Azure-hálózati topológia definiálása

  • Cikk

A hálózati topológia a célzóna-architektúra kritikus eleme, mivel meghatározza, hogy az alkalmazások hogyan kommunikálhatnak egymással. Ez a szakasz az Azure-üzemelő példányok technológiáit és topológiai megközelítéseit ismerteti. Két alapvető megközelítésre összpontosít: az Azure Virtual WAN-on alapuló topológiákra és a hagyományos topológiákra.

A Virtual WAN a nagy léptékű összekapcsolási követelmények teljesítésére szolgál. Mivel ez egy Microsoft által felügyelt szolgáltatás, csökkenti a hálózat általános összetettségét, és segít a szervezet hálózatának modernizálásában. A Virtual WAN-topológia akkor lehet a legmegfelelőbb, ha az alábbi követelmények bármelyike vonatkozik a szervezetre:

  • A vállalat több Azure-régióban kíván erőforrásokat üzembe helyezni, és globális kapcsolatot kíván igényelni ezekben az Azure-régiókban található virtuális hálózatok és több helyszíni hely között.
  • A vállalat egy nagy méretű fiókhálózatot kíván közvetlenül integrálni az Azure-ba szoftveralapú WAN (SD-WAN) üzembe helyezéssel, vagy több mint 30 fiókhelyet igényel a natív IPSec-leállításhoz.
  • A virtuális magánhálózat (VPN) és az Azure ExpressRoute közötti tranzitív útválasztást igényel. Például a helyek közötti VPN-en keresztül csatlakoztatott távoli ágakhoz vagy a pont–hely VPN-en keresztül csatlakozó távoli felhasználókhoz az Azure-on keresztüli ExpressRoute-hez csatlakoztatott tartományvezérlőhöz kell csatlakozni.

A hagyományos küllős hálózati topológia segítségével testre szabott, fokozott biztonságú, nagy méretű hálózatokat hozhat létre az Azure-ban. Ezzel a topológiával kezelheti az útválasztást és a biztonságot. A hagyományos topológia akkor lehet a legmegfelelőbb, ha az alábbi követelmények bármelyike vonatkozik a szervezetre:

  • A szervezet erőforrásokat kíván üzembe helyezni egy vagy több Azure-régióban, és bár az Azure-régiók közötti forgalom várható (például két virtuális hálózat közötti forgalom két különböző Azure-régióban), nincs szükség teljes hálós hálózatra az összes Azure-régióban.
  • Régiónként kevés távoli vagy ághely található. Ez azt jelzi, hogy kevesebb mint 30 IPSec helyek közötti alagútra van szüksége.
  • Az Azure-beli hálózati útválasztási szabályzat manuális konfigurálásához teljes körű vezérlésre és részletességre van szükség.

Virtual WAN hálózati topológia (Microsoft által felügyelt)

Diagram that illustrates a Virtual WAN network topology.

Hagyományos Azure hálózati topológia

Diagram that illustrates a traditional Azure network topology.

Azure Virtual Network Manager az Azure-beli célzónákban

Az Azure-beli célzónák elméleti architektúrája két hálózati topológia egyikét javasolja: egy virtual WAN-alapú hálózati topológiát vagy egy hagyományos küllős architektúrán alapuló hálózati topológiát. Ahogy az üzleti követelmények idővel változnak (például a hibrid kapcsolatot igénylő helyszíni alkalmazások Azure-ba történő migrálása), a Virtual Network Managerrel bővítheti és implementálhatja a hálózati módosításokat. Ezt sok esetben anélkül teheti meg, hogy megzavarná az Azure-ban már üzembe helyezett műveleteket.

A Virtual Network Managerrel három topológiát hozhat létre a meglévő és az új virtuális hálózatok előfizetései között:

  • Küllős topológia
  • Küllős topológia küllők közötti közvetlen kapcsolattal
  • Mesh-topológia (előzetes verzióban)

Diagram that shows Azure virtual network topologies.

Megjegyzés:

A Virtual Network Manager nem támogatja a Virtual WAN-központokat hálózati csoport részeként vagy topológiában lévő központként. További információkért tekintse meg az Azure Virtual Network Managerrel kapcsolatos gyakori kérdéseket.

Ha közvetlen kapcsolattal rendelkező küllős topológiát hoz létre a Virtual Network Managerben, ahol a küllők közvetlenül csatlakoznak egymáshoz, az ugyanabban a hálózati csoportban lévő küllős virtuális hálózatok közötti közvetlen kapcsolat automatikusan, kétirányúan engedélyezve lesz a Csatlakozás csoportfunkción keresztül.

A Virtual Network Managerrel statikusan vagy dinamikusan adhat hozzá virtuális hálózatokat adott hálózati csoportokhoz. Ezzel meghatározza és létrehozza a kívánt topológiát a Virtual Network Manager kapcsolati konfigurációja alapján.

Több hálózati csoportot is létrehozhat, hogy elkülönítse a virtuális hálózatok csoportjait a közvetlen kapcsolattól. Minden hálózati csoport ugyanazt a régiót és többrégiós támogatást nyújt a küllők közötti kapcsolatokhoz. Ügyeljen arra, hogy az Azure Virtual Network Managerrel kapcsolatos gyakori kérdésekben ismertetett, a Virtual Network Managerre vonatkozó korlátokon belül maradjon.

Biztonsági szempontból a Virtual Network Manager hatékony módot kínál a biztonsági rendszergazdai szabályok alkalmazására a forgalom központi megtagadására vagy engedélyezésére, függetlenül attól, hogy mi van meghatározva az NSG-kben. Ez a funkció lehetővé teszi, hogy a hálózati biztonsági rendszergazdák kényszerítsék a hozzáférés-vezérlést, és lehetővé tegyék az alkalmazástulajdonosok számára, hogy saját, alacsonyabb szintű szabályokat kezeljenek az NSG-kben.

A Virtual Network Managerrel csoportosíthatja a virtuális hálózatokat. Ezután konfigurációkat alkalmazhat a csoportokra, nem pedig az egyes virtuális hálózatokra. Ez a funkció lehetővé teszi a kapcsolatok, a konfiguráció és a topológia, a biztonsági szabályok és az üzembe helyezés hatékonyabb kezelését egyszerre egy vagy több régióban anélkül, hogy elveszítené a részletes vezérlést.

A hálózatokat környezetek, csapatok, helyek, üzletágak vagy más, igényeinek megfelelő funkciók szerint szegmentelheti. A hálózati csoportokat statikusan vagy dinamikusan is definiálhatja a csoporttagságokat szabályozó feltételek készletének létrehozásával.

A Virtual Network Manager használatával implementálhatja az Azure célzóna tervezési alapelveit az alkalmazások migrálásának, modernizálásának és innovációjának nagy léptékű kielégítése érdekében.

