Nasazení infrastruktury pro migraci

V tomto článku se dozvíte, jak fiktivní společnost Contoso připraví svoji místní infrastrukturu na migraci, v rámci příprav na migraci nastaví infrastrukturu Azure a dál provozuje svoji činnost v hybridním prostředí.

Pokud použijete tento příklad k plánování vlastního úsilí o migraci infrastruktury, mějte na paměti, že poskytnutá ukázková architektura je specifická pro Společnost Contoso. Při rozhodování o důležitých rozhodnutích o návrhu předplatného nebo síťové architektuře zkontrolujte obchodní potřeby, strukturu a technické požadavky vaší organizace.

To, jestli potřebujete všechny prvky popsané v tomto článku, závisí na vaší strategii migrace. Pokud například vytváříte jenom aplikace nativní pro cloud v Azure, možná budete potřebovat méně složitou strukturu sítě.

Přehled

Než společnost Contoso provede migraci do Azure, je zásadně důležité připravit na to infrastrukturu Azure. Společnost Contoso se obecně musí zamyslet nad šesti oblastmi:

• Krok 1: Předplatná Azure Jak it nákup Azure a interakce s platformou a službami Azure?
• Krok 2: Hybridní identita Jak BUDE IT po migraci spravovat a řídit přístup k místním prostředkům a prostředkům Azure? Jak IT rozšiřuje nebo přesouvá správu identit do cloudu?
• Krok 3: Zotavení po havárii a odolnost. Jak IT zajistí odolnost svých aplikací a infrastruktury, pokud dojde k výpadkům a katastrofám?
• Krok 4: Síť. Jak by IT měl navrhnout síťovou infrastrukturu a vytvořit připojení mezi místním datacentrem a Azure?
• Krok 5: Zabezpečení Jak IT zajistí hybridní nasazení?
• Krok 6: Zásady správného řízení Jak it oddělení udržuje nasazení v souladu s požadavky na zabezpečení a zásady správného řízení?

Než začnete

Než začneme zkoumat infrastrukturu, zvažte čtení některých informací o relevantních možnostech Azure:

• K dispozici je několik možností pro nákup přístupu k Azure, včetně předplatných s průběžným platbami, microsoftu smlouva Enterprise (EA), otevření licencování od prodejců Microsoftu nebo nákupu od partnerů Microsoftu v programu Cloud Solution Provider (CSP). Seznamte se s možnostmi nákupu a přečtěte si, jak jsou uspořádaná předplatná Azure.
• Získejte přehled správy identit a přístupu Azure (IAM). Seznamte se s Azure Active Directory (Azure AD) a rozšířením místní Active Directory do cloudu.
• Azure poskytuje robustní síťovou infrastrukturu s možnostmi hybridního připojení. Podívejte se na přehled sítí a řízení přístupu k sítím.
• Přečtěte si úvod do zabezpečení Azure a zjistěte, jak vytvořit plán zásad správného řízení Azure.

Místní architektura

Tady je diagram, který znázorňuje aktuální místní infrastrukturu Contoso.

Obrázek 1: Místní architektura Contoso

• Společnost Contoso má jedno hlavní datové centrum umístěné v New Yorku ve východním USA.
• V rámci USA má ještě tři další místní pobočky.
• Hlavní datové centrum je připojeno k internetu s optickým připojením Metro Ethernet (500 Mb/s).
• Každá větev je místně připojená k internetu prostřednictvím připojení business-class s tunely VPN IPsec zpět do hlavního datacentra. Tento přístup umožňuje trvalé připojení celé sítě a optimalizaci připojení k internetu.
• Hlavní datacentrum je plně virtualizované prostřednictvím VMware. Společnost Contoso má dva hostitele virtualizace ESXi 6.5 spravované serverem vCenter Server 6.5.
• Společnost Contoso používá službu Active Directory pro správu identit a servery DNS (Domain Name System) v interní síti.
• Řadiče domény v datacentru běží na virtuálních počítačích VMware. Řadiče domény v místních pobočkách běží na fyzických serverech.

Krok 1: Nákup a přihlášení k odběru Azure

Společnost Contoso potřebuje určit, jak koupit Azure, jak spravovat předplatná a jak licencovat služby a prostředky.

Nákup Azure

Společnost Contoso se zaregistruje do smlouva Enterprise. Tato smlouva zahrnuje počáteční peněžní závazek k Azure, který má nárok na získání výhod, jako jsou flexibilní možnosti fakturace a optimalizované ceny.

Tady jsou podrobnosti:

• Společnost Contoso odhadla výši své roční útraty za Azure. Když společnost Contoso smlouvu podepsala, zaplatila za první rok v plném rozsahu.
• Společnost Contoso musí použít všechny závazky před uplynutím roku nebo ztratit hodnotu těchto dolarů.
• Pokud společnost Contoso z nějakého důvodu překročí svůj závazek a další výdaje, Microsoft za rozdíl fakturuje.
• Veškeré náklady nad rámec závazku se budou účtovat podle stejných sazeb, jaké jsou uvedené ve smlouvě se společností Contoso. Za překročení závazku se neúčtují žádné pokuty.

Správa předplatných

Po zaplacení za Azure musí společnost Contoso určit, jak spravovat předplatná Azure. Vzhledem k tomu, že společnost Contoso má EA, neexistuje žádný limit počtu předplatných Azure, která může vytvořit. Registrace azure smlouva Enterprise definuje způsob tvarování a používání služeb Azure a definuje základní strukturu zásad správného řízení.

V prvním kroku společnost Contoso definovala strukturu označovanou jako podnikové uživatelské rozhraní pro registraci. Společnost Contoso použila pokyny k generování uživatelského rozhraní Azure Enterprise , které vám pomůžou pochopit a navrhnout generování uživatelského rozhraní.

Společnost Contoso se teď rozhodla použít funkční přístup ke správě předplatných:

• V rámci podniku bude používat jedno IT oddělení, které řídí rozpočet Azure. Tato skupina bude jedinou skupinou s předplatnými.
• Společnost Contoso tento model rozšíří v budoucnu, aby se ostatní podnikové skupiny mohly připojit jako oddělení v hierarchii registrace.
• V ODDĚLENÍ IT má Společnost Contoso strukturovaná dvě předplatná Production a Development.
• Pokud společnost Contoso potřebuje v budoucnu více předplatných, bude také muset spravovat přístup, zásady a dodržování předpisů pro tato předplatná. Společnost Contoso to provede zavedením skupin pro správu Azure jako další vrstvy nad předplatnými.

Obrázek 2: Podniková hierarchie

Zamyšlení nad licencemi

Po nakonfigurování předplatných se společnost Contoso může podívat na licencování Microsoftu. Strategie licencování bude záviset na prostředcích, které společnost Contoso chce migrovat do Azure, a na tom, jak jsou vybrané a nasazené virtuální počítače a služby v Azure.

Zvýhodněné hybridní využití Azure

Pro nasazení virtuálních počítačů v Azure zahrnují standardní image licenci, která bude účtovat contoso o minutu za použitý software. Společnost Contoso však byla dlouhodobým zákazníkem Microsoftu a udržuje EA a otevírá licence pomocí software Assurance.

Zvýhodněné hybridní využití Azure poskytuje nákladově efektivní metodu migrace. Umožňuje společnosti Contoso ušetřit na virtuálních počítačích Azure a SQL Server úlohách převodem nebo opětovným použitím licencí edice Windows Server Datacenter a Standard, na které se vztahuje software Assurance. Společnost Contoso tak může platit nižší základní výpočetní sazbu pro virtuální počítače a SQL Server. Další informace najdete v tématu Zvýhodněné hybridní využití Azure.

