Síťová topologie a možnosti připojení
Oblast návrhu síťové topologie a připojení jsou zásadní pro vytvoření základu pro návrh sítě v cloudu.
Kontrola oblasti návrhu
Zahrnuté role nebo funkce: Tato oblast návrhu pravděpodobně vyžaduje podporu jedné nebo více funkcí cloudové platformy a špičkového cloudového centra pro rozhodování a implementaci.
Rozsah: Cílem návrhu sítě je sladit návrh cloudové sítě s celkovými plány přechodu na cloud. Pokud vaše plány přechodu na cloud zahrnují hybridní nebo multicloudové závislosti nebo pokud potřebujete připojení z jiných důvodů, měl by návrh sítě zahrnovat také tyto možnosti připojení a očekávané vzorce provozu.
Mimo rozsah: Tato oblast návrhu vytváří základ pro sítě. Neřeší problémy související s dodržováním předpisů, jako jsou pokročilé zabezpečení sítě nebo mantinely automatizovaného vynucování. Tyto pokyny se zobrazí při kontrole oblastí návrhu dodržování předpisů v oblasti zabezpečení a zásad správného řízení . Odložení diskuzí o zabezpečení a zásadách správného řízení umožňuje týmu cloudové platformy vyřešit počáteční požadavky na sítě předtím, než rozšíří cílovou skupinu pro složitější témata.
Přehled oblasti návrhu
Síťová topologie a možnosti připojení jsou zásadní pro organizace, které plánují návrh cílové zóny. Sítě jsou centrální pro téměř všechno uvnitř cílové zóny. Umožňuje připojení k dalším službám Azure, externím uživatelům a místní infrastruktuře. Síťová topologie a možnosti připojení jsou ve skupině prostředí oblastí návrhu cílových zón Azure. Toto seskupení vychází z jejich důležitosti při rozhodování o návrhu a implementaci.
V konceptuální architektuře cílové zóny Azure existují dvě hlavní skupiny pro správu hostující úlohy: Corp a Online. Tyto skupiny pro správu slouží k odlišným účelům při organizaci a řízení předplatných Azure. Síťový vztah mezi různými skupinami pro správu cílových zón Azure závisí na konkrétních požadavcích organizace a síťové architektuře. V následujících několika částech se budeme zabývat síťovým vztahem mezi Corp, Online a skupinami pro správu připojení ve vztahu k tomu, co nabízí akcelerátor cílové zóny Azure.
Jaký je účel služeb Connectivity, Corp a Online Management Groups?
- Skupina pro správu připojení: Tato skupina pro správu obsahuje vyhrazená předplatná pro připojení, což je obvykle jedno předplatné pro většinu organizací. Tato předplatná hostují síťové prostředky Azure vyžadované pro platformu, jako jsou Azure Virtual WAN, brány Virtual Network, Azure Firewall a privátní zóny Azure DNS. Je to také místo, kde se naváže hybridní připojení mezi cloudovým a místním prostředím pomocí služeb, jako je ExpressRoute atd.
- Skupina pro správu společnosti: Vyhrazená skupina pro správu pro cílové zóny společnosti. Tato skupina má obsahovat předplatná, která hostují úlohy, které vyžadují tradiční připojení směrování IP nebo hybridní připojení k podnikové síti prostřednictvím centra v předplatném připojení, a proto tvoří součást stejné domény směrování. Úlohy, jako jsou interní systémy, nejsou vystavené přímo na internetu, ale mohou být zpřístupněny prostřednictvím reverzních proxy serverů atd., jako jsou služby Application Gateway.
- Online skupina pro správu: Vyhrazená skupina pro správu pro cílové zóny online. Tato skupina má obsahovat předplatná používaná pro veřejné prostředky, jako jsou weby, aplikace elektronického obchodování a služby určené pro zákazníky. Organizace můžou například použít online skupinu pro správu k izolaci veřejně přístupných prostředků od zbytku prostředí Azure, čímž zmenšuje prostor pro útoky a zajišťuje, aby veřejné prostředky byly zabezpečené a dostupné zákazníkům.
Proč jsme vytvořili skupiny pro správu Corp a Online pro oddělení úloh?
Rozdíl v aspektech sítí mezi skupinami pro správu Corp a Online v konceptuální architektuře cílové zóny Azure spočívá v jejich zamýšleném použití a primárním účelu.
Skupina pro správu Corp slouží ke správě a zabezpečení interních prostředků a služeb, jako jsou obchodní aplikace, databáze a správa uživatelů. Aspekty sítí pro skupinu pro správu Corp se zaměřují na zajištění zabezpečeného a efektivního připojení mezi interními prostředky a na vynucování striktních zásad zabezpečení pro ochranu před neoprávněným přístupem.
Online skupinu pro správu v konceptuální architektuře cílové zóny Azure je možné považovat za izolované prostředí sloužící ke správě veřejně přístupných prostředků a služeb, které jsou přístupné z internetu. Architektura cílové zóny Azure pomocí online skupiny pro správu veřejných prostředků poskytuje způsob, jak tyto prostředky izolovat od interních prostředků, čímž se snižuje riziko neoprávněného přístupu a minimalizuje prostor pro útoky.
V konceptuální architektuře cílové zóny Azure může být virtuální síť ve skupině pro správu Online volitelně propojená s virtuálními sítěmi ve skupině pro správu Corp, a to buď přímo, nebo nepřímo prostřednictvím centra a souvisejících požadavků na směrování prostřednictvím Azure Firewall nebo síťového virtuálního zařízení, což umožňuje zabezpečené a řízené komunikaci veřejných prostředků s interními prostředky. Tato topologie zajišťuje, aby síťový provoz mezi veřejnými prostředky a interními prostředky byl zabezpečený a omezený a aby prostředky mohly komunikovat podle potřeby.
Tip
Je také důležité pochopit a zkontrolovat zásady Azure, které jsou přiřazené a zděděné v každé skupině pro správu v rámci cílové zóny Azure. Tyto postupy pomáhají utvářet, chránit a řídit úlohy nasazené v rámci předplatných, která jsou v těchto skupinách pro správu. Přiřazení zásad pro cílové zóny Azure najdete tady.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro