Virtuální datové centrum: Perspektiva sítě
Aplikace migrované z místního prostředí můžou těžit ze zabezpečené nákladově efektivní infrastruktury Azure, a to i s minimálními změnami aplikací. Podniky můžou chtít přizpůsobit své architektury tak, aby zlepšily flexibilitu a využily výhod možností Azure.
Microsoft Azure poskytuje hyperškálování služeb a infrastruktury s možnostmi a spolehlivostí na podnikové úrovni. Tyto služby a infrastruktura nabízejí řadu možností hybridního připojení, které zákazníkům umožňují přístup přes internet nebo privátní síťové připojení. Partneři Microsoftu můžou také poskytovat vylepšené možnosti tím, že nabízejí služby zabezpečení a virtuální zařízení optimalizovaná pro provoz v Azure.
Zákazníci můžou pomocí Azure bezproblémově rozšířit svou infrastrukturu do cloudu a vytvářet vícevrstvé architektury.
Co je virtuální datové centrum?
Cloud začal jako platforma pro hostování veřejných aplikací. Podniky rozpoznaly hodnotu cloudu a začaly migrovat interní obchodní aplikace. Tyto aplikace přinesly větší zabezpečení, spolehlivost, výkon a náklady, které při poskytování cloudových služeb vyžadovaly větší flexibilitu. Nové infrastruktury a síťové služby byly navrženy tak, aby poskytovaly flexibilitu. Nové funkce poskytují elastické škálování, zotavení po havárii a další aspekty.
Cloudová řešení byla původně navržená tak, aby hostovala izolované a relativně izolované aplikace ve veřejném spektru, která fungovala dobře několik let. Jak bylo jasné, výhody cloudových řešení byly hostovány v cloudu více rozsáhlých úloh. Řešení problémů se zabezpečením, spolehlivostí, výkonem a náklady je nezbytné pro nasazení a životní cyklus cloudové služby.
V následujícím ukázkovém diagramu cloudového nasazení červený box zvýrazní mezeru v zabezpečení. Žlutý rámeček ukazuje příležitost optimalizovat síťová virtuální zařízení napříč úlohami.
Virtuální datacentra pomáhají dosáhnout škálování potřebného pro podnikové úlohy. Škálování musí řešit problémy, které byly zavedeny při spouštění rozsáhlých aplikací ve veřejném cloudu.
Implementace virtuálního datacentra zahrnuje více než úlohy aplikací v cloudu. Poskytuje také služby sítě, zabezpečení, správy, DNS a Služby Active Directory. Vzhledem k tomu, že podniky migrují do Azure více úloh, zvažte infrastrukturu a objekty, které tyto úlohy podporují. Dobrá správa prostředků pomáhá vyhnout se nárůstu samostatně spravovaných "ostrůvků úloh" s nezávislými toky dat, modely zabezpečení a problémy s dodržováním předpisů.
Koncept virtuálního datacentra poskytuje doporučení a návrhy vysoké úrovně pro implementaci kolekce samostatných, ale souvisejících entit. Tyto entity často mají běžné podpůrné funkce, funkce a infrastrukturu. Zobrazení úloh jako virtuálního datacentra pomáhá dosáhnout snížení nákladů z úspor z rozsahu. Pomáhá také s optimalizovaným zabezpečením prostřednictvím centralizace komponent a toku dat a jednodušších operací, správy a auditů dodržování předpisů.
Poznámka:
Virtuální datové centrum není konkrétní služba Azure. Místo toho se různé funkce a možnosti Azure zkombinují tak, aby splňovaly vaše požadavky. Virtuální datové centrum je způsob, jak přemýšlet o vašich úlohách a využití Azure, abyste optimalizovali prostředky a možnosti v cloudu. Poskytuje modulární přístup k poskytování IT služeb v Azure a současně respektuje organizační role a povinnosti podniku.
Virtuální datové centrum pomáhá podnikům nasazovat úlohy a aplikace v Azure pro následující scénáře:
- Hostování více souvisejících úloh
- Migrace úloh z místního prostředí do Azure
- Implementujte sdílené nebo centralizované požadavky na zabezpečení a přístup napříč úlohami.
- Pro velké podniky můžete vhodně kombinovat DevOps a centralizované IT.
Kdo by měl implementovat virtuální datové centrum?
Každý zákazník, který se rozhodne přijmout Azure, může těžit z efektivity konfigurace sady prostředků pro společné použití všemi aplikacemi. V závislosti na velikosti můžou i jednotlivé aplikace těžit ze vzorů a součástí používaných k sestavení implementace VDC.
Některé organizace mají centralizované týmy nebo oddělení pro IT, sítě, zabezpečení nebo dodržování předpisů. Implementace VDC může pomoct vynucovat body zásad, oddělit zodpovědnosti a zajistit konzistenci základních běžných komponent. Aplikační týmy si mohou zachovat svobodu a kontrolu, která je vhodná pro jejich požadavky.
Organizace s přístupem DevOps můžou také používat koncepty VDC k poskytování autorizovaných kapes prostředků Azure. Tato metoda zajišťuje, že skupiny DevOps mají v rámci tohoto seskupení úplnou kontrolu, a to buď na úrovni předplatného, nebo v rámci skupin prostředků ve společném předplatném. Hranice sítě a zabezpečení jsou současně kompatibilní. Dodržování předpisů je definováno centralizovanými zásadami v centrální síti a centrálně spravovanou skupinou prostředků.
Důležité informace o implementaci virtuálního datacentra
Při návrhu virtuálního datového centra zvažte tyto klíčové problémy:
Identita a adresářová služba
Identita a adresářové služby jsou klíčové funkce místních i cloudových datacenter. Identita zahrnuje všechny aspekty přístupu a autorizace ke službám v rámci implementace VDC. Aby bylo zajištěno, že k prostředkům Azure přistupují jenom autorizovaní uživatelé a procesy, Azure k ověřování používá několik typů přihlašovacích údajů, včetně hesel účtů, kryptografických klíčů, digitálních podpisů a certifikátů. Vícefaktorové ověřování Microsoft Entra poskytuje další vrstvu zabezpečení pro přístup ke službám Azure. Silné ověřování s řadou možností snadného ověření (telefonní hovor, textová zpráva nebo oznámení mobilní aplikace) umožňuje zákazníkům zvolit způsob, který preferují.
Velké podniky potřebují definovat procesy správy identit, které popisují správu jednotlivých identit, jejich ověřování, autorizaci, role a oprávnění v rámci VDC nebo v rámci jejich VDC. Cíle tohoto procesu mohou zvýšit zabezpečení a produktivitu a zároveň snížit náklady, výpadky a opakované ruční úlohy.
Podnikové organizace můžou vyžadovat náročnou kombinaci služeb pro různé obchodní řady. Zaměstnanci mají často různé role při zapojení do různých projektů. VDC vyžaduje dobrou spolupráci mezi různými týmy, z nichž každá má konkrétní definice rolí, aby systémy fungovaly s dobrými zásadami správného řízení. Matice zodpovědností, přístupu a práv může být složitá. Správa identit ve VDC se implementuje prostřednictvím ID Microsoft Entra a řízení přístupu na základě role v Azure (Azure RBAC).
Adresářová služba je sdílená informační infrastruktura, která vyhledá, spravuje, spravuje a organizuje každodenní položky a síťové prostředky. Mezi tyto prostředky patří svazky, složky, soubory, tiskárny, uživatelé, skupiny, zařízení a další objekty. Každý prostředek v síti považuje adresářový server za objekt. Informace o prostředku se ukládají jako kolekce atributů přidružených k danému prostředku nebo objektu.
Všechny online firemní služby Microsoftu spoléhají na ID Microsoft Entra pro přihlašování a další potřeby identit. Microsoft Entra ID je komplexní cloudové řešení pro správu identit a přístupu s vysokou dostupností, které kombinuje základní adresářové služby, pokročilé zásady správného řízení identit a správu přístupu k aplikacím. Microsoft Entra ID se může integrovat s místní Active Directory a povolit jednotné přihlašování pro všechny cloudové a místně hostované místní aplikace. Atributy uživatele místní Active Directory lze automaticky synchronizovat s ID Microsoft Entra.