License Mobility

Licence Mobility prostřednictvím programu Software Assurance poskytuje zákazníkům multilicenčních programů Microsoftu, jako je Contoso, flexibilitu při nasazování oprávněných serverových aplikací s aktivním programem Software Assurance v Azure. Díky tomu není potřeba kupovat nové licence. Za mobilitu se neúčtují žádné poplatky a stávající licence se dají snadno nasadit v Azure. Další informace najdete v tématu Licence Mobility prostřednictvím programu Software Assurance v Azure.

Rezervované instance pro předvídatelné úlohy

Předvídatelné úlohy musí být vždy dostupné u virtuálních počítačů spuštěných, jako jsou obchodní aplikace, jako je systém SAP ERP. Nepředvídatelné úlohy jsou proměnné, jako jsou virtuální počítače, které jsou v době vysoké poptávky a mimo provoz, když je poptávka nízká.

Obrázek 3: Rezervované instance virtuálních počítačů Azure

Na výměnu za použití rezervovaných instancí pro konkrétní instance virtuálních počítačů, které se musí uchovávat po dlouhou dobu, může společnost Contoso získat slevu i kapacitu s prioritou. Použití rezervovaných instancí virtuálních počítačů Azure společně s Zvýhodněné hybridní využití Azure může společnosti Contoso ušetřit až 82 % oproti běžným cenám průběžných plateb (od dubna 2018).

Krok 2: Správa hybridní identity

Poskytnutí a řízení přístupu uživatelů k prostředkům Azure pomocí správy identit a přístupu je důležitým krokem při sestavování infrastruktury Azure.

Společnost Contoso se rozhodla rozšířit svoji místní službu Active Directory do cloudu, místo aby vytvářela v Azure nový oddělený systém. Vzhledem k tomu, že společnost Contoso ještě nepoužívá Microsoft 365, potřebuje zřídit instanci Azure AD. Pokud společnost Contoso používala Microsoft 365, už by měla existujícího tenanta a adresáře Azure AD, který by mohl použít jako primární instanci Azure AD.

Přečtěte si další informace o modelech identit Microsoftu 365 a Azure Active Directory. Dozvíte se také, jak přidružit nebo přidat předplatné Azure do tenanta Azure Active Directory.

Vytvoření adresáře Azure AD

Společnost Contoso používá edici Azure AD Free, která je součástí předplatného Azure. Správci společnosti Contoso vytvoří adresář Azure AD:

1. V Azure Portal přejděte na Vytvoření identity> prostředku >Azure Active Directory.

2. V okně Vytvořit adresář určují název adresáře, počáteční název domény a oblast, do které se má adresář vytvořit.

   

   Obrázek 4: Vytvoření adresáře Azure AD

Poznámka

Vytvořený adresář má ve formuláři domain-name.onmicrosoft.compočáteční název domény . Tento název není možné změnit ani odstranit. Místo toho musí správci přidat jeho registrovaný název domény do Azure AD.

Přidání názvu domény

Aby mohli správci Společnosti Contoso použít standardní název domény, musí ho přidat jako vlastní název domény, aby mohli Azure AD. Tato možnost jim umožní přiřadit známá uživatelská jména. Uživatel se může například přihlásit pomocí e-mailové adresy billg@contoso.com místo billg@contosomigration.onmicrosoft.com.

Pokud chcete nastavit vlastní název domény, správci ho přidávají do adresáře, přidávají položku DNS a pak ověřují název v Azure AD.

1. V části Vlastní názvy> doménPřidat vlastní doménu přidá doménu.

2. Pokud chcete použít položku DNS v Azure, musí ji zaregistrovat u svého doménového registrátora:

   • V seznamu Vlastní názvy domén zadají údaje DNS pro požadovanou doménu. Používá záznam MX.
   • Potřebují přístup k názvovém serveru. Přihlásí se k contoso.com doméně a vytvoří nový záznam MX pro záznam DNS poskytovaný Azure AD pomocí uvedených podrobností.

3. Po šíření záznamů DNS vyberou možnost Ověřit a zkontrolují název vlastní domény v podrobnostech domény.

   

   Obrázek 5: Kontrola názvu domény

Nastavení místních skupin a uživatelů a skupin a uživatelů Azure

Teď, když je vytvořený adresář Azure AD, musí správci společnosti Contoso přidat zaměstnance do místní Active Directory skupin, které se budou synchronizovat s Azure AD. Měli by používat názvy místních skupin odpovídající názvům skupin prostředků v Azure. To usnadní identifikaci vzájemně si odpovídajících skupin pro účely synchronizace.

Vytvoření skupin prostředků v Azure

Skupiny prostředků Azure slouží k seskupení prostředků Azure. Použití ID skupiny prostředků umožňuje Azure provádět operace s prostředky v dané skupině.

Předplatné Azure může mít více skupin prostředků. Skupina prostředků existuje v jednom předplatném. Kromě toho může mít jedna skupina prostředků více prostředků. Prostředek patří do jedné skupiny prostředků.

Správci Společnosti Contoso nastavují skupiny prostředků Azure, jak je znázorněno v následující tabulce.

Skupina prostředků	Podrobnosti
ContosoCobRG	Tato skupina obsahuje všechny prostředky související s kontinuitou podnikání. Zahrnuje trezory, které společnost Contoso použije pro službu Azure Site Recovery a službu Azure Backup. Zahrnuje také prostředky používané k migraci, včetně služby Azure Migrate a Azure Database Migration Service.
ContosoDevRG	Tato skupina obsahuje prostředky pro vývoj/testování.
ContosoFailoverRG	Tato skupina slouží jako cílová zóna pro prostředky při selhání.
ContosoNetworkingRG	Tato skupina obsahuje všechny síťové prostředky.
ContosoRG	Tato skupina obsahuje prostředky související s produkčními aplikacemi a databázemi.

Správci vytvoří skupiny prostředků následujícím způsobem:

1. Ve skupinách prostředků Azure Portal > přidá skupinu.

2. Pro každou skupinu určí název, předplatné, do kterého skupina patří, a oblast.

3. Skupiny prostředků se zobrazují v seznamu Skupiny prostředků.

   

   Obrázek 6: Skupiny prostředků

Škálování skupin prostředků

V budoucnu bude Contoso podle potřeby přidávat další skupiny prostředků. Může například definovat skupinu prostředků pro každou aplikaci nebo službu, aby každá mohla být spravována a zabezpečena nezávisle.

Vytvoření odpovídajících skupin zabezpečení v místním prostředí

V instanci místní Active Directory správci společnosti Contoso nastavují skupiny zabezpečení s názvy, které odpovídají názvům skupin prostředků Azure.

Obrázek 7: Místní skupiny zabezpečení služby Active Directory

Pro účely správy vytvoří správci další skupinu, která se přidá ke všem ostatním skupinám. Tato skupina bude mít oprávnění ke všem skupinám prostředků v Azure. Do této skupiny se přidá omezený počet globálních správců.

Synchronizace Active Directory

Společnost Contoso chce poskytnout společnou identitu pro přístup k prostředkům v místním prostředí i v cloudu. K tomu se integruje instance místní Active Directory s Azure AD. Díky tomuto modelu můžou uživatelé a organizace využívat jednu identitu pro přístup k místním aplikacím a cloudovým službám, jako je Microsoft 365 nebo tisíce dalších webů na internetu. Správci můžou skupiny ve službě Active Directory použít k implementaci řízení přístupu na základě role (Azure RBAC) Azure.

