Spolehlivost a síťové připojení
Síťové připojení zahrnuje tři modely Azure pro připojení k privátní síti:
- Injektáž virtuální sítě
- Koncové body služeb virtuální sítě
- Privátní propojení
Injektáž virtuální sítě se vztahuje na služby nasazené speciálně pro vás, například:
- uzly Azure Kubernetes Service (AKS)
- Spravovaná instance SQL
- Virtual Machines
Tyto prostředky se připojují přímo k vaší virtuální síti.
koncové body služby Virtual Network (VNet) poskytují zabezpečené a přímé připojení ke službám Azure. Tyto koncové body služby používají optimalizovanou trasu přes síť Azure. Koncové body služeb umožňují připojení z privátních IP adres ve virtuální síti ke koncovému bodu služby Azure, aniž by ve virtuální síti musela být veřejná IP adresa.
Private Link poskytuje vyhrazený přístup pomocí privátních IP adres k instancím Azure PaaS nebo vlastním službám za Azure Load Balancer Standard.
Na co dát pozor při navrhování
Připojení k síti zahrnuje následující aspekty návrhu související se spolehlivým zatížením:
Pro sdílené služby Azure PaaS použijte Private Link, pokud jsou k dispozici. Private Link je obecně k dispozici pro několik služeb a je ve verzi Public Preview pro mnoho služeb.
Přístup ke službám Azure PaaS z místního prostředí prostřednictvím privátního partnerského vztahu ExpressRoute
Použijte buď injektáž virtuální sítě pro vyhrazené služby Azure, nebo Azure Private Link pro dostupné sdílené služby Azure. Pokud chcete získat přístup ke službám Azure PaaS z místního prostředí, když není k dispozici injektáž virtuální sítě nebo Private Link, použijte ExpressRoute s partnerským vztahem Microsoftu. Tato metoda zabrání přenosu přes veřejný internet.
Pomocí koncových bodů služeb virtuální sítě můžete zabezpečit přístup ke službám Azure PaaS z vaší virtuální sítě. Koncové body služby virtuální sítě používejte jenom v případě, že Private Link není k dispozici a nedochází k obavám z neoprávněného přesunu dat.
Koncové body služby neumožňují přístup ke službě PaaS z místních sítí. Privátní koncové body ano.
Pokud chcete vyřešit obavy z neoprávněného přesunu dat s koncovými body služby, použijte filtrování síťových virtuálních zařízení (NVA). Můžete také použít zásady koncového bodu služby virtuální sítě pro Azure Storage.
Následující nativní služby zabezpečení sítě jsou plně spravované služby. Zákazníci neúčtují provozní náklady a náklady na správu související s nasazením infrastruktury, která mohou být ve velkém složité:
- Brána Azure Firewall
- Application Gateway
- Azure Front Door
Ke službám PaaS se obvykle přistupuje přes veřejné koncové body. Platforma Azure poskytuje možnosti, jak tyto koncové body zabezpečit nebo je nastavit jako zcela soukromé.
Můžete také použít síťová virtuální zařízení třetích stran, pokud je zákazník preferuje v situacích, kdy nativní služby nesplňují konkrétní požadavky.
Kontrolní seznam
Nakonfigurovali jste připojení k síti s ohledem na spolehlivost?
- Neimplementujte vynucené tunelování, které umožňuje komunikaci z Azure do prostředků Azure.
- Pokud nepoužíváte filtrování síťových virtuálních zařízení, nepoužívejte koncové body služeb virtuální sítě, pokud existují obavy z neoprávněného přesunu dat.
- Ve výchozím nastavení nepovolujte koncové body služeb virtuální sítě ve všech podsítích.
Další krok
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro