Teilen über

Das virtuelle Rechenzentrum: Eine Netzwerkperspektive

  • Artikel

Anwendungen, die von der lokalen Bereitstellung migriert wurden, können von der sicheren kosteneffizienten Infrastruktur von Azure profitieren, auch bei minimalen Anwendungsänderungen. Unternehmen möchten ihre Architekturen möglicherweise anpassen, um die Flexibilität zu verbessern und die Vorteile der Azure-Funktionen zu nutzen.

Microsoft Azure bietet Hyperscale-Dienste und -Infrastruktur mit Funktionen und Zuverlässigkeit auf Unternehmensniveau. Diese Dienste und Infrastruktur bieten viele Auswahlmöglichkeiten in der Hybridkonnektivität, sodass Kunden über das Internet oder eine private Netzwerkverbindung darauf zugreifen können. Microsoft-Partner können auch erweiterte Funktionen bereitstellen, indem Sicherheitsdienste und virtuelle Appliances angeboten werden, die für die Ausführung in Azure optimiert sind.

Kunden können Azure verwenden, um ihre Infrastruktur nahtlos in die Cloud zu erweitern und mehrstufige Architekturen zu erstellen.

Was ist ein virtuelles Rechenzentrum?

Die Cloud begann als Plattform zum Hosten von öffentlich zugänglichen Anwendungen. Unternehmen erkannten den Wert der Cloud und begannen mit der Migration interner Branchenanwendungen. Diese Anwendungen brachten mehr Sicherheit, Zuverlässigkeit, Leistung und Kostenaspekte, die bei der Bereitstellung von Clouddiensten mehr Flexibilität erfordern. Neue Infrastruktur- und Netzwerkdienste wurden entwickelt, um Flexibilität zu bieten. Neue Features bieten elastische Skalierung, Notfallwiederherstellung und andere Überlegungen.

Cloud-Lösungen wurden zunächst so konzipiert, dass einzelne, relativ isolierte Anwendungen im öffentlichen Spektrum gehostet werden, die einige Jahre gut funktionierten. Da die Vorteile von Cloudlösungen deutlich wurden, wurden mehrere große Workloads in der Cloud gehostet. Die Bewältigung von Sicherheits-, Zuverlässigkeits-, Leistungs- und Kostenbedenken ist für die Bereitstellung und den Lebenszyklus Ihres Clouddiensts von entscheidender Bedeutung.

Im folgenden Beispieldiagramm für die Cloudbereitstellung hebt das rote Feld eine Sicherheitslücke hervor. Das gelbe Feld zeigt die Möglichkeit, virtuelle Netzwerkgeräte über Workloads hinweg zu optimieren.

Diagramm, das eine virtuelle Cloudbereitstellung und ein virtuelles Netzwerkdatencenter zeigt.

Virtuelle Rechenzentren helfen dabei, die für Unternehmensworkloads erforderliche Skalierung zu erreichen. Der Maßstab muss sich mit den Herausforderungen befassen, die beim Ausführen von groß angelegten Anwendungen in der öffentlichen Cloud eingeführt werden.

Eine Implementierung eines virtuellen Rechenzentrums umfasst mehr als die Anwendungsworkloads in der Cloud. Außerdem werden Netzwerk-, Sicherheits-, Verwaltungs-, DNS- und Active Directory-Dienste bereitgestellt. Wenn Unternehmen mehr Workloads zu Azure migrieren, sollten Sie die Infrastruktur und Objekte berücksichtigen, die diese Workloads unterstützen. Eine gute Ressourcenverwaltung trägt dazu bei, die Zunahme separat verwalteter "Workloadinseln" mit unabhängigen Datenflüssen, Sicherheitsmodellen und Compliance-Herausforderungen zu vermeiden.

Das Konzept des virtuellen Rechenzentrums bietet Empfehlungen und allgemeine Entwürfe für die Implementierung einer Sammlung separater, aber verwandter Entitäten. Diese Entitäten haben häufig gemeinsame unterstützende Funktionen, Features und Infrastruktur. Das Betrachten Ihrer Workloads als virtuelles Rechenzentrum hilft dabei, Kosten durch Skaleneffekte zu senken. Sie hilft auch bei optimierter Sicherheit über Komponenten- und Datenfluss-Zentralisierung und einfachere Vorgänge, Verwaltung und Compliance-Audits.

Hinweis

Ein virtuelles Rechenzentrum ist kein bestimmter Azure-Dienst. Stattdessen werden verschiedene Azure-Features und -Funktionen kombiniert, um Ihre Anforderungen zu erfüllen. Ein virtuelles Rechenzentrum ist eine Möglichkeit, über Ihre Workloads und die Azure-Nutzung nachzudenken, um Ihre Ressourcen und Funktionen in der Cloud zu optimieren. Sie bietet einen modularen Ansatz für die Bereitstellung von IT-Diensten in Azure, wobei die Organisationsrollen und Zuständigkeiten des Unternehmens beachtet werden.

Ein virtuelles Rechenzentrum hilft Unternehmen bei der Bereitstellung von Workloads und Anwendungen in Azure für die folgenden Szenarien:

  • Hosten mehrerer verwandter Workloads.
  • Migrieren Sie Workloads aus einer lokalen Umgebung zu Azure.
  • Implementieren von gemeinsam genutzten oder zentralisierten Sicherheits- und Zugriffsanforderungen für verschiedene Workloads.
  • Mischen Sie DevOps und zentrale IT angemessen in einem großen Unternehmen.

Wer sollte ein virtuelles Rechenzentrum implementieren?

Jeder Kunde, der sich für die Einführung von Azure entscheidet, kann von der Effizienz der Konfiguration einer Gruppe von Ressourcen für die gemeinsame Verwendung durch alle Anwendungen profitieren. Je nach Größe können selbst einzelne Anwendungen von den Mustern und Komponenten profitieren, die für die Implementierung eines VDC verwendet werden.

Einige Organisationen verfügen über zentrale Teams oder Abteilungen für IT, Netzwerk, Sicherheit oder Compliance. Die Implementierung eines VDC kann dazu beitragen, Richtlinien durchzusetzen, Zuständigkeiten zu trennen und die Konsistenz der zugrunde liegenden gemeinsamen Komponenten sicherzustellen. Anwendungsteams können die Freiheit und Kontrolle behalten, die für ihre Anforderungen geeignet ist.

Organisationen mit einem DevOps-Ansatz können auch VDC-Konzepte verwenden, um autorisierte Bereiche von Azure-Ressourcen bereitzustellen. Mit dieser Methode wird sichergestellt, dass die DevOps-Gruppen über vollständige Kontrolle innerhalb dieser Gruppenstruktur verfügen, entweder auf der Abonnementebene oder innerhalb von Ressourcengruppen in einem gemeinsamen Abonnement haben. Gleichzeitig bleiben Netzwerk- und Sicherheitsgrenzen konform. Die Compliance wird durch eine zentralisierte Richtlinie im Hubnetzwerk und der zentral verwalteten Ressourcengruppe definiert.

Überlegungen zur Implementierung eines virtuellen Rechenzentrums

Berücksichtigen Sie beim Entwerfen eines virtuellen Rechenzentrums diese pivotalen Probleme:

Identitäts- und Verzeichnisdienst

Identitäts- und Verzeichnisdienste sind wichtige Funktionen sowohl von lokalen als auch von Cloud-Rechenzentren. Die Identität umfasst alle Aspekte des Zugriffs und der Autorisierung zu Diensten innerhalb einer VDC-Implementierung. Um sicherzustellen, dass nur autorisierte Benutzer und Prozesse auf Ihre Azure-Ressourcen zugreifen, verwendet Azure mehrere Arten von Anmeldeinformationen für die Authentifizierung, darunter Kontokennwörter, kryptografische Schlüssel, digitale Signaturen und Zertifikate. Die mehrstufige Microsoft Entra-Authentifizierung bietet eine zusätzliche Sicherheitsebene für den Zugriff auf Azure-Dienste. Eine starke Authentifizierung mit einer Reihe einfacher Überprüfungsoptionen (Telefonanruf, Sms oder Benachrichtigung über mobile Apps) ermöglicht Es Kunden, die bevorzugte Methode auszuwählen.

Große Unternehmen müssen Identitätsverwaltungsprozesse definieren, die die Verwaltung einzelner Identitäten, deren Authentifizierung, Autorisierung, Rollen und Berechtigungen innerhalb oder über ihr VDC hinweg beschreiben. Die Ziele dieses Prozesses können sicherheit und Produktivität erhöhen und gleichzeitig Kosten, Ausfallzeiten und sich wiederholende manuelle Aufgaben reduzieren.

Unternehmen benötigen möglicherweise eine anspruchsvolle Mischung aus Diensten für verschiedene Branchen. Mitarbeiter haben häufig unterschiedliche Rollen, wenn sie an verschiedenen Projekten beteiligt sind. Das VDC erfordert eine gute Zusammenarbeit zwischen verschiedenen Teams, die jeweils spezifische Rollendefinitionen haben, um Systeme mit guter Governance zu betreiben. Die Matrix der Zuständigkeiten, des Zugriffs und der Rechte kann komplex sein. Die Identitätsverwaltung im VDC wird über Microsoft Entra ID und die Azure-rollenbasierte Zugriffssteuerung (Azure RBAC) implementiert.

Ein Verzeichnisdienst ist eine geteilte Informationsinfrastruktur, die alltägliche Gegenstände und Netzwerkressourcen sucht, verwaltet, administriert und organisiert. Diese Ressourcen können Volumes, Ordner, Dateien, Drucker, Benutzer, Gruppen, Geräte und andere Objekte enthalten. Jede Ressource im Netzwerk wird als Objekt vom Verzeichnisserver betrachtet. Informationen zu einer Ressource werden als Sammlung von Attributen gespeichert, die dieser Ressource oder diesem Objekt zugeordnet sind.

Alle Microsoft Online Business-Dienste basieren auf der Microsoft Entra-ID für die Anmeldung und andere Identitätsanforderungen. Microsoft Entra ID ist eine umfassende, hochgradig verfügbare Identitäts- und Zugriffsverwaltungs-Cloudlösung, die kerne Verzeichnisdienste, erweiterte Identitätsgovernance und Anwendungszugriffsverwaltung kombiniert. Die Microsoft Entra-ID kann in lokales Active Directory integriert werden, um einmaliges Anmelden für alle cloudbasierten und lokal gehosteten lokalen Anwendungen zu aktivieren. Die Benutzerattribute von lokalem Active Directory können automatisch mit Microsoft Entra-ID synchronisiert werden.

Jede bestimmte Abteilung, Gruppe von Benutzern oder Diensten im Verzeichnisdienst muss über die mindestberechtigungen verfügen, die zum Verwalten ihrer eigenen Ressourcen innerhalb einer ASPX-Implementierung erforderlich sind. Das Strukturieren von Berechtigungen erfordert einen Ausgleich. Zu viele Berechtigungen können die Leistungseffizienz beeinträchtigen, und zu wenige oder lose Berechtigungen können Sicherheitsrisiken erhöhen. Die rollenbasierte Azure-Zugriffssteuerung (Azure RBAC) hilft dabei, dieses Problem zu beheben, indem sie eine fein abgestimmte Zugriffsverwaltung für Ressourcen in einer VDC-Implementierung anbietet.

Sicherheitsinfrastruktur

Sicherheitsinfrastruktur bezieht sich auf die Trennung des Datenverkehrs im spezifischen virtuellen Netzwerksegment einer VDC-Implementierung. Diese Infrastruktur gibt an, wie Eingangs- und Ausgangsverkehr in einer VDC-Implementierung gesteuert werden. Azure basiert auf einer mehrinstanzenbasierten Architektur, die nicht autorisierten und unbeabsichtigten Datenverkehr zwischen Bereitstellungen verhindert. Dazu werden virtuelle Netzwerkisolation, Zugriffssteuerungslisten, Lastenausgleichslisten, IP-Filter und Datenverkehrsflussrichtlinien verwendet. Netzwerkadressenübersetzung (NETWORK Address Translation, NAT) trennt internen Netzwerkdatenverkehr vom externen Datenverkehr.

Die Azure Fabric weist Infrastrukturressourcen mandantenarbeitslasten zu und verwaltet die Kommunikation mit und von virtuellen Computern (VMs). Der Azure-Hypervisor erzwingt die Speicher- und Prozesstrennung zwischen virtuellen Computern und leitet den Netzwerkdatenverkehr sicher an Gastbetriebssystemmandanten weiter.

Konnektivität mit der Cloud

Ein virtuelles Rechenzentrum erfordert verbindungen mit externen Netzwerken, um Kunden, Partnern oder internen Benutzern Dienste anzubieten. Diese Notwendigkeit der Konnektivität bezieht sich nicht nur auf das Internet, sondern auch auf lokale Netzwerke und Rechenzentren.

Kunden steuern die Dienste, die auf das öffentliche Internet zugreifen können und über dieses zugänglich sind. Dieser Zugriff wird mithilfe von Azure Firewall oder anderen Typen von virtuellen Netzwerkgeräten (NVAs), benutzerdefinierten Routingrichtlinien mithilfe von benutzerdefinierten Routen und netzwerkfiltern mithilfe von Netzwerksicherheitsgruppen gesteuert. Es wird empfohlen, dass alle mit dem Internet verbundenen Ressourcen durch Azure DDoS Protection geschützt sind.

Unternehmen müssen möglicherweise ihr virtuelles Rechenzentrum mit lokalen Rechenzentren oder anderen Ressourcen verbinden. Diese Konnektivität zwischen Azure und lokalen Netzwerken ist ein wichtiger Aspekt beim Entwerfen einer effektiven Architektur. Unternehmen haben zwei verschiedene Möglichkeiten, diese Verbindung zu schaffen: Transit über das Internet oder über private direkte Verbindungen.

Ein Azure Site-to-Site-VPN verbindet lokale Netzwerke mit Ihrem virtuellen Rechenzentrum in Azure. Die Verbindung wird über sichere verschlüsselte Verbindungen (IPsec-Tunnel) hergestellt. Azure Site-zu-Site-VPN-Verbindungen sind flexibel, schnell zu erstellen und erfordern in der Regel keine weitere Hardwarebeschaffung. Basierend auf Branchenstandardprotokollen können die meisten aktuellen Netzwerkgeräte VPN-Verbindungen mit Azure über das Internet oder vorhandene Verbindungspfade erstellen.

ExpressRoute ermöglicht private Verbindungen zwischen Ihrem virtuellen Rechenzentrum und allen lokalen Netzwerken. ExpressRoute-Verbindungen werden nicht über das öffentliche Internet übertragen und bieten höhere Sicherheit, Zuverlässigkeit und höhere Geschwindigkeiten (bis zu 100 GBit/s) zusammen mit konsistenter Latenz. ExpressRoute bietet die Vorteile von Complianceregeln, die privaten Verbindungen zugeordnet sind. Mit ExpressRoute Direct können Sie eine direkte Verbindung mit Microsoft-Routern mit 10 GBit/s oder 100 GBit/s herstellen.

Die Bereitstellung von ExpressRoute-Verbindungen umfasst in der Regel die Interaktion mit einem ExpressRoute-Dienstanbieter (ExpressRoute Direct ist die Ausnahme). Für Kunden, die schnell beginnen müssen, ist es üblich, zunächst Standort-zu-Standort-VPN zu verwenden, um eine Verbindung zwischen einem virtuellen Rechenzentrum und lokalen Ressourcen herzustellen. Sobald die physische Verbindung mit dem Dienstanbieter eingerichtet wurde, migrieren sie die Konnektivität zu einer ExpressRoute-Verbindung.

Bei einer großen Anzahl von VPN- oder ExpressRoute-Verbindungen ist Azure Virtual WAN ein Netzwerkdienst, der eine optimierte und automatisierte Verzweigungs-zu-Verzweigungskonnektivität über Azure bereitstellt. Mit virtual WAN können Sie eine Verbindung mit Zweigstellengeräten herstellen und konfigurieren, um mit Azure zu kommunizieren. Das Verbinden und Konfigurieren kann entweder manuell oder mithilfe bevorzugter Anbietergeräte über einen virtuellen WAN-Partner erfolgen. Die Verwendung bevorzugter Anbietergeräte ermöglicht eine einfache Verwendung, Vereinfachung der Konnektivität und Konfigurationsverwaltung. Das integrierte Azure WAN-Dashboard bietet sofortige Einblicke zur Problembehandlung, die Ihnen dabei helfen können, Zeit zu sparen, und bietet Ihnen eine einfache Möglichkeit zum Anzeigen einer umfangreichen Standort-zu-Standort-Konnektivität. Virtual WAN bietet auch Sicherheitsdienste mit einer optionalen Azure Firewall und Firewall Manager in Ihrem virtuellen WAN-Hub.

Konnektivität in der Cloud

Azure Virtual Networks und Virtual Network Peering sind die grundlegenden Netzwerkkomponenten in einem virtuellen Rechenzentrum. Ein virtuelles Netzwerk garantiert eine Isolationsgrenze für virtuelle Rechenzentrumsressourcen. Peering ermöglicht die Kommunikation zwischen verschiedenen virtuellen Netzwerken innerhalb derselben Azure-Region, regionenübergreifend und sogar zwischen Netzwerken in verschiedenen Abonnements. Datenverkehrsflüsse können innerhalb und zwischen virtuellen Netzwerken gesteuert werden, indem Sicherheitsregeln für Netzwerksicherheitsgruppen, Firewallrichtlinien (Azure Firewall oder virtuelle Netzwerkgeräte) und benutzerdefinierte Routen festgelegt werden.

Virtuelle Netzwerke sind Ankerpunkte für die Integration von Plattform as a Service (PaaS)-Azure-Produkten wie Azure Storage, Azure SQL und anderen integrierten öffentlichen Diensten mit öffentlichen Endpunkten. Mit Dienstendpunkten und Azure Private Link können Sie Ihre öffentlichen Dienste in Ihr privates Netzwerk integrieren. Sie können sogar Ihre öffentlichen Dienste privat nutzen, aber dennoch die Vorteile von Azure-verwalteten PaaS-Diensten nutzen.

Übersicht über das virtuelle Rechenzentrum

Topologien

Ein virtuelles Rechenzentrum kann mithilfe einer dieser allgemeinen Topologien basierend auf Ihren Anforderungen und Skalierungsanforderungen erstellt werden:

In einer flachen Topologie werden alle Ressourcen in einem einzigen virtuellen Netzwerk bereitgestellt. Subnetze ermöglichen die Ablaufsteuerung und -trennung.

11

In einer Mesh-Topologie verbindet virtuelle Netzwerk-Peering alle virtuellen Netzwerke direkt miteinander.

12

Ein Peering-Hub und eine Speichentopologie eignen sich gut für verteilte Anwendungen und Teams mit delegierten Zuständigkeiten.

13

Eine Azure Virtual WAN-Topologie kann groß angelegte Zweigstellenszenarien und globale WAN-Dienste unterstützen.

14

Die Peering-Hub- und -Speichentopologie und die Azure Virtual WAN-Topologie verwenden sowohl einen Hub- als auch einen Speichenentwurf, der für die Kommunikation, gemeinsame Ressourcen und die zentralisierte Sicherheitsrichtlinie optimal ist. Hubs werden entweder mit einem virtuellen Netzwerk-Peering-Hub (wie Hub Virtual Network im Diagramm bezeichnet) oder einem virtuellen WAN-Hub (bezeichnet wie Azure Virtual WAN im Diagramm) erstellt. Azure Virtual WAN ist für groß angelegte Branch-to-Branch- und Branch-to-Azure-Kommunikationen konzipiert oder um die Komplexität der Erstellung aller Komponenten einzeln in einem virtuellen Netzwerk-Peering-Hub zu vermeiden. In einigen Fällen können Ihre Anforderungen ein Peering-Hub-Design für virtuelle Netzwerke festlegen, z. B. die Notwendigkeit virtueller Netzwerkgeräte im Hub.

In Hub- und Speichentopologien ist der Hub die zentrale Netzwerkzone, die den gesamten Datenverkehr zwischen verschiedenen Zonen wie dem Internet, lokal und den Speichen kontrolliert und überprüft. Die Hub- und Spoke-Topologie hilft der IT-Abteilung, Sicherheitsrichtlinien zentral durchzusetzen. Sie reduziert auch das Potenzial für Fehlkonfiguration und Exposition.

Der Hub enthält oft allgemeine Dienstkomponenten, die von den Spokes genutzt werden. Die folgenden Beispiele sind allgemeine zentrale Dienste:

  • Die Windows Active Directory-Infrastruktur ist erforderlich für die Authentifizierung von Benutzern, die von Drittparteien aus nicht vertrauenswürdigen Netzwerken zugreifen, bevor sie Zugriff auf die Arbeitslasten in diesem Netzwerk erhalten. Sie enthält die zugehörigen Active Directory-Verbunddienste (AD FS)
  • Ein DNS-Dienst (Distributed Name System) wird verwendet, um die Benennung für die Workload in den Speichen aufzulösen und auf lokale Ressourcen und im Internet zuzugreifen, wenn Azure DNS nicht verwendet wird.
  • Eine Public Key-Infrastruktur (PKI) wird zum Implementieren von Single Sign-On-Workloads verwendet.
  • Ablaufsteuerung des TCP- und UDP-Datenverkehrs zwischen den Speichennetzwerkzonen und dem Internet
  • Flusssteuerung zwischen den Spokes und dem lokalen Netzwerk
  • Falls erforderlich, Flusssteuerung zwischen zwei Spokes

Ein virtuelles Rechenzentrum reduziert die Gesamtkosten, indem die gemeinsam genutzte Hubinfrastruktur zwischen mehreren Speichen verwendet wird.

Die Rolle der einzelnen Speichen kann darin bestehen, verschiedene Arten von Workloads zu hosten. Die Speichen bieten auch einen modularen Ansatz für wiederholbare Bereitstellungen derselben Workloads. Beispiele hierfür sind Entwicklungs-/Test-, Benutzerakzeptanztests, Vorproduktion und Produktion. Die Speichen können auch verschiedene Gruppen innerhalb Ihrer Organisation trennen und aktivieren. DevOps-Gruppen sind ein gutes Beispiel dafür, was Speichen tun können. Innerhalb eines Spokes ist es möglich, eine einfache Workload oder komplexe Workloads mit mehreren Ebenen mit einer Datenverkehrssteuerung zwischen den Ebenen bereitzustellen.

Abonnementbeschränkungen und mehrere Hubs

Wichtig

Basierend auf der Größe Ihrer Azure-Bereitstellungen benötigen Sie möglicherweise eine Strategie mit mehreren Hubs. Fragen Sie beim Entwerfen Ihrer Hub- und Spoke-Strategie folgendes: "Kann dieser Entwurfsmaßstab für die Verwendung eines anderen virtuellen Hubnetzwerks in dieser Region verwendet werden?" und "Kann dieser Entwurfsmaßstab mehrere Regionen berücksichtigen?" Es ist viel besser, einen Entwurf zu planen, der skaliert und nicht benötigt wird, als es nicht zu planen und zu benötigen.

Wann sie auf einen sekundären (oder mehr) Hub skaliert werden sollen, hängt normalerweise von mehreren Faktoren ab, die inhärent auf skalierungsbedingten Grenzwerten basieren. Überprüfen Sie beim Entwerfen der Skalierung unbedingt die Grenzwerte für Abonnement, virtuelles Netzwerk und virtuelle Computer.

In Azure wird jede Komponente, unabhängig vom Typ, in einem Azure-Abonnement bereitgestellt. Die Isolierung von Azure-Komponenten in verschiedenen Azure-Abonnements kann die Anforderungen verschiedener Branchen erfüllen, z. B. das Einrichten differenzierter Zugriffs- und Autorisierungsebenen.

Eine einzelne Implementierung des VDC kann auf eine große Anzahl von Spokes hochskaliert werden. Wie bei jedem IT-System gibt es zwar Plattformgrenzen. Die Hubbereitstellung ist an ein bestimmtes Azure-Abonnement gebunden, das Einschränkungen und Beschränkungen aufweist (z. B. eine maximale Anzahl virtueller Netzwerk-Peerings). Ausführliche Informationen finden Sie unter Azure-Abonnement- und Dienstbeschränkungen, Kontingente und Einschränkungen). In Fällen, in denen Beschränkungen ein Problem sein könnten, kann die Architektur weiter skaliert werden, indem das Modell von einem einzigen Hub-Speichen auf einen Cluster von Hub und Speichen erweitert wird. Mehrere Hubs in einer oder mehreren Azure-Regionen können über virtuelles Netzwerk-Peering, ExpressRoute, virtuelles WAN oder Standort-zu-Standort-VPN verbunden werden.

2

Die Einführung mehrerer Hubs erhöht den Kosten- und Verwaltungsaufwand des Systems. Sie ist nur aufgrund von Skalierbarkeit, Systemgrenzwerten, Redundanz, regionaler Replikation für die Leistung des Endbenutzers oder der Notfallwiederherstellung gerechtfertigt. In Szenarien, in denen mehrere Hubs erforderlich sind, sollten alle Hubs den gleichen Satz von Diensten für die Benutzerfreundlichkeit anbieten.

Verbindung zwischen Spokes

Innerhalb eines einzigen Speichen- oder Flachnetzwerkdesigns ist es möglich, komplexe Multitier-Workloads zu implementieren. Multitierkonfigurationen können mithilfe von Subnetzen implementiert werden, die eine für jede Ebene oder Anwendung im selben virtuellen Netzwerk sind. Die Datenverkehrskontrolle und -filterung erfolgt mithilfe von Netzwerksicherheitsgruppen und benutzerdefinierten Routen.

Ein Architekt möchte möglicherweise eine mehrstufige Workload in mehreren virtuellen Netzwerken bereitstellen. Mit virtuellem Netzwerk-Peering können Speichen eine Verbindung mit anderen Speichen im selben Hub oder verschiedenen Hubs herstellen. Ein typisches Beispiel für dieses Szenario ist der Fall, in dem sich Anwendungsverarbeitungsserver in einem Speichen- oder virtuellen Netzwerk befinden. Die Datenbank wird in einem anderen Spoke oder virtuellen Netzwerk bereitgestellt. In diesem Fall ist es einfach, die Speichen mit virtuellem Netzwerk-Peering zu verbinden, was die Übertragung über den Hub verhindert. Führen Sie eine sorgfältige Architektur und Sicherheitsüberprüfung durch, um sicherzustellen, dass durch die Umgehung des Hubs keine wichtigen Sicherheits- oder Überwachungspunkte umgangen werden, die möglicherweise nur im Hub vorhanden sind.

3

Spokes können auch mit einem Spoke verbunden werden, der als Hub fungiert. Dieser Ansatz erstellt eine Hierarchie mit zwei Ebenen. Die Speichen in der höheren Ebene (Ebene 0) werden zum Hub der unteren Speichen (Ebene 1) der Hierarchie. Die Speichen für eine VDC-Implementierung sind erforderlich, um den Datenverkehr an den zentralen Hub weiterzuleiten. Der Datenverkehr kann dann entweder im lokalen Netzwerk oder im öffentlichen Internet an das Ziel übermittelt werden. Eine Architektur mit zwei Hubebenen führt zu komplexem Routing, das die Vorteile einer einfachen Hub-Spoke-Beziehung entfernt.

Obwohl Azure komplexe Topologien zulässt, ist eines der Kernprinzipien des VDC-Konzepts Wiederholbarkeit und Einfachheit. Um den Verwaltungsaufwand zu minimieren, empfehlen wir das einfache Hub-Spoke-Design als VDC-Referenzarchitektur.

Komponenten

Das virtuelle Rechenzentrum besteht aus vier grundlegenden Komponententypen: Infrastruktur, Umkreisnetzwerke, Workloads und Überwachung.

Jeder Komponententyp besteht aus verschiedenen Azure-Features und -Ressourcen. Ihre VDC-Implementierung besteht aus Instanzen mehrerer Komponententypen und mehreren Variationen derselben Art von Komponenten. So können Sie beispielsweise viele verschiedene, logisch getrennte Workloadinstanzen haben, die unterschiedliche Anwendungen darstellen. Sie verwenden diese verschiedenen Komponententypen und Instanzen, um das VDC zu erstellen.

4

Die übergeordnete konzeptionelle Architektur des VDC zeigt verschiedene Komponententypen, die in verschiedenen Zonen der Hub-Spokes-Topologie verwendet werden. Das Diagramm zeigt Infrastrukturkomponenten in verschiedenen Teilen der Architektur.

Als bewährte Methode im Allgemeinen können Zugriffsrechte und Berechtigungen gruppenbasiert sein. Der Umgang mit Gruppen statt einzelner Benutzer erleichtert die Wartung von Zugriffsrichtlinien, indem eine konsistente Möglichkeit zum Verwalten der Richtlinien für teams bereitgestellt wird, wodurch die Minimierung von Konfigurationsfehlern unterstützt wird. Das Zuweisen und Entfernen von Benutzern zu und aus geeigneten Gruppen trägt dazu bei, die Rechte eines bestimmten Benutzers auf dem neuesten Stand zu halten.

Jede Rollengruppe kann ein eindeutiges Präfix für ihre Namen haben. Dieses Präfix erleichtert das Identifizieren der Arbeitsauslastung, der eine Gruppe zugeordnet ist. Beispielsweise kann eine Workload, die einen Authentifizierungsdienst hosten, Gruppen namens AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps und AuthServiceInfraOps haben. Zentrale Rollen oder Rollen, die sich nicht auf einen bestimmten Dienst beziehen, können mit Corp vorgestellt werden. Ein Beispiel ist CorpNetOps.

