Přehled síťových služeb Azure

  • Článek

Síťové služby v Azure poskytují celou řadu síťových funkcí, které je možné používat společně nebo samostatně. Vyberte některou z následujících klíčových funkcí, o které se chcete dozvědět více:

  • Služby připojení: Připojení prostředků Azure a místních prostředků pomocí jakékoli nebo kombinace těchto síťových služeb v Azure – Virtual Network (VNet), Virtual WAN, ExpressRoute, VPN Gateway, NAT Gateway virtuální sítě, Azure DNS, peering service, Azure Virtual Network Správce, směrovací server a Azure Bastion.
  • Služby ochrany aplikací: Chraňte své aplikace pomocí jakékoli nebo kombinace těchto síťových služeb v Azure – Load Balancer, Private Link, ochrana před útoky DDoS, brána firewall, skupiny zabezpečení sítě, Web Application Firewall a koncové body Virtual Network.
  • Služby doručování aplikací: Doručujte aplikace v síti Azure pomocí jakékoli nebo kombinace těchto síťových služeb v Azure – Content Delivery Network (CDN), Azure Front Door Service, Traffic Manager, Application Gateway, Internet Analyzer a Load Balancer.
  • Monitorování sítě: Monitorujte síťové prostředky pomocí některé nebo kombinace těchto síťových služeb v Azure – Network Watcher, ExpressRoute Monitor, Azure Monitor nebo přístupový bod terminálu virtuální sítě (TAP).

Služby připojení

Tato část popisuje služby, které poskytují připojení mezi prostředky Azure, připojení z místní sítě k prostředkům Azure a připojení mezi větvemi v Azure – Virtual Network (VNet), ExpressRoute, VPN Gateway, Virtual WAN, NAT Gateway virtuální sítě, Azure DNS, služba peeringu, směrovací server a Azure Bastion.

Virtuální síť

Azure Virtual Network (VNet) je základním stavebním blokem vaší privátní sítě v Azure. Virtuální sítě můžete použít k:

  • Komunikace mezi prostředky Azure: Do virtuální sítě můžete nasadit virtuální počítače a několik dalších typů prostředků Azure, jako jsou Azure App Service Environment, Azure Kubernetes Service (AKS) a Azure Virtual Machine Scale Sets. Úplný seznam prostředků Azure, které můžete nasadit do virtuální sítě, najdete v tématu věnovaném integraci virtuální sítě do služeb.
  • Komunikace mezi sebou: Virtuální sítě můžete vzájemně propojit a umožnit tak vzájemnou komunikaci prostředků v obou virtuálních sítích pomocí partnerského vztahu virtuálních sítí nebo Azure Virtual Network Manageru. Propojené virtuální sítě se můžou nacházet ve stejné oblasti Azure nebo v různých oblastech. Další informace najdete v tématech Partnerský vztah virtuálních sítí a Azure Virtual Network Manager.
  • Komunikace s internetem: Všechny prostředky ve virtuální síti můžou ve výchozím nastavení komunikovat odchozí do internetu. Příchozí komunikaci s prostředkem můžete umožnit tím, že prostředku přiřadíte veřejnou IP adresu nebo veřejný Load Balancer. Ke správě odchozích připojení můžete také použít veřejné IP adresy nebo veřejné Load Balancer.
  • Komunikace s místními sítěmi: Místní počítače a sítě můžete připojit k virtuální síti pomocí VPN Gateway nebo ExpressRoute.

Další informace najdete v tématu Co je Azure Virtual Network?

ExpressRoute

ExpressRoute umožňuje rozšířit místní sítě do cloudu Microsoftu přes privátní připojení zajišťované poskytovatelem připojení. Toto připojení je soukromé. Provoz neprochází přes internet. V ExpressRoute můžete vytvořit připojení ke cloudovým službám, jako je Microsoft Azure, Microsoft 365 a Dynamics 365. Další informace najdete v tématu Co je ExpressRoute?

Azure ExpressRoute

VPN Gateway

VPN Gateway pomáhá vytvářet šifrovaná připojení mezi různými místy k virtuální síti z místních umístění nebo vytvářet šifrovaná připojení mezi virtuálními sítěmi. Pro VPN Gateway připojení jsou k dispozici různé konfigurace. Mezi hlavní funkce patří:

  • Možnosti připojení site-to-site VPN
  • Připojení VPN typu point-to-site
  • Připojení VPN typu VNet-to-VNet

Následující diagram znázorňuje několik připojení VPN typu site-to-site ke stejné virtuální síti. Další diagramy připojení najdete v tématu VPN Gateway – návrh. Další informace o VPN Gateway najdete v tématu Co je VPN Gateway?