Design considerations

  • A hagyományos küllős üzemelő példányokban a virtuális hálózati társviszony-létesítési kapcsolatok manuálisan jönnek létre és tartanak fenn. A Virtual Network Manager egy automatizálási réteget vezet be a virtuális hálózatok közötti társviszony-létesítéshez, amely megkönnyíti a nagy és összetett hálózati topológiák, például a mesh nagy léptékű kezelését. További információ: Hálózati csoport áttekintése.
  • A különböző üzleti függvények biztonsági követelményei határozzák meg a hálózati csoportok létrehozásának szükségességét. A hálózati csoport olyan virtuális hálózatok készlete, amelyek manuálisan vagy feltételes utasításokon keresztül vannak kiválasztva, a dokumentum korábbi részében leírtak szerint. Hálózati csoport létrehozásakor meg kell adnia egy szabályzatot, vagy a Virtual Network Manager létrehozhat egy szabályzatot, ha kifejezetten engedélyezi azt. Ez a szabályzat lehetővé teszi, hogy a Virtual Network Manager értesítést kapjon a változásokról. A meglévő Azure-szabályzatkezdeményezések frissítéséhez a Virtual Network Manager-erőforráson belül telepítenie kell a hálózati csoport módosításait.
  • A megfelelő hálózati csoportok kialakításához ki kell értékelnie, hogy a hálózat mely részei közös biztonsági jellemzőkkel rendelkeznek. Létrehozhat például hálózati csoportokat a vállalati és online rendszerhez a kapcsolati és biztonsági szabályok nagy léptékű kezeléséhez.
  • Ha a szervezet előfizetései között több virtuális hálózat is ugyanazt a biztonsági attribútumot használja, a Virtual Network Managerrel hatékonyan alkalmazhatja őket. Tegyük fel például, hogy egy üzleti egység, például a HR vagy a Pénzügy által használt összes rendszert külön hálózati csoportba kell helyeznie, mert különböző rendszergazdai szabályokat kell alkalmaznia rájuk.
  • A Virtual Network Manager központilag alkalmazhat biztonsági rendszergazdai szabályokat, amelyek magasabb prioritással rendelkeznek, mint az alhálózat szintjén alkalmazott NSG-szabályok. (Ez a funkció előzetes verzióban érhető el.) Ez a funkció lehetővé teszi a hálózati és biztonsági csapatok számára, hogy hatékonyan kényszerítsék ki a vállalati szabályzatokat, és biztonsági védőkorlátokat hozzanak létre nagy méretekben, de lehetővé teszik a termékcsapatoknak, hogy egyidejűleg fenntartsák az NSG-k ellenőrzését a kezdőzóna-előfizetéseiken belül.
  • A Virtual Network Manager biztonsági rendszergazdai szabályok funkciójával explicit módon engedélyezheti vagy tilthatja le az adott hálózati folyamatokat, függetlenül attól, hogy az alhálózat vagy a hálózati adapter szintjén milyen NSG-konfigurációkra van szükség. Ezt a képességet például arra használhatja, hogy a felügyeleti szolgáltatások hálózati folyamatai mindig engedélyezve legyenek. Az alkalmazáscsapatok által felügyelt NSG-k nem bírálhatják felül ezeket a szabályokat.
  • A virtuális hálózatok akár két csatlakoztatott csoport részét is képezhetik.

Tervezési javaslatok

  • Határozza meg a Virtual Network Manager hatókörét. Olyan biztonsági rendszergazdai szabályokat alkalmazhat, amelyek szervezeti szintű szabályokat kényszerítenek ki a gyökérszintű felügyeleti csoportban (a bérlőben). Ezzel hierarchikusan automatikusan alkalmazza a szabályokat a meglévő és az új erőforrásokra, valamint az összes társított felügyeleti csoportra.
  • Hozzon létre egy Virtual Network Manager-példányt a Csatlakozás ivity-előfizetésben a köztes gyökérszintű felügyeleti csoport hatókörével (például Contoso). Engedélyezze a biztonsági rendszergazda funkciót ezen a példányon. Ezzel a konfigurációval olyan biztonsági rendszergazdai szabályokat határozhat meg, amelyek az Azure-beli célzóna-hierarchiában lévő összes virtuális hálózatra és alhálózatra vonatkoznak, és segít demokratizálni az NSG-ket az alkalmazás kezdőzónájának tulajdonosaira és csapatára.
  • A hálózatok szegmentálása virtuális hálózatok statikus (manuális) vagy dinamikus (szabályzatalapú) csoportosításával.
  • A küllők közötti közvetlen kapcsolat engedélyezése, ha a kiválasztott küllőknek gyakran, alacsony késéssel és nagy átviteli sebességgel kell kommunikálniuk egymással a közös szolgáltatások vagy NVA-k elérése mellett a központban.
  • Globális háló engedélyezése, ha a régiók közötti összes virtuális hálózatnak kommunikálnia kell egymással.
  • Rendeljen hozzá prioritásértéket a szabálygyűjtemények minden egyes biztonsági rendszergazdai szabályához. Minél alacsonyabb az érték, annál magasabb a szabály prioritása.
  • Biztonsági rendszergazdai szabályokkal explicit módon engedélyezheti vagy tilthatja le a hálózati folyamatokat, függetlenül az alkalmazáscsapatok által ellenőrzött NSG-konfigurációktól. Így teljes mértékben delegálhatja az NSG-k és szabályaik ellenőrzését az alkalmazáscsapatoknak.