此參考結構顯示擴充內部部署網路至 Azure 的安全混合式網路。 此架構會實作 內部部署網路與 Azure 虛擬網路之間的周邊網路,也稱為 DMZ。 所有輸入與輸出流量均通過 Azure 防火牆。
架構
下載此架構的 Visio 檔案。
元件
架構包含下列層面:
內部部署網路。 在組織中實作的私人局域網路。
Azure 虛擬網路。 虛擬網路會裝載在 Azure 中執行的解決方案元件和其他資源。
虛擬網路路由 會定義 Azure 虛擬網路內的 IP 流量流程。 在圖表中,有兩個用戶定義的路由表。
在閘道子網中,流量會透過 Azure 防火牆 實例路由傳送。
注意
視 VPN 連線的需求而定,您可以設定邊界閘道通訊協定 (BGP) 路由,以實作轉送規則,以透過內部部署網路將流量導向回來。
閘道。 閘道可在內部部署網路和虛擬網路中的路由器之間提供連線能力。 閘道會放在自己的子網中。
網路安全性群組。 使用 安全組 來限制虛擬網路內的網路流量。
Azure Bastion。 Azure Bastion 可讓您透過 SSH 或遠端桌面通訊協定 (RDP) 登入虛擬網路中的虛擬機(VM),而不需要將 VM 直接公開至因特網。 使用 Bastion 來管理虛擬網路中的 VM。
Bastion 需要名為 AzureBastionSubnet 的專用子網。
潛在使用案例
此架構需要使用 VPN 閘道或 ExpressRoute 連線,連線到您的內部部署資料中心。 此架構的一般用法包括:
- 工作負載部分在內部部署和 Azure 中執行的混合式應用程式。
- 需要對從內部部署數據中心進入 Azure 虛擬網路的流量進行細微控制的基礎結構。
- 必須稽核連出流量的應用程式。 稽核通常是許多商業系統的法規要求,有助於防止公開披露私人資訊。
建議
下列建議適用於大部分案例。 除非您有覆寫建議的特定需求,否則請遵循這些建議。
訪問控制建議
使用 Azure 角色型存取控制 (Azure RBAC) 來管理應用程式中的資源。 請考慮建立下列 自訂角色:
具有管理應用程式基礎結構、部署應用程式元件,以及監視和重新啟動 VM 之許可權的 DevOps 角色。
用來管理和監視網路資源的集中式IT系統管理員角色。
管理防火牆等安全網路資源的安全性IT系統管理員角色。
IT 系統管理員角色不應該具有防火牆資源的存取權。 存取權應限制為安全性IT系統管理員角色。
資源群組建議
您可以將 VM、虛擬網路和負載平衡器等 Azure 資源分組在一起,以輕鬆管理它們。 將 Azure 角色指派給每個資源群組以限制存取。
建議您建立下列資源群組:
- 包含虛擬網路的資源群組(不包括 VM)、NSG,以及連線到內部部署網路的閘道資源。 將集中式IT系統管理員角色指派給此資源群組。
- 資源群組,其中包含 Azure 防火牆 實例的 VM,以及閘道子網的使用者定義路由。 將安全性IT系統管理員角色指派給此資源群組。
- 針對包含負載平衡器和 VM 的每個輪輻虛擬網路,分隔資源群組。
網路功能的建議
若要接受來自因特網的輸入流量,請新增目的地網路位址轉換 (DNAT) 規則以 Azure 防火牆。
- 目的地位址 = 防火牆實例的公用IP位址。
- 翻譯的位址 = 虛擬網路內的私人IP位址。
使用站對站 VPN 信道透過內部部署網路強制通道 傳送所有輸出因特網流量,並使用網路位址轉換路由傳送至因特網。 此設計可防止意外洩漏任何機密資訊,並允許檢查和稽核所有傳出流量。
請勿完全封鎖來自輪輻網路子網中資源的因特網流量。 封鎖流量會防止這些資源使用依賴公用IP位址的Azure PaaS服務,例如 VM 診斷記錄、下載 VM 擴充功能和其他功能。 Azure 診斷也需要元件可以讀取和寫入 Azure 儲存體 帳戶。