Viele Organisationen verwenden eine Variante der folgenden Gruppen, um eine große Aufschlüsselung der Rollen bereitzustellen:

  • Das zentrale IT-Team mit dem Namen Corp verfügt über die Eigentumsrechte zur Steuerung von Infrastrukturkomponenten. Beispiele sind Netzwerk und Sicherheit. Der Gruppe muss über die Rolle „Mitwirkender“ für das Abonnement, die Kontrolle über den Hub und die Rechte eines Mitwirkenden des virtuellen Netzwerks in den Spokes verfügen. Große Organisationen teilen diese Verwaltungsaufgaben häufig zwischen mehreren Teams auf. Beispiele sind eine CorpNetOps-Gruppe für Netzwerkvorgänge, die sich ausschließlich auf das Netzwerk und eine Sicherheitsoperations-CorpSecOps-Gruppe konzentriert, die für die Firewall- und Sicherheitsrichtlinie verantwortlich ist. In diesem speziellen Fall müssen zwei verschiedene Gruppen für die Zuweisung dieser benutzerdefinierten Rollen erstellt werden.
  • Die Entwicklungs-/Testgruppe " AppDevOps " hat die Verantwortung für die Bereitstellung von App- oder Dienstworkloads. Diese Gruppe übernimmt die Rolle des VM-Mitwirkenden für IaaS-Bereitstellungen oder eine oder mehrere Rollen von PaaS-Mitwirkenden. Weitere Informationen finden Sie unter Integrierte Azure-Rollen. Optional benötigt das Entwicklungs-/Testteam möglicherweise Sichtbarkeit in Sicherheitsrichtlinien (Netzwerksicherheitsgruppen) und Routingrichtlinien (benutzerdefinierte Routen) innerhalb des Hubs oder einer bestimmten Speichen. Zusätzlich zur Rolle des Mitwirkenden für Workloads benötigt diese Gruppe auch die Rolle des Netzwerklesers.
  • Die Betriebs- und Wartungsgruppe " CorpInfraOps " oder "AppInfraOps " hat die Verantwortung für die Verwaltung von Workloads in der Produktion. Diese Gruppe muss ein Mitwirkender des Abonnements von Workloads in jedem Produktionsabonnement sein. Manche Organisationen sollten zudem prüfen, ob sie ein Team für den Eskalationssupport mit der Rolle des Mitwirkenden des Abonnements in der Produktion und im zentralen Hubabonnement benötigen. Die andere Gruppe behebt potenzielle Konfigurationsprobleme in der Produktionsumgebung.

Das VDC ist so konzipiert, dass zentrale IT-Teamgruppen, die den Hub verwalten, über entsprechende Gruppen auf Workload-Ebene verfügen. Neben der Verwaltung von Hubressourcen kann das zentrale IT-Team den externen Zugriff und Berechtigungen auf oberster Ebene für das Abonnement steuern. Workloadgruppen können auch Ressourcen und Berechtigungen ihres virtuellen Netzwerks unabhängig vom zentralen IT-Team steuern.

Das virtuelle Rechenzentrum wird partitioniert, um mehrere Projekte in verschiedenen Branchen sicher zu hosten. Für alle Projekte sind unterschiedliche isolierte Umgebungen (Dev, UAT und Produktion) erforderlich. Separate Azure-Abonnements für jede dieser Umgebungen können natürliche Isolation bieten.

5

Das vorstehende Diagramm zeigt die Beziehung zwischen den Projekten, Benutzern, Gruppen und Umgebungen, in denen die Azure-Komponenten bereitgestellt werden.

In der Regel ist eine Umgebung (oder Ebene) ein System, in dem mehrere Anwendungen bereitgestellt und ausgeführt werden. Große Unternehmen verwenden eine Entwicklungsumgebung (in der Änderungen vorgenommen und getestet werden) und eine Produktionsumgebung (was Endbenutzer verwenden). Diese Umgebungen sind getrennt, häufig mit mehreren Stagingumgebungen dazwischen, um phasenweise Bereitstellung (Rollout), Tests und Rollback zuzulassen, wenn Probleme auftreten. Bereitstellungsarchitekturen variieren erheblich, aber in der Regel wird der grundlegende Prozess von der Entwicklung (DEV) bis zur Produktion (PROD) eingehalten.

Eine allgemeine Architektur für diese Arten von Multitierumgebungen umfasst DevOps für Entwicklung und Tests, UAT für Staging und Produktionsumgebungen. Organisationen können einzelne oder mehrere Microsoft Entra-Mandanten verwenden, um Zugriff und Rechte für diese Umgebungen zu definieren. Das vorherige Diagramm zeigt einen Fall, in dem zwei verschiedene Microsoft Entra-Mandanten verwendet werden: eine für DevOps und UAT und die andere ausschließlich für die Produktion.

Das Vorhandensein verschiedener Microsoft Entra-Mandanten erzwingt die Trennung zwischen Umgebungen. Die gleiche Benutzergruppe, z. B. das zentrale IT-Team, muss sich mithilfe eines anderen URI authentifizieren, um auf einen anderen Microsoft Entra-Mandanten zuzugreifen. Auf diese Weise kann das Team die Rollen oder Berechtigungen der DevOps- oder Produktionsumgebungen eines Projekts ändern. Das Vorhandensein verschiedener Benutzerauthentifizierungen für den Zugriff auf verschiedene Umgebungen reduziert mögliche Ausfälle und andere Probleme, die durch menschliche Fehler verursacht werden.

Komponententyp: Infrastruktur

Dieser Komponententyp ist der Ort, an dem sich die meisten unterstützenden Infrastrukturen befinden. Außerdem verbringen Ihre zentralen Teams für IT, Sicherheit und Compliance die meiste Zeit dort.

6

Infrastrukturkomponenten bieten eine Verbindung für die verschiedenen Komponenten einer VDC-Implementierung und sind sowohl im Hub als auch bei den Speichen vorhanden. Die Verantwortung für die Verwaltung und Wartung der Infrastrukturkomponenten wird in der Regel dem zentralen IT-Team oder Sicherheitsteam zugewiesen.

Eine der Hauptaufgaben des IT-Infrastrukturteams besteht darin, die Konsistenz von IP-Adressschemas im gesamten Unternehmen zu gewährleisten. Der private IP-Adressraum, der einer DLP-Implementierung zugewiesen ist, muss konsistent sein und darf nicht mit privaten IP-Adressen überlappen, die ihren lokalen Netzwerken zugewiesen sind.

Während NAT auf den lokalen Edgeroutern oder in Azure-Umgebungen IP-Adresskonflikte vermeiden kann, werden Ihren Infrastrukturkomponenten Komplikationen hinzugefügt. Einfachheit des Managements ist eines der wichtigsten Ziele des VDC. Die Verwendung von NAT zur Behandlung von IP-Bedenken, während eine gültige Lösung, ist keine empfohlene Lösung.

Infrastrukturkomponenten verfügen über die folgenden Funktionen:

