Megosztás a következőn keresztül:


A virtuális adatközpont: Hálózati perspektívák

A helyszínről migrált alkalmazások az Azure biztonságos, költséghatékony infrastruktúrájának előnyeit élvezhetik, még minimális alkalmazásmódosítások esetén is. Előfordulhat, hogy a vállalatok az architektúrájukat az agilitás javítása és az Azure képességeinek kihasználása érdekében szeretnék módosítani.

A Microsoft Azure nagyvállalati szintű képességekkel és megbízhatósággal biztosít rugalmas skálázási szolgáltatásokat és infrastruktúrát. Ezek a szolgáltatások és az infrastruktúra számos lehetőséget kínálnak a hibrid kapcsolatokban, így az ügyfelek az interneten vagy magánhálózati kapcsolaton keresztül érhetik el őket. A Microsoft-partnerek az Azure-ban való futtatásra optimalizált biztonsági szolgáltatásokat és virtuális berendezéseket kínálva továbbfejlesztett képességeket is biztosíthatnak.

Az ügyfelek az Azure-ból zökkenőmentesen bővíthetik infrastruktúrájukat a felhőben, és többdimenziós architektúrákat hozhatnak létre.

Mi az a virtuális adatközpont?

A felhő nyilvános alkalmazások üzemeltetésére szolgáló platformként indult. A vállalatok felismerték a felhő értékét, és megkezdték a belső üzletági alkalmazások migrálását. Ezek az alkalmazások nagyobb biztonságot, megbízhatóságot, teljesítményt és költségalapú szempontokat hoztak, amelyek nagyobb rugalmasságot igényeltek a felhőszolgáltatások biztosítása során. Az új infrastruktúrát és hálózatkezelési szolgáltatásokat úgy tervezték, hogy rugalmasságot biztosítsanak. Az új funkciók rugalmas méretezést, vészhelyreállítást és egyéb szempontokat biztosítanak.

A felhőmegoldásokat eredetileg úgy tervezték, hogy egyetlen, viszonylag elszigetelt alkalmazásokat üzemeltetjenek a nyilvános spektrumban, amelyek néhány évig jól működtek. Ahogy a felhőmegoldások előnyei egyértelművé váltak, több nagy méretű számítási feladatot üzemeltettek a felhőben. A felhőszolgáltatás üzembe helyezése és életciklusa szempontjából elengedhetetlen a biztonsági, megbízhatósági, teljesítmény- és költségproblémák kezelése.

Az alábbi példafelhő-üzembehelyezési ábrán a piros mező egy biztonsági rést emel ki. A sárga mező lehetőséget kínál a hálózati virtuális berendezések számítási feladatok közötti optimalizálására.

A felhőbeli üzembe helyezést és a hálózati virtuális adatközpontot bemutató ábra.

A virtuális adatközpontok segítenek elérni a vállalati számítási feladatokhoz szükséges méretet. A skálának foglalkoznia kell a nagy méretű alkalmazások nyilvános felhőben való futtatásakor felmerülő kihívásokkal.

A virtuális adatközpont-implementációk a felhőben található alkalmazás-számítási feladatoknál többre is kiterjednek. Emellett hálózati, biztonsági, felügyeleti, DNS- és Active Directory-szolgáltatásokat is biztosít. Mivel a vállalatok több számítási feladatot migrálnak az Azure-ba, vegye figyelembe azokat az infrastruktúrát és objektumokat, amelyek támogatják ezeket a számítási feladatokat. A jó erőforrás-kezelés segít elkerülni a különállóan felügyelt "számítási feladatok szigeteinek" növekedését független adatfolyamokkal, biztonsági modellekkel és megfelelőségi kihívásokkal.

A virtuális adatközpont koncepciója javaslatokat és magas szintű terveket kínál a különálló, de kapcsolódó entitások gyűjteményének implementálására. Ezek az entitások gyakran rendelkeznek közös támogató funkciókkal, funkciókkal és infrastruktúrával. A számítási feladatok virtuális adatközpontként való megtekintése segít a méretgazdaságosságból származó alacsonyabb költségek megvalósításában. Emellett segít optimalizálni a biztonságot az összetevők és az adatfolyamok központosítása, valamint a könnyebb műveletek, felügyelet és megfelelőségi auditok révén.

Feljegyzés

A virtuális adatközpontok nem egy adott Azure-szolgáltatás. Ehelyett a különböző Azure-funkciók és képességek kombinálva felelnek meg a követelményeknek. A virtuális adatközpontok a számítási feladatok és az Azure-használat átgondolásának módjai az erőforrások és képességek felhőbeli optimalizálásához. Moduláris megközelítést biztosít az azure-beli informatikai szolgáltatások nyújtásához, a vállalat szervezeti szerepköreinek és feladatainak tiszteletben tartásával.

A virtuális adatközpontok segítségével a vállalatok a következő helyzetekben helyezhetnek üzembe számítási feladatokat és alkalmazásokat az Azure-ban:

  • Több kapcsolódó számítási feladat üzemeltetése.
  • Számítási feladatok migrálása helyszíni környezetből az Azure-ba.
  • Közös vagy központosított biztonsági és hozzáférési követelmények megvalósítása a számítási feladatok között.
  • Keverje össze a DevOps-t és a központosított it-t egy nagyvállalat számára.

Kinek érdemes virtuális adatközpontot implementálnia?

Minden olyan ügyfél, aki úgy dönt, hogy bevezeti az Azure-t, kihasználhatja egy erőforráskészlet konfigurálásának hatékonyságát az összes alkalmazás számára. A mérettől függően még az önálló alkalmazások is kihasználhatják a VDC-implementáció létrehozásához használt mintákat és összetevőket.

Egyes szervezetek informatikai, hálózatkezelési, biztonsági vagy megfelelőségi központosított csapatokkal vagy részlegekkel rendelkeznek. A VDC implementálása segíthet kikényszeríteni a szabályzati pontokat, elkülöníteni a felelősségeket, és biztosítani a mögöttes közös összetevők konzisztenciáját. Az alkalmazáscsapatok megtarthatják a követelményeknek megfelelő szabadságot és ellenőrzést.

A DevOps-megközelítéssel rendelkező szervezetek VDC-fogalmakat is használhatnak az Azure-erőforrások engedélyezett zsebeinek biztosítására. Ez a módszer biztosítja, hogy a DevOps-csoportok teljes hozzáféréssel rendelkezzenek a csoportosításon belül, akár az előfizetés szintjén, akár egy közös előfizetés erőforráscsoportjaiban. Ugyanakkor a hálózati és biztonsági határok továbbra is megfelelőek maradnak. A megfelelőséget a központi hálózat és a központilag felügyelt erőforráscsoport központosított szabályzata határozza meg.

A virtuális adatközpontok implementálásának szempontjai

Virtuális adatközpont tervezésekor vegye figyelembe az alábbi kulcsfontosságú problémákat:

Identitás- és címtárszolgáltatás

Az identitás- és címtárszolgáltatások a helyszíni és a felhőbeli adatközpontok kulcsfontosságú képességei. Az identitás a VDC-implementáción belüli szolgáltatásokhoz való hozzáférés és engedélyezés minden aspektusát lefedi. Annak biztosítása érdekében, hogy csak a jogosult felhasználók és folyamatok férhessenek hozzá az Azure-erőforrásokhoz, az Azure többféle hitelesítő adatot használ a hitelesítéshez, beleértve a fiókjelszavakat, a titkosítási kulcsokat, a digitális aláírásokat és a tanúsítványokat. A Microsoft Entra többtényezős hitelesítés további biztonsági réteget biztosít az Azure-szolgáltatások eléréséhez. Az erős hitelesítés számos egyszerű ellenőrzési lehetőséggel (telefonhívás, szöveges üzenet vagy mobilalkalmazás-értesítés) lehetővé teszi az ügyfelek számára a kívánt módszer kiválasztását.

A nagyvállalatoknak olyan identitáskezelési folyamatokat kell meghatározniuk, amelyek leírják az egyes identitások kezelését, azok hitelesítését, engedélyezését, szerepköreit és jogosultságait a VDC-ben vagy azok teljes területén. A folyamat céljai növelhetik a biztonságot és a termelékenységet, miközben csökkentik a költségeket, az állásidőt és az ismétlődő manuális feladatokat.

Előfordulhat, hogy a vállalati szervezetek különböző üzletágakhoz igényelnek igényes szolgáltatásokat. Az alkalmazottak gyakran eltérő szerepkörrel rendelkeznek, ha különböző projektekben vesznek részt. A VDC-hez jó együttműködésre van szükség a különböző csapatok között, amelyek mindegyike meghatározott szerepkördefiníciókkal rendelkezik ahhoz, hogy a rendszerek megfelelő irányítással fussanak. A felelősségek, a hozzáférés és a jogok mátrixa összetett lehet. Az identitáskezelés a VDC-ben a Microsoft Entra ID és az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával valósul meg.

A címtárszolgáltatás olyan megosztott információs infrastruktúra, amely a mindennapi elemeket és hálózati erőforrásokat keresi, kezeli, felügyeli és rendszerezi. Ezek az erőforrások köteteket, mappákat, fájlokat, nyomtatókat, felhasználókat, csoportokat, eszközöket és egyéb objektumokat tartalmazhatnak. A címtárkiszolgáló a hálózaton lévő összes erőforrást objektumnak tekinti. Az erőforrással kapcsolatos információk az adott erőforráshoz vagy objektumhoz társított attribútumok gyűjteményeként lesznek tárolva.

Minden Microsoft online üzleti szolgáltatás a Microsoft Entra-azonosítóra támaszkodik a bejelentkezéshez és más identitásigényekhez. A Microsoft Entra ID egy átfogó, magas rendelkezésre állású identitás- és hozzáférés-kezelési felhőmegoldás, amely egyesíti az alapvető címtárszolgáltatásokat, a fejlett identitásszabályozást és az alkalmazáshozzáférés-kezelést. A Microsoft Entra ID integrálható a helyi Active Directory az egyszeri bejelentkezés engedélyezéséhez minden felhőalapú és helyileg üzemeltetett helyszíni alkalmazáshoz. A helyi Active Directory felhasználói attribútumai automatikusan szinkronizálhatók a Microsoft Entra-azonosítóval.

A címtárszolgáltatás minden egyes részlegének, felhasználócsoportjának vagy szolgáltatásának rendelkeznie kell a saját erőforrások VDC-implementáción belüli kezeléséhez szükséges minimális engedélyekkel. Az engedélyek strukturálásához kiegyensúlyozásra van szükség. A túl sok engedély akadályozhatja a teljesítmény hatékonyságát, és a túl kevés vagy laza engedélyek növelhetik a biztonsági kockázatokat. Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) segít a probléma megoldásában azáltal, hogy részletes hozzáférés-kezelést kínál egy VDC-implementáció erőforrásaihoz.

Biztonsági infrastruktúra

A biztonsági infrastruktúra a VDC-implementáció konkrét virtuális hálózati szegmensében a forgalom elkülönítésére utal. Ez az infrastruktúra határozza meg, hogyan történik a bejövő és kimenő forgalom szabályozása egy VDC-implementációban. Az Azure több-bérlős architektúrán alapul, amely megakadályozza az üzemelő példányok közötti jogosulatlan és véletlen forgalmat. Ez virtuális hálózatok elkülönítésével, hozzáférés-vezérlési listákkal, terheléselosztókkal, IP-szűrőkkel és forgalmi szabályzatokkal történik. A hálózati címfordítás (NAT) elválasztja a belső hálózati forgalmat a külső forgalomtól.

Az Azure Fabric infrastruktúra-erőforrásokat rendel a bérlői számítási feladatokhoz, és kezeli a virtuális gépekre (virtuális gépekre) érkező és onnan érkező kommunikációt. Az Azure-hipervizor kényszeríti a virtuális gépek közötti memória- és folyamatelválasztást, és biztonságosan irányítja a hálózati forgalmat a vendég operációs rendszer bérlőinek.

Csatlakozás a felhőhöz

A virtuális adatközpontok külső hálózatokhoz való csatlakozást igényelnek, hogy szolgáltatásokat nyújtsanak az ügyfeleknek, partnereknek vagy belső felhasználóknak. Ez a kapcsolati igény nem csak az internetre, hanem a helyszíni hálózatokra és adatközpontokra is vonatkozik.

Az ügyfelek szabályozzák a nyilvános internetről elérhető és elérhető szolgáltatásokat. Ezt a hozzáférést az Azure Firewall vagy más típusú virtuális hálózati berendezések (NVA-k), egyéni útválasztási szabályzatok, felhasználó által megadott útvonalak használatával, valamint hálózati biztonsági csoportok használatával végzett hálózati szűrés szabályozza. Javasoljuk, hogy minden internetkapcsolattal rendelkező erőforrást az Azure DDoS Protection véd.

Előfordulhat, hogy a vállalatoknak csatlakoztatniuk kell a virtuális adatközpontjukat a helyszíni adatközpontokhoz vagy más erőforrásokhoz. Az Azure és a helyszíni hálózatok közötti kapcsolat kulcsfontosságú szempont egy hatékony architektúra tervezésekor. A vállalatok kétféleképpen hozhatják létre ezt az összekapcsolást: az interneten keresztüli vagy közvetlen magánkapcsolatokon keresztüli átvitelt.

Az Azure Helyek közötti VPN helyszíni hálózatokat csatlakoztat az Azure-beli virtuális adatközponthoz. A kapcsolat biztonságos titkosított kapcsolatokon (IPsec-alagutakon) keresztül jön létre. Az Azure Helyek közötti VPN-kapcsolatok rugalmasak, gyorsan létrehozhatók, és általában nem igényelnek további hardverbeszerzést. Az iparági szabvány protokollok alapján a legtöbb jelenlegi hálózati eszköz képes VPN-kapcsolatokat létrehozni az Azure-hoz az interneten vagy a meglévő kapcsolati útvonalakon keresztül.

Az ExpressRoute privát kapcsolatokat tesz lehetővé a virtuális adatközpont és a helyszíni hálózatok között. Az ExpressRoute-kapcsolatok nem lépnek át a nyilvános interneten, és nagyobb biztonságot, megbízhatóságot és nagyobb sebességet (akár 100 Gb/s-t) és állandó késést kínálnak. Az ExpressRoute a privát kapcsolatokhoz kapcsolódó megfelelőségi szabályok előnyeit biztosítja. Az ExpressRoute Direct használatával közvetlenül csatlakozhat a Microsoft útválasztóihoz 10 Gb/s vagy 100 Gb/s sebességgel.

Az ExpressRoute-kapcsolatok üzembe helyezése általában magában foglalja az ExpressRoute-szolgáltatóval való kapcsolatot (ez alól kivétel az ExpressRoute Direct). Azoknak az ügyfeleknek, amelyeknek gyorsan el kell indulnia, gyakran használják a helyek közötti VPN-t a virtuális adatközpont és a helyszíni erőforrások közötti kapcsolat létrehozásához. Miután a szolgáltatóval való fizikai összekapcsolás befejeződött, migrálja a kapcsolatot az ExpressRoute-kapcsolaton keresztül.

Nagy számú VPN- vagy ExpressRoute-kapcsolat esetén az Azure Virtual WAN egy hálózatkezelési szolgáltatás, amely optimalizált és automatizált ág-ág kapcsolatot biztosít az Azure-on keresztül. A Virtual WAN lehetővé teszi az ágeszközökhöz való csatlakozást és konfigurálást az Azure-ral való kommunikációhoz. A csatlakozás és a konfigurálás történhet manuálisan, vagy egy virtual WAN-partneren keresztüli előnyben részesített szolgáltatói eszközök használatával. Az előnyben részesített szolgáltatói eszközök használata lehetővé teszi a könnyű használatot, a kapcsolatok egyszerűsítését és a konfigurációkezelést. Az Azure WAN beépített irányítópultja azonnali hibaelhárítási megállapításokat biztosít, amelyekkel időt takaríthat meg, és egyszerűen megtekintheti a nagy léptékű helyek közötti kapcsolatot. A Virtual WAN emellett egy opcionális Azure Firewall és Firewall Manager szolgáltatást is biztosít a Virtual WAN-központban.

Kapcsolat a felhőben

Az Azure Virtual Networks és a virtuális hálózatok közötti társviszony-létesítés a virtuális adatközpontok alapvető hálózati összetevői. A virtuális hálózat biztosítja a virtuális adatközpont-erőforrások elkülönítési határát. A társviszony-létesítés lehetővé teszi a különböző virtuális hálózatok közötti kommunikációt ugyanabban az Azure-régióban, régiónként és akár különböző előfizetésekben lévő hálózatok között is. A forgalmi folyamatok a virtuális hálózatokon belül és között szabályozhatók a hálózati biztonsági csoportokhoz, a tűzfalszabályzatokhoz (Azure Firewall vagy hálózati virtuális berendezések) és az egyéni felhasználó által megadott útvonalakhoz megadott biztonsági szabályokkal.

A virtuális hálózatok horgonypontok a szolgáltatásként nyújtott platform (PaaS) Azure-termékek, például az Azure Storage, az Azure SQL és más, nyilvános végpontokkal rendelkező integrált közszolgáltatások integrálásához. A szolgáltatásvégpontok és az Azure Private Link segítségével integrálhatja a nyilvános szolgáltatásokat a magánhálózattal. A nyilvános szolgáltatásokat privátként is igénybe veheti, de továbbra is élvezheti az Azure által felügyelt PaaS-szolgáltatások előnyeit.

A virtuális adatközpont áttekintése

Topológiák

A virtuális adatközpontok az igényei és a méretezési követelmények alapján az alábbi magas szintű topológiák egyikével hozhatók létre:

Egy lapos topológiában minden erőforrás egyetlen virtuális hálózaton van üzembe helyezve. Az alhálózatok lehetővé teszik a folyamatvezérlést és a szegregációt.

11

A Mesh-topológiában a virtuális hálózatok közötti társviszony-létesítés az összes virtuális hálózatot közvetlenül összekapcsolja egymással.

12

A társviszony-létesítési központ és küllős topológia jól használható elosztott alkalmazásokhoz és delegált feladatokkal rendelkező csapatokhoz.

13

Az Azure Virtual WAN-topológia nagy léptékű fiókirodai forgatókönyveket és globális WAN-szolgáltatásokat támogat.

14

A társviszony-létesítési központ és a küllős topológia, valamint az Azure Virtual WAN-topológia egyaránt egy küllős és egy küllős kialakítást használ, amely optimális a kommunikációhoz, a megosztott erőforrásokhoz és a központosított biztonsági szabályzatokhoz. A hubok virtuális hálózati társhálózat-létesítési központtal (a diagramhoz hasonlóan Hub Virtual Network címkézve) vagy egy Virtual WAN-központtal (a diagramhoz hasonlóan Azure Virtual WAN címkézve) épülnek fel. Az Azure Virtual WAN nagy léptékű elágaztatási és ágközi kommunikációhoz, illetve az összes összetevőnek a virtuális hálózati társviszony-létesítési központban történő egyedi kiépítésének elkerülésére szolgál. Bizonyos esetekben előfordulhat, hogy a követelmények egy virtuális hálózati társhálózat-létesítési központ kialakítását igénylik, például azt, hogy szükség van-e hálózati virtuális berendezésekre a központban.

A küllős és küllős topológiákban a központ az a központi hálózati zóna, amely a különböző zónák, például az internet, a helyszíni és a küllők közötti összes forgalmat vezérli és ellenőrzi. A küllős topológia segít az informatikai részlegnek központilag érvényesíteni a biztonsági szabályzatokat. A helytelen konfigurációk és a fenyegetéseknek való kitettség kockázatát is csökkenti.

A központ gyakran tartalmaz a küllők által használt gyakori szolgáltatási összetevőket. Néhány általánosan használt központi szolgáltatás:

  • A Windows Active Directory-infrastruktúra szükséges a nem megbízható hálózatokból hozzáférő harmadik felek felhasználói hitelesítéséhez, mielőtt hozzáférnének a küllőben lévő számítási feladatokhoz. Tartalmazza a kapcsolódó Active Directory összevonási szolgáltatások (AD FS) (AD FS)
  • Az elosztott névrendszer (DNS) szolgáltatás a küllők számítási feladatainak elnevezésének feloldására, valamint a helyszíni és az internetes erőforrások elérésére szolgál, ha az Azure DNS-t nem használják
  • A nyilvános kulcsú infrastruktúrát (PKI) az egyszeri bejelentkezés megvalósításához használják a számítási feladatokra
  • A küllős hálózati zónák és az internet közötti TCP- és UDP-forgalom forgalomvezérlése
  • Folyamatvezérlés a küllők és a helyszíni között
  • Szükség esetén az egyik küllő és egy másik közötti folyamatvezérlés

A virtuális adatközpontok a több küllő közötti megosztott hub-infrastruktúra használatával csökkentik az általános költségeket.

Az egyes küllők szerepe különböző típusú számítási feladatok üzemeltetése lehet. A küllők moduláris megközelítést is biztosítanak ugyanazon számítási feladatok ismétlődő üzembe helyezéséhez. Ilyenek például a fejlesztés/tesztelés, a felhasználói elfogadás tesztelése, az előkészítés és az éles környezet. A küllők a cégen vagy szervezeten belüli különböző csoportok elkülönítésére és engedélyezésére is használhatók. A DevOps-csoportok jó példa arra, hogy mire képesek a küllők. Egy küllőn belül alapszintű vagy összetett többszintű számítási feladatok is üzembe helyezhetők a szintek közötti forgalomirányítással.

Előfizetés korlátai és több központ használata

Fontos

Az Azure-üzemelő példányok méretétől függően előfordulhat, hogy több központi stratégiára van szüksége. A küllős és a küllős stratégia tervezésekor kérdezze meg a következőt: "Képes-e ez a tervezési skálázás egy másik központi virtuális hálózatot használni ebben a régióban?" és "Képes-e ez a tervezési skálázás több régiót is befogadni?" Sokkal jobb olyan tervezést tervezni, amely méretezhető, és nincs rá szükség, mint hogy ne tervezzen és legyen rá szüksége.

A másodlagos (vagy több) központra való skálázás több tényezőtől függ, amelyek általában a skálázás eredendő korlátain alapulnak. A méretezés tervezésekor mindenképpen tekintse át az előfizetés, a virtuális hálózat és a virtuális gépek korlátait .

Az Azure-ban minden összetevő, típustól függetlenül, egy Azure-előfizetésben van üzembe helyezve. Az Azure-összetevők elkülönítése különböző Azure-előfizetésekben kielégítheti a különböző üzletágak követelményeit, mert lehetővé teszi például különböző hozzáférési és engedélyezési szintek beállítását.

Egyetlen VDC-implementáció nagy számú küllőt skálázhat fel. Bár, mint minden informatikai rendszer, vannak platformkorlátok. A központi telepítés egy adott Azure-előfizetéshez van kötve, amely korlátozásokkal és korlátozásokkal rendelkezik (például a virtuális hálózatok közötti társviszonyok maximális száma). További részletekért tekintse meg az Azure-előfizetések és -szolgáltatások korlátait, kvótáit és korlátozásait. Azokban az esetekben, amikor a korlátok problémát jelenthetnek, az architektúra tovább skálázható, ha a modellt egyetlen küllőből kiterjeszti egy központ- és küllőfürtre. Egy vagy több Azure-régióban több központ is csatlakoztatható virtuális hálózatok közötti társviszony-létesítés, ExpressRoute, Virtual WAN vagy helyek közötti VPN használatával.

2

A több központ bevezetése növeli a rendszer költségeit és felügyeleti erőfeszítéseit. Ez csak a méretezhetőség, a rendszerkorlátok, a redundancia, a végfelhasználói teljesítmény regionális replikációja vagy a vészhelyreállítás miatt indokolt. Több központot igénylő forgatókönyvekben minden központnak törekednie kell arra, hogy ugyanazt a szolgáltatáskészletet kínálja a működés megkönnyítése érdekében.

Küllők közötti kapcsolat

Egy küllős vagy egy lapos hálózat kialakításán belül összetett, többdimenziós számítási feladatok implementálhatók. A többtényezős konfigurációk alhálózatok használatával implementálhatók, amelyek ugyanazon virtuális hálózat minden rétegéhez vagy alkalmazásához tartoznak. A forgalomszabályozás és a szűrés hálózati biztonsági csoportok és felhasználó által megadott útvonalak használatával történik.

Elképzelhető, hogy egy tervező egy többszintű számítási feladatot kíván üzembe helyezni több virtuális hálózaton. A virtuális hálózatok közötti társviszony-létesítéssel a küllők más küllőkhöz is csatlakozhatnak ugyanabban a központban vagy különböző központokban. Erre a forgatókönyvre tipikus példa az az eset, amikor az alkalmazásfeldolgozó kiszolgálók egy küllős hálózaton vagy virtuális hálózaton találhatók. Az adatbázis egy másik küllős vagy virtuális hálózaton van üzembe helyezve. Ebben az esetben könnyű összekapcsolni a küllőket a virtuális hálózatok közötti társviszony-létesítéssel, ami elkerüli a központon áthaladást. Végezzen el egy alapos architektúrát és biztonsági felülvizsgálatot annak érdekében, hogy a központ megkerülése ne kerülhesse meg a csak a központban található fontos biztonsági vagy naplózási pontokat.

3

A küllők egy küllőhöz is csatlakozhatnak, amely központként működik. Ez a megközelítés kétszintű hierarchiát hoz létre. A magasabb szinten (0. szint) lévő küllő lesz a hierarchia alsó küllőinek központja (1. szint). A VDC-implementáció küllőinek kell továbbítaniuk a forgalmat a központi központba. A forgalom ezután a helyszíni hálózaton vagy a nyilvános interneten haladhat át a célhelyre. A két hubszinttel rendelkező architektúra összetett útválasztást vezet be, amely eltávolítja az egyszerű küllős kapcsolatok előnyeit.

Bár az Azure összetett topológiákat tesz lehetővé, a VDC-koncepció egyik alapelve az megismételhetőség és az egyszerűség. A felügyeleti munka minimalizálása érdekében az egyszerű küllős kialakítás az ajánlott VDC referenciaarchitektúra.

Összetevők

A virtuális adatközpont négy alapvető összetevőtípusból áll: infrastruktúra, szegélyhálózatok, számítási feladatok és figyelés.

Minden összetevőtípus különböző Azure-funkciókból és erőforrásokból áll. A VDC-implementáció több összetevőtípusból és ugyanazon összetevőtípus több változatából áll. Előfordulhat például, hogy számos különböző, logikailag elválasztott számítási feladatpéldánya van, amelyek különböző alkalmazásokat jelölnek. Ezeket a különböző összetevőtípusokat és -példányokat használja a VDC létrehozásához.

4

A VDC előző magas szintű fogalmi architektúrája a küllős topológia különböző zónáiban használt különböző összetevőtípusokat mutatja be. Az ábra az architektúra különböző részeinek infrastruktúra-összetevőit mutatja be.

Általános gyakorlatként a hozzáférési jogosultságok és jogosultságok csoportalapúak lehetnek. Az egyéni felhasználók helyett a csoportok kezelése megkönnyíti a hozzáférési szabályzatok karbantartását azáltal, hogy konzisztens módon kezeli a csoportokat, ami a konfigurációs hibák minimalizálását segíti elő. A felhasználók megfelelő csoportokhoz való hozzárendelése és eltávolítása segít naprakészen tartani egy adott felhasználó jogosultságait.

Minden szerepkörcsoportnak egyedi előtagja lehet a nevükön. Ez az előtag megkönnyíti annak azonosítását, hogy egy csoport melyik számítási feladathoz van társítva. Egy hitelesítési szolgáltatást futtató számítási feladat például AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps és AuthServiceInfraOps nevű csoportokkal rendelkezhet. A központosított szerepkörök vagy az adott szolgáltatáshoz nem kapcsolódó szerepkörök a Corp előtagja lehet. Ilyen például a CorpNetOps.

