Data Factory 受控中建立的私人端點,虛擬網絡 建立 Azure 資源的私人連結(通常是 ADF 的數據源)。 Azure Data Factory 會代表您管理這些私人端點。

  • 私人端點 僅適用於自我裝載整合運行時間,以連線到 Data Factory。

Logic Apps 的網路設計 (標準) - VNet 整合式應用程式

設計考量

  • 邏輯應用程式的輸入流量將會通過私人端點。 規劃Logic Apps網路設計時, 請參閱透過私人端點 輸入流量文件的考慮。

  • 來自邏輯應用程式的輸出流量會流經 VNet。 規劃 Logic Apps 網路設計時, 請參閱透過虛擬網路整合 文件的輸出流量考慮。

服務匯流排的網路設計

設計考量

  • 您是否使用 私用 DNS 區域或您自己的 DNS 伺服器(搭配 DNS 轉送)來解析為私人連結資源?

  • IP 篩選和 VNet 僅在 進階版 SKU 層中支援 服務匯流排。 如果 進階版 層不實用,請參閱使用 SAS 令牌作為鎖定命名空間存取權的主要方式。

設計建議

  • 應使用 IP篩選來停用公用網路存取,這會套用至所有支援的通訊協定(例如AMQP和 HTTPS)。

  • 只有藉由限制公用網路存取(使用IP篩選)來限制 此命名空間的 流量只能透過私人端點限制。

  • 將您的私人端點放在保留給 服務匯流排 的專屬子網中。

  • 使用私人端點的私人 DNS 區域新增 DNS 記錄。 讓 Azure 內的受信任服務能夠直接存取您的命名空間(因此略過防火牆),以避免整合設計發生問題。

函式應用程式的網路設計

設計考量

  • 您是否使用 私用 DNS 區域或您自己的 DNS 伺服器(搭配 DNS 轉送)來解析為私人連結資源?

設計建議

  • 應停用公用網路存取。

  • 只有私人端點才能限制此命名空間的流量。

  • 將您的私人端點放在保留給 Functions 的專屬子網中。

  • 使用私人端點的私人 DNS 區域新增 DNS 記錄。

Azure 金鑰保存庫 的網路設計

設計建議

  • 應停用公用網路存取。

  • 建立私人端點,以 限制僅透過 VNet 的存取

  • 將您的私人端點放在保留給 金鑰保存庫 的專屬子網中。

  • 使用私人端點的私人 DNS 區域新增 DNS 記錄。

事件方格的網路設計

設計考量

  • 您是否使用 私用 DNS 區域或您自己的 DNS 伺服器(搭配 DNS 轉送)來解析為私人連結資源?

設計建議

  • 應使用IP篩選來停用公用網路存取。

  • 只有私人端點才能限制您主題和網域的流量。

  • 將您的私人端點放在保留給事件方格的專屬子網中。

  • 使用私人端點的私人 DNS 區域新增 DNS 記錄。

事件中樞的網路設計

設計考量

  • 限制網路存取不適用於事件中樞的基本 SKU 層

設計建議

  • 應使用IP篩選來停用公用網路存取。

  • 應使用服務端點停用公用網路存取:在 VNet 中建立 虛擬網絡 服務端點,並使用虛擬網路規則將此項目系結至事件中樞命名空間

  • 啟用 [信任的服務] 選項,以允許選取 [Azure 資源] 來存取您的命名空間。

後續步驟

檢閱重要的設計區域,以針對您的架構進行完整的考慮和建議。

安全性

建議內容