Azure 上的 Red Hat Enterprise Linux 網路拓撲和連線考慮
本文說明 Red Hat Enterprise Linux (RHEL) 網路考慮和建議,這些考慮和建議是根據 Azure 登陸區域設計區域中的網路拓撲和連線能力指導方針。
架構
下列 RHEL 架構是一個起點,您可以進一步調整以符合特定商務和技術需求。 您可以視需要在具有特定重設大小和備援的虛擬機 (VM) 上部署各種 RHEL 平台元件和角色。 這些範例中的簡化網路配置示範架構原則,而且不會描述整個企業網路。
| 元素 | 描述 |
|---|---|
| A | Microsoft 客戶合約和計費中的元件 |
| B | Microsoft Entra 身分識別和存取管理中的元件 |
| C | Azure 管理群組中的元件 |
| D | Windows Server Active Directory 身分識別管理訂用帳戶中的元件 |
| E | 網路中樞訂用帳戶中的元件 |
| F | RHEL 管理和身分識別訂用帳戶中的元件 |
| G | Azure 管理群組訂用帳戶中的元件 |
| H | RHEL 生產工作負載訂用帳戶中的元件 |
| I | 內部部署元件 |
| J | Red Hat 雲端服務 |
RHEL 登陸區域網路的設計考慮
請考慮下列登陸區域網路設計的建議:
針對單一區域或多區域部署使用中樞和輪輻網路拓撲。 Azure 虛擬 WAN 中樞 提供額外的功能,或者您可以使用傳統的虛擬網路中樞。 如需詳細資訊,請參閱 Azure 登陸區域網路。
針對所有登陸區域網路相關元件,使用 基礎結構即程序代碼 ,將部署、組態管理和第 2 天作業自動化。
針對所有支援的 Azure 服務使用 私人端點 來改善安全性。 私人端點可確保所有流量都會透過您的專用網路由,而不是透過公用IP位址。
防火牆考量
下圖顯示混合式 Azure 區域 RHEL 登陸區域架構。
| 元素 | 描述 |
|---|---|
| A | 透過 Red Hat 管理訂用帳戶所包含的 Red Hat 管理虛擬網路中的元件 |
| B | 透過 RHEL 生產工作負載訂用帳戶所包含的 RHEL 工作負載虛擬網路中的元件 |
| C | 透過 Red Hat Identity Management 訂用帳戶所包含的身分識別管理虛擬網路中的元件 |
| D | 透過 RHEL 生產工作負載訂用帳戶所包含的 RHEL 工作負載虛擬網路中的元件 |
針對虛擬 WAN 拓撲,請考慮使用 Azure 防火牆 在登陸區域之間路由傳送流量。 Azure 防火牆 提供流量篩選和記錄功能。
Azure VPN 閘道或 Azure ExpressRoute 閘道可控制中樞的混合式連線。 若要監視和控制流量,請在中樞使用 Azure 防火牆 或虛擬網路設備 (NVA)。
您可以使用內部部署防火牆來保護和路由傳送所有輸入和輸出因特網流量。 防火牆可能會為雲端式資源帶來延遲。 瞭解您的效能和安全性需求,以判斷您應該如何路由輸入和輸出流量。
子網考慮
下圖顯示區域復原設定中的管理和工作負載子網。
當您規劃 RHEL 登陸區域的 IP 位址範圍和虛擬網路大小時,請考慮應用程式、資料庫和記憶體資源的專用子網。
針對周邊網路和流量安全性,採用以 零信任 為基礎的方法。 如需詳細資訊,請參閱 Azure 上的網路安全性策略。
網路安全組考慮
使用網路安全組 (NSG) 來協助保護跨子網和跨平台的東西流量流量(登陸區域之間的流量)。 Azure 原則 可以將此設定設為所有子網的預設值。
使用 NSG 和 應用程式安全組 在登陸區域內進行微區段流量,並避免使用中央 NVA 來篩選流量。
啟用 NSG 流量記錄,並將其饋送至 使用分析。 若要優化稽核能力和安全性,請在訂用帳戶中的所有重要虛擬網路和子網上啟用流程記錄。
使用 NSG 選擇性地允許登陸區域之間的連線。
應用程式小組應使用子網層級 NSG 上的應用程式安全組,協助保護登陸區域內的多層 VM。
如果您的組織實作強制通道或公告的預設路由至內部部署位置,請考慮納入輸出 NSG 規則,以拒絕直接從虛擬網路到因特網的輸出流量。 如果邊界閘道通訊協定 (BGP) 工作階段中斷,此設定會提供復原功能。 如需詳細資訊,請參閱 規劃登陸區域網路分割。
其他考量
啟用因特網和篩選和檢查流量。 開啟因特網和篩選和檢查流量的輸出選項包括:
- 透過中樞網路對 Red Hat Cloud 的輸出存取。
- 使用內部部署因特網存取的內部部署預設路由。
- 使用 Azure 防火牆 或 NVA 保護的虛擬 WAN 或傳統虛擬網路中樞。
傳遞內容和應用程式。 傳遞內容與應用程式的輸入選項包括:
- Azure 應用程式閘道 L7、傳輸層安全性 (TLS) 終止,以及 Web 應用程式防火牆。
- 來自內部部署的動態網路翻譯 (DNAT) 和負載平衡器。
- Azure 虛擬網絡 Azure 防火牆 或 NVA,以及各種案例中的 Azure 路由伺服器。
- 具有 Azure 防火牆、L4 和 DNAT 的虛擬 WAN 中樞。
- 各種案例中具有 NVA 的虛擬 WAN 中樞。
設定內部部署和 Azure 資源的功能變數名稱解析。 RHEL 環境通常會使用內部部署和 Azure 資源,這需要有效的資源名稱解析。 請考量下列建議事項:
- Azure 會在虛擬網路內提供預設的內部名稱解析。 此案例不需要任何設定。 您無法修改功能變數名稱解析後綴或執行手動註冊。 如需詳細資訊,請參閱 Azure 提供的名稱解析。
- 針對跨虛擬網路的名稱解析,RHEL 部署通常會使用來自 Redhat Identity Management Server (IdM) 或 Azure DNS 的功能變數名稱系統 (DNS) 服務。 若要提供以規則為基礎的轉送,請結合 Azure 私用 DNS 解析程式和現有的 DNS 基礎結構。