卓越營運和 Azure 虛擬網絡
Azure 虛擬網絡 是專用網的基本建置組塊,可讓 Azure 資源安全地彼此通訊、因特網和內部部署網路。
Azure 虛擬網絡 的主要功能包括:
如需詳細資訊,請參閱什麼是 Azure 虛擬網絡?
若要瞭解 Azure 虛擬網絡 如何支援卓越營運,請參閱下列主題:
設計考量
虛擬網絡 (VNet) 包含下列營運卓越設計考慮:
- 跨內部部署和 Azure 區域重疊的 IP 位址空間會產生重大爭用挑戰。
- 雖然建立之後可以新增 虛擬網絡 位址空間,但如果 虛擬網絡 已透過對等互連連線到另一個 虛擬網絡,此程式會要求中斷。 因為刪除並重新建立對等互連,因此需要中斷 虛擬網絡。
- 某些 Azure 服務確實需要 專用子網,例如:
- Azure 防火牆
- Azure Bastion
- 虛擬網路閘道
- 子網可以委派給特定服務,以在子網內建立該服務的實例。
- Azure 會在每個子網中保留五個IP位址,這在重設大小 虛擬網絡和包含的子網時應納入考慮。
檢查清單
您是否已將 Azure 虛擬網絡 設定為卓越營運?
- 使用 Azure DDoS 標準保護方案來保護客戶 虛擬網絡 內裝載的所有公用端點。
- 企業客戶必須規劃 Azure 中的 IP 位址,以確保在考慮的內部部署位置和 Azure 區域之間沒有重疊的 IP 位址空間。
- 使用私人因特網位址配置的IP位址(要求置評(RFC) 1918年)。
- 針對具有有限私人IP位址 (RFC 1918) 可用性的環境,請考慮使用IPv6。
- 請勿建立不必要的大型 虛擬網絡(例如:
/16),以確保不會浪費不必要的IP位址空間。 - 請勿事先規劃所需的位址空間,即可建立 虛擬網絡。
- 請勿將公用IP位址用於 虛擬網絡,特別是當公用IP位址不屬於客戶時。
- 使用 VNet 服務端點,從客戶 VNet 內保護對 Azure 平臺即服務 (PaaS) 服務的存取。
- 若要解決服務端點的數據外泄問題,請使用網路虛擬設備 (NVA) 篩選和 VNet 服務端點原則進行 Azure 儲存體。
- 請勿實作強制通道,以啟用從 Azure 到 Azure 資源的通訊。
- 透過 ExpressRoute 私人對等互連從內部部署存取 Azure PaaS 服務。
- 若要在無法使用 VNet 插入或 Private Link 時,從內部部署網路存取 Azure PaaS 服務,請在沒有任何數據外泄考慮時,使用 ExpressRoute 搭配Microsoft對等互連。
- 請勿將內部部署周邊網路(也稱為 DMZ、非軍事區域和已篩選的子網)概念和架構複寫至 Azure。
- 請確定已插入 虛擬網絡 的 Azure PaaS 服務之間的通訊會使用使用者定義的路由 (UDR) 和網路安全組 (NSG) 鎖定在 虛擬網絡 內。
- 除非使用 NVA 篩選,否則在發生數據外洩考慮時,請勿使用 VNet 服務端點。
- 請勿在所有子網上默認啟用 VNet 服務端點。
組態建議
設定 Azure 虛擬網絡 時,請考慮下列卓越營運建議:
| 建議 | 描述 |
|---|---|
| 請勿事先規劃所需的位址空間,即可建立 虛擬網絡。 | 一旦 虛擬網絡 透過 虛擬網絡 對等互連連線,新增地址空間就會造成中斷。 |
| 使用 VNet 服務端點,從客戶 VNet 內保護對 Azure 平臺即服務 (PaaS) 服務的存取。 | 只有當 Private Link 無法使用,且沒有數據外泄考慮時。 |
| 透過 ExpressRoute 私人對等互連從內部部署存取 Azure PaaS 服務。 | 針對專用 Azure 服務使用 VNet 插入,或針對可用的共用 Azure 服務使用 Azure Private Link。 |
| 若要在無法使用 VNet 插入或 Private Link 時,從內部部署網路存取 Azure PaaS 服務,請在沒有任何數據外泄考慮時,使用 ExpressRoute 搭配Microsoft對等互連。 | 避免透過公用因特網傳輸。 |
| 請勿將內部部署周邊網路(也稱為 DMZ、非軍事區域和已篩選的子網)概念和架構複寫至 Azure。 | 客戶可以在 Azure 中取得與內部部署類似的安全性功能,但實作和架構必須適應雲端。 |
| 請確定已插入 虛擬網絡 的 Azure PaaS 服務之間的通訊會使用使用者定義的路由(UDR)和網路安全組(NSG)鎖定在 虛擬網絡 內。 | 已插入 虛擬網絡 的 Azure PaaS 服務仍會使用公用 IP 位址執行管理平面作業。 |