Számos szervezet a következő csoportok egyik változatával biztosítja a szerepkörök jelentős lebontását:

  • A Corp nevű központi informatikai csapat tulajdonosi jogokkal rendelkezik az infrastruktúra-összetevők vezérléséhez. Ilyen például a hálózatkezelés és a biztonság. A csoportnak rendelkeznie kell a közreműködői szerepkörsel az előfizetésben, a központ irányításában és a hálózati közreműködői jogokban a küllőkben. A nagy szervezetek gyakran felosztják ezeket a felügyeleti feladatokat több csapat között. Ilyenek például a hálózatkezelési CorpNetOps-csoportok , amelyek kizárólagosan a hálózatkezelésre összpontosítanak, valamint a tűzfalért és a biztonsági házirendért felelős CorpSecOps-csoport . Ebben az esetben két különböző csoportot kell létrehozni ezeknek az egyéni szerepköröknek a hozzárendeléséhez.
  • Az AppDevOps nevű fejlesztői/tesztelési csoport feladata az alkalmazások vagy szolgáltatások számítási feladatainak üzembe helyezése. Ez a csoport virtuálisgép-közreműködői szerepkört vesz igénybe az IaaS-üzemelő példányokhoz vagy egy vagy több PaaS-közreműködői szerepkörhöz. További információ: Beépített Azure-szerepkörök. A fejlesztői/tesztelési csapatnak szükség lehet a biztonsági szabályzatok (hálózati biztonsági csoportok) és az útválasztási szabályzatok (felhasználó által meghatározott útvonalak) láthatóságára a központban vagy egy adott küllőn. A számítási feladatok közreműködői szerepkörén kívül ennek a csoportnak hálózati olvasói szerepkörre is szüksége lenne.
  • A CorpInfraOps vagy AppInfraOps nevű művelet- és karbantartási csoport felelős a számítási feladatok éles környezetben történő kezeléséért. Ennek a csoportnak előfizetés-közreműködőnek kell lennie minden éles előfizetés számítási feladataihoz. Egyes szervezetek azt is kiértékelhetik, hogy szükség van-e egy eszkalációs támogatási csoportra, amely az előfizetés-közreműködői szerepkörrel rendelkezik az éles környezetben és a központi központi előfizetésben. A másik csoport kijavítja az éles környezetben előforduló lehetséges konfigurációs problémákat.

A VDC úgy lett kialakítva, hogy a központot kezelő központi informatikai csapatcsoportok megfelelő csoportokkal rendelkezzenek a számítási feladatok szintjén. A központi informatikai csapat a központi erőforrások kezelése mellett az előfizetés külső hozzáférését és legfelső szintű engedélyeit is szabályozhatja. A számítási feladatok csoportjai a központi informatikai csapattól függetlenül is szabályozhatják a virtuális hálózat erőforrásait és engedélyeit.

A virtuális adatközpont particionálása több projekt biztonságos üzemeltetéséhez különböző üzletágakban történik. Minden projekthez különböző elkülönített környezetek (dev, UAT és éles környezet) szükségesek. Az egyes környezetekhez tartozó különálló Azure-előfizetések természetes elkülönítést biztosíthatnak.

5

Az előző ábra a szervezet projektjei, a felhasználók, a csoportok és az Azure-összetevőket üzembe helyező környezetek közötti kapcsolatot mutatja be.

Az informatikai környezetben (vagy szinten) általában egy olyan rendszer, amelyben több alkalmazás van üzembe helyezve és végrehajtva. A nagyvállalatok fejlesztési környezetet (ahol módosításokat végeznek és tesztelnek) és egy éles környezetet használnak (amit a végfelhasználók használnak). Ezek a környezetek elválasztva vannak egymástól, gyakran több átmeneti környezettel, amelyek lehetővé teszik a fázisalapú üzembe helyezést (bevezetést), a tesztelést és a visszaállítást, ha problémák merülnek fel. Az üzembehelyezési architektúrák jelentősen eltérnek egymástól, de általában a fejlesztés (DEV) és az éles környezetben (PROD) történő befejezés alapfolyamata továbbra is fennáll.

Az ilyen típusú többtényezős környezetek közös architektúrája a fejlesztési és tesztelési DevOps, az előkészítési UAT és az éles környezetek. A szervezetek egy vagy több Microsoft Entra-bérlőt használhatnak a környezetek hozzáférésének és jogosultságainak meghatározásához. Az előző ábrán egy olyan eset látható, amelyben két különböző Microsoft Entra-bérlőt használnak: az egyiket a DevOpshoz és a UAT-hez, a másikat pedig kizárólag éles környezetben.

A különböző Microsoft Entra-bérlők jelenléte kikényszeríti a környezetek elkülönítését. Ugyanannak a felhasználócsoportnak, például a központi informatikai csapatnak egy másik URI használatával kell hitelesítenie magát egy másik Microsoft Entra-bérlő eléréséhez. Így a csapat módosíthatja a projekt DevOps- vagy éles környezeteinek szerepköreit vagy engedélyeit. A különböző környezetekhez való hozzáféréshez különböző felhasználói hitelesítések jelenléte csökkenti a lehetséges kimaradásokat és az emberi hibák által okozott egyéb problémákat.

Összetevő típusa: infrastruktúra

Ez az összetevőtípus az, ahol a legtöbb támogató infrastruktúra található. A központosított informatikai, biztonsági és megfelelőségi csapatok is itt töltik az idejük nagy részét.

6

Az infrastruktúra-összetevők összekapcsolják a VDC-implementáció különböző összetevőit, és mind a központban, mind a küllőkben megtalálhatók. Az infrastruktúra-összetevők kezelésének és karbantartásának felelőssége általában a központi informatikai csapathoz vagy biztonsági csapathoz van rendelve.

Az informatikai infrastruktúra-csapat egyik elsődleges feladata az IP-címsémák konzisztenciájának biztosítása a vállalaton belül. A VDC-implementációhoz rendelt privát IP-címtérnek konzisztensnek kell lennie, és nem fedheti át a helyszíni hálózatokon hozzárendelt magánhálózati IP-címekkel.

Bár a nat a helyszíni peremhálózati útválasztókon vagy Az Azure-környezetekben elkerülheti az IP-címütközéseket, komplikációkat ad az infrastruktúra-összetevőkhöz. A VDC egyik fő célja a felügyelet egyszerűsége. A NAT használata az IP-problémák kezelésére, míg érvényes megoldás, nem ajánlott megoldás.

Az infrastruktúra-összetevők a következő funkciókkal rendelkeznek:

