Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Javasoljuk, hogy az Azure Stack Hub biztonságossá tételéhez használjon tűzfaleszközt. A tűzfalak segíthetnek az olyan dolgok elleni védekezésben, mint az elosztott szolgáltatásmegtagadási (DDOS-) támadások, a behatolásészlelés és a tartalomvizsgálat. Azonban az olyan Azure-tárolási szolgáltatások, mint a blobok, táblák és sorok, átviteli szűk keresztmetszetté is válhatnak.
Ha leválasztott üzembe helyezési módot használ, közzé kell tennie az AD FS-végpontot. További információ: adatközpont-integrációs identitásról szóló cikk.
Az Azure Resource Manager (rendszergazda), a rendszergazdai portál és a Key Vault (rendszergazda) végpontjai nem feltétlenül igényelnek külső közzétételt. Szolgáltatóként például korlátozhatja a támadási felületet úgy, hogy csak az Azure Stack Hubot felügyeli a hálózaton belülről, nem pedig az internetről.
Vállalati szervezetek esetén a külső hálózat lehet a meglévő vállalati hálózat. Ebben a forgatókönyvben közzé kell tennie a végpontokat az Azure Stack Hub vállalati hálózatból való üzemeltetéséhez.
Hálózati címfordítás
A hálózati címfordítás (NAT) az ajánlott módszer, amely lehetővé teszi, hogy az üzembehelyezési virtuális gép (DVM) hozzáférjen a külső erőforrásokhoz és az internethez az üzembe helyezés során, valamint a vészhelyreállítási konzol (ERCS) virtuális gépeihez vagy kiemelt végpontjaihoz (PEP) a regisztráció és a hibaelhárítás során.
A NAT alternatívát nyújthat a külső hálózaton lévő nyilvános IP-címek és nyilvános VIP-címek helyett. Ez azonban nem ajánlott, mert korlátozza a bérlő felhasználói élményét, és növeli az összetettségét. Az egyik lehetőség az egy-az-egyhez NAT, amely még mindig egy nyilvános IP-címet igényel felhasználónként a címtartományon. Egy másik lehetőség a több-az-egyhez NAT, amelyhez felhasználói VIP-enként egy NAT-szabály szükséges minden olyan porthoz, amelyet a felhasználó használhat.
A NAT nyilvános VIP-hez való használatának néhány hátránya:
- A NAT többletmunkát jelent a tűzfalszabályok kezelésekor, mivel a felhasználók a végpontjaikat és közzétételi szabályaikat maguk szabályozzák a szoftveresen definiált hálózati (SDN-) veremben. A felhasználóknak fel kell venniük a kapcsolatot az Azure Stack Hub operátorával, hogy közzéthessék a IP-címeiket, és frissítsék a portlistát.
- Bár a NAT-használat korlátozza a felhasználói élményt, teljes körű ellenőrzést biztosít az operátor számára a kérelmek közzététele felett.
- Hibrid felhőalapú forgatókönyvek esetében az Azure-ral fontolja meg, hogy az Azure nem támogatja a VPN-alagút létrehozását egy végponthoz NAT használatával.
SSL-elfogás
Ajánlott letiltani minden SSL-lehallgatást (például a visszafejtés áthelyezését) az összes Azure Stack Hub-forgalomban. Ha a jövőbeli frissítések támogatják, útmutatást kap az SSL-lehallgatás engedélyezéséről az Azure Stack Hubhoz.
Peremtűzfal szcenárió
Peremhálózati üzembe helyezés esetén az Azure Stack Hub közvetlenül a peremhálózati útválasztó vagy a tűzfal mögött lesz üzembe helyezve. Ezekben a forgatókönyvekben támogatott, hogy a tűzfal a szegély fölött legyen (1. forgatókönyv), ahol támogatja az aktív-aktív és az aktív-passzív tűzfalkonfigurációkat, vagy szegélyeszközként működik (2. forgatókönyv), ahol csak az egyenlő költségű többútvonalú (ECMP) aktív-aktív tűzfalkonfigurációt támogatja BGP-vel vagy statikus útválasztással a feladatátvételhez.
A nyilvánosan elérhető IP-címek a külső hálózatról a telepítési időpontban vannak megadva a nyilvános VIP-készlethez. Peremhálózati forgatókönyvekben nem ajánlott nyilvánosan elérhető IP-címeket használni más hálózatokon biztonsági okokból. Ez a forgatókönyv lehetővé teszi a felhasználók számára, hogy a teljes önvezérelt felhőélményt megtapasztalják, mint egy nyilvános felhőben, például az Azure-ban.
Vállalati intranetes vagy szegélyhálózati tűzfalforgatókönyv
Vállalati intranetes vagy peremhálózati környezetben az Azure Stack Hub többzónás tűzfalon vagy a peremhálózati tűzfal és a belső vállalati hálózati tűzfal között van üzembe helyezve. A forgalmat ezután elosztja a biztonságos, szegélyhálózat (vagy DMZ) és a nem biztonságos zónák között az alábbiak szerint:
- Biztonságos zóna: Ez az a belső hálózat, amely belső vagy vállalati forgalomképes IP-címeket használ. A biztonságos hálózat felosztható, a tűzfalon a NAT-on keresztül internetes kimenő hozzáféréssel rendelkezik, és általában az adatközpont bármely pontjáról elérhető a belső hálózaton keresztül. Minden Azure Stack Hub-hálózatnak a biztonságos zónában kell lennie, kivéve a külső hálózat nyilvános VIP-készletét.
- Szegélyzóna. A peremhálózaton általában külső vagy internetes alkalmazások, például webkiszolgálók vannak üzembe helyezve. Általában tűzfal figyeli, hogy elkerülje az olyan támadásokat, mint a DDoS és a behatolás (hackelés), miközben továbbra is engedélyezi a megadott bejövő forgalmat az internetről. Csak az Azure Stack Hub külső hálózati nyilvános VIP-készlete legyen a DMZ-zónában.
- Nem biztonságos zóna. Ez a külső hálózat, az internet. nem ajánlott az Azure Stack Hub nem biztonságos zónában való üzembe helyezése.
Tudj meg többet
További információ az Azure Stack Hub-végpontok által használtportokról és protokollokról.