Každé konkrétní oddělení, skupina uživatelů nebo služeb v adresářové službě musí mít minimální oprávnění požadovaná ke správě vlastních prostředků v rámci implementace VDC. Oprávnění strukturování vyžadují vyrovnávání. Příliš mnoho oprávnění může bránit efektivitě výkonu a příliš málo nebo volné oprávnění může zvýšit bezpečnostní rizika. Řízení přístupu na základě role v Azure (Azure RBAC) pomáhá tento problém vyřešit tím, že nabízí podrobnou správu přístupu pro prostředky v implementaci VDC.
Infrastruktura zabezpečení
Infrastruktura zabezpečení odkazuje na oddělení provozu v konkrétním segmentu virtuální sítě implementace VDC. Tato infrastruktura určuje způsob řízení příchozího a výchozího přenosu dat v implementaci VDC. Azure je založená na víceklientské architektuře, která brání neoprávněnému a neúmyslnému provozu mezi nasazeními. To se provádí pomocí izolace virtuální sítě, seznamů řízení přístupu, nástrojů pro vyrovnávání zatížení, filtrů IP adres a zásad toku provozu. Překlad adres (NAT) odděluje interní síťový provoz od externího provozu.
Prostředky infrastruktury Azure přidělují prostředky infrastruktury úlohám tenantů a spravují komunikaci s virtuálními počítači a z virtuálních počítačů. Hypervisor Azure vynucuje oddělení paměti a procesů mezi virtuálními počítači a bezpečně směruje síťový provoz do tenantů hostovaného operačního systému.
Připojení ke cloudu
Virtuální datacentrum vyžaduje připojení k externím sítím, aby mohli nabízet služby zákazníkům, partnerům nebo interním uživatelům. Tato potřeba připojení znamená nejen internet, ale také místní sítě a datacentra.
Zákazníci řídí služby, ke kterým je možné přistupovat z veřejného internetu a ke kterým má přístup. Tento přístup se řídí pomocí služby Azure Firewall nebo jiných typů síťových zařízení (NVA), vlastních zásad směrování pomocí tras definovaných uživatelem a filtrování sítě pomocí skupin zabezpečení sítě. Doporučujeme, aby všechny internetové prostředky byly chráněné službou Azure DDoS Protection.
Podniky můžou potřebovat připojit své virtuální datové centrum k místním datacentrům nebo jiným prostředkům. Při návrhu efektivní architektury je toto propojení mezi Azure a místními sítěmi zásadním aspektem. Podniky mají dva různé způsoby, jak vytvořit toto propojení: průchod přes internet nebo prostřednictvím privátních přímých připojení.
Síť VPN typu Site-to-Site azure propojuje místní sítě s vaším virtuálním datacentrem v Azure. Propojení je vytvořeno prostřednictvím zabezpečených šifrovaných připojení (tunely IPsec). Připojení VPN typu Site-to-Site azure jsou flexibilní, rychlá k vytvoření a obvykle nevyžadují žádné další nákupy hardwaru. Na základě standardních standardních protokolů můžou většina aktuálních síťových zařízení vytvářet připojení VPN k Azure přes internet nebo existující cesty připojení.
ExpressRoute umožňuje privátní připojení mezi vaším virtuálním datacentrem a všemi místními sítěmi. Připojení ExpressRoute neprocházejí přes veřejný internet a nabízejí vyšší zabezpečení, spolehlivost a vyšší rychlost (až 100 Gb/s) spolu s konzistentní latencí. ExpressRoute poskytuje výhody pravidel dodržování předpisů spojených s privátními připojeními. Pomocí ExpressRoute Direct se můžete připojit přímo ke směrovačům Microsoftu s rychlostí 10 Gb/s nebo 100 Gb/s.
Nasazení připojení ExpressRoute obvykle zahrnuje zapojení poskytovatele služeb ExpressRoute (expressRoute Direct je výjimkou). Pro zákazníky, kteří potřebují rychle začít, je běžné, že k navázání připojení mezi virtuálním datacentrem a místními prostředky zpočátku používá síť VPN typu Site-to-Site. Po dokončení fyzického propojení s vaším poskytovatelem služeb migrujte připojení přes připojení ExpressRoute.
Pro velký počet připojení VPN nebo ExpressRoute je azure Virtual WAN síťová služba, která poskytuje optimalizované a automatizované připojení mezi pobočky prostřednictvím Azure. Virtual WAN umožňuje připojit se k pobočkovým zařízením a nakonfigurovat je pro komunikaci s Azure. Připojení a konfigurace je možné provést buď ručně, nebo pomocí upřednostňovaných zařízení poskytovatele prostřednictvím partnera virtual WAN. Použití zařízení preferovaného poskytovatele umožňuje snadné použití, zjednodušení připojení a správu konfigurace. Integrovaný řídicí panel Azure WAN poskytuje okamžité přehledy řešení potíží, které vám můžou ušetřit čas a poskytují snadný způsob zobrazení rozsáhlého připojení typu site-to-site. Virtual WAN také poskytuje služby zabezpečení s volitelnou bránou Azure Firewall a Správcem brány firewall ve vašem centru Virtual WAN.
Připojení v rámci cloudu
Virtuální sítě Azure a partnerský vztah virtuálních sítí jsou základní síťové komponenty ve virtuálním datacentru. Virtuální síť zaručuje hranici izolace pro prostředky virtuálního datacentra. Peering umožňuje vzájemnou komunikaci mezi různými virtuálními sítěmi ve stejné oblasti Azure, napříč oblastmi a dokonce i mezi sítěmi v různých předplatných. Toky provozu je možné řídit uvnitř virtuálních sítí a mezi nimi pomocí sad pravidel zabezpečení určených pro skupiny zabezpečení sítě, zásady brány firewall (Azure Firewall nebo síťová virtuální zařízení) a vlastní trasy definované uživatelem.
Virtuální sítě jsou ukotvené body pro integraci produktů Azure typu PaaS (platforma jako služba), jako jsou Azure Storage, Azure SQL a další integrované veřejné služby, které mají veřejné koncové body. S koncovými body služeb a Službou Azure Private Link můžete své veřejné služby integrovat se svou privátní sítí. Veřejné služby můžete využívat i soukromé, ale přesto můžete využívat výhody služeb PaaS spravovaných Azure.
Přehled virtuálního datacentra
Topologie
Virtuální datové centrum je možné vytvořit pomocí jedné z těchto topologií vysoké úrovně na základě vašich potřeb a požadavků na škálování:
V ploché topologii jsou všechny prostředky nasazeny v jedné virtuální síti. Podsítě umožňují řízení a oddělení toků.
V topologii Mesh partnerský vztah virtuálních sítí propojuje všechny virtuální sítě přímo k sobě.
Hvězdicová topologie peeringu je vhodná pro distribuované aplikace a týmy s delegovanými zodpovědnostmi.
Topologie služby Azure Virtual WAN může podporovat scénáře rozsáhlých poboček a globální služby WAN.
Hvězdicová topologie a topologie služby Azure Virtual WAN používají hvězdicový návrh, který je optimální pro komunikaci, sdílené prostředky a centralizované zásady zabezpečení. Rozbočovače se vytvářejí pomocí centra partnerského vztahu virtuální sítě (označeného jako Hub Virtual Network
v diagramu) nebo centra Virtual WAN (označeného jako Azure Virtual WAN
v diagramu). Azure Virtual WAN je určená pro komunikaci mezi velkými větvemi a pobočkami do Azure nebo pro zabránění složitosti vytváření všech komponent jednotlivě v centru partnerských vztahů virtuálních sítí. V některých případech můžou vaše požadavky vyžadovat návrh centra partnerského vztahu virtuálních sítí, například potřebu síťových virtuálních zařízení v centru.
V hvězdicových topologiích je centrum centrální zónou sítě, která řídí a kontroluje veškerý provoz mezi různými zónami, jako je internet, místní a paprsky. Hvězdicová topologie pomáhá IT oddělení centrálně vynucovat zásady zabezpečení. Také snižuje riziko neoprávněné konfigurace a vystavení hrozbám.