  • Identitás- és címtárszolgáltatások: Az Azure minden erőforrástípusához való hozzáférést egy címtárszolgáltatásban tárolt identitás szabályozza. A címtárszolgáltatás nem csak a felhasználók listáját tárolja, hanem egy adott Azure-előfizetés erőforrásaihoz való hozzáférési jogosultságokat is. Ezek a szolgáltatások létezhetnek a felhőben, vagy szinkronizálhatók az Active Directoryban tárolt helyszíni identitással.
  • Virtuális hálózatok: A virtuális hálózatok a VDC egyik fő összetevői, és lehetővé teszik a forgalomelkülönítési határ létrehozását az Azure-platformon. A virtuális hálózat egy vagy több virtuális hálózati szegmensből áll, amelyek mindegyike egy adott IP-hálózati előtaggal (egy alhálózat, IPv4 vagy kettős verem IPv4/IPv6) rendelkezik. A virtuális hálózat egy belső szegélyterületet határoz meg, ahol az IaaS virtuális gépek és a PaaS-szolgáltatások privát kommunikációt hozhatnak létre. Az egyik virtuális hálózat virtuális gépei (és PaaS-szolgáltatásai) nem tudnak közvetlenül kommunikálni egy másik virtuális hálózaton lévő virtuális gépekkel (és PaaS-szolgáltatásokkal). Ez akkor is igaz, ha mindkét virtuális hálózatot ugyanaz az ügyfél hozza létre ugyanabban az előfizetésben. Az elkülönítés kritikus tulajdonság, amely biztosítja, hogy az ügyfél virtuális gépei és a kommunikáció privát maradjon a virtuális hálózaton belül. Ahol hálózati kapcsolatra van szükség, az alábbi funkciók azt írják le, hogyan valósítható meg.
  • Virtuális hálózatok közötti társviszony: A VDC infrastruktúrájának létrehozásához használt alapvető funkció a virtuális hálózatok közötti társviszony-létesítés, amely két virtuális hálózatot köt össze ugyanabban a régióban. Ez a kapcsolat az Azure adatközpont-hálózatán keresztül vagy az Azure globális gerinchálózatának használatával történik a régiók között.
  • Virtuális hálózati szolgáltatásvégpontok: A szolgáltatásvégpontok kibővítik a virtuális hálózat privát címterét, hogy belefoglalják a PaaS-helyet. A végpontok a virtuális hálózat identitását is kiterjesztik az Azure-szolgáltatásokra közvetlen kapcsolaton keresztül. A végpontok lehetővé teszik a kritikus Azure-szolgáltatás erőforrásainak védelmét a virtuális hálózatok számára.
  • Private Link: Az Azure Private Link lehetővé teszi az Azure PaaS-szolgáltatások (például az Azure Storage, az Azure Cosmos DB és az Azure SQL Database) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését a virtuális hálózaton található privát végponton keresztül. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán keresztül halad át, így kiküszöböli a nyilvános internet jelentette kitettséget. Saját Private Link-szolgáltatást is létrehozhat a virtuális hálózatában, és privát módon is kézbesítheti az ügyfeleknek. Az Azure Private Link beállítási és használati élménye konzisztens az Azure PaaS, az ügyfél tulajdonában lévő és a megosztott partnerszolgáltatások között.
  • Felhasználó által definiált útvonalak: A virtuális hálózat forgalmát alapértelmezés szerint a rendszer útválasztási táblája alapján irányítja a rendszer. A felhasználó által definiált útvonal egy egyéni útválasztási tábla, amelyet a hálózati rendszergazdák egy vagy több alhálózathoz társíthatnak a rendszer útválasztási tábla viselkedésének felülbírálásához, és meghatározhatnak egy kommunikációs útvonalat egy virtuális hálózaton belül. A felhasználó által definiált útvonalak jelenléte garantálja a küllős átvitelből érkező forgalmat adott egyéni virtuális gépeken vagy hálózati virtuális berendezéseken és terheléselosztókon keresztül, amelyek mind a központban, mind a küllőkben megtalálhatók.
  • Hálózati biztonsági csoportok: A hálózati biztonsági csoportok olyan biztonsági szabályok listája, amelyek forgalomszűrésként működnek az IP-forrásokon, AZ IP-címeken, a protokollokon, az IP-forrásportokon és az IP-célportokon (más néven 4. rétegbeli ötrekordos). A hálózati biztonsági csoport alkalmazható egy alhálózatra, egy Azure-beli virtuális géphez társított virtuális hálózati adapterre vagy mindkettőre. A hálózati biztonsági csoportok elengedhetetlenek a megfelelő folyamatvezérlés megvalósításához a központban és a küllőkben. A hálózati biztonsági csoport által biztosított biztonsági szint annak függvénye, hogy mely portokat nyitja meg, és milyen célra. Az ügyfelek több virtuálisgép-szűrőt alkalmazhatnak gazdagépalapú tűzfalakkal, például iptables vagy Windows tűzfal használatával.
  • DNS: A DNS névfeloldást biztosít egy virtuális adatközpont erőforrásaihoz. Az Azure DNS-szolgáltatásokat biztosít mind a nyilvános, mind a privát névfeloldáshoz. A privát zónák névfeloldásokat biztosítanak egy virtuális hálózaton belül és a virtuális hálózatokon keresztül. A privát zónák az azonos régióban lévő virtuális hálózatokra, valamint a régiókra és előfizetésekre is kiterjedhetnek. A nyilvános megoldás érdekében az Azure DNS egy üzemeltetési szolgáltatást biztosít a DNS-tartományok számára, amely a Microsoft Azure-infrastruktúrával biztosít névfeloldást. Ha tartományait az Azure-ban üzemelteti, DNS-rekordjait a többi Azure-szolgáltatáshoz is használt hitelesítő adatokkal, API-kkal, eszközökkel és számlázási információkkal kezelheti.
  • Felügyeleti csoport, előfizetés és erőforráscsoport-kezelés . Az előfizetés egy természetes határt határoz meg, amely több erőforráscsoportot hoz létre az Azure-ban. Ez az elkülönítés lehet függvényre, szerepkör-elkülönítésre vagy számlázásra. Az előfizetésben lévő erőforrások logikai tárolókban, más néven erőforráscsoportokban vannak összeállítva. Az erőforráscsoport egy logikai csoportot jelöl, amely egy virtuális adatközpontban rendezi az erőforrásokat. Ha a cég több előfizetéssel rendelkezik, szüksége lehet egy hatékony módszerre az előfizetések hozzáférésének, szabályzatainak és megfelelőségének kezelésére. Az Azure-beli felügyeleti csoportok hatóköre az előfizetések fölötti szint. Az előfizetéseket felügyeleti csoportoknak nevezett tárolókba rendezheti, és a felügyeleti csoportokra alkalmazhatja a szabályozási feltételeket. A felügyeleti csoporton belüli összes előfizetés automatikusan örökli a felügyeleti csoportra alkalmazott feltételeket. Ha hierarchia nézetben szeretné megtekinteni ezt a három funkciót, tekintse meg az erőforrások rendszerezését a felhőadaptálási keretrendszer.
  • Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC): Az Azure RBAC képes a szervezeti szerepkörök és jogosultságok leképezésére adott Azure-erőforrások eléréséhez. Ez lehetővé teszi, hogy a felhasználók csak a műveletek egy bizonyos részhalmazára korlátozódjanak. Ha a Microsoft Entra-azonosítót egy helyi Active Directory szinkronizálja, ugyanazokat az Active Directory-csoportokat használhatja az Azure-ban, amelyeket a helyszínen használ. Az Azure RBAC-vel hozzáférést biztosíthat a megfelelő szerepkör hozzárendelésével a felhasználókhoz, csoportokhoz és alkalmazásokhoz a megfelelő hatókörön belül. A szerepkör-hozzárendelés hatóköre lehet Azure-előfizetés, erőforráscsoport vagy egyetlen erőforrás. Az Azure RBAC engedélyezi az engedélyek öröklését. A szülő hatókörben hozzárendelt szerepkör hozzáférést biztosít a benne található gyermekekhez is. Az Azure RBAC-vel elkülönítheti a feladatokat, és csak annyi hozzáférést biztosíthat a felhasználóknak, hogy el tudják végezni a feladataikat. Az egyik alkalmazott például kezelheti az előfizetésben lévő virtuális gépeket, a másik pedig az ugyanabban az előfizetésben lévő SQL Server-adatbázisokat.

Összetevő típusa: Szegélyhálózatok

A szegélyhálózat összetevői (más néven DMZ-hálózatok) összekapcsolják a helyszíni vagy fizikai adatközpont-hálózatokat, valamint az internetkapcsolatot. A peremhálózat általában jelentős időbefektetést igényel a hálózattól és a biztonsági csapatoktól.

A bejövő csomagok áthaladhatnak a központi biztonsági berendezéseken, mielőtt elérnék a küllők háttérkiszolgálóit és szolgáltatásait. Ilyen például a tűzfal, az IDS és az IPS. Mielőtt elhagyják a hálózatot, a számítási feladatokból származó, internethez kötött csomagok a szegélyhálózat biztonsági berendezései között is áthaladhatnak. Ez a folyamat lehetővé teszi a szabályzatok kikényszerítését, ellenőrzését és naplózását.

A szegélyhálózat összetevői a következők:

Általában a központi informatikai csapat és a biztonsági csapatok felelősek a peremhálózatok követelménymeghatározásáért és működtetéséért.

7

Az előző ábrán két, az internethez való hozzáféréssel rendelkező szegély és egy helyszíni hálózat kényszerítése látható, mindkettő a DMZ hubon található. A DMZ hub peremhálózata az internet felé skálázható, így számos üzletágat támogathat, több webalkalmazási tűzfalat (WAF- vagy Azure Firewall-t) használva. A központ szükség szerint vpn-en vagy ExpressRoute-on keresztül is lehetővé teszi a helyszíni kapcsolatot.

Feljegyzés

Az előző ábrán az DMZ Hubalábbi funkciók nagy része egy Azure Virtual WAN-központban (például virtuális hálózatok, felhasználó által megadott útvonalak, hálózati biztonsági csoportok, VPN-átjárók, ExpressRoute-átjárók, Azure Load Balancers, Azure Firewalls, Firewall Manager és DDOS) csomagolható össze. Az Azure Virtual WAN hubok használata sokkal egyszerűbbé teheti a központi virtuális hálózat és a VDC létrehozását, mivel az Azure-beli virtuális WAN-központ üzembe helyezésekor a mérnöki összetettség nagy részét az Azure kezeli.

Virtuális hálózatok. A központ általában egy olyan virtuális hálózatra épül, amely több alhálózattal rendelkezik, amelyek különböző típusú szolgáltatásokat üzemeltetnek. Ezek a szolgáltatások az Azure Firewall, NVA-k, WAF-ek és Azure-alkalmazás átjárópéldányok segítségével szűrik és ellenőrzik az internetre irányuló vagy onnan érkező forgalmat.

Felhasználó által megadott útvonalak. A felhasználó által megadott útvonalak használatával az ügyfelek tűzfalakat, IDS/IPS-eket és más virtuális berendezéseket helyezhetnek üzembe. Ezek a biztonsági berendezéseken keresztül irányíthatják a hálózati forgalmat a biztonsági határrendek betartatása, naplózása és ellenőrzése céljából. A felhasználó által definiált útvonalak a központban és a küllőkben is létrehozhatók, így garantálva, hogy a forgalom a VDC-implementáció által használt egyéni virtuális gépeken, hálózati virtuális berendezéseken és terheléselosztókon keresztül haladjon át. Annak biztosítása érdekében, hogy a küllőben lévő virtuális gépekről a megfelelő virtuális berendezésekre menő forgalom létrejönjön, a küllő alhálózataiban felhasználó által megadott útvonalat kell beállítani. Ez úgy történik, hogy a belső terheléselosztó előtérbeli IP-címét állítja be következő ugrásként. A belső terheléselosztó elosztja a belső forgalmat a virtuális berendezések (a terheléselosztó háttérkészlete) között.