V zájmu usnadnění integrace používá společnost Contoso nástroj Azure AD Connect. Když nástroj nainstalujete a nakonfigurujete na řadiči domény, synchronizuje místní Active Directory identity do Azure AD.

Stažení nástroje

1. V Azure Portal správci společnosti Contoso přejdou do Služby Azure Active Directory>Azure AD Connect a stáhnutí nejnovější verze nástroje na server, který používají k synchronizaci.

   

   Obrázek 8: Stahování Azure AD Connect

2. Spustí instalaci pomocí expresníhoAzureADConnect.msi nastavení. Toto je nejběžnější instalace a dá se použít pro topologii s jednou doménovou strukturou se synchronizací hodnot hash hesel pro ověřování.

   

   Obrázek 9: Průvodce připojením Azure AD

3. V části Připojit k Azure AD určují přihlašovací údaje pro připojení k Azure AD (ve formuláři admin@contoso.com nebo admin@contoso.onmicrosoft.com).

   

   Obrázek 10: Průvodce připojením Azure AD: Připojení k Azure AD

4. Ve službě Connect to AD DS určují přihlašovací údaje pro místní adresář (ve formuláři CONTOSO\admin nebo contoso.com\admin).

   

   Obrázek 11: Průvodce připojením Azure AD: Připojení ke službě AD DS

5. V části Připraveno ke konfiguraci zvolí Po dokončení konfigurace spusťte proces konfigurace, aby se synchronizace hned spustila. Pak provedou instalaci.

   Pamatujte na následující:

   • Společnost Contoso má přímé připojení k Azure. Pokud je vaše instance místní Active Directory za proxy serverem, projděte si řešení potíží Azure AD připojení.

   • Po první synchronizaci se v adresáři Azure AD objeví objekty místní služby Active Directory.

     

     Obrázek 12: Místní objekty Active Directory viditelné v Azure AD

   • It tým Contoso je reprezentovaný v každé skupině a je založený na jeho roli.

     

     Obrázek 13: Členství ve skupinách

Nastavení Azure RBAC

Azure RBAC umožňuje jemně odstupňovanou správu přístupu pro Azure. Pomocí Azure RBAC můžete udělit jenom množství přístupu, které uživatelé potřebují k provádění úkolů. Příslušnou roli Azure přiřadíte uživatelům, skupinám a aplikacím na úrovni oboru. Role se dají přidělovat na úrovni předplatného, skupiny prostředků nebo konkrétního prostředku.

Správci společnosti Contoso pak přiřazují role skupinám Active Directory, které synchronizovali z místního prostředí.

1. ControlCobRG Ve skupině prostředků vyberou řízení přístupu (IAM)>Přidat přiřazení role.

2. V části Přidatpřispěvatelrole>role> vyberou ContosoCobRG skupinu zabezpečení ze seznamu. Skupina se pak zobrazí v seznamu Vybraní členové.

3. Opakují to se stejnými oprávněními pro ostatní skupiny prostředků (s výjimkou ContosoAzureAdmins) přidáním oprávnění přispěvatele do skupiny zabezpečení, která odpovídá skupině prostředků.

4. ContosoAzureAdmins Pro skupinu zabezpečení přiřazují roli Vlastník.

   

   Obrázek 14: Přiřazení rolí skupinám zabezpečení

Krok 3: Návrh odolnosti

Nastavení oblastí

Prostředky Azure se nasazují v rámci oblastí. Oblasti jsou uspořádané do geografických oblastí. Požadavky na rezidenci dat, suverenitu, dodržování předpisů a odolnost jsou dodrženy v rámci geografických hranic.

Oblast se skládá ze sady datacenter. Tato datacentra jsou nasazená v rámci hranic s definovanou latencí a propojená prostřednictvím vyhrazené oblastní sítě s nízkou latencí.

Každá oblast Azure kvůli odolnosti spárovaná s jinou oblastí. Přečtěte si o oblastech Azure a zjistěte, jak jsou oblasti spárované.

Společnost Contoso se rozhodla používat East US 2 (nachází se ve Virginii) jako primární oblast a Central US (nachází se v Iowa) jako sekundární oblast z těchto důvodů:

• Datacentrum společnosti Contoso se nachází v New Yorku, a tak společnost Contoso brala v úvahu latenci k nejbližšímu datacentru.
• East US 2 má všechny služby a produkty, které společnost Contoso potřebuje. Ne všechny oblasti Azure mají k dispozici stejné produkty a služby. Další informace najdete v tématu Produkty Azure podle oblasti.
• Central US je spárovaná oblast Azure pro East US 2.

Když společnost Contoso přemýšlí o hybridním prostředí, musí vzít v úvahu i to, jak do návrhu oblastí zabudovat strategii odolnosti a zotavení po havárii. Nejjednodušší strategií je nasazení s jednou oblastí, které spoléhá na funkce platformy Azure, jako jsou domény selhání a regionální párování pro odolnost. Nejsložitější je úplný aktivní model, ve kterém jsou cloudové služby a databáze nasazené a obsluhované uživatele ze dvou oblastí.

Společnost Contoso se rozhodla pro střední cestu. Nasadí aplikace a prostředky v primární oblasti a zachová úplnou kopii infrastruktury v sekundární oblasti. Při této strategii je kopie připravená jako úplné zálohování, pokud dojde k úplné havárii aplikace nebo selhání oblasti.

Nastavení dostupnosti

Skupiny dostupnosti

Skupiny dostupnosti pomáhají chránit aplikace a data před místním hardwarem a výpadkem sítě v datovém centru. Skupiny dostupnosti distribuují virtuální počítače Azure mezi fyzický hardware v rámci datacentra.

Domény selhání představují základní hardware se společným zdrojem napájení a síťovým přepínačem v rámci datacentra. Virtuální počítače ve skupině dostupnosti se distribuují napříč doménami selhání, aby se minimalizovaly výpadky způsobené jedním hardwarem nebo selháním sítě.

Aktualizační domény představují základní hardwarové komponenty, u kterých je možné ve stejnou chvíli provést údržbu nebo restart. Skupiny dostupnosti také distribuují virtuální počítače napříč několika aktualizačními doménami, aby se zajistilo, že bude vždy spuštěna alespoň jedna instance.

Společnost Contoso bude implementovat sady dostupnosti všude tam, kde úlohy virtuálních počítačů vyžadují vysokou dostupnost. Další informace najdete v tématu Správa dostupnosti virtuálních počítačů s Windows v Azure.

Zóny dostupnosti

Zóny dostupnosti pomáhá chránit aplikace a data před chybami, které ovlivňují celé datové centrum v rámci oblasti.

Každá zóna dostupnosti představuje jedinečné fyzické umístění v rámci oblasti Azure. Každá zóna se skládá z jednoho nebo více datacenter vybavených nezávislým napájením, chlazením a sítěmi.

Ve všech povolených oblastech existují minimálně tři samostatné zóny. Fyzické oddělení zón v rámci oblasti chrání aplikace a data před selháním datacenter.

Společnost Contoso bude používat Zóny dostupnosti vždy, když aplikace potřebují větší škálovatelnost, dostupnost a odolnost. Další informace najdete v tématu Oblasti a Zóny dostupnosti v Azure.

Konfigurace zálohování

Azure Backup

Disky virtuálních počítačů Azure můžete zálohovat a obnovovat pomocí Azure Backup.

Azure Backup umožňuje automatizované zálohování imagí disků virtuálních počítačů uložených ve službě Azure Storage. Zálohy jsou konzistentní vzhledem k aplikacím, aby se zajistilo, že zálohovaná data jsou konakčně konzistentní a že aplikace po obnovení spustí.