Centrum často obsahuje běžné součásti služby spotřebované paprsky. Mezi běžné centrální služby patří například:
- Infrastruktura služby Windows Active Directory se vyžaduje pro ověřování uživatelů třetích stran, které před získáním přístupu k úlohám v paprsku přistupují z nedůvěryhodných sítí. Zahrnuje související Active Directory Federation Services (AD FS) (AD FS).
- Služba DNS (Distributed Name System) se používá k překladu názvů úloh v paprskech a k přístupu k prostředkům místně a na internetu, pokud se nepoužívá Azure DNS .
- Infrastruktura veřejných klíčů (PKI) se používá k implementaci jednotného přihlašování k úlohám.
- Řízení toku provozu TCP a UDP mezi paprskovými síťovými zónami a internetem
- Řízení toku mezi paprsky a místním prostředím
- V případě potřeby řízení toku mezi jedním paprskem a druhým
Virtuální datové centrum snižuje celkové náklady pomocí infrastruktury sdíleného rozbočovače mezi několika paprsky.
Role jednotlivých paprsků může být hostitelem různých typů úloh. Paprsky také poskytují modulární přístup pro opakovaná nasazení stejných úloh. Mezi příklady patří vývoj/testování, testování přijetí uživatelů, předprodukce a produkce. Paprsky můžou také oddělit a povolit různé skupiny v rámci vaší organizace. Dobrým příkladem toho, co paprsky můžou dělat, jsou skupiny DevOps. V rámci paprsku je možné nasadit základní úlohy nebo složité vícevrstvé úlohu s řízením provozu mezi vrstvami.
Omezení předplatného a více center
Důležité
V závislosti na velikosti nasazení Azure možná budete potřebovat strategii s více rozbočovači. Když navrhujete hvězdicovou strategii, zeptejte se "Může toto měřítko návrhu použít jinou virtuální síť centra v této oblasti?" a "Může toto škálování návrhu pojmout více oblastí?". Je mnohem lepší naplánovat návrh, který ho škáluje a nepotřebuje, než ho naplánovat a potřebovat.
Kdy škálovat na sekundární centrum (nebo více) závisí na několika faktorech, obvykle na základě vlastních limitů škálování. Při návrhu pro škálování nezapomeňte zkontrolovat limity předplatného, virtuální sítě a virtuálních počítačů.
V Azure je každá komponenta bez ohledu na typ nasazená v předplatném Azure. Izolace komponent Azure v různých předplatných Azure může uspokojit požadavky různých oborů podnikání, jako je například nastavení odlišných úrovní přístupu a autorizace.
Jedna implementace VDC může vertikálně navýšit kapacitu velkého počtu paprsků. I když stejně jako u každého IT systému existují limity platforem. Nasazení centra je vázané na konkrétní předplatné Azure, které má omezení a limity (například maximální počet partnerských vztahů virtuálních sítí. Podrobnosti najdete v tématu Limity, kvóty a omezení předplatného a služeb Azure. V případech, kdy může být problém s limity, může architektura vertikálně navýšit kapacitu rozšířením modelu z jednoho hvězdicového paprsku do clusteru hvězdic a paprsků. Pomocí partnerského vztahu virtuálních sítí, ExpressRoute, Virtual WAN nebo VPN typu Site-to-Site je možné připojit několik center v jedné nebo více oblastech Azure.
Zavedení více center zvyšuje náklady a správu systému. Důvodem je pouze škálovatelnost, limity systému, redundance, regionální replikace pro výkon koncových uživatelů nebo zotavení po havárii. Ve scénářích vyžadujících více center by se všechna centra měla snažit nabídnout stejnou sadu služeb pro usnadnění provozu.
Propojení mezi paprsky
Uvnitř jednoho paprsku nebo návrhu ploché sítě je možné implementovat složité vícevrstvé úlohy. Vícevrstvé konfigurace je možné implementovat pomocí podsítí, které jsou jedna pro každou vrstvu nebo aplikaci ve stejné virtuální síti. Řízení provozu a filtrování se provádí pomocí skupin zabezpečení sítě a tras definovaných uživatelem.
Architekt může chtít nasadit vícevrstvé úlohy napříč několika virtuálními sítěmi. Při peeringu virtuálních sítí se paprsky můžou připojit k jiným paprskům ve stejném centru nebo v různých centrech. Typickým příkladem tohoto scénáře je situace, kdy jsou servery pro zpracování aplikací v jednom paprsku nebo virtuální síti. Databáze se nasadí v jiném paprsku nebo virtuální síti. V tomto případě je snadné propojit paprsky s partnerskými vztahy virtuálních sítí, což zabraňuje průchodu centrem. Dokončete pečlivou architekturu a kontrolu zabezpečení, abyste zajistili, že obcházení centra neobejde důležité body zabezpečení nebo auditování, které by mohly existovat pouze v centru.
Paprsky se také můžou propojit s paprskem, který funguje jako rozbočovač. Tento přístup vytvoří dvouúrovňovou hierarchii. Paprsky na vyšší úrovni (úroveň 0) se stanou centrem nižších paprsků (úroveň 1) hierarchie. Paprsky pro implementaci VDC jsou potřeba k přesměrování provozu do centrálního centra. Provoz se pak může přenášet do cíle v místní síti nebo ve veřejném internetu. Architektura se dvěma úrovněmi rozbočovačů představuje komplexní směrování, které eliminuje výhody jednoduchého vztahu hvězdicového paprsku.
I když Azure umožňuje komplexní topologie, jedním ze základních principů konceptu VDC je opakovatelnost a jednoduchost. Pro minimalizaci úsilí o správu je jednoduchý návrh hvězdicové architektury referenční architektury VDC, kterou doporučujeme.
Komponenty
Virtuální datové centrum se skládá ze čtyř základních typů komponent: infrastruktura, hraniční sítě, úlohy a monitorování.
Každý typ komponenty se skládá z různých funkcí a prostředků Azure. Implementace VDC se skládá z instancí více typů komponent a několika variant stejného typu komponenty. Můžete mít například mnoho různých, logicky oddělených instancí úloh, které představují různé aplikace. Tyto různé typy komponent a instance použijete k sestavení VDC.
Předchozí základní koncepční architektura služby VDC ukazuje různé typy komponent používaných v různých zónách topologie hvězdicových paprsků. Diagram znázorňuje komponenty infrastruktury v různých částech architektury.
Obecně platí, že přístupová práva a oprávnění můžou být založená na skupinách. Práce se skupinami místo jednotlivých uživatelů usnadňuje údržbu zásad přístupu tím, že poskytuje konzistentní způsob, jak je spravovat napříč týmy, což pomáhá minimalizovat chyby konfigurace. Přiřazení a odebrání uživatelů do a z příslušných skupin pomáhá udržovat oprávnění konkrétního uživatele v aktualizovaném stavu.
Každá skupina rolí může mít u svých názvů jedinečnou předponu. Tato předpona usnadňuje identifikaci úloh, ke kterým je skupina přidružená. Například úloha hostující ověřovací službu může mít skupiny s názvem AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps a AuthServiceInfraOps. Centralizované role nebo role, které nesouvisely s konkrétní službou, můžou mít před sebou Corp. Příkladem je CorpNetOps.
Mnoho organizací používá k zajištění velkého rozpisu rolí variantu následujících skupin:
- Centrální IT tým s názvem Corp má práva k řízení komponent infrastruktury. Příklady jsou sítě a zabezpečení. Skupina musí mít roli přispěvatele v předplatném, kontrolu nad centrem a právy přispěvatele sítě v paprskech. Velké organizace často rozdělují tyto povinnosti správy mezi více týmů. Příkladem je skupina CorpNetOps pro síťové operace s výhradním zaměřením na sítě a skupinu corpSecOps operací zabezpečení zodpovědnou za bránu firewall a zásady zabezpečení. V tomto konkrétním případě je potřeba vytvořit dvě různé skupiny pro přiřazení těchto vlastních rolí.