確認輸出因特網流量已正確進行強制通道。 如果您使用 VPN 連線搭配內部部署伺服器上的路由和遠端存取服務,請使用 WireShark 之類的工具。
請考慮使用 應用程式閘道 或 Azure Front Door 進行 SSL 終止。
考量
這些考量能實作 Azure Well-Architected Framework 的支柱,其為一組指導原則,可以用來改善工作負載的品質。 如需更多資訊,請參閱 Microsoft Azure 結構完善的架構。
效能效益
效能效率可讓您的工作負載進行調整,以有效率的方式符合使用者對其放置的需求。 如需詳細資訊,請參閱效能效率支柱概觀。
如需 VPN 閘道 頻寬限制的詳細資訊,請參閱網關 SKU。 如需較高的頻寬,請考慮升級至 ExpressRoute 閘道。 ExpressRoute 提供最多 10 Gbps 頻寬,延遲低於 VPN 連線。
如需 Azure 閘道延展性的詳細資訊,請參閱下列各節的延展性考慮:
如需大規模管理虛擬網路和 NSG 的詳細數據,請參閱 Azure 虛擬網絡 管理員 (AVNM):建立安全的中樞和輪輻網路,以建立新的中樞和輪輻虛擬網路拓撲,以集中管理連線和 NSG 規則。
可靠性
可靠性可確保您的應用程式符合您對客戶的承諾。 如需詳細資訊,請參閱可靠性支柱的概觀 (部分機器翻譯)。
如果您使用 Azure ExpressRoute 來提供虛擬網路與內部部署網路之間的連線, 請設定 VPN 閘道,以在 ExpressRoute 連線變成無法使用時提供故障轉移 。
如需維護 VPN 和 ExpressRoute 連線可用性的相關信息,請參閱下列專案的可用性考慮:
卓越營運
卓越營運涵蓋部署應用程式並使其持續在生產環境中執行的作業流程。 如需詳細資訊,請參閱卓越營運支柱的概觀 (部分機器翻譯)。
如果從內部部署網路到 Azure 的網關聯機已關閉,您仍然可以透過 Azure Bastion 連線到 Azure 虛擬網路中的 VM。
參考架構中的每個層子網都會受到 NSG 規則的保護。 您可能需要建立規則,以在 Windows VM 上開啟遠端桌面通訊協定 (RDP) 存取的埠 3389,或針對 Linux VM 上的安全殼層 (SSH) 存取的埠 22 開啟埠 22。 其他管理和監視工具可能需要規則才能開啟其他埠。
如果您使用 ExpressRoute 來提供內部部署資料中心與 Azure 之間的連線能力,請使用 Azure 連線工具組 (AzureCT) 來監視和疑難解答連線問題。
您可以在使用 Azure 和內部部署 VPN 實作混合式網路架構一文中找到監視和管理 VPN 和 ExpressRoute 連線的其他資訊。
安全性
安全性可提供保證,以避免刻意攻擊和濫用您寶貴的資料和系統。 如需詳細資訊,請參閱安全性支柱的概觀。
此參考架構會實作多個層級的安全性。
透過 Azure 防火牆 路由傳送所有內部部署使用者要求
閘道子網中的使用者定義路由會封鎖從內部部署接收以外的所有使用者要求。 路由會將允許的要求傳遞至防火牆。 如果防火牆規則允許這些要求,這些要求會傳遞至輪輻虛擬網路中的資源。 您可以新增其他路由,但請確定它們不會不小心略過防火牆,或封鎖用於管理子網的系統管理流量。
使用 NSG 封鎖/傳遞流量至輪輻虛擬網路子網
輪輻虛擬網路中資源子網的流量受限於使用NSG。 如果您有擴充 NSG 規則以允許更廣泛存取這些資源的需求,請根據安全性風險來權衡這些需求。 每個新的輸入路徑都代表意外或有目的數據外泄或應用程式損毀的機會。
DDoS 保護
Azure DDoS 保護 (結合應用程式設計最佳做法) 可提供增強的 DDoS 風險降低功能,以針對 DDoS 攻擊提供更多的防禦。 您應該在任何周邊虛擬網路上啟用 Azure DDOS 保護。