Azure Backup podporuje místně redundantní úložiště (LRS) k replikaci více kopií zálohovaných dat v datacentru, pokud dojde k selhání místního hardwaru. Pokud dojde k výpadku oblasti, Azure Backup také podporuje geograficky redundantní úložiště (GRS), které replikuje zálohovaná data do sekundární spárované oblasti.

Azure Backup šifruje přenášená data pomocí AES-256. Zálohovaná neaktivní uložená data se šifrují prostřednictvím šifrování služby Azure Storage.

Společnost Contoso použije Azure Backup s GRS na všech produkčních virtuálních počítačích, aby se zajistilo, že se data úloh zálohují a můžou se rychle obnovit, pokud dojde k přerušení. Další informace najdete v tématu Přehled zálohování virtuálních počítačů Azure.

Nastavení zotavení po havárii

Azure Site Recovery

Azure Site Recovery pomáhá zajistit kontinuitu podnikových procesů tím, že udržuje obchodní aplikace a úlohy spuštěné během regionálních výpadků.

Azure Site Recovery nepřetržitě replikuje virtuální počítače Azure z primární do sekundární oblasti a zajišťuje funkční kopie v obou umístěních. V případě výpadku v primární oblasti převezme aplikace nebo služba převzetí služeb při selhání používání instancí virtuálních počítačů replikovaných v sekundární oblasti. Toto převzetí služeb při selhání minimalizuje potenciální přerušení. Když se operace vrátí do normálu, aplikace nebo služby můžou po obnovení na virtuální počítače v primární oblasti.

Společnost Contoso implementuje Azure Site Recovery pro všechny produkční virtuální počítače používané v důležitých úlohách, což zajistí minimální přerušení během výpadku v primární oblasti.

Krok 4: Návrh síťové infrastruktury

Díky místnímu návrhu je společnost Contoso připravená zvážit strategii sítě. Musí při tom zohlednit, jak místní datacentrum vzájemně komunikuje s Azure a jak navrhnout síťovou infrastrukturu v Azure. Společnost Contoso konkrétně potřebuje:

• Plánování hybridního síťového připojení Určete, jak se budou připojovat sítě napříč místním prostředím a Azure.
• Navrhnout síťovou infrastrukturu Azure. Musí se rozhodnout, jak nasadí sítě v příslušných oblastech. Jak budou sítě komunikovat ve stejné oblasti a napříč oblastmi?
• Návrh a nastavení sítí Azure Musí nastavit sítě a podsítě Azure a rozhodnout se, co se v nich bude nacházet.

Plánování hybridního připojení k síti

Společnost Contoso považovala několik architektur pro hybridní sítě mezi Azure a místním datacentrem. Další informace najdete v článku Volba řešení pro připojení místní sítě k Azure.

Připomínáme, že místní síťová infrastruktura Společnosti Contoso se v současné době skládá z datacentra v New Yorku a místních poboček ve východní polovině USA. Všechna umístění mají připojení business-class k internetu. Každá z větví se pak připojí k datacentru prostřednictvím tunelu VPN protokolu IPsec přes internet.

Obrázek 15: Síť Contoso

Společnost Contoso se nakonec rozhodla implementovat hybridní připojení tímto způsobem:

1. Nastavte nové připojení VPN typu Site-to-Site mezi datovým centrem Contoso v New Yorku a dvěma oblastmi East US 2 Azure a Central US.
2. Provoz poboček vázaný na virtuální sítě v Azure bude směrovat přes hlavní datacentrum Společnosti Contoso.
3. Při vertikálním navýšení kapacity nasazení Azure vytvoří připojení Azure ExpressRoute mezi datacentrem a oblastmi Azure. V takovém případě společnost Contoso zachová připojení VPN Site-to-Site pouze pro účely převzetí služeb při selhání.
   • Přečtěte si další informace o výběru mezi hybridním řešením VPN a ExpressRoute.
   • Podívejte se na umístění a podporu služby ExpressRoute.

Jenom síť VPN:

Obrázek 16: Síť VPN společnosti Contoso

VPN a ExpressRoute:

Obrázek 17: Contoso VPN a ExpressRoute

Návrh síťové infrastruktury Azure

Konfigurace sítě společnosti Contoso musí zajistit zabezpečení a škálovatelnost hybridního nasazení. Společnost Contoso k tomu má dlouhodobý přístup a navrhuje virtuální sítě tak, aby byla odolná a připravená pro podniky. Další informace najdete v tématu Plánování virtuálních sítí.

Pro propojení dvou oblastí společnost Contoso implementuje síťový model hub-to-hub. V každé oblasti bude Společnost Contoso používat hvězdicový model. K propojení sítí a center bude společnost Contoso používat partnerské vztahy sítí v Azure.

Partnerské vztahy sítí

Partnerský vztah virtuálních sítí v Azure propojuje virtuální sítě a rozbočovače. Globální partnerský vztah umožňuje připojení mezi virtuální sítí nebo rozbočovači v různých oblastech. Místní partnerský vztah propojuje virtuální sítě ve stejné oblasti.

Partnerský vztah virtuálních sítí nabízí několik výhod:

• Provoz mezi partnerskými virtuálními sítěmi je privátní.
• Provoz mezi virtuálními sítěmi probíhá na páteřní síti Microsoftu. Při komunikaci mezi virtuálními sítěmi se nevyžaduje žádný veřejný internet, brány ani šifrování.
• Partnerský vztah poskytuje výchozí připojení s nízkou latencí a vysokou šířkou pásma mezi prostředky v různých virtuálních sítích.

Model hub-to-hub napříč oblastmi

Contoso nasadí do každé oblasti centrum. Centrum je virtuální síť v Azure, která funguje jako centrální bod připojení k vaší místní síti. Virtuální sítě centra se vzájemně připojí prostřednictvím globálního partnerského vztahu virtuálních sítí, který propojuje virtuální sítě napříč oblastmi Azure. Centrum v každé oblasti je partnerským vztahem připojené k partnerskému centru v jiné oblasti. Centrum je v partnerském vztahu ke každé síti v její oblasti a může se připojit ke všem síťovým prostředkům.

Obrázek 18: Globální partnerský vztah

Hvězdicový model v rámci oblasti

V každé oblasti společnost Contoso nasadí virtuální sítě pro různé účely jako paprskové sítě z centra oblastí. Virtuální sítě v rámci oblasti používají peering k připojení k centru a k sobě navzájem.

Návrh centrální sítě

V rámci hvězdicového modelu potřebovala společnost Contoso přemýšlet o tom, jak by se provoz z místního datacentra a z internetu směroval. Společnost Contoso se rozhodla zpracovat směrování pro East US 2 obě centra i Central US centra:

• Společnost Contoso navrhuje síť, která umožňuje provoz z internetu a z podnikové sítě pomocí sítě VPN do Azure.
• Síťová architektura má dvě hranice, nedůvěryhodnou front-endovou hraniční zónu a důvěryhodnou back-endovou zónu.
• V každé zóně se bude nacházet síťový adaptér brány firewall, který bude řídit přístup k důvěryhodným zónám.
• Z internetu:
  • Internetový provoz bude přicházet na veřejnou IP adresu s vyrovnáváním zatížení v hraniční síti.
  • Tento provoz se směruje přes bránu firewall a podléhá pravidlům brány firewall.
  • Po implementaci řízení přístupu k síti se provoz přepošle na příslušné místo v důvěryhodné zóně.
  • Odchozí provoz z virtuální sítě bude směrován na internet prostřednictvím tras definovaných uživatelem. Provoz se vynucuje přes bránu firewall a kontroluje se v souladu se zásadami společnosti Contoso.
• Z datacentra společnosti Contoso:
  • Příchozí provoz přes VPN typu Site-to-Site nebo ExpressRoute dosáhne veřejné IP adresy brány Azure VPN.
  • Provoz se bude směrovat přes bránu firewall a bude podléhat pravidlům brány firewall.
  • Po použití pravidel brány firewall se provoz předá internímu nástroji pro vyrovnávání zatížení (SKU Standard) v podsíti důvěryhodné interní zóny.
  • Odchozí provoz z důvěryhodné podsítě do místního datacentra přes síť VPN se směruje přes bránu firewall. Pravidla se použijí před přenosy přes připojení VPN typu Site-to-Site.