  • Identitäts- und Verzeichnisdienste: Der Zugriff auf jeden Ressourcentyp in Azure wird durch eine in einem Verzeichnisdienst gespeicherte Identität gesteuert. Der Verzeichnisdienst speichert nicht nur die Liste der Benutzer, sondern auch die Zugriffsrechte für Ressourcen in einem bestimmten Azure-Abonnement. Diese Dienste können in der Cloud vorhanden sein, oder sie können mit einer lokalen Identität synchronisiert werden, die in Active Directory gespeichert ist.
  • Virtuelle Netzwerke: Virtuelle Netzwerke sind eine der Hauptkomponenten des VDC und ermöglichen es Ihnen, einen Isolierungsbereich für den Netzwerkverkehr auf der Azure-Plattform zu erstellen. Ein virtuelles Netzwerk besteht aus einem einzelnen oder mehreren virtuellen Netzwerksegmenten, die jeweils ein bestimmtes IP-Netzwerkpräfix aufweisen (ein Subnetz, entweder IPv4 oder IPv4/IPv6). Das virtuelle Netzwerk definiert einen internen Umkreisbereich, in dem virtuelle IaaS-Computer und PaaS-Dienste private Kommunikationen herstellen können. VMs (und PaaS-Dienste) in einem virtuellen Netzwerk können nicht direkt mit VMs (und PaaS-Diensten) in einem anderen virtuellen Netzwerk kommunizieren. Dies gilt auch dann, wenn beide virtuellen Netzwerke vomselben Kunden unter demselben Abonnement erstellt werden. Isolation ist eine wichtige Eigenschaft, mit der sichergestellt wird, dass VMs und die Kommunikation von Kunden innerhalb eines virtuellen Netzwerks privat bleiben. Wo die netzwerkübergreifende Konnektivität gewünscht wird, beschreiben die folgenden Features, wie sie erreicht werden können.
  • Virtuelles Netzwerk-Peering: Die grundlegende Funktion zur Erstellung der Infrastruktur eines virtuellen Datenzentrums ist das virtuelle Netzwerk-Peering, das zwei virtuelle Netzwerke in derselben Region verbindet. Diese Verbindung erfolgt über das Azure-Rechenzentrumsnetzwerk oder die Verwendung des weltweiten Azure-Backbones über Regionen hinweg.
  • Endpunkte des virtuellen Netzwerks: Dienstendpunkte erweitern den privaten Adressraum Ihres virtuellen Netzwerks, um Ihren PaaS-Speicherplatz einzuschließen. Die Endpunkte erweitern auch die Identität Ihres virtuellen Netzwerks auf die Azure-Dienste über eine direkte Verbindung. Endpunkte ermöglichen es Ihnen, Ihre wichtigen Azure-Dienstressourcen für Ihre virtuellen Netzwerke zu sichern.
  • Private Verknüpfung: Azure Private Link ermöglicht Ihnen den Zugriff auf Azure PaaS-Dienste (z. B. Azure Storage, Azure Cosmos DB und Azure SQL-Datenbank) und von Azure gehostete Kunden-/Partnerdienste über einen privaten Endpunkt in Ihrem virtuellen Netzwerk. Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Dienst durchläuft über das Microsoft-Backbone-Netzwerk, wodurch die Gefährdung durch das öffentliche Internet eliminiert wird. Sie können auch Ihren eigenen privaten Linkdienst in Ihrem virtuellen Netzwerk erstellen und privat an Ihre Kunden übermitteln. Die Einrichtungs- und Nutzungserfahrung mit Azure Private Link ist in Azure PaaS, kundeneigenen und gemeinsamen Partnerdiensten konsistent.
  • Benutzerdefinierte Routen: Der Datenverkehr in einem virtuellen Netzwerk wird standardmäßig basierend auf der Systemroutingtabelle weitergeleitet. Eine benutzerdefinierte Route ist eine benutzerdefinierte Routingtabelle, die Netzwerkadministratoren einem oder mehreren Subnetzen zuordnen können, um das Verhalten der Systemroutingtabelle außer Kraft zu setzen und einen Kommunikationspfad innerhalb eines virtuellen Netzwerks zu definieren. Benutzerdefinierte Routen gewährleisten, dass Datenverkehr aus dem Spoke durch einen bestimmten benutzerdefinierten virtuellen Computer oder virtuelle Netzwerkgeräte und Lastenausgleichsmodule geleitet wird, die sowohl im Hub als auch in den Spokes vorhanden sind.
  • Netzwerksicherheitsgruppen: Eine Netzwerksicherheitsgruppe ist eine Liste von Sicherheitsregeln, die als Datenverkehrsfilterung für IP-Quellen, IP-Ziele, Protokolle, IP-Quellports und IP-Zielports (auch als Layer 4-Tupel bezeichnet) fungieren. Die Netzwerksicherheitsgruppe kann auf ein Subnetz, eine virtuelle NIC angewendet werden, die einer Azure-VM zugeordnet ist, oder beides. Die Netzwerksicherheitsgruppen sind unerlässlich, um eine korrekte Flusssteuerung im Hub und in den Speichen zu implementieren. Die Sicherheitsstufe der Netzwerksicherheitsgruppe ist eine Funktion der Ports, die Sie öffnen, und zu welchem Zweck. Kunden können weitere per-VM-Filter mit hostbasierten Firewalls wie iptables oder die Windows-Firewall anwenden.
  • DNS: DNS stellt die Namensauflösung für Ressourcen in einem virtuellen Rechenzentrum bereit. Azure stellt DNS-Dienste für die Auflösung öffentlicher und privater Namen bereit. Private Zonen bieten Namensauflösung in einem virtuellen Netzwerk und zwischen virtuellen Netzwerken. Private Zonen können sich über virtuelle Netzwerke in derselben Region und über Regionen und Abonnements erstrecken. Für die öffentliche Auflösung stellt Azure DNS einen Hostingdienst für DNS-Domänen bereit, wobei die Namensauflösung mithilfe der Microsoft Azure-Infrastruktur bereitgestellt wird. Durch das Hosten Ihrer Domänen in Azure können Sie Ihre DNS-Einträge mithilfe der gleichen Anmeldeinformationen, APIs, Tools und Abrechnung wie für die anderen Azure-Dienste verwalten.
  • Verwaltungsgruppe, Abonnement und Ressourcengruppenverwaltung . Ein Abonnement definiert eine natürliche Grenze zum Erstellen mehrerer Ressourcengruppen in Azure. Diese Trennung kann für Funktion, Rollentrennung oder Abrechnung erfolgen. Ressourcen in einem Abonnement werden in logischen Containern zusammengefasst, die als Ressourcengruppen bezeichnet werden. Die Ressourcengruppe stellt eine logische Gruppe dar, um die Ressourcen in einem virtuellen Rechenzentrum zu organisieren. Wenn Ihre Organisation über viele Abonnements verfügt, benötigen Sie möglicherweise eine Möglichkeit zur effizienten Verwaltung von Zugriff, Richtlinien und Konformität für diese Abonnements. Azure-Verwaltungsgruppen stellen einen abonnementübergreifenden Bereich dar. Sie organisieren Abonnements in Containern, die als Verwaltungsgruppen bezeichnet werden, und wenden Ihre Governancebedingungen auf die Verwaltungsgruppen an. Alle Abonnements in einer Verwaltungsgruppe erben automatisch die auf die Verwaltungsgruppe angewendeten Bedingungen. Informationen zu diesen drei Features in einer Hierarchieansicht finden Sie unter Organisieren Ihrer Ressourcen im Cloud Adoption Framework.
  • Azure rollenbasierte Zugriffssteuerung (Azure RBAC): Azure RBAC kann Organisationsrollen und -rechte für den Zugriff auf bestimmte Azure-Ressourcen zuordnen. Auf diese Weise können Sie Benutzer nur auf eine bestimmte Teilmenge von Aktionen beschränken. Wenn Sie Microsoft Entra-ID mit einem lokalen Active Directory synchronisieren, können Sie dieselben Active Directory-Gruppen in Azure verwenden, die Sie lokal verwenden. Mit Azure RBAC können Sie Zugriff gewähren, indem Sie Benutzern, Gruppen und Anwendungen innerhalb des relevanten Bereichs die entsprechende Rolle zuweisen. Der Umfang einer Rollenzuweisung kann ein Azure-Abonnement, eine Ressourcengruppe oder eine einzelne Ressource sein. Azure RBAC ermöglicht die Vererbung von Berechtigungen. Mit einer Rolle, die einem übergeordneten Bereich zugewiesen ist, wird außerdem der Zugriff auf die darin enthaltenen untergeordneten Elemente gewährt. Mit Azure RBAC können Sie Aufgaben trennen und benutzern nur den Zugriff gewähren, den sie zum Ausführen ihrer Aufgaben benötigen. Beispielsweise kann ein Mitarbeiter virtuelle Computer in einem Abonnement verwalten, während ein anderer SQL Server-Datenbanken im selben Abonnement verwalten kann.

Komponententyp: Umkreisnetzwerke

Komponenten eines Umkreisnetzwerks (manchmal als DMZ-Netzwerk bezeichnet) verbinden Ihre lokalen oder physischen Rechenzentrumsnetzwerke zusammen mit jeder Internetverbindung. Der Umkreis erfordert in der Regel eine erhebliche Zeitinvestition von Ihren Netzwerk- und Sicherheitsteams.

Eingehende Pakete können über die Sicherheitsgeräte im Hub fließen, bevor sie die Back-End-Server und -Dienste in den Speichen erreichen. Beispiele sind die Firewall, IDS und IPS. Bevor sie das Netzwerk verlassen, können internetgebundene Pakete aus den Workloads auch über die Sicherheitsgeräte im Umkreisnetzwerk fließen. Dieser Ablauf ermöglicht die Richtlinienerzwingung, -inspektion und -überwachung.

Zu den Umkreisnetzwerkkomponenten gehören:

In der Regel sind das zentrale IT-Team und die Sicherheitsteams für die Anforderungsdefinition und den Betrieb der Umkreisnetzwerke verantwortlich.

7

Das vorstehende Diagramm zeigt die Erzwingung von zwei Umkreisen mit Zugriff auf das Internet und einem lokalen Netzwerk, die sich beide im DMZ-Hub befinden. Im DMZ-Hub kann das Umkreisnetzwerk im Internet skaliert werden, um viele Branchen zu unterstützen, indem mehrere Farmen von Webanwendungsfirewalls (WAFs) oder Azure Firewalls verwendet werden. Der Hub ermöglicht auch die lokale Konnektivität über VPN oder ExpressRoute nach Bedarf.

Hinweis

In der Abbildung oben können Sie können in DMZ Hub viele der folgenden Features zusammen in einem Azure Virtual WAN-Hub gebündelt werden (z. B. virtuelle Netzwerke, benutzerdefinierte Routen, Netzwerksicherheitsgruppen, VPN-Gateways, ExpressRoute-Gateways, Azure Load Balancer-Instanzen, Azure Firewall-Instanzen, Firewall Manager und DDOS). Die Verwendung von Azure Virtual WAN Hubs kann die Erstellung des virtuellen Hubnetzwerks und des virtuellen Rechenzentrums (VDC) erheblich vereinfachen, da die meisten technischen Komplexitäten von Azure für Sie übernommen werden, wenn Sie einen Azure Virtual WAN Hub bereitstellen.

Virtuelle Netzwerke. Der Hub basiert in der Regel auf einem virtuellen Netzwerk mit mehreren Subnetzen, die verschiedene Arten von Diensten hosten. Diese Dienste filtern und prüfen den Datenverkehr zu oder von dem Internet über Azure Firewall, NVAs, WAF und Azure Application Gateway-Instanzen.

Benutzerdefinierte Routen. Mithilfe von benutzerdefinierten Routen können Kunden Firewalls, IDS/IPS und andere virtuelle Appliances bereitstellen. Sie können den Netzwerkdatenverkehr über diese Sicherheitsgeräte leiten, um die Richtliniendurchsetzung, Prüfung und Inspektion der Sicherheitsgrenzen sicherzustellen. Benutzerdefinierte Routen können sowohl im Hub als auch in den Spokes erstellt werden, um sicherzustellen, dass Datenverkehr durch die spezifischen benutzerdefinierten VMs, virtuellen Netzwerkgeräte und Lastenausgleichsmodule geleitet wird, die von einer VDC-Implementierung verwendet werden. Um sicherzustellen, dass der Datenverkehr, der von virtuellen Maschinen im Spoke-Netzwerk erzeugt wird, zu den richtigen virtuellen Appliances geleitet wird, muss eine benutzerdefinierte Route in den Subnetzen des Spoke-Netzwerks festgelegt werden. Dazu legen Sie die Front-End-IP-Adresse des internen Lastenausgleichs als nächsten Hop fest. Der interne Load Balancer verteilt den internen Datenverkehr auf die virtuellen Geräte (Back-End-Pool des Load Balancers).

Azure Firewall ist ein verwalteter Netzwerksicherheitsdienst, der Ihre Azure Virtual Network-Ressourcen schützt. Es handelt sich dabei um eine zustandsbehaftete verwaltete Firewall mit Hochverfügbarkeit und Cloudskalierbarkeit. Sie können Anwendungs- und Netzwerkkonnektivitätsrichtlinien zentral für Abonnements und virtuelle Netzwerke erstellen, erzwingen und protokollieren. Azure Firewall verwendet eine statische öffentliche IP-Adresse für Ihre virtuellen Netzwerkressourcen. Es ermöglicht externen Firewalls, Datenverkehr zu identifizieren, der aus Ihrem virtuellen Netzwerk stammt. Der Dienst ist vollständig in Azure Monitor für Protokollierung und Analyse integriert.