使用AVNM建立基準安全性管理員規則
AVNM 可讓您建立安全性規則的基準,以優先於網路安全組規則。 安全性管理員規則會在 NSG 規則 之前進行評估,且具有 NSG 的相同本質,且支援優先順序、服務標籤和 L3-L4 通訊協定。 AVNM 可讓中央IT強制執行安全性規則的基準,同時允許輪輻虛擬網路擁有者對其他NSG規則的附加。 為了方便控制的安全性規則變更推出,AVNM 的 部署 功能可讓您安全地釋放這些設定對中樞和輪輻環境的重大變更。
DevOps 存取
使用 Azure RBAC 來限制 DevOps 可在每一層上執行的作業。 授與許可權時,請使用 最低許可權原則。 記錄所有系統管理作業並執行定期稽核,以確保已規劃任何設定變更。
成本最佳化
成本最佳化是關於考慮如何減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱成本最佳化支柱的概觀。
使用 Azure 定價計算機來預估成本。 Microsoft Azure Well-Architected Framework 中的成本優化一節會說明其他考慮。
以下是此架構中使用的服務成本考慮。
Azure 防火牆
在此架構中,Azure 防火牆 部署在虛擬網路中,以控制網關子網與輪輻虛擬網路中資源之間的流量。 如此一來,Azure 防火牆 會符合成本效益,因為它會作為多個工作負載所取用的共享解決方案。 以下是 Azure 防火牆 定價模式:
- 固定的每小時部署速率。
- 每個 GB 處理的數據,以支援自動調整。
相較於網路虛擬設備 (NVA),Azure 防火牆 最多可節省 30-50%。 如需詳細資訊,請參閱 Azure 防火牆 與 NVA。
Azure Bastion
Azure Bastion 會透過 RDP 和 SSH 安全地連線到虛擬機,而不需要在虛擬機上設定公用 IP。
Bastion 計費相當於設定為跳板的基本低階虛擬機。 Bastion 比跳板更有成本效益,因為它具有內建的安全性功能,而且不會對記憶體和管理個別伺服器產生額外費用。
Azure 虛擬網路
Azure 虛擬網絡 是免費的。 每個訂用帳戶最多可以跨所有區域建立 1,000 個虛擬網路。 虛擬網路界限內發生的所有流量都是免費的。 例如,相同虛擬網路中彼此通訊的 VM 不會產生網路流量費用。
內部負載平衡器
位於相同虛擬網路中的虛擬機之間的基本負載平衡是免費的。
在此架構中,內部負載平衡器可用來對虛擬網路內的流量進行負載平衡。
部署此案例
此部署會建立兩個資源群組:第一個會保存仿真的內部部署網路,第二個是一組中樞和輪輻網路。 模擬內部部署網路和中樞網路會使用 Azure 虛擬網絡 閘道來連線,以形成站對站連線。 此設定非常類似於您將內部部署資料中心連線至 Azure 的方式。
此部署最多可能需要 45 分鐘才能完成。 建議的部署方法是使用以下找到的入口網站選項。
使用下列按鈕,使用 Azure 入口網站 來部署參考。
部署完成後,查看新建立的連線資源來確認站對站連線能力。 在 Azure 入口網站 中,搜尋「連線」,並記下每個連線的狀態。
您可以在輪輻網路中找到的 IIS 實例,從位於模擬內部部署網路的虛擬機存取。 使用包含的 Azure Bastion 主機建立虛擬機的連線、開啟網頁瀏覽器,然後流覽至應用程式網路負載平衡器的位址。
如需詳細資訊和其他部署選項,請參閱用來部署此解決方案的 Azure Resource Manager 範本(ARM 範本: 安全混合式網路)。
下一步
相關資源
- 使用 ExpressRoute 將內部部署網路連線至 Azure。
- 使用 PowerShell 設定 ExpressRoute 和站對站並存連線
- 使用 ExpressRoute 擴充內部部署網路。