Az Azure Firewall egy felügyelt hálózati biztonsági szolgáltatás, amely védi az Azure-beli virtuális hálózati erőforrásokat. Ez egy állapotalapú felügyelt tűzfal, magas rendelkezésre állással és felhőbeli méretezhetőséggel. Központilag hozhatja létre, érvényesítheti és naplózhatja az alkalmazás- és hálózatelérési szabályzatokat az előfizetésekre és a virtuális hálózatokra vonatkozóan. Az Azure Firewall statikus nyilvános IP-címet használ a virtuális hálózat erőforrásaihoz. A külső tűzfalak így azonosíthatják az Ön virtuális hálózatáról érkező forgalmat. A szolgáltatás teljesen integrálva van az Azure Monitorral a naplózás és az elemzés érdekében.

Ha az Azure Virtual WAN topológiát használja, az Azure Firewall Manager egy biztonsági felügyeleti szolgáltatás, amely központi biztonsági szabályzatot és útvonalkezelést biztosít a felhőalapú biztonsági szegélyekhez. Együttműködik az Azure Virtual WAN Hubbal, egy Microsoft által felügyelt erőforrással, amely lehetővé teszi a küllős és a küllős architektúrák egyszerű létrehozását. Ha a biztonsági és útválasztási szabályzatok egy központhoz vannak társítva, biztonságos virtuális központnak nevezzük.

Hálózati virtuális berendezések. A központban az internethez való hozzáféréssel rendelkező szegélyhálózatot általában egy Azure Firewall-példány vagy tűzfalfarm vagy webalkalmazási tűzfal (WAF) kezeli.

A különböző üzletágak gyakran használnak számos webalkalmazást, amelyek általában különböző biztonsági résekkel és potenciális kihasználtságokkal küzdenek. A webalkalmazási tűzfalak egy speciális terméktípus, amely a webalkalmazások és a HTTP/HTTPS elleni támadások hatékonyabb észlelésére szolgál, mint egy általános tűzfal. A hagyományos tűzfaltechnológiához képest a WAF-ek speciális funkciókkal rendelkeznek a belső webkiszolgálók fenyegetésekkel szembeni védelméhez.

Az Azure Firewall vagy az NVA-tűzfal közös felügyeleti síkot használ, amely biztonsági szabályokkal védi a küllőkben üzemeltetett számítási feladatokat, és szabályozza a helyszíni hálózatokhoz való hozzáférést. Az Azure Firewall beépített skálázhatóságot biztosít, míg az NVA-tűzfalak manuálisan méretezhetők a terheléselosztó mögött. A tűzfalfarm általában kevésbé specializált szoftverekkel rendelkezik a WAF-hez képest, de szélesebb alkalmazási hatókörrel rendelkezik a kimenő és bejövő forgalom bármilyen típusának szűréséhez és vizsgálatához. Ha NVA-megközelítést használ, azok az Azure Marketplace-en találhatók és telepíthetők.

Javasoljuk, hogy az internetről származó forgalomhoz használjon egy Azure Firewall-példányt vagy NVA-t. Használjon egy másikat a helyszíni forgalomhoz. Ha mindkettőhöz csak egy tűzfalkészletet használ, az biztonsági kockázatot jelent, mivel nem biztosít biztonsági szegélyt a két hálózati forgalom között. A különálló tűzfalrétegek használata csökkenti a biztonsági szabályok ellenőrzésének összetettségét, ami egyértelművé teszi, hogy mely szabályok felelnek meg a bejövő hálózati kéréseknek.

Az Azure Load Balancer magas rendelkezésre állású 4. rétegbeli (TCP/UDP) szolgáltatást kínál, amely elosztott terhelésű készletben definiált szolgáltatáspéldányok között képes elosztani a bejövő forgalmat. Az előtérbeli végpontokról (nyilvános IP-végpontokról vagy privát IP-végpontokról) a terheléselosztónak küldött forgalom címfordítással vagy anélkül terjeszthető újra a háttérbeli IP-címkészletek (például hálózati virtuális berendezések vagy virtuális gépek) készletére.

Az Azure Load Balancer képes a különböző kiszolgálópéldányok állapotának vizsgálatára. Ha egy példány nem válaszol a mintavételre, a terheléselosztó nem küld további forgalmat a nem megfelelő állapotú példányra. Egy virtuális adatközpontban egy külső terheléselosztó van üzembe helyezve a központban és a küllőkben. A központban a terheléselosztó segítségével hatékonyan irányíthatja a forgalmat a tűzfalpéldányok között. A küllőkben a terheléselosztók az alkalmazásforgalom kezelésére szolgálnak.

Az Azure Front Door (AFD) a Microsoft magas rendelkezésre állású és méretezhető webalkalmazás-gyorsító platformja, a globális HTTP-terheléselosztó, az alkalmazásvédelem és a tartalomkézbesítési hálózat. Az AFD a Microsoft globális hálózatának peremhálózatán több mint 100 helyen futtatva lehetővé teszi dinamikus webalkalmazások és statikus tartalmak készítését, üzemeltetését és méretezését. Az AFD világszínvonalú végfelhasználói teljesítményt, egységes regionális/bélyegkarbantartási automatizálást, BCDR-automatizálást, egyesített ügyfél-/felhasználói információkat, gyorsítótárazást és szolgáltatáselemzéseket biztosít az alkalmazás számára.

A platform a következő lehetőségeket kínálja:

  • Teljesítmény, megbízhatóság és támogatási szolgáltatásiszint-szerződések (SLA-k).
  • Megfelelőségi tanúsítványok.
  • Az Azure által fejlesztett, üzemeltetett és natív módon támogatott naplózási biztonsági eljárások.

Az Azure Front Door webalkalmazási tűzfalat (WAF) is biztosít, amely védi a webalkalmazásokat a gyakori biztonsági résekkel és kitettségekkel szemben.

Azure-alkalmazás Gateway egy dedikált virtuális berendezés, amely felügyelt alkalmazáskézbesítési vezérlőt biztosít. Különböző 7. rétegbeli terheléselosztási képességeket kínál az alkalmazás számára. Ez lehetővé teszi a webfarm teljesítményének optimalizálását a processzorigényes SSL-leállításnak az Application Gatewayre való kiszervezésével. Emellett további 7. rétegbeli útválasztási képességeket is biztosít, például a bejövő forgalom ciklikus időszeleteléses elosztását, a cookie-alapú munkamenet-affinitást, az URL-alapú útválasztást, valamint több webhely egyetlen alkalmazásátjáró mögötti üzemeltetését. Az Application Gateway WAF termékváltozata tartalmaz egy webalkalmazási tűzfalat is, Ez a termékváltozat védelmet biztosít a webalkalmazások számára a gyakori internetes biztonsági rések és az azokat kihasználó támadások ellen. Az Application Gateway konfigurálható internetkapcsolattal rendelkező átjáróként, csak belső átjáróként vagy mindkettő kombinációjáként.

Nyilvános IP-címek. Egyes Azure-funkciókkal szolgáltatásvégpontokat társíthat egy nyilvános IP-címhez, hogy az erőforrás elérhető legyen az internetről. Ez a végpont NAT használatával irányítja a forgalmat az Azure-beli virtuális hálózat belső címére és portjára. Ez az elérési út a külső forgalom virtuális hálózatba való belépésének elsődleges módja. Konfigurálhatja a nyilvános IP-címeket annak meghatározására, hogy melyik forgalom legyen átadva, és hogyan és hol fordítják le a virtuális hálózatra.

Az Azure DDoS Protection további kockázatcsökkentési képességeket biztosít az alapszintű szolgáltatásszinten, amelyek kifejezetten az Azure-beli virtuális hálózati erőforrásokra vannak hangolva. A DDoS Protection egyszerűen engedélyezve van, és nem igényel alkalmazásmódosítást. A védelmi szabályzatokat dedikált forgalomfigyelés és gépi tanulási algoritmusok finomhangolják. A szabályzatok a virtuális hálózatokban üzembe helyezett erőforrásokhoz kapcsolódó nyilvános IP-címekre vonatkoznak. Ilyenek például az Azure Load Balancer, az Azure Application Gateway és az Azure Service Fabric-példányok. A rendszer által létrehozott naplók közel valós időben érhetők el az Azure Monitor-nézeteken keresztül egy támadás során és az előzményekhez. Az alkalmazásréteg-védelem az Azure Application Gateway webalkalmazási tűzfalán keresztül adható hozzá. Az IPv4 és az IPv6 Azure nyilvános IP-címeinek védelme biztosított.

A küllős topológia virtuális hálózatok közötti társviszony-létesítést és felhasználó által megadott útvonalakat használ a forgalom megfelelő irányításához.

8

A diagramban a felhasználó által definiált útvonal biztosítja, hogy a forgalom a küllőből a tűzfalba áramoljon, mielőtt az ExpressRoute-átjárón keresztül a helyszínre halad (ha a tűzfalszabályzat engedélyezi ezt a folyamatot).

Összetevő típusa: monitorozás

A monitorozási összetevők az összes többi összetevőtípus láthatóságát és riasztását biztosítják. Minden csapat hozzáférhet a monitorozáshoz azoknak az összetevőknek és szolgáltatásoknak a figyeléséhez, amelyekhez hozzáféréssel rendelkezik. Ha központosított ügyfélszolgálattal vagy műveleti csapattal rendelkezik, az összetevők által biztosított adatokhoz való integrált hozzáférést igényelnek.