- Skupina pro vývoj/testování s názvem AppDevOps má odpovědnost za nasazení úloh aplikací nebo služeb. Tato skupina přebírá roli přispěvatele virtuálních počítačů pro nasazení IaaS nebo jednu nebo více rolí přispěvatele PaaS. Další informace najdete v tématu Předdefinované role v Azure. Volitelně může tým pro vývoj/testování potřebovat viditelnost zásad zabezpečení (skupin zabezpečení sítě) a zásad směrování (trasy definované uživatelem) uvnitř centra nebo konkrétního paprsku. Kromě role přispěvatele pro úlohy by tato skupina také potřebovala roli čtenáře sítě.
- Za správu úloh v produkčním prostředí zodpovídá skupina operací a údržby s názvem CorpInfraOps nebo AppInfraOps . Tato skupina musí být přispěvatelem předplatného pro úlohy v jakýchkoli produkčních předplatných. Některé organizace můžou také vyhodnotit, jestli potřebují skupinu týmu podpory eskalace s rolí přispěvatele předplatného v produkčním prostředí a centrálním předplatným centra. Druhá skupina řeší potenciální problémy s konfigurací v produkčním prostředí.
Služba VDC je navržená tak, aby centrální skupiny IT, které spravují centrum, měly odpovídající skupiny na úrovni úloh. Kromě správy prostředků centra může centrální IT tým řídit oprávnění externího přístupu a oprávnění nejvyšší úrovně předplatného. Skupiny úloh můžou také řídit prostředky a oprávnění své virtuální sítě nezávisle na centrálním IT týmu.
Virtuální datové centrum je rozdělené tak, aby bezpečně hostoval více projektů v různých obchodních oblastech. Všechny projekty vyžadují různá izolovaná prostředí (vývoj, UAT a produkční prostředí). Samostatná předplatná Azure pro každé z těchto prostředí můžou poskytovat přirozenou izolaci.
Předchozí diagram znázorňuje vztah mezi projekty, uživateli, skupinami a prostředími, ve kterých jsou nasazené komponenty Azure.
Prostředí (nebo vrstva) je obvykle v IT systému, ve kterém se nasazuje a spouští více aplikací. Velké podniky používají vývojové prostředí (kde se provádějí a testují změny) a produkční prostředí (co koncoví uživatelé používají). Tato prostředí jsou oddělená, často s několika přípravnými prostředími mezi nimi, aby umožňovala postupné nasazení (zavedení), testování a vrácení zpět, pokud dojde k problémům. Architektury nasazení se výrazně liší, ale obvykle se stále dodržuje základní proces od vývoje (DEV) a končící v produkčním prostředí (PROD).
Mezi běžnou architekturu těchto typů vícevrstvé prostředí patří DevOps pro vývoj a testování, UAT pro přípravné a produkční prostředí. Organizace můžou k definování přístupu a práv k těmto prostředím používat jednoho nebo více tenantů Microsoft Entra. Předchozí diagram znázorňuje případ, kdy se používají dva různé tenanty Microsoft Entra: jeden pro DevOps a UAT a druhý výhradně pro produkční prostředí.
Přítomnost různých tenantů Microsoft Entra vynucuje oddělení mezi prostředími. Stejná skupina uživatelů, jako je centrální IT tým, se musí ověřit pomocí jiného identifikátoru URI pro přístup k jinému tenantovi Microsoft Entra. Díky tomu může tým upravovat role nebo oprávnění buď DevOps, nebo produkčního prostředí projektu. Přítomnost různých uživatelských ověřování pro přístup k různým prostředím snižuje možné výpadky a další problémy způsobené lidskými chybami.
Typ komponenty: infrastruktura
Tento typ komponenty je místo, kde se nachází většina podpůrné infrastruktury. Je to také místo, kde vaše centralizované IT, zabezpečení a dodržování předpisů tráví většinu času.
Komponenty infrastruktury poskytují propojení pro různé komponenty implementace VDC a nacházejí se v centru i paprskech. Odpovědnost za správu a údržbu komponent infrastruktury je obvykle přiřazena centrálnímu it týmu nebo týmu zabezpečení.
Jedním z hlavních úkolů týmu it infrastruktury je zaručit konzistenci schémat IP adres v rámci podniku. Privátní adresní prostor IP adres přiřazený implementaci VDC musí být konzistentní a nesmí se překrývat s privátními IP adresami přiřazenými v místních sítích.
Zatímco překlad adres (NAT) na místních hraničních směrovačích nebo v prostředích Azure se může vyhnout konfliktům IP adres, může to komplikovat komponenty infrastruktury. Jednoduchost správy je jedním z klíčových cílů VDC. Použití překladu adres (NAT) ke zpracování problémů s IP adresami, zatímco platné řešení není doporučeným řešením.
Součásti infrastruktury mají následující funkce:
- Identita a adresářové služby: Přístup ke všem typům prostředků v Azure se řídí identitou uloženou v adresářové službě. Adresářová služba ukládá nejen seznam uživatelů, ale také přístupová práva k prostředkům v konkrétním předplatném Azure. Tyto služby mohou existovat v cloudu nebo se dají synchronizovat s místní identitou, která je uložená ve službě Active Directory.
- Virtuální sítě: Virtuální sítě jsou jednou z hlavních součástí VDC a umožňují vytvořit hranici izolace provozu na platformě Azure. Virtuální síť se skládá z jednoho nebo několika segmentů virtuální sítě, z nichž každá má určitou předponu sítě IP (podsíť, IPv4 nebo duální zásobník IPv4/IPv6). Virtuální síť definuje interní hraniční oblast, ve které mohou virtuální počítače IaaS a služby PaaS navázat privátní komunikaci. Virtuální počítače (a služby PaaS) v jedné virtuální síti nemůžou komunikovat přímo s virtuálními počítači (a službami PaaS) v jiné virtuální síti. To platí i v případě, že obě virtuální sítě vytváří stejný zákazník ve stejném předplatném. Izolace je kritická vlastnost, která zajišťuje, že virtuální počítače zákazníka a komunikace zůstanou v rámci virtuální sítě privátní. Pokud je připojení mezi sítěmi žádoucí, následující funkce popisují, jak se dá dosáhnout.
- Partnerský vztah virtuálních sítí: Základní funkcí, která se používá k vytvoření infrastruktury VDC, je partnerský vztah virtuálních sítí, který spojuje dvě virtuální sítě ve stejné oblasti. K tomuto připojení dochází prostřednictvím sítě datacentra Azure nebo použití páteřní sítě Azure po celém světě napříč oblastmi.
- Koncové body služby virtuální sítě: Koncové body služby rozšiřují privátní adresní prostor virtuální sítě tak, aby zahrnovaly váš prostor PaaS. Koncové body také rozšiřují identitu vaší virtuální sítě na služby Azure přes přímé připojení. Koncové body umožňují zabezpečit důležité prostředky služeb Azure pro vaše virtuální sítě.
- Private Link: Azure Private Link umožňuje přístup ke službám Azure PaaS (například Azure Storage, Azure Cosmos DB a Azure SQL Database) a službám Azure hostovaným zákazníkům/partnerům přes privátní koncový bod ve vaší virtuální síti. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje rizika vystavení na veřejném internetu. Ve virtuální síti můžete také vytvořit vlastní službu Private Link a zajistit ji soukromě vašim zákazníkům. Prostředí pro nastavení a spotřebu s využitím služby Azure Private Link je konzistentní napříč Azure PaaS, zákazníky a sdílenými partnerskými službami.
- Trasy definované uživatelem: Provoz ve virtuální síti se standardně směruje na základě směrovací tabulky systému. Trasa definovaná uživatelem je vlastní směrovací tabulka, kterou můžou správci sítě přidružit k jedné nebo více podsítím, aby přepsali chování systémové směrovací tabulky a definovali komunikační cestu ve virtuální síti. Přítomnost tras definovaných uživatelem zaručuje provoz z paprskového přenosu přes konkrétní vlastní virtuální počítače nebo síťová virtuální zařízení a nástroje pro vyrovnávání zatížení, které jsou přítomné v centru i paprskech.