Wenn Sie die Azure Virtual WAN-Topologie verwenden, ist der Azure Firewall Manager ein Sicherheitsverwaltungsdienst, der zentrale Sicherheitsrichtlinien und Routenverwaltung für cloudbasierte Sicherheitsperimeter bereitstellt. Es funktioniert mit dem virtuellen Azure WAN-Hub, einer von Microsoft verwalteten Ressource, mit der Sie ganz einfach Hub- und Speichenarchitekturen erstellen können. Wenn Sicherheits- und Routingrichtlinien einem Hub zugeordnet sind, wird sie als gesicherter virtueller Hub bezeichnet.

Virtuelle Netzwerkgeräte. Im Hub wird das Umkreisnetzwerk mit Zugriff auf das Internet normalerweise über eine Azure-Firewallinstanz oder eine Farm von Firewalls oder Webanwendungsfirewall (WAF) verwaltet.

In verschiedenen Branchen werden häufig viele Webanwendungen verwendet, die tendenziell unter verschiedenen Sicherheitsrisiken und potenziellen Exploits leiden. Webanwendungsfirewalls sind eine spezielle Art von Produkt, mit der Angriffe auf Webanwendungen und HTTP/HTTPS effektiver als eine generische Firewall erkannt werden. Im Vergleich zur herkömmlichen Firewalltechnologie verfügen WAFs über eine Reihe spezifischer Features, um interne Webserver vor Bedrohungen zu schützen.

Eine Azure-Firewall oder eine NVA-Firewall verwenden eine gemeinsame Verwaltungsebene mit einer Reihe von Sicherheitsregeln, um die in den Speichen gehosteten Workloads zu schützen und den Zugriff auf lokale Netzwerke zu steuern. Die Azure Firewall verfügt über integrierte Skalierbarkeit, während NVA-Firewalls hinter einem Lastenausgleich manuell skaliert werden können. Im Allgemeinen verfügt eine Firewallfarm über weniger spezialisierte Software im Vergleich zu einer Web Application Firewall (WAF), hat aber einen breiteren Einsatzbereich, um alle Arten von Datenverkehr beim Ausgang und Eingang zu filtern und zu überprüfen. Wenn ein NVA-Ansatz verwendet wird, können sie in Azure Marketplace gefunden und bereitgestellt werden.

Es wird empfohlen, einen Satz von Azure Firewall-Instanzen oder NVAs für Datenverkehr zu verwenden, der im Internet stammt. Verwenden Sie für Datenverkehr mit lokalem Ursprung eine andere Gruppe. Die Verwendung einer Gruppe von Firewalls für beide ist ein Sicherheitsrisiko, da sie keinen Sicherheitsperimeter zwischen den beiden Gruppen von Netzwerkdatenverkehr bereitstellt. Durch die Verwendung separater Firewallebenen wird die Komplexität der Überprüfung von Sicherheitsregeln reduziert, wodurch klar wird, welche Regeln den eingehenden Netzwerkanforderungen entsprechen.

Azure Load Balancer bietet einen Dienst mit hoher Verfügbarkeit von Layer 4 (TCP/UDP), der eingehenden Datenverkehr zwischen Dienstinstanzen verteilen kann, die in einem Lastenausgleichssatz definiert sind. Der an den Lastenausgleich gesendete Datenverkehr von Front-End-Endpunkten (öffentliche IP-Endpunkte oder private IP-Endpunkte) kann mit oder ohne Adressübersetzung an einen Satz von Back-End-IP-Adresspools (z. B. virtuelle Netzwerkgeräte oder virtuelle Computer) verteilt werden.

Azure Load Balancer kann die Integrität verschiedener Serverinstanzen untersuchen. Wenn eine Instanz nicht auf eine Überprüfung reagiert, versendet der Load Balancer keinen Datenverkehr mehr an die nicht gesunde Instanz. In einem virtuellen Rechenzentrum wird ein externer Lastenausgleich für den Hub und die Speichen bereitgestellt. Im Hub wird der Lastenausgleich verwendet, um den Datenverkehr effizient über Firewallinstanzen hinweg zu leiten. In den Spokes werden die Lastenausgleiche verwendet, um den Datenverkehr der Anwendungen zu verwalten.

Azure Front Door (AFD) ist die hoch verfügbare und skalierbare Plattform für Webanwendungsbeschleunigung, globaler HTTP-Lastenausgleich, Anwendungsschutz und Content Delivery Network. AFD wird an mehr als 100 Standorten im Edgebereich des globalen Netzwerks von Microsoft ausgeführt und ermöglicht Ihnen das Erstellen, Ausführen und Aufskalieren Ihrer dynamischen Webanwendung und statischen Inhalte. AFD bietet Ihrer Anwendung erstklassige Endbenutzerleistung, einheitliche Regional-/Stempelwartungsautomatisierung, BCDR-Automatisierung, einheitliche Client-/Benutzerinformationen, Zwischenspeicherung und Diensteinblicke.

Die Plattform bietet:

  • Leistungs-, Zuverlässigkeits- und Supportvereinbarungen auf Serviceebene (SLAs).
  • Compliance-Zertifizierungen.
  • Auditierbare Sicherheitspraktiken, die von Azure entwickelt, betrieben und nativ unterstützt werden.

Azure Front Door bietet auch eine Webanwendungsfirewall (WAF), die Webanwendungen vor allgemeinen Sicherheitsrisiken und Gefährdungen schützt.

Azure Application Gateway ist eine dedizierte virtuelle Appliance, die einen verwalteten Anwendungsbereitstellungscontroller bereitstellt. Es bietet verschiedene Layer 7-Lastenausgleichsfunktionen für Ihre Anwendung. Es ermöglicht Ihnen, die Leistung der Webfarm zu optimieren, indem Sie CPU-intensive SSL-Terminierung an das Anwendungsgateway auslagern. Es bietet auch weitere Routingfunktionen der Ebene 7, z. B. Roundrobinverteilung des eingehenden Datenverkehrs, cookiebasierte Sitzungsaffinität, URL-pfadbasiertes Routing und die Möglichkeit, mehrere Websites hinter einem einzigen Anwendungsgateway zu hosten. Eine Web Application Firewall (WAF) wird auch als Teil des WAF SKU des Anwendungsgateways bereitgestellt. Diese SKU bietet Schutz für Webanwendungen vor allgemeinen Webrisiken und Exploits. Anwendungsgateway kann als internetgerichtetes Gateway, nur internes Gateway oder eine Kombination aus beiden konfiguriert werden.

Öffentliche IPs. Mit einigen Azure-Features können Sie Dienstendpunkte einer öffentlichen IP-Adresse zuordnen, damit Ihre Ressource über das Internet zugänglich ist. Dieser Endpunkt verwendet NAT, um Datenverkehr an die interne Adresse und den Port im virtuellen Netzwerk in Azure weiterzuleiten. Dieser Pfad ist die primäre Methode, um externen Datenverkehr in das virtuelle Netzwerk zu übergeben. Sie können die öffentlichen IP-Adressen konfigurieren, um festzulegen, welcher Datenverkehr zugelassen wird bzw. wie und wo eine Übersetzung in das virtuelle Netzwerk stattfindet.

Azure DDoS Protection bietet mehr Entschärfungsfunktionen über die grundlegende Dienstebene , die speziell auf Virtuelle Azure-Netzwerkressourcen abgestimmt sind. DDoS Protection ist einfach zu aktivieren und erfordert keine Anwendungsänderungen. Schutzrichtlinien werden über dedizierte Datenverkehrsüberwachung und Machine Learning-Algorithmen optimiert. Richtlinien werden auf öffentliche IP-Adressen angewendet, die in virtuellen Netzwerken bereitgestellten Ressourcen zugeordnet sind. Beispiele sind Azure Load Balancer, Azure-Anwendungsgateway und Azure Service Fabric-Instanzen. Über Azure Monitor-Ansichten stehen systemgenerierte Protokolle (in Quasi-Echtzeit) während eines Angriffs und für den Verlauf zur Verfügung. Der Anwendungsschichtschutz kann über die Webanwendungsfirewall des Azure-Anwendungsgateways hinzugefügt werden. Schutz wird für öffentliche Azure-IP-Adressen mit IPv4 und IPv6 bereitgestellt.

Die Hub- und Speichentopologie verwendet virtuelle Netzwerk-Peering- und benutzerdefinierte Routen, um den Datenverkehr ordnungsgemäß zu leiten.

8

Im Diagramm stellt die benutzerdefinierte Route sicher, dass der Datenverkehr von der Spoke zur Firewall fließt, bevor er über das ExpressRoute-Gateway an den lokalen Standort weitergegeben wird (sofern die Firewallrichtlinie diesen Datenfluss zulässt).

Komponententyp: Überwachung

Überwachungskomponenten bieten Sichtbarkeit und Warnung von allen anderen Komponententypen. Alle Teams können Zugriff auf die Überwachung der Komponenten und Dienste haben, auf die sie Zugriff haben. Wenn Sie über eine zentrale Helpdesk- oder Betriebsteams verfügen, benötigen diese einen integrierten Zugriff auf die von diesen Komponenten bereitgestellten Daten.

Azure bietet verschiedene Arten von Protokollierungs- und Überwachungsdiensten, um das Verhalten von von Azure gehosteten Ressourcen nachzuverfolgen. Governance und Kontrolle von Workloads in Azure basiert nicht nur auf der Erfassung von Protokolldaten, sondern auch auf der Möglichkeit, Aktionen basierend auf bestimmten gemeldeten Ereignissen auszulösen.

Azure Monitor. Azure umfasst mehrere Dienste, die eine bestimmte Rolle oder Aufgabe im Überwachungsraum einzeln ausführen. Gemeinsam bieten diese Dienste eine umfassende Lösung zum Sammeln, Analysieren und Handeln auf vom System generierten Protokollen aus Ihren Anwendungen und den Azure-Ressourcen, die sie unterstützen. Sie können auch daran arbeiten, wichtige lokale Ressourcen zu überwachen, um eine Hybridüberwachungsumgebung bereitzustellen. Das Verständnis der verfügbaren Tools und Daten ist der erste Schritt bei der Entwicklung einer vollständigen Überwachungsstrategie für Ihre Anwendungen.