Az Azure különböző naplózási és monitorozási szolgáltatásokat kínál az Azure által üzemeltetett erőforrások viselkedésének nyomon követéséhez. Az Azure-beli számítási feladatok szabályozása és szabályozása nem csupán a naplóadatok gyűjtésén alapul, hanem az adott jelentett eseményeken alapuló műveletek aktiválására is.

Azure Monitor. Az Azure több szolgáltatást is tartalmaz, amelyek önmagukban is betöltenek adott szerepköröket vagy végrehajtanak bizonyos feladatokat a monitorozás területén. Ezek a szolgáltatások együttesen átfogó megoldást nyújtanak a rendszer által létrehozott naplók gyűjtésére, elemzésére és kezelésére az alkalmazásokból és az azokat támogató Azure-erőforrásokból. Emellett a kritikus helyszíni erőforrások monitorozásán is dolgozhatnak, hogy hibrid monitorozási környezetet biztosítsanak. Az elérhető eszközök és adatok megismerése az alkalmazások teljes figyelési stratégiájának fejlesztésének első lépése.

Az Azure Monitor két alapvető naplótípust különböztet meg:

  • A metrikák numerikus értékek, amelyek a rendszer bizonyos aspektusait írják le egy adott időpontban. Könnyűek, és képesek közel valós idejű forgatókönyvek támogatására. Számos Azure-erőforrás esetében az Azure Monitor által gyűjtött adatokat közvetlenül az Azure Portal áttekintési oldalán láthatja. Tekintsünk meg például egy virtuális gépet, és több diagramon is megjelennek a teljesítménymetrikák. A gráfok kiválasztásával megnyithatja az adatokat az Azure Portal metrikaböngészőjében, amely lehetővé teszi több metrika értékeinek időbeli diagramkészítését. A diagramokat interaktív módon tekintheti meg, vagy rögzítheti őket egy irányítópulton, hogy más vizualizációkkal is megtekinthesse őket.

  • A naplók különböző típusú adatokat tartalmaznak, amelyek különböző tulajdonságokkal rendelkező rekordokba vannak rendezve. Az események és nyomkövetések naplókként és teljesítményadatokként vannak tárolva, amelyek mindegyike kombinálható az elemzéshez. Az Azure Monitor által gyűjtött naplóadatok lekérdezésekkel elemezhetők az összegyűjtött adatok gyors lekéréséhez, összevonásához és elemzéséhez. A naplók tárolása és lekérése a naplóelemzésből történik. Lekérdezéseket hozhat létre és tesztelhet log analytics használatával az Azure Portalon, és közvetlenül elemezheti az adatokat ezekkel az eszközökkel, vagy mentheti a lekérdezéseket vizualizációkkal vagy riasztási szabályokkal való használatra.

9

Az Azure Monitor különböző forrásokból gyűjthet adatokat. Az alkalmazások adatait az alkalmazástól, az operációs rendszertől és az általa használt szolgáltatásoktól kezdve egészen az Azure-platformig terjedő szinteken figyelheti. Az Azure Monitor az alábbi szintek mindegyikéről gyűjt adatokat:

  • Alkalmazásfigyelési adatok: Az Ön által írt kód teljesítményére és működésére vonatkozó adatok, platformtól függetlenül.
  • Vendég operációs rendszer figyelési adatai: Azon operációs rendszer adatai, amelyen az alkalmazás fut. Ez az operációs rendszer az Azure-ban, egy másik felhőben vagy a helyszínen futhat.
  • Azure-erőforrások monitorozási adatai: Adatok egy Azure-erőforrás működéséről.
  • Azure-előfizetés monitorozási adatai: Adatok egy Azure-előfizetés működéséről és kezeléséről, valamint az Azure állapotáról és működéséről.
  • Azure-bérlő monitorozási adatai: Adatok a bérlőszintű Azure-szolgáltatások működéséről, például a Microsoft Entra-azonosítóról.
  • Egyéni források: A helyszíni forrásokból küldött naplók is belefoglalhatók. Ilyenek például a helyszíni kiszolgálóesemények vagy a hálózati eszközök syslog-kimenete.

Az adatok monitorozása csak akkor hasznos, ha növeli a számítástechnikai környezet működésével kapcsolatos láthatóságot. Az Azure Monitor számos olyan funkciót és eszközt tartalmaz, amelyek értékes betekintést nyújtanak az alkalmazásokba és más erőforrásokba, amelyektől függenek. Az olyan megoldások és funkciók monitorozása, mint az Application Insights és a tárolókhoz készült Azure Monitor, részletes betekintést nyújtanak az alkalmazás és az egyes Azure-szolgáltatások különböző aspektusaiba.

Az Azure Monitor monitorozási megoldásai olyan csomagolt logikai csoportok, amelyek egy adott alkalmazáshoz vagy szolgáltatáshoz nyújtanak elemzéseket. Ezek közé tartozik az alkalmazás vagy szolgáltatás figyelési adatainak gyűjtésére szolgáló logika, az adatok elemzésére szolgáló lekérdezések és a vizualizáció nézetei. A Microsoft és a partnerek monitorozási megoldásokkal figyelik a különböző Azure-szolgáltatásokat és egyéb alkalmazásokat.

A gazdag adatok ilyen gyűjteményével fontos proaktív lépéseket tenni a környezetben zajló eseményeken, különösen akkor, ha a manuális lekérdezések önmagukban nem elegendőek. Az Azure Monitor riasztásai proaktív módon értesítik Önt a kritikus feltételekről, és megpróbálhatnak korrekciós műveleteket elvégezni. A metrikákon alapuló riasztási szabályok közel valós idejű riasztást biztosítanak numerikus értékek alapján. A naplókon alapuló riasztási szabályok több forrásból származó adatok összetett logikáját teszik lehetővé. Az Azure Monitor riasztási szabályai olyan műveletcsoportokat használnak, amelyek több szabály között megosztható címzettek és műveletek egyedi készleteit tartalmazzák. A követelményeknek megfelelően a műveletcsoportok olyan webhookokat használhatnak, amelyek riasztásokat okoznak külső műveletek indításához vagy az ITSM-eszközökkel való integrációhoz.

Az Azure Monitor egyéni irányítópultok létrehozását is lehetővé teszi. Az Azure-irányítópultok lehetővé teszik különböző típusú adatok, köztük metrikák és naplók kombinálását egyetlen panelen az Azure Portalon. Az irányítópultot tetszés szerint megoszthatja más Azure-felhasználókkal. Az Azure Monitor elemei az Azure-irányítópultokhoz a napló lekérdezések vagy metrikák diagramjának kimenetén kívül hozzáadhatók. Létrehozhat például egy irányítópultot, amely a metrikák grafikonját, a tevékenységnaplók táblázatát, az Application Insights használati diagramját és egy napló lekérdezés kimenetét jeleníti meg.

Végül az Azure Monitor-adatok a Power BI natív forrásai. A Power BI egy üzleti elemzési szolgáltatás, amely interaktív vizualizációkat biztosít különböző adatforrásokban. Emellett hatékonyan teszi elérhetővé az adatokat mások számára a szervezeten belül és kívül. A Power BI-t úgy konfigurálhatja, hogy automatikusan importálja a naplóadatokat az Azure Monitorból, hogy kihasználhassa ezeket a további vizualizációkat.

Az Azure Network Watcher eszközöket biztosít a metrikák monitorozásához, diagnosztizálásához és megtekintéséhez, valamint a naplók engedélyezéséhez vagy letiltásához egy Azure-beli virtuális hálózat erőforrásaihoz. Ez egy sokoldalú szolgáltatás, amely a következő funkciókat és egyebeket teszi lehetővé:

  • Virtuális gép és végpont közötti kommunikáció monitorozása.
  • Virtuális hálózat erőforrásainak és kapcsolatainak megtekintése.
  • A virtuális gépre vagy a virtuális gépről érkező hálózati forgalom szűrési problémáinak diagnosztizálása.
  • Hálózati útválasztási problémák diagnosztizálása virtuális gépről.
  • Virtuális gép kimenő kapcsolatainak diagnosztizálása.
  • Csomagok rögzítése virtuális gépre és onnan.
  • Virtuális hálózati átjáróval és -kapcsolatokkal kapcsolatos problémák diagnosztizálása.
  • Az Azure-régiók és az internetszolgáltatók közötti relatív késések meghatározása.
  • Hálózati adapter biztonsági szabályainak megtekintése.
  • Hálózati metrikák megtekintése.
  • Hálózati biztonsági csoport felé vagy onnan érkező forgalom elemzése.
  • A hálózati erőforrások diagnosztikai naplóinak megtekintése.

Összetevő típusa: Számítási feladatok

A számítási feladatok összetevőiben találhatók a tényleges alkalmazások és szolgáltatások. Az alkalmazásfejlesztési csapatok itt töltik az idejük nagy részét.

A számítási feladatok lehetőségei végtelenek. A következő néhány lehetséges számítási feladattípust tartalmazza:

Belső alkalmazások: Az üzletági alkalmazások kritikus fontosságúak a vállalati műveletek szempontjából. Ezek az alkalmazások néhány gyakori jellemzővel rendelkeznek:

  • Interaktív: A rendszer adatokat ad meg, és eredményeket vagy jelentéseket ad vissza.
  • Adatvezérelt: Az adatbázisokhoz vagy más tárolókhoz való gyakori hozzáféréssel rendelkező adatigényes.
  • Integrálva: Integrálás a szervezeten belüli vagy kívüli más rendszerekkel.