- Skupiny zabezpečení sítě: Skupina zabezpečení sítě je seznam pravidel zabezpečení, která fungují jako filtrování provozu na zdrojích IP adres, cílech IP adres, protokolech, zdrojových portech IP a cílových portech IP (označovaných také jako pětiřazená kolekce členů vrstvy 4). Skupinu zabezpečení sítě je možné použít pro podsíť, virtuální síťovou kartu přidruženou k virtuálnímu počítači Azure nebo obojí. Skupiny zabezpečení sítě jsou nezbytné k implementaci správného řízení toku v centru a v paprskech. Úroveň zabezpečení poskytovaná skupinou zabezpečení sítě je funkce, pro kterou porty otevřete a pro jaký účel. Zákazníci můžou u bran firewall založených na hostitelích, jako jsou iptables nebo Brána Windows Firewall, použít více filtrů pro jednotlivé virtuální počítače.
- DNS: DNS poskytuje překlad názvů pro prostředky ve virtuálním datacentru. Azure poskytuje služby DNS pro překlad veřejných i privátních ip adres. Privátní zóny poskytují překlad názvů ve virtuální síti a napříč virtuálními sítěmi. Privátní zóny můžou přesahovat mezi virtuálními sítěmi ve stejné oblasti a napříč oblastmi a předplatnými. Pro veřejné překlady poskytuje Azure DNS hostingovou službu pro domény DNS, která poskytuje překlad názvů pomocí infrastruktury Microsoft Azure. Pokud svoje domény hostujete v Azure, můžete spravovat svoje DNS záznamy pomocí stejných přihlašovacích údajů, rozhraní API a nástrojů a za stejných fakturačních podmínek jako u ostatních služeb Azure.
- Správa skupin pro správu, předplatného a skupin prostředků Předplatné definuje přirozenou hranici pro vytvoření několika skupin prostředků v Azure. Toto oddělení může být určené pro funkci, oddělení rolí nebo fakturaci. Prostředky v předplatném se sestavují společně v logických kontejnerech označovaných jako skupiny prostředků. Skupina prostředků představuje logickou skupinu pro uspořádání prostředků ve virtuálním datovém centru. Pokud má vaše organizace mnoho předplatných, můžete potřebovat způsob, jak efektivně u těchto předplatných spravovat přístup, zásady a dodržování předpisů. Skupiny pro správu Azure poskytují úroveň oboru nad předplatnými. Předplatná uspořádáte do kontejnerů označovaných jako skupiny pro správu a použijete podmínky zásad správného řízení pro skupiny pro správu. Všechna předplatná v rámci skupiny pro správu automaticky dědí podmínky, které se na příslušnou skupinu pro správu vztahují. Pokud chcete zobrazit tyto tři funkce v zobrazení hierarchie, podívejte se na uspořádání prostředků v rámci architektury přechodu na cloud.
- Řízení přístupu na základě role v Azure (Azure RBAC): Azure RBAC může mapovat organizační role a práva pro přístup ke konkrétním prostředkům Azure. To umožňuje omezit uživatele jenom na určitou podmnožinu akcí. Pokud synchronizujete ID Microsoft Entra s místní Active Directory, můžete použít stejné skupiny Active Directory v Azure, které používáte místně. Pomocí Azure RBAC můžete udělit přístup přiřazením příslušné role uživatelům, skupinám a aplikacím v příslušném oboru. Rozsahem přiřazení role může být předplatné Azure, skupina prostředků nebo jeden prostředek. Azure RBAC umožňuje dědičnost oprávnění. Role přiřazená v nadřazené oblasti také uděluje přístup k podřízeným položkě obsaženým v tomto oboru. Pomocí Azure RBAC můžete oddělit povinnosti a udělit uživatelům jenom přístup, který potřebují k výkonu svých úloh. Jeden zaměstnanec může například spravovat virtuální počítače v předplatném, zatímco jiný může spravovat databáze SQL Serveru ve stejném předplatném.
Typ komponenty: Hraniční sítě
Komponenty hraniční sítě (někdy označované jako síť DMZ) propojují místní nebo fyzické sítě datacentra spolu s připojením k internetu. Hraniční síť obvykle vyžaduje značné časové investice od týmů sítě a zabezpečení.
Příchozí pakety můžou protékat bezpečnostními zařízeními v centru před dosažením back-endových serverů a služeb v paprskech. Mezi příklady patří brána firewall, IDS a IPS. Než opustí síť, můžou pakety vázané na internet z úloh také protékat bezpečnostními zařízeními v hraniční síti. Tento tok umožňuje vynucování, kontrolu a auditování zásad.
Mezi komponenty hraniční sítě patří:
- Virtuální sítě, trasy definované uživatelem a skupiny zabezpečení sítě
- Síťová virtuální zařízení
- Azure Load Balancer
- Aplikace Azure lication Gateway s firewallem webových aplikací (WAF)
- Veřejné IP adresy
- Azure Front Door s firewallem webových aplikací (WAF)
- Azure Firewall a Azure Firewall Manager
- Standardní ochrana před útoky DDoS
Centrální TÝM IT a bezpečnostní týmy mají obvykle odpovědnost za definici požadavků a provoz hraničních sítí.
Předchozí diagram znázorňuje vynucování dvou hraničních zařízení s přístupem k internetu a místní sítí, které jsou v centru DMZ. V centru DMZ může hraniční síť na internet vertikálně navýšit kapacitu tak, aby podporovala mnoho obchodních linek, a to pomocí několika farem firewallů webových aplikací (WAF) nebo bran Azure Firewall. Centrum také umožňuje místní připojení přes SÍŤ VPN nebo ExpressRoute podle potřeby.
Poznámka:
V předchozím diagramu DMZ Hub
se v centru Azure Virtual WAN (jako jsou virtuální sítě, trasy definované uživatelem, skupiny zabezpečení sítě, brány VPN, brány ExpressRoute, Nástroje pro vyrovnávání zatížení Azure, Brány ExpressRoute, brány Azure Firewall, Brány Azure Firewall, Správce brány firewall a DDOS) dají spojovat mnohé z následujících funkcí. Použití center Azure Virtual WAN může výrazně zjednodušit vytváření virtuální sítě rozbočovače a služby VDC, protože většinu technické složitosti za vás azure zpracovává při nasazování centra Azure Virtual WAN.
Virtuální sítě. Centrum je obvykle postavené na virtuální síti s více podsítěmi, které hostují různé typy služeb. Tyto služby filtrují a kontrolují provoz z internetu prostřednictvím služby Azure Firewall, síťových virtuálních zařízení, WAF a instancí brány Aplikace Azure lication.
Trasy definované uživatelem Pomocí uživatelem definovaných tras můžou zákazníci nasazovat brány firewall, systémy IDS/IPS a další virtuální zařízení. Mohou směrovat síťový provoz prostřednictvím těchto bezpečnostních zařízení pro vynucení zásad hranic zabezpečení, auditování a kontrolu. Trasy definované uživatelem je možné vytvořit v centru i paprskech, aby se zajistilo, že provoz prochází konkrétními vlastními virtuálními počítači, síťovými virtuálními zařízeními a nástroji pro vyrovnávání zatížení používanými implementací VDC. Aby se zajistilo, že provoz vygenerovaný z virtuálních počítačů v paprsku prochází správnými virtuálními zařízeními, musí být trasa definovaná uživatelem nastavená v podsítích paprsku. To se provádí nastavením front-endOVÉ IP adresy interního nástroje pro vyrovnávání zatížení jako dalšího segmentu směrování. Interní nástroj pro vyrovnávání zatížení distribuuje interní provoz na virtuální zařízení (back-endový fond nástroje pro vyrovnávání zatížení).
Azure Firewall je spravovaná služba zabezpečení sítě, která chrání vaše prostředky služby Azure Virtual Network. Jedná se o stavovou spravovanou bránu firewall s vysokou dostupností a škálovatelností cloudu. Můžete centrálně vytvářet, vynucovat a protokolovat zásady připojení k aplikacím a sítím napříč různými předplatnými a virtuálními sítěmi. Azure Firewall používá pro prostředky virtuální sítě statickou veřejnou IP adresu. Externí brány firewall díky tomu můžou identifikovat provoz pocházející z vaší virtuální sítě. Služba je plně integrovaná se službou Azure Monitor zajišťující protokolování a analýzy.
