Sdílet prostřednictvím

Spolehlivost a síťové připojení

  • Článek

Síťové připojení zahrnuje tři modely Azure pro připojení k privátní síti:

Injektáž virtuální sítě se vztahuje na služby nasazené speciálně pro vás, například:

  • uzly Azure Kubernetes Service (AKS)
  • Spravovaná instance SQL
  • Virtual Machines

Tyto prostředky se připojují přímo k vaší virtuální síti.

koncové body služby Virtual Network (VNet) poskytují zabezpečené a přímé připojení ke službám Azure. Tyto koncové body služby používají optimalizovanou trasu přes síť Azure. Koncové body služeb umožňují připojení z privátních IP adres ve virtuální síti ke koncovému bodu služby Azure, aniž by ve virtuální síti musela být veřejná IP adresa.

Private Link poskytuje vyhrazený přístup pomocí privátních IP adres k instancím Azure PaaS nebo vlastním službám za Azure Load Balancer Standard.

Na co dát pozor při navrhování

Připojení k síti zahrnuje následující aspekty návrhu související se spolehlivým zatížením:

  • Pro sdílené služby Azure PaaS použijte Private Link, pokud jsou k dispozici. Private Link je obecně k dispozici pro několik služeb a je ve verzi Public Preview pro mnoho služeb.

  • Přístup ke službám Azure PaaS z místního prostředí prostřednictvím privátního partnerského vztahu ExpressRoute

  • Použijte buď injektáž virtuální sítě pro vyhrazené služby Azure, nebo Azure Private Link pro dostupné sdílené služby Azure. Pokud chcete získat přístup ke službám Azure PaaS z místního prostředí, když není k dispozici injektáž virtuální sítě nebo Private Link, použijte ExpressRoute s partnerským vztahem Microsoftu. Tato metoda zabrání přenosu přes veřejný internet.

  • Pomocí koncových bodů služeb virtuální sítě můžete zabezpečit přístup ke službám Azure PaaS z vaší virtuální sítě. Koncové body služby virtuální sítě používejte jenom v případě, že Private Link není k dispozici a nedochází k obavám z neoprávněného přesunu dat.

  • Koncové body služby neumožňují přístup ke službě PaaS z místních sítí. Privátní koncové body ano.

  • Pokud chcete vyřešit obavy z neoprávněného přesunu dat s koncovými body služby, použijte filtrování síťových virtuálních zařízení (NVA). Můžete také použít zásady koncového bodu služby virtuální sítě pro Azure Storage.

  • Následující nativní služby zabezpečení sítě jsou plně spravované služby. Zákazníci neúčtují provozní náklady a náklady na správu související s nasazením infrastruktury, která mohou být ve velkém složité:

    • Brána Azure Firewall
    • Application Gateway
    • Azure Front Door

  • Ke službám PaaS se obvykle přistupuje přes veřejné koncové body. Platforma Azure poskytuje možnosti, jak tyto koncové body zabezpečit nebo je nastavit jako zcela soukromé.

  • Můžete také použít síťová virtuální zařízení třetích stran, pokud je zákazník preferuje v situacích, kdy nativní služby nesplňují konkrétní požadavky.

Kontrolní seznam

Nakonfigurovali jste připojení k síti s ohledem na spolehlivost?

  • Neimplementujte vynucené tunelování, které umožňuje komunikaci z Azure do prostředků Azure.
  • Pokud nepoužíváte filtrování síťových virtuálních zařízení, nepoužívejte koncové body služeb virtuální sítě, pokud existují obavy z neoprávněného přesunu dat.
  • Ve výchozím nastavení nepovolujte koncové body služeb virtuální sítě ve všech podsítích.

Další krok

Optimalizace nákladů a síťové připojení