Es gibt zwei grundlegende Arten von Protokollen in Azure Monitor:

  • Metriken sind numerische Werte, die einen bestimmten Aspekt eines Systems zu einem bestimmten Zeitpunkt beschreiben. Sie sind leicht und in der Lage, nahezu Echtzeitszenarien zu unterstützen. Für viele Azure-Ressourcen werden die von Azure Monitor gesammelten Daten direkt auf der Übersichtsseite im Azure-Portal angezeigt. Sehen Sie sich beispielsweise einen beliebigen virtuellen Computer an, und Es werden mehrere Diagramme mit Leistungsmetriken angezeigt. Wählen Sie eines dieser Diagramme aus, um die Daten im Azure-Portal im Metrik-Explorer anzuzeigen. Hier können Sie die Werte mehrerer Metriken im zeitlichen Verlauf als Diagramm darstellen. Sie können die Diagramme interaktiv nutzen oder an ein Dashboard anheften, um sie mit anderen Visualisierungstools anzuzeigen.

  • Protokolle enthalten unterschiedliche Arten von Daten, die in Datensätzen mit unterschiedlichen Eigenschaftensätzen für jeden Typ organisiert sind. Ereignisse und Ablaufverfolgungen werden zusammen mit Leistungsdaten als Protokolle gespeichert, die alle für die Analyse kombiniert werden können. Die in Azure Monitor gesammelten Protokolldaten können mit Abfragen analysiert werden, die die gesammelten Daten schnell abrufen, konsolidieren und analysieren. Protokolle werden gespeichert und von der Protokollanalyse abgefragt. Sie können Abfragen mithilfe von Protokollanalysen im Azure-Portal erstellen und testen und die Daten mithilfe dieser Tools direkt analysieren oder Abfragen zur Verwendung mit Visualisierungen oder Warnungsregeln speichern.

9

Azure Monitor kann Daten aus vielen verschiedenen Quellen sammeln. Sie können sich überwachungsdaten für Ihre Anwendungen in Ebenen vorstellen, die von Ihrer Anwendung, jedem beliebigen Betriebssystem und den Diensten reichen, auf die sie sich stützt, bis hin zur Azure-Plattform selbst. Azure Monitor sammelt Daten aus jeder der folgenden Schichten:

  • Anwendungsüberwachungsdaten: Daten zur Leistung und Funktionalität des von Ihnen geschriebenen Codes, unabhängig von seiner Plattform.
  • Überwachungsdaten des Gastbetriebssystems: Daten zum Betriebssystem, auf dem Ihre Anwendung ausgeführt wird. Dieses Betriebssystem kann in Azure, einer anderen Cloud oder lokal ausgeführt werden.
  • Azure-Ressourcenüberwachungsdaten: Daten zum Vorgang einer Azure-Ressource.
  • Azure-Abonnementüberwachungsdaten: Daten über den Betrieb und die Verwaltung eines Azure-Abonnements sowie den Zustand und den Betrieb von Azure selbst.
  • Azure-Mandantenüberwachungsdaten: Daten zum Betrieb von Azure-Diensten auf Mandantenebene, z. B. Microsoft Entra-ID.
  • Benutzerdefinierte Quellen: Protokolle, die von lokalen Quellen gesendet werden, können ebenfalls einbezogen werden. Beispiele hierfür sind lokale Serverereignisse oder syslog-Ausgabe des Netzwerkgeräts.

Überwachungsdaten sind nur nützlich, wenn sie Ihre Sichtbarkeit für den Betrieb Ihrer Computerumgebung erhöhen können. Azure Monitor enthält mehrere Features und Tools, die wertvolle Einblicke in Ihre Anwendungen und andere Ressourcen bieten, von denen sie abhängen. Die Überwachung von Lösungen und Features wie Anwendungserkenntnissen und Azure Monitor für Container bietet tiefe Einblicke in verschiedene Aspekte Ihrer Anwendung und spezifischer Azure-Dienste.

Überwachungslösungen in Azure Monitor sind gepackte Logiksätze, die Einblicke für eine bestimmte Anwendung oder einen bestimmten Dienst bieten. Sie umfassen Logik zum Sammeln von Überwachungsdaten für die Anwendung oder den Dienst, Abfragen zum Analysieren dieser Daten und Ansichten für die Visualisierung. Überwachungslösungen stehen von Microsoft und Partnern zur Verfügung, um überwachung für verschiedene Azure-Dienste und andere Anwendungen bereitzustellen.

Bei einer solchen Sammlung von umfangreichen Daten ist es wichtig, proaktive Maßnahmen zu Ereignissen in Ihrer Umgebung zu ergreifen, insbesondere, wenn manuelle Abfragen allein nicht ausreichen. Warnungen in Azure Monitor informieren Sie proaktiv über kritische Zustände und versuchen potenziell, Korrekturmaßnahmen einzuleiten. Warnungsregeln basierend auf Metriken stellen nahezu echtzeitbasierte Warnungen basierend auf numerischen Werten bereit. Warnungsregeln, die auf Protokollen basieren, ermöglichen eine komplexe Logik für Daten aus mehreren Quellen. Warnungsregeln in Azure Monitor verwenden Aktionsgruppen, die eindeutige Sätze von Empfängern und Aktionen enthalten, die gemeinsam von mehreren Regeln übergreifend verwendet werden können. Basierend auf Ihren Anforderungen können Aktionsgruppen Webhooks verwenden, die dazu führen, dass Warnungen externe Aktionen starten oder in Ihre ITSM-Tools integriert werden.

Azure Monitor ermöglicht auch die Erstellung von benutzerdefinierten Dashboards. Mit Azure-Dashboards können Sie verschiedene Arten von Daten, einschließlich Metriken und Protokollen, in einem einzigen Bereich im Azure-Portal kombinieren. Sie können das Dashboard optional gemeinsam mit anderen Azure-Benutzern nutzen. Elemente im gesamten Azure Monitor können zusätzlich zur Ausgabe eines Protokollabfrage- oder Metrikdiagramms einem Azure-Dashboard hinzugefügt werden. Sie können beispielsweise ein Dashboard erstellen, das Kacheln kombiniert, die ein Diagramm mit Metriken, eine Tabelle mit Aktivitätsprotokollen, ein Verwendungsdiagramm aus Anwendungserkenntnissen und die Ausgabe einer Protokollabfrage anzeigen.

Schließlich sind Azure Monitor-Daten eine systemeigene Quelle für Power BI. Power BI ist ein Business Analytics-Dienst, der interaktive Visualisierungen für verschiedene Datenquellen bereitstellt. Es ist auch ein effektives Mittel, Daten für andere Personen innerhalb und außerhalb Ihrer Organisation zur Verfügung zu stellen. Sie können Power BI so konfigurieren, dass Protokolldaten automatisch aus Azure Monitor importiert werden, um diese weiteren Visualisierungen nutzen zu können.

Azure Network Watcher bietet Tools zum Überwachen, Diagnostizieren und Anzeigen von Metriken und zum Aktivieren oder Deaktivieren von Protokollen für Ressourcen in einem virtuellen Netzwerk in Azure. Es ist ein vielfältiger Dienst, der die folgenden Funktionen und vieles mehr ermöglicht:

  • Überwachen der Kommunikation zwischen einem virtuellen Computer und einem Endpunkt.
  • Zeigen Sie Ressourcen in einem virtuellen Netzwerk und deren Beziehungen an.
  • Diagnose von Problemen beim Filtern von Netzwerkdatenverkehr an oder von einem virtuellen Computer.
  • Diagnostizieren von Netzwerkroutingproblemen von einem virtuellen Computer.
  • Diagnose ausgehender Verbindungen von einem virtuellen Computer.
  • Erfassen Sie Pakete in und von einem virtuellen Computer.
  • Diagnostizieren Sie Probleme mit Ihrem virtuellen Netzwerkgateway und den Verbindungen.
  • Ermitteln sie relative Latenzen zwischen Azure-Regionen und Internetdienstanbietern.
  • Zeigen Sie Sicherheitsregeln für eine Netzwerkschnittstelle an.
  • Anzeigen von Netzwerkmetriken.
  • Analysieren des Datenverkehrs zu oder von einer Netzwerksicherheitsgruppe.
  • Anzeigen von Diagnoseprotokollen für Netzwerkressourcen

Komponententyp: Arbeitslasten

Workloadkomponenten sind der Ort, an dem sich Ihre tatsächlichen Anwendungen und Dienste befinden. Hier verbringen Ihre Anwendungsentwicklungsteams die meiste Zeit.

Die Arbeitsauslastungsmöglichkeiten sind endlos. Im Folgenden sind nur einige der möglichen Workloadtypen aufgeführt:

Interne Anwendungen: Branchenanwendungen sind für Unternehmensvorgänge von entscheidender Bedeutung. Diese Anwendungen weisen einige allgemeine Merkmale auf:

  • Interaktiv: Daten werden eingegeben, und Ergebnisse oder Berichte werden zurückgegeben.
  • Datengesteuert: Daten intensiv mit häufigen Zugriff auf Datenbanken oder anderen Speicher.
  • Integriert: Bieten Sie die Integration in andere Systeme innerhalb oder außerhalb der Organisation.

Websites mit Kundenzugriff (internetseitig oder intern): Die meisten Internetanwendungen sind Websites. Azure kann eine Website entweder über einen virtuellen IaaS-Computer oder über eine Azure Web Apps-Website (PaaS) ausführen. Azure Web Apps sind in virtuelle Netzwerke integriert, um Web-Apps in einer Speichennetzwerkzone bereitzustellen. Intern zugängliche Websites müssen keinen öffentlichen Internetendpunkt verfügbar machen, da die Ressourcen über private, nicht im Internet routingfähige Adressen aus dem privaten virtuellen Netzwerk zugänglich sind.

Big Data Analytics: Wenn Daten auf größere Volumes skaliert werden müssen, können relationale Datenbanken unter der extremen Auslastung oder unstrukturierten Art der Daten möglicherweise nicht gut funktionieren. Azure HDInsight ist ein verwalteter, vollständiger, open-source-Analysedienst in der Cloud für Unternehmen. Sie können Open-Source-Frameworks wie Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm und R. HDInsight verwenden. Dies unterstützt die Bereitstellung in einem standortbasierten virtuellen Netzwerk, das in einem Cluster in einem Spoke des virtuellen Rechenzentrums bereitgestellt werden kann.