Návrh a nastavení sítí Azure

Díky topologii sítě a směrování je společnost Contoso připravená nastavit sítě a podsítě Azure:

• Společnost Contoso implementuje privátní síť třídy A v Azure (10.0.0.0/8). To funguje kvůli místnímu prostředí; má aktuálně privátní adresní prostor třídy B (172.160.0.0/16). Společnost Contoso si může být jistá, že se rozsahy adres nepřekrývají.
• Společnost Contoso nasadí virtuální sítě v primární i sekundární oblasti.
• Společnost Contoso použije konvenci pojmenování, která zahrnuje předponu VNET a zkratku EUS2 oblasti nebo CUS. Pomocí tohoto standardu budou hvězdicové sítě pojmenovány VNET-HUB-EUS2 v East US 2 oblasti a VNET-HUB-CUS v Central US oblasti.

Virtuální sítě v East US 2

East US 2 je primární oblast, kterou společnost Contoso použije k nasazení prostředků a služeb. Tady je postup, jak společnost Contoso navrhne sítě v této oblasti:

• Rozbočovač: Virtuální síť East US 2 centra se považuje za primární připojení společnosti Contoso k místnímu datacentru.

• Virtuální sítě: Paprskové virtuální sítě se East US 2 dají použít k izolaci úloh v případě potřeby. Kromě virtuální sítě centra bude mít contoso dvě paprskové virtuální sítě v East US 2:

  • VNET-DEV-EUS2. Tato virtuální síť poskytne týmu pro vývoj/testování plně funkční síť pro vývojové projekty. Bude fungovat jako produkční oblast pro pilotní nasazení a při provozu se bude opírat na produkční infrastrukturu.

  • VNET-PROD-EUS2. V této síti se budou nacházet produkční komponenty Azure IaaS.

  Každá virtuální síť bude mít svůj vlastní jedinečný adresní prostor bez překrývání. Společnost Contoso chce nakonfigurovat směrování bez nutnosti překladu síťových adres (NAT).

• Podsítí: Každá síť bude mít podsíť pro každou aplikační vrstvu. Každá podsíť v produkční síti bude mít odpovídající podsíť ve vývojové virtuální síti. Produkční síť má podsíť pro řadiče domény.

Následující tabulka shrnuje virtuální sítě v East US 2.

Virtuální síť	Rozsah	Partnerská
VNET-HUB-EUS2	10.240.0.0/20	VNET-HUB-CUS2, VNET-DEV-EUS2, VNET-PROD-EUS2
VNET-DEV-EUS2	10.245.16.0/20	VNET-HUB-EUS2
VNET-PROD-EUS2	10.245.32.0/20	VNET-HUB-EUS2, VNET-PROD-CUS

Obrázek 19: Hvězdicový model

Podsítě v East US 2 Hub síti (VNET-HUB-EUS2)

Podsíť/zóna	CIDR	Použitelné IP adresy
IB-UntrustZone	10.240.0.0/24	251
IB-TrustZone	10.240.1.0/24	251
OB-UntrustZone	10.240.2.0/24	251
OB-TrustZone	10.240.3.0/24	251
GatewaySubnet	10.240.10.0/24	251

Podsítě ve East US 2 vývojové síti (VNET-DEV-EUS2)

Vývojový tým používá vývojovou virtuální síť jako produkční pilotní oblast. Obsahuje tři podsítě.

Podsíť	CIDR	Adresy	V podsíti
DEV-FE-EUS2	10.245.16.0/22	1019	Front-endy nebo virtuální počítače webové vrstvy
DEV-APP-EUS2	10.245.20.0/22	1019	Virtuální počítače aplikační vrstvy
DEV-DB-EUS2	10.245.24.0/23	507	Virtuální počítače databáze

Podsítě v East US 2 produkční síti (VNET-PROD-EUS2)

Komponenty Azure IaaS se nacházejí v produkční síti. Každá aplikační vrstva má vlastní podsíť. Podsítě odpovídají podsítím ve vývojové síti s přidáním podsítě pro řadiče domény.

Podsíť	CIDR	Adresy	V podsíti
PROD-FE-EUS2	10.245.32.0/22	1019	Front-endy nebo virtuální počítače webové vrstvy
PROD-APP-EUS2	10.245.36.0/22	1019	Virtuální počítače aplikační vrstvy
PROD-DB-EUS2	10.245.40.0/23	507	Virtuální počítače databáze
PROD-DC-EUS2	10.245.42.0/24	251	Virtuální počítače řadičů domény

Obrázek 20: Architektura sítě centra

Virtuální sítě v Central US (sekundární oblasti)

Central US je sekundární oblast společnosti Contoso. V jejím rámci společnost Contoso zvolí následující uspořádání sítí:

• Rozbočovač: Virtuální síť Central US rozbočovače se považuje za sekundární bod připojení k místnímu datacentru. Paprskové virtuální sítě lze Central US v případě potřeby použít k izolaci úloh, které jsou spravovány odděleně od ostatních paprsků.

• Virtuální sítě: Contoso bude mít dvě virtuální sítě:Central US

  • VNET-PROD-CUS: Produkční síť, která se dá považovat za sekundární centrum.
  • VNET-ASR-CUS: Virtuální síť, která bude fungovat jako umístění, kde se virtuální počítače vytvoří po převzetí služeb při selhání z místního prostředí, nebo jako umístění pro virtuální počítače Azure, které převezme služby při selhání z primární do sekundární oblasti. Tato síť se podobá produkčním sítím, ale bez řadičů domény.

  Každá virtuální síť v oblasti bude mít svůj vlastní adresní prostor bez překrytí. Contoso nakonfiguruje směrování bez překladu adres (NAT).

• Podsítí: Podsítě budou navrženy podobným způsobem jako podsítě v East US 2.

Následující tabulka shrnuje virtuální sítě v Central US.

Virtuální síť	Rozsah	Partnerská
VNET-HUB-CUS	10.250.0.0/20	VNET-HUB-EUS2, VNET-ASR-CUS, VNET-PROD-CUS
VNET-ASR-CUS	10.255.16.0/20	VNET-HUB-CUS, VNET-PROD-CUS
VNET-PROD-CUS	10.255.32.0/20	VNET-HUB-CUS, VNET-ASR-CUS, VNET-PROD-EUS2

Obrázek 21: Hvězdicový model ve spárované oblasti

Podsítě v Central US síti centra (VNET-HUB-CUS)

Podsíť	CIDR	Použitelné IP adresy
IB-UntrustZone	10.250.0.0/24	251
IB-TrustZone	10.250.1.0/24	251
OB-UntrustZone	10.250.2.0/24	251
OB-TrustZone	10.250.3.0/24	251
GatewaySubnet	10.250.10.0/24	251

Podsítě v Central US produkční síti (VNET-PROD-CUS)

Paralelně s produkční sítí v primární oblasti (East US 2) existuje produkční síť v sekundární oblasti (Central US).

Podsíť	CIDR	Adresy	V podsíti
PROD-FE-CUS	10.255.32.0/22	1019	Front-endy / virtuální počítače webové vrstvy
PROD-APP-CUS	10.255.36.0/22	1019	Virtuální počítače aplikační vrstvy
PROD-DB-CUS	10.255.40.0/23	507	Virtuální počítače databáze
PROD-DC-CUS	10.255.42.0/24	251	Virtuální počítače řadičů domény

Podsítě v Central US síti pro převzetí služeb při selhání nebo obnovení (VNET-ASR-CUS)

Síť VNET-ASR-CUS se používá k převzetí služeb při selhání mezi oblastmi. K replikaci a převzetí služeb při selhání virtuálních počítačů Azure se využije služba Site Recovery. Funguje také jako datacentrum Společnosti Contoso do sítě Azure pro chráněné úlohy, které zůstávají v místním prostředí, ale převzetí služeb při selhání do Azure za účelem zotavení po havárii.

VNET-ASR-CUS je stejná základní podsíť jako produkční virtuální síť, East US 2 ale bez nutnosti podsítě řadiče domény.

Podsíť	CIDR	Adresy	V podsíti
ASR-FE-CUS	10.255.16.0/22	1019	Front-endy / virtuální počítače webové vrstvy
ASR-APP-CUS	10.255.20.0/22	1019	Virtuální počítače aplikační vrstvy
ASR-DB-CUS	10.255.24.0/23	507	Virtuální počítače databáze

Obrázek 22: Architektura sítě centra

Konfigurace partnerských připojení

Centrum v každé oblasti bude v partnerském vztahu k centru v jiné oblasti a ke všem virtuálním sítím v rámci oblasti centra. Tato konfigurace umožňuje rozbočovačům komunikovat a zobrazovat všechny virtuální sítě v rámci oblasti. Všimněte si, že partnerský vztah vytvoří oboustranné připojení. Jeden je od počátečního partnerského vztahu v první virtuální síti a druhý je ve druhé virtuální síti.

V hybridním nasazení musí být provoz, který prochází mezi partnerskými uzly, viditelný z připojení VPN mezi místním datacentrem a Azure. Aby to společnost Contoso povolila, musí u partnerských připojení použít konkrétní nastavení. Pro všechna připojení z paprskových virtuálních sítí prostřednictvím centra k místnímu datacentru musí Společnost Contoso povolit předávání provozu a křížování bran VPN.

Řadič domény

U řadičů domény v VNET-PROD-EUS2 síti chce Společnost Contoso, aby provoz tok mezi EUS2 centrem nebo produkční sítí i přes připojení VPN k místnímu prostředí. Aby to mohli udělat, musí správci společnosti Contoso povolit následující:

1. Povolit přesměrovaný přenos a Povolit průchod bránou u partnerského připojení. V našem příkladu by to bylo připojení od VNET-HUB-EUS2 k VNET-PROD-EUS2.

   

   Obrázek 23: Partnerské připojení

2. Povolit přesměrovaný provoz a používat vzdálené brány na druhé straně partnerského vztahu na připojení z VNET-PROD-EUS2 do VNET-HUB-EUS2.

   

   Obrázek 24: Partnerské připojení

3. V místním prostředí nastavují statickou trasu, která směruje místní provoz na směrování přes tunel VPN do virtuální sítě. Konfigurace se dokončí na bráně, která poskytuje tunel VPN z Contoso do Azure. Pro statickou trasu používají službu směrování a vzdáleného přístupu (RRAS).

   

   Obrázek 25: Partnerské připojení

Produkční sítě

Paprsková partnerská síť nevidí prostřednictvím centra paprskovou partnerskou síť v jiné oblasti. Aby se produkční sítě společnosti Contoso v obou oblastech navzájem viděly, musí správci Společnosti Contoso vytvořit přímé partnerské připojení pro VNET-PROD-EUS2 a VENT-PROD-CUS.

Obrázek 26: Vytvoření přímého partnerského připojení

Nastavení DNS

Při nasazování prostředků ve virtuálních sítích si můžete vybrat z několika možností překladu názvů domén. K překladu můžete použít překlad ip adres poskytovaný Azure nebo zadat servery DNS. Typ překladu názvů, který používáte, závisí na tom, jak vaše prostředky musí vzájemně komunikovat. Získejte další informace o službě Azure DNS.

Správci společnosti Contoso se rozhodli, že služba Azure DNS není v hybridním prostředí dobrou volbou. Místo toho budou používat místní servery DNS. Tady jsou podrobnosti:

• Vzhledem k tomu, že se jedná o hybridní síť, musí být všechny virtuální počítače v místním prostředí a v Azure schopné správně překládat názvy, aby fungovaly správně. To znamená, že vlastní nastavení DNS se musí použít pro všechny virtuální sítě.

• Společnost Contoso má aktuálně nasazené řadiče domény v datacentru Contoso a na pobočkách. Primární servery DNS jsou contosodc1 (172.16.0.10) a contosodc2 (172.16.0.1).

• Po nasazení virtuálních sítí se místní řadiče domény nakonfigurují jako servery DNS v sítích.

• Pokud je pro virtuální síť zadán volitelný vlastní DNS, musí se do seznamu přidat virtuální IP adresa 168.63.129.16 rekurzivních překladačů v Azure. K tomu společnost Contoso nakonfiguruje nastavení serveru DNS v každé virtuální síti. Například vlastní nastavení DNS pro VNET-HUB-EUS2 síť by mělo být následující:

  

  Obrázek 27: Vlastní DNS

Kromě místních řadičů domény společnost Contoso implementuje čtyři řadiče domény pro podporu sítí Azure (dva pro každou oblast):

Oblast	DC	Virtuální síť	Podsíť	IP adresa
East US 2	contosodc3	VNET-PROD-EUS2	PROD-DC-EUS2	10.245.42.4
East US 2	contosodc4	VNET-PROD-EUS2	PROD-DC-EUS2	10.245.42.5
Central US	contosodc5	VNET-PROD-CUS	PROD-DC-CUS	10.255.42.4
Central US	contosodc6	VNET-PROD-CUS	PROD-DC-CUS	10.255.42.4

Po nasazení místních řadičů domény musí Contoso aktualizovat nastavení DNS v sítích v obou oblastech a přidat do seznamu serverů DNS nové řadiče domény.

Nastavení řadičů domény v Azure

Po aktualizaci nastavení sítě můžou správci společnosti Contoso začít vytvářet řadiče domény v Azure.

1. V Azure Portal nasadí nový virtuální počítač s Windows Serverem do příslušné virtuální sítě.

2. Vytvoří skupiny dostupnosti v každém umístění pro virtuální počítač. Skupiny dostupnosti zajišťují, aby prostředky infrastruktury Azure oddělily virtuální počítače do různých infrastruktur v oblasti Azure. Skupiny dostupnosti také umožňují společnosti Contoso mít nárok na smlouvu o úrovni služeb (SLA) 99,95 % pro virtuální počítače v Azure.

   

   Obrázek 28: Skupina dostupnosti

3. Po nasazení virtuálního počítače otevřou správci pro tento virtuální počítač síťové rozhraní. Nastaví privátní IP adresu na statickou a zadá platnou adresu.

   

   Obrázek 29: Síťová karta virtuálního počítače

4. Připojí k virtuálnímu počítači nový datový disk. Tento disk obsahuje databázi služby Active Directory a sdílenou složku sysvol.