Pokud používáte topologii služby Azure Virtual WAN, azure Firewall Manager je služba pro správu zabezpečení, která poskytuje centrální zásady zabezpečení a správu tras pro cloudové hraniční sítě. Funguje s centrem Azure Virtual WAN, prostředkem spravovaným Microsoftem, který umožňuje snadno vytvářet hvězdicové architektury. Pokud jsou zásady zabezpečení a směrování přidružené k centru, označuje se jako zabezpečené virtuální centrum.
Síťová virtuální zařízení V centru se hraniční síť s přístupem k internetu obvykle spravuje prostřednictvím instance služby Azure Firewall nebo farmy bran firewall nebo firewallu webových aplikací (WAF).
Různé obchodní řady běžně používají mnoho webových aplikací, které mají tendenci trpět různými ohroženími zabezpečení a potenciálními zneužitími. Firewally webových aplikací jsou speciálním typem produktu, který se používá k detekci útoků na webové aplikace a protokolu HTTP/HTTPS efektivněji než obecná brána firewall. Ve srovnání s tradiční technologií brány firewall mají WAF sadu specifických funkcí pro ochranu interních webových serverů před hrozbami.
Brána firewall služby Azure Firewall nebo síťová virtuální zařízení používají společnou rovinu správy se sadou pravidel zabezpečení k ochraně úloh hostovaných v paprskech a řízení přístupu k místním sítím. Azure Firewall má integrovanou škálovatelnost, zatímco brány firewall síťového virtuálního zařízení je možné ručně škálovat za nástrojem pro vyrovnávání zatížení. Farma brány firewall má obecně méně specializovaný software ve srovnání s WAF, ale má širší rozsah aplikace pro filtrování a kontrolu jakéhokoli typu provozu v výchozích a příchozích přenosech. Pokud se použije přístup síťového virtuálního zařízení, najdete je a nasadíte z Azure Marketplace.
Pro provoz pocházející z internetu doporučujeme použít jednu sadu instancí služby Azure Firewall nebo síťových virtuálních zařízení. Použijte jiný pro provoz pocházející z místního prostředí. Použití pouze jedné sady bran firewall pro oba je bezpečnostní riziko, protože neposkytuje žádný bezpečnostní obvod mezi dvěma sadami síťového provozu. Použití samostatných vrstev brány firewall snižuje složitost kontroly pravidel zabezpečení, což zjasňuje, která pravidla odpovídají příchozím síťovým požadavkem.
Azure Load Balancer nabízí službu vrstvy 4 (TCP/UDP), která může distribuovat příchozí provoz mezi instancemi služby definované v sadě s vyrovnáváním zatížení. Provoz odesílaný do nástroje pro vyrovnávání zatížení z front-endových koncových bodů (koncových bodů veřejné IP adresy nebo privátních koncových bodů IP adres) je možné distribuovat pomocí překladu adres do sady back-endových fondů IP adres (například síťových virtuálních zařízení nebo virtuálních počítačů).
Azure Load Balancer dokáže testovat stav různých instancí serveru. Pokud instance na test stavu nereaguje, nástroj pro vyrovnávání zatížení zastaví odesílání provozu na instanci serveru, která není v pořádku. Ve virtuálním datacentru se do centra a paprsků nasadí externí nástroj pro vyrovnávání zatížení. V centru se nástroj pro vyrovnávání zatížení používá k efektivnímu směrování provozu mezi instancemi brány firewall. V paprskech se nástroje pro vyrovnávání zatížení používají ke správě provozu aplikací.
Azure Front Door (AFD) je vysoce dostupná a škálovatelná platforma zrychlení webových aplikací Microsoftu, globální nástroj pro vyrovnávání zatížení HTTP, ochrana aplikací a síť pro doručování obsahu. AfD běží na více než 100 místech na okraji globální sítě Microsoftu a umožňuje vytvářet, provozovat a škálovat dynamickou webovou aplikaci a statický obsah. AFD poskytuje vaší aplikaci špičkový výkon koncových uživatelů, jednotnou automatizaci údržby oblastí a kolek, automatizaci BCDR, sjednocené informace o klientech a uživatelech, ukládání do mezipaměti a přehledy služeb.
Tato platforma nabízí:
- Smlouvy o úrovni služeb (SLA) o výkonu, spolehlivosti a podpoře
- Certifikace dodržování předpisů.
- Auditovatelné postupy zabezpečení vyvinuté, provozované a nativně podporované v Azure.
Azure Front Door také poskytuje firewall webových aplikací (WAF), který chrání webové aplikace před běžnými ohroženími zabezpečení a expozicemi.
Aplikace Azure lication Gateway je vyhrazené virtuální zařízení poskytující kontroler doručování spravovaných aplikací. Nabízí různé možnosti vyrovnávání zatížení vrstvy 7 pro vaši aplikaci. Umožňuje optimalizovat výkon webové farmy přesměrováním ukončení protokolu SSL náročného na procesor na aplikační bránu. Poskytuje také další možnosti směrování vrstvy 7, jako je kruhové dotazování distribuce příchozího provozu, spřažení relací na základě souborů cookie, směrování na základě adresy URL a možnost hostovat více webů za jedinou aplikační bránou. Firewall webových aplikací (WAF) je také součástí skladové položky WAF služby Application Gateway. Tato SKU poskytuje ochranu webových aplikací před běžnými ohroženími zabezpečení webu a zneužitím. Application Gateway je možné nakonfigurovat jako internetovou bránu, interní bránu nebo kombinaci obou bran.
Veřejné IP adresy. S některými funkcemi Azure můžete přidružit koncové body služby k veřejné IP adrese, aby byl váš prostředek přístupný z internetu. Tento koncový bod používá překlad adres (NAT) ke směrování provozu na interní adresu a port ve virtuální síti v Azure. Tato cesta je primárním způsobem, jak externí provoz předat do virtuální sítě. Veřejné IP adresy můžete nakonfigurovat tak, aby určily, který provoz se předává a jak a kde se přeloží do virtuální sítě.
Azure DDoS Protection poskytuje větší možnosti omezení rizik oproti úrovni základní služby , které jsou vyladěné speciálně pro prostředky virtuální sítě Azure. DDoS Protection je jednoduché povolit a nevyžaduje žádné změny aplikace. K ladění zásad ochrany slouží vyhrazené monitorování provozu a algoritmy strojového učení. Zásady se aplikují na veřejné IP adresy přidružené k prostředkům nasazeným ve virtuálních sítích. Mezi příklady patří nástroj pro vyrovnávání zatížení Azure, služba Azure Application Gateway a instance Azure Service Fabric. Protokoly generované systémem téměř v reálném čase jsou dostupné prostřednictvím zobrazení služby Azure Monitor během útoku a historie. Ochranu aplikační vrstvy je možné přidat prostřednictvím firewallu webových aplikací služby Azure Application Gateway. Ochrana je poskytována pro veřejné IP adresy IPv4 a IPv6 Azure.
Hvězdicová topologie používá k správné směrování provozu partnerské vztahy virtuálních sítí a trasy definované uživatelem.
V diagramu trasa definovaná uživatelem zajišťuje, že provoz před předáním do místní brány přes bránu ExpressRoute (pokud tok umožňuje zásady brány firewall) proudí z paprsku do brány firewall.
Typ komponenty: monitorování
Monitorovací komponenty poskytují viditelnost a upozorňování ze všech ostatních typů komponent. Všechny týmy můžou mít přístup k monitorování komponent a služeb, ke kterým mají přístup. Pokud máte centralizovaný tým technické podpory nebo provozní týmy, vyžadují integrovaný přístup k datům poskytovaným těmito komponentami.
Azure nabízí různé typy služeb protokolování a monitorování pro sledování chování prostředků hostovaných v Azure. Zásady správného řízení a řízení úloh v Azure jsou založené nejen na shromažďování dat protokolu, ale také na možnosti aktivovat akce na základě konkrétních ohlášených událostí.