Ereignisse und Messaging:Azure Event Hubs ist eine Big Data Streaming-Plattform und ein Ereignisaufnahmedienst. Mit diesem Dienst können Millionen von Ereignissen pro Sekunde empfangen und verarbeitet werden. Es bietet geringe Latenz und konfigurierbare Zeitaufbewahrung, sodass Sie massive Datenmengen in Azure aufnehmen und aus mehreren Anwendungen lesen können. Ein einzelner Datenstrom kann sowohl Echtzeit- als auch batchbasierte Pipelines unterstützen.

Sie können einen sehr zuverlässigen Cloud-Messaging-Dienst zwischen Anwendungen und Diensten über Azure Service Bus implementieren. Der Dienst bietet asynchrones Brokermessaging zwischen Client und Server, strukturiertes FIFO-Messaging (First In, First Out) sowie Funktionen zum Veröffentlichen und Abonnieren.

10

Diese Beispiele kratzen kaum an der Oberfläche der Arbeitsauslastungstypen, die Sie in Azure erstellen können. Sie können alles von einer einfachen Web- und SQL-App bis hin zu den neuesten Informationen in IoT, Big Data, Machine Learning, AI und vieles mehr erstellen.

Hochverfügbarkeit: mehrere virtuelle Rechenzentren

Bisher hat sich dieser Artikel auf das Design eines einzelnen VDC konzentriert und die grundlegenden Komponenten sowie Architekturen beschrieben, die zur Resilienz beitragen. Azure-Features wie Azure Load Balancer, NVAs, Verfügbarkeitszonen, Verfügbarkeitssätze, Skalierungssätze und andere Funktionen, die Ihnen helfen, solide SLA-Ebenen in Ihre Produktionsdienste einzuschließen.

Da jedoch ein virtuelles Rechenzentrum in der Regel in einer einzelnen Region implementiert wird, kann es anfällig für Ausfälle sein, die sich auf die gesamte Region auswirken. Kunden, die eine hohe Verfügbarkeit benötigen, müssen die Dienste schützen, indem sie dasselbe Projekt in zwei oder mehr VDC-Implementierungen bereitstellen, die in verschiedenen Regionen implementiert werden.

Neben SLA-Bedenken profitieren mehrere häufige Szenarien von der Ausführung mehrerer virtueller Rechenzentren:

  • Regionale oder globale Präsenz Ihrer Endbenutzer oder Partner.
  • Anforderungen für die Notfallwiederherstellung.
  • Ein Mechanismus zum Umleiten des Datenverkehrs zwischen Rechenzentren zur Lastverteilung oder Leistungsoptimierung.

Regionale/globale Präsenz

Azure-Rechenzentren sind in vielen Regionen weltweit vorhanden. Berücksichtigen Sie bei der Auswahl mehrerer Azure-Rechenzentren zwei verwandte Faktoren: geografische Entfernungen und Latenz. Um die Benutzererfahrung zu optimieren, bewerten Sie die Entfernung zwischen jedem virtuellen Rechenzentrum und der Entfernung von jedem virtuellen Rechenzentrum zu den Endbenutzern.

Eine Azure-Region, in der Ihr virtuelles Rechenzentrum gehostet wird, muss den gesetzlichen Anforderungen aller gesetzlichen Zuständigkeiten entsprechen, unter denen Ihre Organisation tätig ist.

Notfallwiederherstellung

Der Entwurf eines Notfallwiederherstellungsplans hängt von den Arbeitsauslastungstypen und der Möglichkeit ab, den Zustand dieser Workloads zwischen verschiedenen GÜ-Implementierungen zu synchronisieren. Im Idealfall wünschen sich die meisten Kunden einen schnellen Fail-Over-Mechanismus, und diese Anforderung benötigt möglicherweise eine Anwendungsdatensynchronisierung zwischen Bereitstellungen, die in mehreren GÜ-Implementierungen ausgeführt werden. Beim Entwerfen von Notfallwiederherstellungsplänen ist es jedoch wichtig zu berücksichtigen, dass die meisten Anwendungen für die Latenz sensibel sind, die durch diese Datensynchronisierung verursacht werden kann.

Die Synchronisierungs- und Herzschlagüberwachung von Anwendungen in verschiedenen VDC-Implementierungen erfordert, dass sie über das Netzwerk kommunizieren. Mehrere VDC-Implementierungen in verschiedenen Regionen können durch Folgendes verbunden werden:

  • Hub-zu-Hub-Kommunikation, die in Azure Virtual WAN-Hubs in allen Regionen desselben virtuellen WAN integriert ist.
  • Virtuelles Netzwerk-Peering zum Verbinden von Hubs über Regionen hinweg.
  • Privates ExpressRoute-Peering, wenn die Hubs jeder Implementierung des VDC mit derselben ExpressRoute-Leitung verbunden sind.
  • Mehrere ExpressRoute-Schaltkreise, die über Ihr Unternehmens-Backbone verbunden sind, und Ihre mehreren VDC-Implementierungen, die mit den ExpressRoute-Schaltkreisen verbunden sind.
  • Standort-zu-Standort-VPN-Verbindungen zwischen der Hubzone Ihrer VDC-Implementierungen in jeder Azure-Region.

In der Regel werden virtuelle WAN-Hubs, virtuelle Netzwerk-Peering- oder ExpressRoute-Verbindungen für die Netzwerkkonnektivität bevorzugt, da höhere Bandbreite und konsistente Latenzstufen beim Durchlaufen des Microsoft-Backbones auftreten.

Führen Sie Netzwerkqualifizierungstests aus, um die Latenz und Bandbreite dieser Verbindungen zu überprüfen, und entscheiden Sie, ob die synchrone oder asynchrone Datenreplikation basierend auf dem Ergebnis geeignet ist. Es ist auch wichtig, diese Ergebnisse im Hinblick auf das optimale Wiederherstellungszeitziel (RTO) abzuwägen.

Notfallwiederherstellung: Umleiten des Datenverkehrs von einer Region zu einer anderen

Sowohl Azure Traffic Manager als auch Azure Front Door überprüfen in regelmäßigen Abständen die Dienstintegrität von lauschenden Endpunkten in verschiedenen Implementierungen von virtuellen Rechenzentren. Wenn diese Endpunkte fehlschlagen, leiten Azure Traffic Manager und Azure Front Door automatisch zum nächstgelegenen VDC weiter. Traffic Manager verwendet Echtzeit-Benutzermessungen und DNS, um Benutzer an den nächstgelegenen (oder im Falle eines Ausfalls an den zweitnächsten) weiterzuleiten. Azure Front Door ist ein Reverseproxy auf mehr als 100 Microsoft-Backbone-Edge-Sites und leitet Benutzer mit Anycast an den nächstgelegenen überwachenden Endpunkt weiter.

Zusammenfassung

Der ansatz für die Migration des virtuellen Rechenzentrums besteht darin, eine skalierbare Architektur zu erstellen, die die Nutzung von Azure-Ressourcen optimiert, die Kosten senkt und die Systemgovernance vereinfacht. Das virtuelle Rechenzentrum basiert typisch auf Hub- und Speichen-Netzwerktopologien (entweder mithilfe von virtuellen Netzwerk-Peering- oder virtuellen WAN-Hubs). Gemeinsame Dienste werden im Hub bereitgestellt, während spezifische Anwendungen und Workloads in den Spokes bereitgestellt werden. Das virtuelle Rechenzentrum stimmt auch mit der Struktur der Unternehmensrollen überein, in denen verschiedene Abteilungen wie zentrale IT, DevOps und Vorgänge und Wartung alle zusammenarbeiten und gleichzeitig ihre spezifischen Rollen ausführen. Das virtuelle Rechenzentrum unterstützt die Migration vorhandener lokaler Workloads zu Azure, bietet aber auch viele Vorteile für cloudeigene Bereitstellungen.

Verweise

Erfahren Sie mehr über die in diesem Dokument erläuterten Azure-Funktionen.

Netzwerkfunktionen
Virtuelle Azure-Netzwerke
Netzwerksicherheitsgruppen
Dienstendpunkte
Private Link
Benutzerdefinierte Routen
Virtuelle Netzwerkgeräte:
öffentliche IP-Adressen
Azure DNS

Lastenausgleich
Azure Front Door
Azure Load Balancer (Layer 4)
Anwendungsgateway (Layer 7)
Azure Traffic Manager

Konnektivität
Peering virtueller Netzwerke
Virtuelles privates Netzwerk
Virtual WAN
ExpressRoute
ExpressRoute Direct

Identität
Microsoft Entra ID
Multi-Faktor-Authentifizierung in Microsoft Entra
Rollenbasierte Zugriffssteuerung (Azure)
Integrierte Azure-Rollen

Überwachung
Netzwerk Watcher
Azure Monitor
Log Analytics

bewährten Methoden
Verwaltungsgruppe
Abonnementverwaltung
Ressourcengruppenverwaltung
Azure-Abonnementbeschränkungen

Sicherheit
Azure Firewall
Firewall-Manager
Anwendungsgateway WAF
Front Door – WAF
Azure DDoS

Andere Azure-Dienste
Azure Storage
Azure SQL
Azure-Web-Apps
Azure Cosmos DB
HDInsight-
Event Hubs
Service Bus
Azure IoT-
Azure Machine Learning

Nächste Schritte

  • Erfahren Sie mehr über virtuelles Netzwerk-Peering, der Kerntechnologie von Hub-and-Spoke-Topologien.
  • Implementieren Sie Microsoft Entra-ID , um die rollenbasierte Zugriffssteuerung von Azure zu verwenden.
  • Entwickeln Sie ein Abonnement- und Ressourcenverwaltungsmodell mithilfe der rollenbasierten Zugriffssteuerung von Azure, das der Struktur, den Anforderungen und richtlinien Ihrer Organisation entspricht. Die wichtigste Aktivität ist die Planung. Analysieren Sie, wie Reorganisationen, Fusionen, neue Produktlinien und andere Überlegungen Ihre ersten Modelle beeinflussen, um sicherzustellen, dass Sie skaliert werden können, um zukünftige Bedürfnisse und Wachstum zu erfüllen.