Diagram znázorňující několik připojení typu site-to-site Azure VPN Gateway

Virtuální síť WAN

Azure Virtual WAN je síťová služba, která poskytuje jedno operační rozhraní tím, že spojuje celou řadu síťových funkcí, funkcí zabezpečení a funkcí směrování. Připojení k virtuálním sítím Azure se naváže pomocí připojení virtuální sítě. Mezi hlavní funkce patří:

  • Připojení větví (prostřednictvím automatizace připojení ze zařízení Virtual WAN partnerů, jako jsou SD-WAN nebo VPN CPE)
  • Možnosti připojení site-to-site VPN
  • Připojení VPN vzdáleného uživatele (point-to-site)
  • Privátní připojení (ExpressRoute)
  • Možnosti připojení uvnitř cloudu (přenositelné pro virtuální sítě)
  • Možnosti připojení ExpressRoute mezi sítěmi VPN
  • Směrování, Azure Firewall a šifrování pro privátní připojení

Další informace najdete v tématu Co je Azure Virtual WAN?

Virtual WAN diagram.

Azure DNS

Azure DNS je hostitelská služba pro domény DNS, která poskytuje překlad názvů na IP adresy pomocí infrastruktury Microsoft Azure. Pokud své domény hostujete v Azure, můžete spravovat záznamy DNS pomocí stejných přihlašovacích údajů, rozhraní API a nástrojů a za stejných fakturačních podmínek jako u ostatních služeb Azure. Další informace najdete v tématu Co je Azure DNS?

Azure Bastion

Azure Bastion je služba, kterou můžete nasadit, abyste se mohli připojit k virtuálnímu počítači pomocí prohlížeče a Azure Portal nebo prostřednictvím nativního klienta SSH nebo RDP, který je už na místním počítači nainstalovaný. Služba Azure Bastion služba PaaS plně spravovaná platformou, kterou zřídíte ve své virtuální síti. Nabízí možnosti bezpečného a bezproblémového připojení RDP/SSH k virtuálním počítačům přímo na webu Azure Portal přes protokol TLS. Když se připojíte přes Azure Bastion, virtuální počítače nepotřebují veřejnou IP adresu, agenta ani speciální klientský software. Další informace najdete v tématu Co je Azure Bastion?

Diagram znázorňující architekturu Služby Azure Bastion

Služba NAT Gateway virtuální sítě

Virtual Network překlad síťových adres (NAT) zjednodušuje připojení k internetu jen pro odchozí přenosy virtuálních sítí. Při konfiguraci v podsíti všechna odchozí připojení používají zadané statické veřejné IP adresy. Odchozí připojení je možné bez nástroje pro vyrovnávání zatížení nebo veřejných IP adres přímo připojených k virtuálním počítačům. Další informace najdete v tématu Co je služba NAT Gateway virtuální sítě?

Služba NAT Gateway virtuální sítě

Azure Virtual Network Manager

Azure Virtual Network Manager je služba pro správu, která umožňuje seskupovat, konfigurovat, nasazovat a spravovat virtuální sítě globálně napříč předplatnými. Pomocí nástroje Virtual Network Manager můžete definovat skupiny sítí pro identifikaci a logické segmenty virtuálních sítí. Pak můžete určit požadované konfigurace připojení a zabezpečení a použít je ve všech vybraných virtuálních sítích ve skupinách sítí najednou. Další informace najdete v tématu Co je Azure Virtual Network Manager?.

Směrovací server

Azure Route Server zjednodušuje dynamické směrování mezi síťovým virtuálním zařízením (NVA) a vaší virtuální sítí. Umožňuje vyměňovat informace o směrování přímo prostřednictvím směrovacího protokolu BGP (Border Gateway Protocol) mezi libovolným síťovým virtuálním zařízením, které podporuje směrovací protokol BGP, a sítí SDN (Software Defined Network) v Azure Virtual Network (VNet), aniž byste museli ručně konfigurovat nebo udržovat směrovací tabulky. Další informace najdete v tématu Co je Azure Route Server?

