Definování síťové topologie Azure

  • Článek

Síťová topologie je kritickým prvkem architektury cílové zóny, protože definuje, jak můžou aplikace vzájemně komunikovat. Tato část popisuje technologie a přístupy topologie pro nasazení Azure. Zaměřuje se na dva základní přístupy: topologie založené na službě Azure Virtual WAN a tradiční topologie.

Virtual WAN se používá ke splnění rozsáhlých požadavků na propojení. Vzhledem k tomu, že se jedná o službu spravovanou Microsoftem, snižuje také celkovou složitost sítě a pomáhá modernizovat síť vaší organizace. Topologie virtual WAN může být nejvhodnější, pokud se pro vaši organizaci vztahují některé z následujících požadavků:

  • Vaše organizace hodlá nasadit prostředky napříč několika oblastmi Azure a vyžaduje globální propojení mezi virtuálními sítěmi v těchto oblastech Azure a několika místními umístěními.
  • Vaše organizace hodlá integrovat rozsáhlé pobočkové sítě přímo do Azure prostřednictvím nasazení softwarově definované sítě WAN (SD-WAN) nebo vyžaduje více než 30 poboček pro nativní ukončení protokolu IPSec.
  • Potřebujete přenosnou směrování mezi virtuální privátní sítí (VPN) a Azure ExpressRoute. Například vzdálené větve připojené přes vpn typu site-to-site nebo vzdálené uživatele připojené přes vpn typu point-to-site vyžadují připojení k řadiči domény připojenému přes ExpressRoute přes Azure.

Tradiční hvězdicová síťová topologie pomáhá vytvářet přizpůsobené, rozšířené zabezpečení a rozsáhlé sítě v Azure. Pomocí této topologie spravujete směrování a zabezpečení. Tradiční topologie může být nejvhodnější, pokud se pro vaši organizaci vztahují některé z následujících požadavků:

  • Vaše organizace hodlá nasadit prostředky napříč jednou nebo několika oblastmi Azure a zatímco se očekává nějaký provoz napříč oblastmi Azure (například provoz mezi dvěma virtuálními sítěmi napříč dvěma různými oblastmi Azure), není nutná úplná síť napříč všemi oblastmi Azure.
  • Máte nízký počet vzdálených umístění nebo umístění větví pro každou oblast. To znamená, že potřebujete méně než 30 tunelů site-to-site protokolu IPSec.
  • K ruční konfiguraci zásad směrování sítě Azure vyžadujete úplnou kontrolu a členitost.

Síťová topologie virtuální sítě WAN (spravovaná Microsoftem)

Diagram that illustrates a Virtual WAN network topology.

Tradiční síťová topologie Azure

Diagram that illustrates a traditional Azure network topology.

Azure Virtual Network Manager v cílových zónách Azure

Koncepční architektura cílových zón Azure doporučuje jednu ze dvou síťových topologií: síťovou topologii založenou na službě Virtual WAN nebo topologii sítě založenou na tradiční hvězdicové architektuře. S tím, jak se vaše obchodní požadavky mění v průběhu času (například migrace místních aplikací do Azure, které vyžadují hybridní připojení), můžete pomocí Virtual Network Manageru rozšířit a implementovat změny sítí. V mnohapřípadechch

Virtual Network Manager můžete použít k vytvoření tří typů topologií napříč předplatnými pro stávající i nové virtuální sítě:

  • Hvězdicová topologie
  • Hvězdicová topologie s přímým připojením mezi paprsky
  • Topologie sítě (ve verzi Preview)

Diagram that shows Azure virtual network topologies.

Poznámka:

Virtual Network Manager nepodporuje centra Virtual WAN jako součást skupiny sítě ani jako centrum v topologii. Další informace najdete v nejčastějších dotazech k Azure Virtual Network Manageru.

Když vytvoříte hvězdicovou topologii s přímým připojením ve Virtual Network Manageru, kde jsou paprsky vzájemně propojené přímo, přímé připojení mezi paprskovými virtuálními sítěmi ve stejné skupině sítě se automaticky povolí obousměrně prostřednictvím funkce Připojení skupiny.

Pomocí nástroje Virtual Network Manager můžete staticky nebo dynamicky přidávat virtuální sítě do konkrétních skupin sítí. Tím se definuje a vytvoří požadovaná topologie na základě konfigurace připojení v nástroji Virtual Network Manager.

Můžete vytvořit více skupin sítě pro izolaci skupin virtuálních sítí od přímého připojení. Každá skupina sítí poskytuje stejnou oblast a podporu více oblastí pro připojení paprsků k paprskům. Nezapomeňte zůstat v mezích definovaných pro Virtual Network Manager, které jsou popsané v nejčastějších dotazech k Azure Virtual Network Manageru.

Z hlediska zabezpečení poskytuje Virtual Network Manager efektivní způsob použití pravidel správy zabezpečení k odepření nebo povolení toků provozu centrálně bez ohledu na to, co je definované ve skupině zabezpečení sítě. Tato funkce umožňuje správcům zabezpečení sítě vynucovat řízení přístupu a umožnit vlastníkům aplikací spravovat vlastní pravidla nižší úrovně v NSG.