Ügyféloldali webhelyek (internetes vagy belső elérésű): A legtöbb internetes alkalmazás webhely. Az Azure IaaS virtuális gépen vagy Egy Azure Web Apps-webhelyen (PaaS) keresztül futtathat webhelyet. Az Azure-webalkalmazások integrálhatók a virtuális hálózatokkal a webalkalmazások küllős hálózati zónában való üzembe helyezéséhez. A belsőleg elérésű webhelyeknek nem kell nyilvános internetes végpontot elérhetővé tenni, mert az erőforrások a privát virtuális hálózatról privát, nem internetezhető címeken keresztül érhetők el.

Big data-elemzés: Ha az adatoknak nagyobb méretűre kell skálázniuk, előfordulhat, hogy a relációs adatbázisok nem teljesítenek megfelelően az adatok szélsőséges terhelése vagy strukturálatlansága esetén. Az Azure HDInsight egy felügyelt, teljes spektrumú, nyílt forráskódú elemzési szolgáltatás a felhőben nagyvállalatok számára. Olyan nyílt forráskódú keretrendszereket használhat, mint a Hadoop, az Apache Spark, az Apache Hive, az LLAP, az Apache Kafka, az Apache Storm és az R. HDInsight. Ez támogatja a helyalapú virtuális hálózatba való üzembe helyezést, amely a virtuális adatközpont küllőjében lévő fürtre telepíthető.

Események és üzenetkezelés: Az Azure Event Hubs egy big data streamplatform és eseménybetöltési szolgáltatás. Másodpercenként több millió eseményt képes fogadni és feldolgozni. Alacsony késést és konfigurálható időmegőrzést biztosít, így nagy mennyiségű adatot lehet az Azure-ba beolvasni és több alkalmazásból beolvasni. Egyetlen stream támogatja a valós idejű és a kötegelt folyamatokat is.

Az Azure Service Buson keresztül rendkívül megbízható felhőalapú üzenetkezelési szolgáltatást valósíthat meg alkalmazások és szolgáltatások között. Aszinkron közvetített üzenetküldést kínál az ügyfél és a kiszolgáló között, strukturált első előtti (FIFO) üzenetkezelést, valamint közzétételi és feliratkozási képességeket kínál.

10

Ezek a példák alig karcolják meg az Azure-ban létrehozható számítási feladatok felületét. Az alapszintű web- és SQL-alkalmazásoktól kezdve a legújabb IoT-, big data-, gépi tanulási, AI- és még sok más területen mindent létrehozhat.

Magas rendelkezésre állás: több virtuális adatközpont

Ez a cikk eddig egyetlen VDC kialakítására összpontosított, amely leírja azokat az alapvető összetevőket és architektúrákat, amelyek hozzájárulnak a rugalmassághoz. Az Olyan Azure-funkciók, mint az Azure Load Balancer, az NVA-k, a rendelkezésre állási zónák, a rendelkezésre állási csoportok, a méretezési csoportok és egyéb képességek, amelyek segítenek szilárd SLA-szinteket beépíteni az éles szolgáltatásokba.

Mivel azonban egy virtuális adatközpont általában egyetlen régióban van implementálva, sebezhető lehet a teljes régiót érintő kimaradásokkal szemben. A magas rendelkezésre állást igénylő ügyfeleknek ugyanazon projekt két vagy több, különböző régiókban üzembe helyezett VDC-implementációban történő üzembe helyezésével kell védenie a szolgáltatásokat.

Az SLA-aggodalmak mellett több gyakori forgatókönyv is előnyös lehet több virtuális adatközpont futtatásához:

  • A végfelhasználók vagy partnerek regionális vagy globális jelenléte.
  • Vészhelyreállítási követelmények.
  • Az adatközpontok közötti forgalom átirányítására szolgáló mechanizmus terhelés vagy teljesítmény szempontjából.

Regionális/globális jelenlét

Az Azure-adatközpontok világszerte számos régióban léteznek. Több Azure-adatközpont kiválasztásakor két kapcsolódó tényezőt érdemes figyelembe venni: földrajzi távolságokat és késést. A felhasználói élmény optimalizálásához értékelje ki az egyes virtuális adatközpontok és az egyes virtuális adatközpontok és a végfelhasználók közötti távolságot.

A virtuális adatközpontot üzemeltető Azure-régiónak meg kell felelnie minden olyan jogi joghatóságra vonatkozó jogszabályi követelményeknek, amelyek alatt a szervezet működik.

Vészhelyreállítás

A vészhelyreállítási terv tervezése a számítási feladatok típusaitól és a számítási feladatok állapotának különböző VDC-implementációk közötti szinkronizálásától függ. Ideális esetben a legtöbb ügyfél gyors feladatátvételi mechanizmust szeretne, és ehhez a követelményhez szükség lehet alkalmazásadatok szinkronizálására a több VDC-implementációban futó üzembe helyezések között. Vészhelyreállítási tervek tervezésekor azonban fontos figyelembe venni, hogy a legtöbb alkalmazás érzékeny az adatszinkronizálás által okozott késésre.

A különböző VDC-implementációk alkalmazásainak szinkronizálásához és szívverésének monitorozásához a hálózaton keresztül kell kommunikálniuk. A különböző régiókban több VDC-implementáció is csatlakoztatható az alábbiakon keresztül:

  • Az Azure Virtual WAN-központokba beépített központközi kommunikáció ugyanazon Virtual WAN régióiban.
  • Virtuális hálózatok közötti társviszony-létesítés a központok régiók közötti összekapcsolásához.
  • ExpressRoute privát társviszony-létesítés, ha az egyes VDC-implementációk központjai ugyanahhoz az ExpressRoute-kapcsolatcsoporthoz csatlakoznak.
  • Több ExpressRoute-kapcsolatcsoport csatlakozik a vállalati gerincen keresztül, valamint az ExpressRoute-kapcsolatcsoportokhoz csatlakoztatott több VDC-implementáció.
  • Helyek közötti VPN-kapcsolatok a VDC-implementációk központi zónája között az egyes Azure-régiókban.

A Virtuális WAN-központok, a virtuális hálózatok közötti társviszony-létesítés vagy az ExpressRoute-kapcsolatok általában előnyben részesülnek a hálózati kapcsolatok esetében, mivel a Microsoft gerinchálózatán való áthaladás nagyobb sávszélességet és konzisztens késési szinteket eredményez.

Futtasson hálózati minősítési teszteket a kapcsolatok késésének és sávszélességének ellenőrzéséhez, és döntse el, hogy a szinkron vagy aszinkron adatreplikálás megfelelő-e az eredmény alapján. Ezeket az eredményeket az optimális helyreállítási időkorlát (RTO) figyelembe véveével is mérlegelni kell.

Vészhelyreállítás: forgalom átirányítása egyik régióról a másikra

Az Azure Traffic Manager és az Azure Front Door is rendszeresen ellenőrzi a figyelési végpontok szolgáltatásállapotát a különböző VDC-implementációkban. Ha ezek a végpontok sikertelenek, az Azure Traffic Manager és az Azure Front Door útvonala automatikusan a legközelebbi VDC-hez vezet. A Traffic Manager valós idejű felhasználói mérésekkel és DNS-sel irányítja a felhasználókat a legközelebbihöz (vagy a legközelebbihöz a hiba során). Az Azure Front Door egy fordított proxy több mint 100 Microsoft gerinchálózati helyen, bármely küldés használatával a felhasználókat a legközelebbi figyelési végpontra irányítja.

Összegzés

A migrálás virtuális adatközponti megközelítése egy méretezhető architektúra létrehozása, amely optimalizálja az Azure-erőforrások használatát, csökkenti a költségeket, és leegyszerűsíti a rendszerirányítást. A virtuális adatközpont általában a küllős hálózati topológiákon alapul (virtuális hálózatok közötti társviszony-létesítés vagy Virtual WAN-központok használatával). A központban biztosított közös megosztott szolgáltatások, valamint az egyes alkalmazások és számítási feladatok a küllőkben vannak üzembe helyezve. A virtuális adatközpont a vállalati szerepkörök struktúráját is megfelelteti, ahol a különböző részlegek, például a központi informatikai részlegek, a DevOps, valamint az üzemeltetés és a karbantartás mind együttműködnek a szerepköreik végrehajtása során. A virtuális adatközpont támogatja a meglévő helyszíni számítási feladatok Azure-ba való migrálását, de számos előnnyel jár a natív felhőbeli üzemelő példányok számára is.

Hivatkozások

További információ a dokumentumban tárgyalt Azure-funkciókról.

Következő lépések

  • További információ a virtuális hálózatok közötti társviszony-létesítésről, a küllős topológiák alapvető technológiájáról.
  • Implementálja a Microsoft Entra ID-t az Azure szerepköralapú hozzáférés-vezérlésének használatára.
  • Előfizetési és erőforrás-kezelési modell fejlesztése azure-beli szerepköralapú hozzáférés-vezérléssel, amely megfelel a szervezet struktúrájának, követelményeinek és szabályzatainak. A legfontosabb tevékenység a tervezés. Elemezze, hogy az átszervezések, egyesülések, új termékvonalak és egyéb szempontok hogyan befolyásolják a kezdeti modelleket, hogy a jövőbeli igényeknek és növekedésnek megfelelően skálázható legyen.