Peering Service

Služba Azure Peering vylepšuje připojení zákazníků ke cloudovým službám Microsoftu, jako je Microsoft 365, Dynamics 365, software jako služba (SaaS), Azure nebo jakékoli služby Microsoftu přístupné přes veřejný internet. Další informace najdete v tématu Co je služba peeringu Azure?

Služby ochrany aplikací

Tato část popisuje síťové služby v Azure, které pomáhají chránit síťové prostředky – Chraňte své aplikace pomocí jakékoli nebo kombinace těchto síťových služeb v Azure – ochrana před útoky DDoS, Private Link, brána firewall, Web Application Firewall, skupiny zabezpečení sítě a koncové body služby Virtual Network.

DDoS Protection

Azure DDoS Protection poskytuje protiopatření proti nejsofistikovanějším hrozbám DDoS. Služba poskytuje rozšířené možnosti omezení rizik DDoS pro vaši aplikaci a prostředky nasazené ve virtuálních sítích. Zákazníci, kteří používají Azure DDoS Protection, mají navíc přístup k podpoře rychlé reakce DDoS, aby mohli během aktivního útoku zapojit odborníky na DDoS.

Ochrana před útoky DDoS

Azure Private Link umožňuje přístup ke službám Azure PaaS (například Azure Storage a SQL Database) a ke službám hostovaným zákazníkem nebo partnerům Azure přes privátní koncový bod ve vaší virtuální síti. Provoz mezi virtuální sítí a službou prochází páteřní sítí Microsoftu. Vystavení služby veřejnému internetu už není nutné. Ve virtuální síti můžete vytvořit vlastní službu privátního propojení a doručovat ji zákazníkům.

Přehled privátních koncových bodů

Brána Azure Firewall

Azure Firewall je spravovaná cloudová služba síťového zabezpečení, která chrání vaše prostředky ve virtuálních sítích Azure. Pomocí Azure Firewall můžete centrálně vytvářet, vynucovat a protokolovat zásady připojení aplikací a sítí napříč předplatnými a virtuálními sítěmi. Brána Azure Firewall používá statickou veřejnou IP adresu pro prostředky virtuální sítě a díky tomu umožňuje venkovním bránám firewall identifikovat provoz pocházející z vaší virtuální sítě.

Další informace o Azure Firewall najdete v dokumentaci k Azure Firewall.

Přehled brány firewall

Firewall webových aplikací

Azure Web Application Firewall (WAF) poskytuje vašim webovým aplikacím ochranu před běžným zneužitím webu a ohrožením zabezpečení, jako je injektáž SQL a skriptování mezi weby. Azure WAF poskytuje ochranu před 10 nejčastějšími ohroženími zabezpečení OWASP prostřednictvím spravovaných pravidel. Zákazníci můžou také nakonfigurovat vlastní pravidla, což jsou pravidla spravovaná zákazníkem, která poskytují další ochranu na základě zdrojového rozsahu IP adres, a atributy požadavků, jako jsou hlavičky, soubory cookie, pole dat formulářů nebo parametry řetězce dotazu.

Zákazníci se můžou rozhodnout nasadit Azure WAF s Application Gateway, který poskytuje místní ochranu entit ve veřejném a privátním adresním prostoru. Zákazníci se také můžou rozhodnout nasadit Azure WAF se službou Front Door , která poskytuje ochranu na okraji sítě pro veřejné koncové body.

Firewall webových aplikací

Skupiny zabezpečení sítě

Pomocí skupiny zabezpečení sítě můžete filtrovat síťový provoz do a z prostředků Azure ve virtuální síti Azure. Další informace najdete v tématu Skupiny zabezpečení sítě.

Koncové body služby

Koncové body služby virtuální sítě rozšiřují privátní adresní prostor vaší virtuální sítě a její identitu do služeb Azure přes přímé připojení. Koncové body umožňují svázat vaše důležité prostředky služeb Azure pouze s vašimi virtuálními sítěmi. Provoz z vaší virtuální sítě do služby Azure vždy zůstává v páteřní síti Microsoft Azure. Další informace najdete v tématu Koncové body služeb virtuální sítě.

Koncové body služby pro virtuální síť

Služby doručování aplikací

Tato část popisuje síťové služby v Azure, které pomáhají dodávat aplikace – Content Delivery Network, Azure Front Door Service, Traffic Manager, Load Balancer a Application Gateway.