Azure Monitor Azure obsahuje více služeb, které v prostoru monitorování samostatně provádějí určité role nebo úlohy. Tyto služby společně poskytují komplexní řešení pro shromažďování, analýzu a činnost na systémem generovaných protokolech z vašich aplikací a prostředků Azure, které je podporují. Můžou také pracovat na monitorování důležitých místních prostředků, aby poskytovaly hybridní monitorovací prostředí. Pochopení dostupných nástrojů a dat je prvním krokem při vývoji kompletní strategie monitorování pro vaše aplikace.
Ve službě Azure Monitor existují dva základní typy protokolů:
Metriky jsou číselné hodnoty, které popisují určité aspekty systému v určitém časovém okamžiku. Jsou odlehčené a schopné podporovat scénáře téměř v reálném čase. U mnoha prostředků Azure uvidíte data shromážděná službou Azure Monitor přímo na stránce s přehledem na webu Azure Portal. Podívejte se například na jakýkoli virtuální počítač a uvidíte několik grafů zobrazující metriky výkonu. Výběrem některého z grafů otevřete data v Průzkumníku metrik na webu Azure Portal, který umožňuje v průběhu času zobrazit hodnoty více metrik. Grafy můžete zobrazit interaktivně nebo je připnout na řídicí panel a zobrazit je s jinými vizualizacemi.
Protokoly obsahují různé druhy dat uspořádaných do záznamů s různými sadami vlastností pro každý typ. Události a trasování se ukládají jako protokoly spolu s daty o výkonu, které se dají kombinovat pro analýzu. Data protokolů shromážděná službou Azure Monitor je možné analyzovat pomocí dotazů za účelem rychlého načtení, konsolidace a analýzy shromážděných dat. Protokoly se ukládají a dotazují z Log Analytics. Dotazy můžete vytvářet a testovat pomocí log Analytics na webu Azure Portal a přímo analyzovat data pomocí těchto nástrojů nebo ukládat dotazy pro použití s vizualizacemi nebo pravidly upozornění.
Azure Monitor může shromažďovat data z různých zdrojů. Data monitorování pro vaše aplikace si můžete představit v různých úrovních od vaší aplikace, libovolného operačního systému a služeb, na které spoléhá, až po samotnou platformu Azure. Azure Monitor shromažďuje data z každé z následujících vrstev:
- Data monitorování aplikací: Data o výkonu a funkcích kódu, který jste napsali, bez ohledu na jeho platformu.
- Data monitorování hostovaného operačního systému: Data o operačním systému, na kterém je vaše aplikace spuštěná. Tento operační systém může běžet v Azure, jiném cloudu nebo v místním prostředí.
- Data monitorování prostředků Azure: Data o provozu prostředku Azure
- Data monitorování předplatného Azure: Data o provozu a správě předplatného Azure a o stavu a provozu samotného Azure.
- Data monitorování tenanta Azure: Data o provozu služeb Azure na úrovni tenanta, jako je ID Microsoft Entra.
- Vlastní zdroje: Protokoly odeslané z místních zdrojů je možné zahrnout také. Mezi příklady patří události místního serveru nebo výstup syslogu síťového zařízení.
Data monitorování jsou užitečná jenom v případě, že můžou zvýšit přehled o provozu výpočetního prostředí. Azure Monitor obsahuje několik funkcí a nástrojů, které poskytují cenné přehledy o vašich aplikacích a dalších prostředcích, na které závisí. Monitorování řešení a funkcí, jako jsou Application Insights a Azure Monitor pro kontejnery, poskytují podrobné přehledy o různých aspektech vaší aplikace a konkrétních službách Azure.
Řešení monitorování ve službě Azure Monitor jsou zabalené sady logiky, které poskytují přehledy pro konkrétní aplikaci nebo službu. Zahrnují logiku pro shromažďování dat monitorování pro aplikaci nebo službu, dotazy na analýzu dat a zobrazení pro vizualizaci. Řešení pro monitorování jsou k dispozici od Microsoftu a partnerů, kteří poskytují monitorování pro různé služby Azure a další aplikace.
Díky takové kolekci bohatých dat je důležité aktivně reagovat na události, ke kterým dochází ve vašem prostředí, zejména v případě, že ruční dotazy nestačí. Výstrahy ve službě Azure Monitor proaktivně upozorňují na kritické podmínky a potenciálně se pokusí provést nápravnou akci. Pravidla upozornění založená na metrikách poskytují výstrahy téměř v reálném čase na základě číselných hodnot. Pravidla upozornění založená na protokolech umožňují komplexní logiku napříč daty z více zdrojů. Pravidla upozornění ve službě Azure Monitor používají skupiny akcí, které obsahují jedinečné sady příjemců a akcí, které je možné sdílet napříč několika pravidly. Na základě vašich požadavků můžou skupiny akcí používat webhooky, které způsobují, že upozornění spustí externí akce nebo se integrují s vašimi nástroji ITSM.
Azure Monitor také umožňuje vytvářet vlastní řídicí panely. Řídicí panely Azure umožňují kombinovat různé druhy dat, včetně metrik i protokolů, do jednoho podokna na webu Azure Portal. Volitelně můžete řídicí panel sdílet s ostatními uživateli Azure. Kromě výstupu jakéhokoli dotazu protokolu nebo grafu metrik je možné do řídicího panelu Azure přidat prvky v celém Azure Monitoru. Můžete například vytvořit řídicí panel, který kombinuje dlaždice, které zobrazují graf metrik, tabulku protokolů aktivit, graf využití z Application Insights a výstup dotazu protokolu.
Nakonec jsou data Azure Monitoru nativním zdrojem pro Power BI. Power BI je služba obchodní analýzy, která poskytuje interaktivní vizualizace napříč různými zdroji dat. Je to také efektivní způsob zpřístupnění dat ostatním uživatelům v rámci vaší organizace i mimo ni. Power BI můžete nakonfigurovat tak, aby automaticky naimportovali data protokolů ze služby Azure Monitor, abyste mohli využívat tyto další vizualizace.
Azure Network Watcher poskytuje nástroje pro monitorování, diagnostiku a zobrazení metrik a povolení nebo zakázání protokolů pro prostředky ve virtuální síti v Azure. Jedná se o vícestrannou službu, která umožňuje následující funkce a další funkce:
- Monitorujte komunikaci mezi virtuálním počítačem a koncovým bodem.
- Umožňuje zobrazit prostředky ve virtuální síti a jejich vztahy.
- Diagnostika problémů s filtrováním síťového provozu do nebo z virtuálního počítače
- Diagnostika problémů se směrováním sítě z virtuálního počítače
- Diagnostika odchozích připojení z virtuálního počítače
- Zachytávání paketů do a z virtuálního počítače
- Diagnostika problémů s bránou a připojením virtuální sítě
- Určení relativní latence mezi oblastmi Azure a poskytovateli internetových služeb
- Zobrazení pravidel zabezpečení pro síťové rozhraní
- Zobrazení metrik sítě
- Analyzujte provoz do nebo ze skupiny zabezpečení sítě.
- Zobrazení diagnostických protokolů pro síťové prostředky
Typ komponenty: Úlohy
Součásti úloh jsou místo, kde se nacházejí vaše skutečné aplikace a služby. Je to místo, kde týmy pro vývoj aplikací tráví většinu času.
Možnosti úloh jsou nekonečné. Následuje několik možných typů úloh:
Interní aplikace: Obchodní aplikace jsou pro podnikové operace důležité. Tyto aplikace mají několik běžných charakteristik:
- Interaktivní: Data se zadají a vrátí se výsledky nebo sestavy.
- Řízená daty: Náročné na data s častým přístupem k databázím nebo jinému úložišti.
- Integrovaná: Nabízí integraci s jinými systémy v rámci organizace nebo mimo ni.
Weby přístupné zákazníkům (internetové nebo interně): Většina internetových aplikací je weby. Azure může web spustit prostřednictvím virtuálního počítače IaaS nebo webu Azure Web Apps (PaaS). Webové aplikace Azure se integrují s virtuálními sítěmi za účelem nasazení webových aplikací v paprskové zóně sítě. Interně přístupné weby nemusí zveřejnit veřejný internetový koncový bod, protože prostředky jsou přístupné prostřednictvím privátních adres směrovatelných mimo internet z privátní virtuální sítě.
Analýza velkých objemů dat: Když data potřebují vertikálně navýšit kapacitu na větší objemy, nemusí relační databáze fungovat dobře za extrémního zatížení nebo nestrukturované povahy dat. Azure HDInsight je spravovaná opensourcová analytická služba v cloudu pro podniky. Můžete použít opensourcové architektury, jako jsou Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm a R. HDInsight. To podporuje nasazení do virtuální sítě založené na umístění, kterou je možné nasadit do clusteru v paprsku virtuálního datacentra.
Události a zasílání zpráv: Azure Event Hubs je platforma pro streamování velkých objemů dat a služba pro příjem událostí. Dokáže přijímat a zpracovávat miliony událostí za sekundu. Poskytuje nízkou latenci a konfigurovatelné uchovávání času, což umožňuje ingestovat obrovské objemy dat do Azure a číst je z více aplikací. Jeden datový proud může podporovat kanály v reálném čase i kanály založené na dávkách.
Prostřednictvím služby Azure Service Bus můžete implementovat vysoce spolehlivou cloudovou službu zasílání zpráv mezi aplikacemi a službami. Nabízí asynchronní zprostředkované zasílání zpráv mezi klientem a serverem, strukturované zasílání zpráv fiFO (first-in-first-out) a publikuje a odebírá funkce.
Tyto příklady sotva poškrábou povrch typů úloh, které můžete vytvořit v Azure. Můžete vytvořit všechno od základní webové aplikace a aplikace SQL až po nejnovější informace v IoT, velkých objemech dat, strojovém učení, umělé inteligenci a mnohem více.
Vysoká dostupnost: několik virtuálních datacenter
Zatím se tento článek zaměřil na návrh jednoho VDC, který popisuje základní komponenty a architektury, které přispívají k odolnosti. Funkce Azure, jako jsou Azure Load Balancer, síťová virtuální zařízení, zóny dostupnosti, skupiny dostupnosti, škálovací sady a další funkce, které vám pomůžou zahrnout do produkčních služeb solidní úrovně SLA.
Vzhledem k tomu, že je virtuální datové centrum obvykle implementováno v rámci jedné oblasti, může být ohroženo výpadky, které ovlivňují celou oblast. Zákazníci, kteří vyžadují vysokou dostupnost, musí chránit služby prostřednictvím nasazení stejného projektu ve dvou nebo více implementacích VDC nasazených do různých oblastí.
Kromě problémů se smlouvou SLA přináší několik běžných scénářů výhod provozování několika virtuálních datacenter:
- Regionální nebo globální přítomnost koncových uživatelů nebo partnerů
- Požadavky na zotavení po havárii
- Mechanismus pro přesměrování provozu mezi datacentry kvůli zatížení nebo výkonu.
Regionální/globální přítomnost
Datacentra Azure existují v mnoha oblastech po celém světě. Při výběru více datacenter Azure zvažte dva související faktory: zeměpisné vzdálenosti a latenci. Pokud chcete optimalizovat uživatelské prostředí, vyhodnoťte vzdálenost mezi jednotlivými virtuálními datovými centry a vzdáleností od každého virtuálního datacentra až po koncové uživatele.
Oblast Azure, která hostuje vaše virtuální datové centrum, musí splňovat zákonné požadavky jakékoli právní jurisdikce, ve které vaše organizace působí.
Zotavení po havárii
Návrh plánu zotavení po havárii závisí na typech úloh a schopnosti synchronizovat stav těchto úloh mezi různými implementacemi služby VDC. V ideálním případě si většina zákazníků přeje rychlý mechanismus převzetí služeb při selhání a tento požadavek může vyžadovat synchronizaci dat aplikací mezi nasazeními spuštěnými v několika implementacích VDC. Při navrhování plánů zotavení po havárii je ale důležité zvážit, že většina aplikací je citlivá na latenci, kterou může tato synchronizace dat způsobit.
Synchronizace a monitorování prezenčního signálu aplikací v různých implementacích VDC vyžaduje, aby komunikovaly přes síť. Více implementací VDC v různých oblastech je možné propojit prostřednictvím:
- Komunikace typu hub-to-hub integrovaná do center Azure Virtual WAN napříč oblastmi ve stejné službě Virtual WAN.
- Partnerský vztah virtuálních sítí pro připojení rozbočovačů napříč oblastmi
- Privátní partnerský vztah ExpressRoute, když jsou rozbočovače v každé implementaci VDC připojené ke stejnému okruhu ExpressRoute.
- Několik okruhů ExpressRoute připojených přes firemní páteřní síť a několik implementací VDC připojených k okruhům ExpressRoute.
- Připojení VPN typu Site-to-Site mezi zónou centra vašich implementací VDC v každé oblasti Azure.
Pro připojení k síti se obvykle preferují rozbočovače Virtual WAN, partnerské vztahy virtuálních sítí nebo připojení ExpressRoute, a to kvůli vyšší šířce pásma a konzistentním úrovním latence při průchodu páteřní sítí Microsoftu.
Spuštěním testů kvalifikace sítě ověřte latenci a šířku pásma těchto připojení a na základě výsledku se rozhodněte, jestli je vhodná synchronní nebo asynchronní replikace dat. Je také důležité zvážit tyto výsledky vzhledem k optimálnímu cíli doby obnovení (RTO).
Zotavení po havárii: Přesměrování provozu z jedné oblasti do druhé
Azure Traffic Manager i Azure Front Door pravidelně kontrolují stav služby naslouchajících koncových bodů v různých implementacích VDC. Pokud tyto koncové body selžou, Azure Traffic Manager a Azure Front Door se automaticky směrují na nejbližší nejbližší VDC. Traffic Manager používá měření uživatelů v reálném čase a DNS ke směrování uživatelů na nejbližší (nebo nejbližší při selhání). Azure Front Door je reverzní proxy server na více než 100 páteřních hraničních lokalitách Microsoftu, který pomocí jakéhokoli vysílání směruje uživatele do nejbližšího koncového bodu naslouchání.
Shrnutí
Přístup k migraci virtuálního datacentra spočívá v vytvoření škálovatelné architektury, která optimalizuje využití prostředků Azure, snižuje náklady a zjednodušuje zásady správného řízení systému. Virtuální datové centrum je typické na základě hvězdicové topologie sítě (pomocí partnerského vztahu virtuálních sítí nebo center Virtual WAN). Běžné sdílené služby poskytované v centru a konkrétní aplikace a úlohy se nasazují v paprskech. Virtuální datové centrum také odpovídá struktuře rolí společnosti, kde různá oddělení, jako jsou centrální IT, DevOps a provoz a údržba, spolupracují a provádějí jejich konkrétní role. Virtuální datové centrum podporuje migraci stávajících místních úloh do Azure, ale nabízí také řadu výhod nasazení nativních pro cloud.
Reference
Přečtěte si další informace o možnostech Azure probíraných v tomto dokumentu.
Síťové funkce
Azure Virtual Networks
Network Security Groups (Skupiny zabezpečení sítě)
Koncové body služby
Privátní propojení
Trasy definované uživatelem
Síťová virtuální zařízení
Veřejné IP adresy
Azure DNS
Identita
Microsoft Entra ID
Vícefaktorové ověřování Microsoft Entra
Řízení přístupu na základě role v Azure
Předdefinované role v Azure
Monitorování
Network Watcher
Azure Monitor
Log Analytics
Další kroky
- Přečtěte si další informace o partnerském vztahu virtuálních sítí, základní technologii hvězdicových topologií.
- Implementujte ID Microsoft Entra pro použití řízení přístupu na základě role v Azure.
- Vývoj modelu správy předplatných a prostředků pomocí řízení přístupu na základě role v Azure, které odpovídá struktuře, požadavkům a zásadám vaší organizace. Nejdůležitější aktivitou je plánování. Analyzujte, jak změna uspořádání, fúze, nové produktové řady a další aspekty ovlivní vaše počáteční modely, abyste měli jistotu, že můžete škálovat podle budoucích potřeb a růstu.