Megosztás a következőn keresztül:

Hálózati topológia és kapcsolatok

  • Cikk

A hálózati topológia és a kapcsolattervezési terület kritikus fontosságú a felhőhálózat-tervezés alapjainak létrehozásához.

Tervezési terület áttekintése

Érintett szerepkörök vagy függvények: Ez a tervezési terület valószínűleg egy vagy több felhőplatform és a felhőalapú kiválósági központ támogatását igényli a döntések meghozatalához és végrehajtásához.

Hatókör: A hálózattervezés célja, hogy a felhőhálózat kialakítását a felhőbevezetési tervekhez igazítsa. Ha a felhőbevezetési tervek hibrid vagy többfelhős függőségeket tartalmaznak, vagy ha más okból van szüksége kapcsolatra, a hálózat kialakításának tartalmaznia kell ezeket a csatlakozási lehetőségeket és a várt forgalmi mintákat is.

Hatókörön kívül: Ez a tervezési terület hozza létre a hálózatkezelés alapjait. Nem foglalkozik a megfelelőségtel kapcsolatos problémákkal, például a fejlett hálózati biztonsággal vagy az automatizált kényszerítési védőkorlátokkal. Ez az útmutató a biztonsági és szabályozási megfelelőség tervezési területeinek áttekintésekor jön létre. A biztonsági és szabályozási megbeszélések elhalasztásával a felhőplatform csapatának meg kell felelnie a kezdeti hálózatkezelési követelményeknek, mielőtt kibővítené közönségét összetettebb témakörökben.

Tervezési terület áttekintése

A hálózati topológia és a kapcsolat alapvető fontosságú a kezdőzóna kialakítását tervező szervezetek számára. A hálózatkezelés szinte mindennek a központi része a célzónán belül. Lehetővé teszi más Azure-szolgáltatásokhoz, külső felhasználókhoz és helyszíni infrastruktúrához való kapcsolódást. A hálózati topológia és a kapcsolat az Azure célzóna-tervezési területek környezetvédelmi csoportjában található. Ez a csoportosítás az alapvető tervezési és megvalósítási döntésekben betöltött fontosságukon alapul.

Az ALZ koncepcióalapú felügyeleti csoporthierarchiájának hálózatkezelési területeinek diagramja.

Az Azure-beli célzóna-architektúrában két fő felügyeleti csoport üzemeltet számítási feladatokat: a Corp és az Online. Ezek a felügyeleti csoportok különböző célokat szolgálnak az Azure-előfizetések rendszerezésében és szabályozásában. A különböző Azure-beli célzónák felügyeleti csoportjai közötti hálózati kapcsolat a szervezet konkrét követelményeitől és hálózati architektúrájától függ. A következő néhány szakasz a Corp, az Online és a Kapcsolatkezelési csoportok közötti hálózati kapcsolatot tárgyalja az Azure-beli célzónagyorsítóval kapcsolatban.

Mi a kapcsolati, corpi és online felügyeleti csoportok célja?

  • Kapcsolatkezelési csoport: Ez a felügyeleti csoport dedikált előfizetéseket tartalmaz a kapcsolatokhoz, általában egyetlen előfizetést a legtöbb szervezet számára. Ezek az előfizetések üzemeltetik a platformhoz szükséges Azure hálózati erőforrásokat, például az Azure Virtual WAN-t, a virtuális hálózati átjárókat, az Azure Firewallt és az Azure DNS privát zónáit. Itt jön létre hibrid kapcsolat a felhő és a helyszíni környezetek között, olyan szolgáltatások használatával, mint az ExpressRoute stb.
  • Corp management group: A vállalati kezdőzónák dedikált felügyeleti csoportja. Ez a csoport olyan előfizetéseket tartalmaz, amelyek olyan számítási feladatokat üzemeltetnek, amelyek hagyományos IP-útválasztási kapcsolatot vagy hibrid kapcsolatot igényelnek a vállalati hálózattal a kapcsolati előfizetésben lévő központon keresztül, és ezért ugyanazon útválasztási tartomány részét képezik. Az olyan számítási feladatok, mint például a belső rendszerek, nem jelennek meg közvetlenül az interneten, de fordított proxykkal, például Application Gateway-ekkel is közzétehetők.
  • Online felügyeleti csoport: Az online kezdőzónák dedikált felügyeleti csoportja. Ez a csoport nyilvános erőforrásokhoz, például webhelyekhez, e-kereskedelmi alkalmazásokhoz és ügyféloldali szolgáltatásokhoz használt előfizetéseket tartalmaz. A szervezetek például az Online felügyeleti csoporttal elkülöníthetik a nyilvánosan elérhető erőforrásokat az Azure-környezet többi részétől, csökkentve a támadási felületet, és gondoskodhatnak arról, hogy a nyilvánosan elérhető erőforrások biztonságosak és elérhetők legyenek az ügyfelek számára.

Miért hoztunk létre Corp és Online felügyeleti csoportokat a számítási feladatok elkülönítéséhez?

A Corp és az Online felügyeleti csoportok közötti hálózatkezelési szempontok különbsége a fogalmi Azure-beli kezdőzóna architektúrájában a rendeltetésük és az elsődleges céljuk.

A corp felügyeleti csoport belső erőforrások és szolgáltatások, például üzletági alkalmazások, adatbázisok és felhasználókezelés kezelésére és védelmére szolgál. A Corp felügyeleti csoport hálózatkezelési szempontjai a belső erőforrások közötti biztonságos és hatékony kapcsolat biztosítására összpontosítanak, miközben szigorú biztonsági szabályzatokat kényszerítenek ki a jogosulatlan hozzáférés elleni védelem érdekében.

Az Azure-beli célzóna-architektúra online felügyeleti csoportja elszigetelt környezetnek tekinthető, amely az internetről elérhető nyilvános erőforrások és szolgáltatások kezelésére szolgál. Az Online felügyeleti csoport nyilvánosan elérhető erőforrások kezelésére való használatával az Azure célzóna architektúrája lehetővé teszi az erőforrások belső erőforrásoktól való elkülönítését, ezáltal csökkentve a jogosulatlan hozzáférés kockázatát, és minimalizálja a támadási felületet.

Az Azure-beli célzóna elméleti architektúrájában az Online felügyeleti csoport virtuális hálózata – igény szerint – társítható a Corp felügyeleti csoportban lévő virtuális hálózatokkal, közvetlenül vagy közvetve a központon keresztül, valamint a kapcsolódó útválasztási követelményeken keresztül egy Azure Firewallon vagy NVA-n keresztül, lehetővé téve, hogy a nyilvánosan elérhető erőforrások biztonságos és szabályozott módon kommunikáljanak a belső erőforrásokkal. Ez a topológia biztosítja, hogy a nyilvános és a belső erőforrások közötti hálózati forgalom biztonságos és korlátozott legyen, miközben az erőforrások szükség szerint kommunikálhatnak.

Tipp.

Emellett fontos megérteni és áttekinteni az Azure-beli kezdőzóna részeként az egyes felügyeleti csoportokhoz hozzárendelt és örökölt Azure-szabályzatokat. Mivel ezek segítenek a felügyeleti csoportokban található előfizetésekben üzembe helyezett számítási feladatok kialakításában, védelmében és szabályozásában. Az Azure-beli célzónák szabályzat-hozzárendelései itt találhatók.