Virtual Network Manager můžete použít k seskupení virtuálních sítí. Konfigurace pak můžete použít pro skupiny, nikoli pro jednotlivé virtuální sítě. Tato funkce umožňuje efektivnější správu připojení, konfigurace a topologie, pravidel zabezpečení a nasazení do jedné nebo více oblastí současně bez ztráty jemně odstupňované kontroly.

Sítě můžete segmentovat podle prostředí, týmů, lokalit, obchodních linek nebo jiné funkce, které vyhovují vašim potřebám. Skupiny sítí můžete definovat staticky nebo dynamicky vytvořením sady podmínek, které řídí členství ve skupinách.

Virtual Network Manager můžete použít k implementaci principů návrhu cílové zóny Azure, aby vyhovovaly veškeré migraci aplikací, modernizaci a inovacím ve velkém měřítku.

Aspekty návrhu

  • V tradičním nasazení hvězdicového propojení se připojení peeringu virtuálních sítí vytvářejí a spravují ručně. Virtual Network Manager zavádí vrstvu automatizace pro partnerský vztah virtuálních sítí, což usnadňuje správu rozsáhlých a složitých síťových topologií, jako je síť, ve velkém měřítku. Další informace naleznete v tématu Přehled skupiny sítě.
  • Požadavky na zabezpečení různých obchodních funkcí určují potřebu vytváření skupin sítě. Skupina sítě je sada virtuálních sítí, které jsou vybrány ručně nebo prostřednictvím podmíněných příkazů, jak je popsáno výše v tomto dokumentu. Když vytvoříte skupinu sítě, musíte zadat zásadu nebo Virtual Network Manager může vytvořit zásadu, pokud ji explicitně povolíte. Tato zásada umožňuje správci virtuální sítě dostávat oznámení o změnách. Pokud chcete aktualizovat existující iniciativy azure policy, musíte nasadit změny do skupiny sítě v rámci prostředku Virtual Network Manageru.
  • Pokud chcete navrhnout vhodné skupiny sítě, měli byste vyhodnotit, které části sítě sdílejí společné charakteristiky zabezpečení. Můžete například vytvořit skupiny sítí pro podnikové a online pro správu jejich připojení a pravidel zabezpečení ve velkém měřítku.
  • Pokud více virtuálních sítí v rámci předplatných vaší organizace sdílí stejné atributy zabezpečení, můžete je efektivně použít pomocí Virtual Network Manageru. Měli byste například umístit všechny systémy používané organizační jednotkou, jako je hr nebo finance, do samostatné skupiny sítí, protože na ně potřebujete použít různá pravidla správce.
  • Virtual Network Manager může centrálně používat pravidla správy zabezpečení, která mají vyšší prioritu než pravidla NSG použitá na úrovni podsítě. (Tato funkce je ve verzi Preview.) Tato funkce umožňuje týmům sítě a zabezpečení efektivně vynucovat firemní zásady a vytvářet bezpečnostní mantinely ve velkém měřítku, ale umožňuje týmům produktů současně udržovat kontrolu nad skupinami zabezpečení sítě v rámci jejich předplatných cílových zón.
  • Pomocí funkce pravidel pro správu zabezpečení virtual network manageru můžete explicitně povolit nebo zakázat konkrétní síťové toky bez ohledu na konfigurace NSG na úrovni podsítě nebo síťového rozhraní. Tuto funkci můžete použít například k povolení síťových toků služeb pro správu. Skupiny zabezpečení sítě řízené týmy aplikací nemohou tato pravidla přepsat.
  • Virtuální síť může být součástí až dvou připojených skupin.

Doporučení k návrhu

  • Definujte obor nástroje Virtual Network Manager. Použijte pravidla správce zabezpečení, která vynucuje pravidla na úrovni organizace v kořenové skupině pro správu (tenant). Tím se pravidla hierarchicky aplikují automaticky na existující a nové prostředky a na všechny přidružené skupiny pro správu.
  • Vytvořte instanci Virtual Network Manageru v předplatném Připojení ivity s oborem zprostředkující kořenové skupiny pro správu (například Contoso). Povolte v této instanci funkci správce zabezpečení. Tato konfigurace umožňuje definovat pravidla správce zabezpečení, která se vztahují na všechny virtuální sítě a podsítě v hierarchii cílových zón Azure a pomáhá demokratizovat skupiny zabezpečení sítě pro vlastníky a týmy cílových zón aplikací.
  • Segmentace sítí seskupením virtuálních sítí buď staticky (ručně), nebo dynamicky (na základě zásad).
  • Povolte přímé připojení mezi paprsky, když vybrané paprsky potřebují často komunikovat, s nízkou latencí a vysokou propustností, spolu s přístupem k běžným službám nebo síťovým virtuálním zařízením v centru.
  • Povolte globální síť, když se všechny virtuální sítě napříč oblastmi musí vzájemně komunikovat.
  • Každému pravidlu správce zabezpečení v kolekcích pravidel přiřaďte hodnotu priority. Čím nižší je hodnota, tím vyšší je priorita pravidla.
  • Pomocí pravidel správce zabezpečení můžete explicitně povolit nebo odepřít toky sítě bez ohledu na konfigurace NSG, které řídí týmy aplikací. Díky tomu můžete plně delegovat kontrolu skupin zabezpečení sítě a jejich pravidel na týmy aplikací.