Azure Front Door

Azure Front Door umožňuje definovat, spravovat a monitorovat globální směrování webového provozu díky optimalizaci nejlepšího výkonu a okamžitému globálnímu převzetí služeb při selhání pro zajištění vysoké dostupnosti. Se službou Front Door můžete transformovat svoje globální (zahrnující více oblastí) spotřebitelské a podnikové aplikace do robustních a vysoce výkonných přizpůsobených moderních aplikací, rozhraní API a obsahu, kterými s pomocí Azure oslovíte globální cílovou skupinu. Další informace najdete v tématu Azure Front Door.

Diagram služby Azure Front Door s Web Application Firewall

Traffic Manager

Azure Traffic Manager je nástroj pro vyrovnávání zatížení provozu na základě DNS, který umožňuje optimálně distribuovat provoz do služeb napříč globálními oblastmi Azure při zajištění vysoké dostupnosti a rychlosti odezvy. Traffic Manager poskytuje řadu metod směrování provozu pro distribuci provozu, jako je priorita, vážená hodnota, výkon, geografická oblast, více hodnot nebo podsíť. Další informace o metodách směrování provozu najdete v tématu Metody směrování Traffic Manageru.

Následující diagram znázorňuje směrování na základě priority koncových bodů pomocí Traffic Manageru:

Metoda směrování provozu Priority v Azure Traffic Manageru

Další informace o Traffic Manageru najdete v tématu Co je Azure Traffic Manager?

Load Balancer

Azure Load Balancer poskytuje vysoce výkonné vyrovnávání zatížení vrstvy 4 s nízkou latencí pro všechny protokoly UDP a TCP. Spravuje příchozí a odchozí připojení. Můžete nakonfigurovat veřejné a interní koncové body s vyrovnáváním zatížení. Můžete definovat pravidla pro mapování příchozích připojení na cíle back-endového fondu pomocí možností zjišťování stavu TCP a HTTP pro správu dostupnosti služby. Další informace o Load Balancer najdete v článku s přehledem Load Balancer.

Azure Load Balancer je k dispozici ve skladových úrovních Standard, Regional a Gateway.

Na následujícím obrázku je internetová vícevrstvá aplikace, která využívá externí i interní nástroje pro vyrovnávání zatížení:

příklad Azure Load Balancer

Application Gateway

Azure Application Gateway je nástroj pro vyrovnávání zatížení webových přenosů, který vám umožní spravovat provoz do webových aplikací. Je to application delivery Controller (ADC) jako služba, která nabízí různé možnosti vyrovnávání zatížení vrstvy 7 pro vaše aplikace. Další informace najdete v tématu Co je Azure Application Gateway?

Následující diagram znázorňuje směrování založené na cestě URL s Application Gateway.

příklad Application Gateway

Content Delivery Network

Azure Content Delivery Network (CDN) nabízí vývojářům globální řešení pro rychlé doručování širokopásmového obsahu uživatelům díky ukládání obsahu do mezipaměti na fyzických uzlech strategicky umístěných po celém světě. Další informace o Azure CDN najdete v tématu Azure Content Delivery Network.

Azure CDN

Služby monitorování sítě

Tato část popisuje síťové služby v Azure, které pomáhají monitorovat síťové prostředky – Azure Network Watcher, Azure Monitor Network Insights, Azure Monitor a ExpressRoute Monitor.

Azure Network Watcher

Azure Network Watcher poskytuje nástroje pro monitorování, diagnostiku, zobrazení metrik a povolení nebo zakázání protokolů pro prostředky ve virtuální síti Azure. Další informace najdete v tématu Co je Network Watcher?

Azure Monitor

Azure Monitor maximalizuje dostupnost a výkon vašich aplikací tím, že poskytuje ucelené řešení pro shromažďování, analýzu a telemetrii z vašich cloudových a místních prostředí. Pomůže vám při zjišťování stavu vašich aplikací a proaktivně identifikuje problémy, které je ovlivňují, a prostředky, na kterých jsou závislé. Další informace najdete v tématu Přehled služby Azure Monitor.

Monitorování ExpressRoute

Informace o tom, jak zobrazit metriky okruhu ExpressRoute, protokoly prostředků a výstrahy, najdete v tématu Monitorování, metriky a upozornění ExpressRoute.

Přehledy sítě

Azure Monitor for Networks (Network Insights) poskytuje komplexní přehled o stavu a metrikách pro všechny nasazené síťové prostředky bez nutnosti jakékoli konfigurace. Další informace najdete v tématu Přehledy sítě.

Další kroky