   Velikost disku má vliv na to, jaký počet vstupně-výstupních operací (IOPS) bude podporovat. V průběhu času může být potřeba zvětšit velikost disku s rostoucím prostředím.

   Poznámka

   Disk by neměl být nastaven na čtení a zápis pro ukládání do mezipaměti hostitele. Databáze Active Directory tuto funkci nepodporují.

   

   Obrázek 30: Disk služby Active Directory

5. Po přidání disku se připojí k virtuálnímu počítači přes Vzdálenou plochu a otevřou Správce serveru.

6. V souborových službách a službách úložiště spustí Průvodce novým svazkem. Zajistí, že je jednotka přiřazená písmenu F nebo vyšší na místním virtuálním počítači.

   

   Obrázek 31: Průvodce novým svazkem

7. Ve Správci serveru přidají roli Active Directory Domain Services. Pak nakonfigurují virtuální počítač jako řadič domény.

   

   Obrázek 32: Přidání role serveru

8. Po nakonfigurování virtuálního počítače jako řadiče domény a restartování otevřou správce DNS a nakonfigurují překladač Azure DNS jako předávač. Řadič domény tak bude moct předávat dotazy DNS, které nedokáže přeložit v Azure DNS.

   

   Obrázek 33: Konfigurace překladače Azure DNS

9. Aktualizují vlastní nastavení DNS pro každou virtuální síť s odpovídajícím řadičem domény pro oblast virtuální sítě. Do seznamu přidají i místní řadiče domény.

Nastavení služby Active Directory

Active Directory je kritická služba pro síť a musí být správně nakonfigurovaná. Správci společnosti Contoso vytvoří weby služby Active Directory pro datacentrum Společnosti Contoso a pro East US 2 oblasti a Central US oblasti.

1. Vytvoří dvě nové lokality (AZURE-EUS2 a AZURE-CUS) spolu s webem datacentra (contoso-datacenter).

2. Po vytvoření lokalit vytvoří podsítě v lokalitách tak, aby odpovídaly virtuálním sítím a datacentru.

   

   Obrázek 34: Podsítě datacenter

3. Vytvoří dva odkazy na web pro připojení všeho. Pak by se měl provést přesun řadičů domény do příslušného umístění.

   

   Obrázek 35: Propojení datacenter

4. Ověřují, že je zavedená topologie replikace služby Active Directory.

   

   Obrázek 36: Replikace datacentra

Po dokončení se v centru pro správu místní Active Directory zobrazí seznam řadičů domény a lokalit.

Obrázek 37: Centrum správy služby Active Directory

Krok 5: Plánování zásad správného řízení

Azure poskytuje v rámci různých služeb a platformy Azure řadu ovládacích prvků pro zásady správného řízení. Další informace najdete v možnostech zásad správného řízení Azure.

Když konfiguruje řízení identit a přístupu, společnost Contoso už začala zakládat některé aspekty zásad správného řízení a zabezpečení. Obecně je potřeba zvážit tři oblasti:

• Zásady: Azure Policy platí a vynucuje pravidla a účinky u vašich prostředků, takže prostředky splňují firemní požadavky a smlouvy SLA.
• Zámky: Azure umožňuje uzamknout předplatná, skupiny prostředků a další prostředky, aby je mohli upravovat jenom uživatelé s oprávněními.
• Tagy: Prostředky je možné řídit, auditovat a spravovat pomocí značek. Značky připojují k prostředkům metadata a poskytují informace o prostředcích nebo vlastnících.

Nastavení zásad

Služba Azure Policy vyhodnocuje vaše prostředky vyhledáním prostředků, které nevyhovují definicím zásad. Můžete mít například zásadu, která povoluje jenom určité typy virtuálních počítačů nebo vyžaduje, aby prostředky měly konkrétní značku.

Zásady určují definici zásady a přiřazení zásady určuje rozsah, ve kterém se má určitá zásada použít. Rozsah může sahat od skupiny pro správu až po skupinu prostředků. Naučte se vytvářet a spravovat zásady.

Společnost Contoso chce začít dvě zásady. Chce zásadu, která zajistí, aby se prostředky mohly nasadit jenom v oblastech East US 2 a Central US oblastech. Chce také, aby zásady omezily skladové položky virtuálních počítačů jenom na schválené skladové položky. Cílem je zajistit, aby se nepoužívaly drahé skladové jednotky virtuálních počítačů.

Omezení prostředků na oblasti

Společnost Contoso používá k omezení oblastí pro prostředky integrovanou definici Povolené lokality.

1. Na webu Azure Portal zvolte Všechny služby a vyhledejte Zásady.

2. Vyberte Přiřaditzásady přiřazení>.

3. V seznamu zásad vyberte Povolené lokality.

4. Nastavte obor na název předplatného Azure a vyberte dvě oblasti v seznamu povolených.

   

   Obrázek 38: Povolená umístění definovaná prostřednictvím zásad

5. Ve výchozím nastavení je zásada nastavená na Odepřít. Toto nastavení znamená, že pokud někdo spustí nasazení v předplatném, které není v dané oblasti nebo Central US oblastiEast US 2, nasazení selže. Tady je postup, co se stane, když se někdo v předplatném Contoso pokusí nastavit nasazení v West US.

   

   Obrázek 39: Zásada, která selhala

Povolení určitých SKU virtuálních počítačů

Společnost Contoso použije předdefinované definice Allow virtual machine SKUs zásad k omezení typů virtuálních počítačů, které je možné vytvořit v předplatném.

Obrázek 40: Skladová položka zásad

Kontrola dodržování zásad

Zásady začnou platit okamžitě a společnost Contoso může zkontrolovat, jestli jsou s nimi prostředky v souladu. Na webu Azure Portal vyberte odkaz Dodržování předpisů. Zobrazí se řídicí panel dodržování předpisů. Další podrobnosti najdete v podrobnostech.

Obrázek 41: Dodržování zásad

Nastavení zámků

Společnost Contoso už dlouhou dobu používá ke správě svých systémů architekturu ITIL. Mezi nejdůležitější aspekty této architektury patří řízení změn a společnost Contoso chce zajistit, aby bylo řízení změn implementované i v nasazení Azure.

Společnost Contoso uzamkne prostředky. Jakákoli součást produkčního prostředí nebo převzetí služeb při selhání musí být ve skupině prostředků, která má zámek jen pro čtení. To znamená, že pokud chcete upravit nebo odstranit produkční položky, musí autorizovaní uživatelé zámek odebrat. Neprodukční skupiny prostředků budou mít CanNotDelete zámky. To znamená, že autorizovaní uživatelé můžou prostředek číst nebo upravovat, ale nemůžou ho odstranit.

Nastavení značek

Pro společnost Contoso bude čím dál důležitější sledovat nově přidávané prostředky a moct je přidružit k příslušnému oddělení, zákazníkovi a prostředí. Kromě poskytování informací o prostředcích a vlastnících budou značky společnosti Contoso umožnit agregovat a seskupovat prostředky a používat tato data pro účely vrácení peněz.

Společnost Contoso potřebuje vizualizovat prostředky Azure způsobem, který dává smysl pro firmu, jako je role nebo oddělení. Upozorňujeme, že prostředky se stejnou značkou nemusí být umístěné ve stejné skupině prostředků. Contoso vytvoří taxonomii značek, aby všichni používali stejné značky.

Název značky	Hodnota
CostCenter	12345: Musí být platným nákladovým centrem ze sap.
BusinessUnit	Název organizační jednotky (ze SAP). Odpovídá CostCenter.
ApplicationTeam	Email alias týmu, který vlastní podporu aplikace.
CatalogName	Název aplikace nebo SharedServicespodle katalogu služeb, který prostředek podporuje.
ServiceManager	E-mailový alias správce služeb ITIL pro daný prostředek.
COBPriority	Priorita nastavená firmou pro účely provozní kontinuity a zotavení po havárii. Hodnoty 1–5.
ENV	DEV, STGa PROD jsou povolené hodnoty představující vývoj, přípravné a produkční prostředí.

Příklad:

Obrázek 42: Značky Azure

Po vytvoření značky se společnost Contoso vrátí a vytvoří nové definice a přiřazení zásad, které vynutí použití požadovaných značek v organizaci.

Krok 6: Zvažte zabezpečení

Zabezpečení je v cloudu zcela zásadní a Azure poskytuje rozsáhlou nabídku nástrojů a možností zabezpečení. Ty vám pomůžou vytvářet zabezpečená řešení na zabezpečené platformě Azure. Další informace o zabezpečení Azure najdete v tématu Důvěřovat cloudu .

Společnost Contoso musí zohlednit několik aspektů:

• Microsoft Defender for Cloud poskytuje jednotnou správu zabezpečení a Microsoft Defender for Identity napříč hybridními cloudovými úlohami. Použijte ji k použití zásad zabezpečení napříč vašimi úlohami, omezení expozice hrozbám a detekci a reakci na útoky.
• Skupina zabezpečení sítě (NSG) filtruje síťový provoz na základě seznamu pravidel zabezpečení, která povolují nebo zakazují síťový provoz na prostředky připojené k virtuálním sítím v Azure.
• Azure Disk Encryption je funkce, která vám pomůže šifrovat disky virtuálních počítačů S Windows a Linuxem IaaS.

Práce s Microsoft Defenderem pro cloud

Společnost Contoso hledá rychlý přehled o stavu zabezpečení nového hybridního cloudu a konkrétně úloh Azure. Společnost Contoso se proto rozhodla implementovat Program Microsoft Defender pro cloud počínaje následujícími funkcemi:

• Centralizovaná správa zásad
• Průběžné hodnocení
• Užitečná doporučení

Centralizace správy zásad

Společnost Contoso dokáže díky centrální správě zásad zabezpečení v rámci celého prostředí zajistit soulad s požadavky zabezpečení. Může jednoduše a rychle implementovat zásadu, která se vztahuje na všechny prostředky Azure.

Obrázek 43: Zásady zabezpečení

Posouzení zabezpečení

Společnost Contoso bude využívat průběžné hodnocení zabezpečení, které monitoruje zabezpečení počítačů, sítí, úložiště, dat a aplikací za účelem zjištění potenciálních problémů se zabezpečením.

Defender for Cloud analyzuje stav zabezpečení výpočetních, infrastruktur a datových prostředků společnosti Contoso. Analyzuje také stav zabezpečení aplikací a služeb Azure. Nepřetržité posuzování pomáhá provoznímu týmu společnosti Contoso zjišťovat potenciální problémy se zabezpečením, jako jsou systémy s chybějícími aktualizacemi zabezpečení nebo nechráněné síťové porty.

Společnost Contoso chce zajistit, aby byly všechny virtuální počítače chráněné. Defender for Cloud pomáhá s tím. Ověřuje stav virtuálních počítačů a před zneužitím provádí doporučení k nápravě ohrožení zabezpečení podle priorit a akcí.

Obrázek 44: Monitorování

Práce se skupinami zabezpečení sítě

Společnost Contoso může omezit síťový provoz na prostředky ve virtuální síti pomocí skupin zabezpečení sítě.

Skupina zabezpečení sítě obsahuje seznam pravidel zabezpečení, která povolují nebo odepírají příchozí nebo odchozí síťový provoz v závislosti na zdrojové nebo cílové IP adrese, portu a protokolu. Při použití pravidel na podsíť se pravidla zabezpečení použijí na všechny prostředky v této podsíti. To se kromě síťových rozhraní týká i instancí služeb Azure nasazených v dané podsíti.

Skupiny zabezpečení aplikací (ASG) umožňují nakonfigurovat zabezpečení sítě jako přirozené rozšíření struktury aplikace. Pak můžete seskupit virtuální počítače a definovat zásady zabezpečení sítě na základě těchto skupin.

Společnost Contoso může pomocí skupin ASG opakovaně používat zásady zabezpečení ve velkém měřítku bez ruční údržby explicitních IP adres. Platforma zpracovává složitost explicitních IP adres a více sad pravidel, aby se organizace mohl zaměřit na obchodní logiku. Společnost Contoso může jako zdroj a cíl v pravidle zabezpečení zadat ASG. Po definování zásad zabezpečení může Společnost Contoso vytvořit virtuální počítače a přiřadit síťové karty virtuálních počítačů skupině.

Contoso bude implementovat kombinaci skupin zabezpečení sítě a skupin zabezpečení aplikace. Správa skupin zabezpečení sítě dělá společnosti Contoso starosti. Obává se také nadměrného používání skupin zabezpečení sítě a další složitosti provozního personálu. Proto bude společnost Contoso postupovat takto:

• Veškerý provoz do všech podsítí (sever/jih) bude podléhat pravidlu NSG s výjimkou podsítí brány v centrálních sítích.
• Všechny brány firewall nebo řadiče domény budou chráněny skupinami zabezpečení sítě podsítě i skupinami zabezpečení sítě síťových adaptérů.
• Skupiny zabezpečení aplikace se budou používat u všech produkčních aplikací.

Společnost Contoso vytvořila model toho, jak bude tato konfigurace zabezpečení hledat své aplikace.

Obrázek 45: Model zabezpečení

Skupiny zabezpečení sítě přidružené ke skupinám zabezpečení aplikace budou mít nakonfigurované nejnižší oprávnění, aby mohly z jedné části sítě do cíle putovat jenom povolené pakety.

Akce	Název	Zdroj	Cíl	Port
Allow	AllowInternetToFE	VNET-HUB-EUS1/IB-TrustZone	APP1-FE	80, 443
Allow	AllowWebToApp	APP1-FE	APP1-APP	80, 443
Allow	AllowAppToDB	APP1-APP	APP1-DB	1433
Deny	DenyAllInbound	Všechny	Všechny	Všechny

Šifrování dat

Azure Disk Encryption se integruje se službou Azure Key Vault, která pomáhá řídit a spravovat šifrovací klíče a tajné kódy disku pro předplatné. Zajišťuje šifrování všech dat na discích virtuálních počítačů v klidovém stavu ve službě Azure Storage.

Společnost Contoso stanovila, které konkrétní virtuální počítače potřebují šifrování. Společnost Contoso použije šifrování na virtuální počítače se zákazníkem, důvěrnými nebo osobními údaji.

Závěr

V tomto článku společnost Contoso nastavila infrastrukturu a zásady Azure pro předplatné Azure, hybridní identifikaci, zotavení po havárii, síť, zásady správného řízení a zabezpečení.

Pro migraci do cloudu se nevyžaduje každý krok, který tady uděláte. V tomto případě společnost Contoso naplánovala síťovou infrastrukturu, která dokáže zpracovávat všechny typy migrací při zabezpečení, odolnosti a škálovatelnosti.

Další kroky

Po nastavení infrastruktury Azure je společnost Contoso připravená začít migrovat úlohy do cloudu. Podívejte se na přehled vzorů migrace a příkladů pro výběr scénářů, které tuto ukázkovou infrastrukturu používají jako cíl migrace.