Megosztás a következőn keresztül:

Az Azure hálózati szolgáltatásai – áttekintés

  • Cikk

Az Azure hálózatkezelési szolgáltatásai különböző hálózati képességeket biztosítanak, amelyek együtt vagy külön is használhatók. Válassza ki az alábbi hálózati forgatókönyvek mindegyikét, hogy többet tudjon meg róluk:

  • Hálózatkezelés alapja: Az Azure hálózatkezelési alapszolgáltatásai alapvető kapcsolatot biztosítanak az erőforrásokhoz az Azure – Virtuális hálózat (VNet), a Private Link, az Azure DNS, az Azure Virtual Network Manager, az Azure Bastion, az Útvonalkiszolgáló, a NAT Gateway, a Traffic Manager, az Azure Network Watcher és az Azure Monitor erőforrásaihoz.
  • Terheléselosztás és tartalomkézbesítés: Az Azure terheléselosztási és tartalomkézbesítési szolgáltatásai lehetővé teszik az alkalmazások és számítási feladatok felügyeletét, terjesztését és optimalizálását – terheléselosztó, Application Gateway és Azure Front Door.
  • Hibrid kapcsolat: Az Azure hibrid kapcsolati szolgáltatásai biztonságosan kommunikálnak az azure-beli erőforrások között – VPN Gateway, ExpressRoute, Virtual WAN és Társviszony-létesítési szolgáltatás.
  • Hálózati biztonság: Az Azure hálózati biztonsági szolgáltatásai védik a webalkalmazásokat és az IaaS-szolgáltatásokat a DDoS-támadásoktól és a rosszindulatú szereplőktől – Firewall Manager, Firewall, Web Application Firewall és DDoS Protection.

Hálózatkezelés alapjai

Ez a szakasz azOkat a szolgáltatásokat ismerteti, amelyek az Azure - Virtual Network (VNet), a Private Link, az Azure DNS, az Azure Virtual Network Manager, az Azure Bastion, a Route Server, a NAT Gateway, a Traffic Manager, az Azure Network Watcher és az Azure Monitor hálózati környezetének tervezéséhez és kialakításához nyújtanak építőelemeket.

Virtuális hálózat

Az Azure Virtual Network (VNet) az Azure-beli magánhálózat alapvető építőeleme. A virtuális hálózatok a következőre használhatók:

  • Kommunikáció az Azure-erőforrások között: Virtuális gépeket és számos más típusú Azure-erőforrást helyezhet üzembe egy virtuális hálózaton, például Azure-alkalmazás szolgáltatáskörnyezetekben, az Azure Kubernetes Service-ben (AKS) és az Azure Virtual Machine Scale Setsben. A virtuális hálózatokon üzembe helyezhető Azure-erőforrások teljes listájáért lásd: Virtuális hálózati szolgáltatás integrálása.
  • Kommunikáció egymással: Virtuális hálózatokat csatlakoztathat egymáshoz, lehetővé téve, hogy a virtuális hálózaton lévő erőforrások kommunikáljanak egymással a virtuális hálózatok közötti társviszony-létesítés vagy az Azure Virtual Network Manager használatával. Az összekacsolt virtuális hálózatok lehetnek azonos vagy eltérő Azure-régiókban. További információ: Virtuális hálózatok közötti társviszony-létesítés és Azure Virtual Network Manager.
  • Kommunikáció az internetre: A virtuális hálózat összes erőforrása alapértelmezés szerint képes az internet felé kimenő kommunikációra. Bejövő kommunikációt létesíthet egy erőforrással egy nyilvános IP-cím vagy Load Balancer hozzárendelésével. A kimenő kapcsolatok kezeléséhez nyilvános IP-címeket vagy nyilvános Load Balancert is használhat.
  • Kommunikáció helyszíni hálózatokkal: A helyszíni számítógépeket és hálózatokat vpn Gateway vagy ExpressRoute használatával csatlakoztathatja egy virtuális hálózathoz.
  • Az erőforrások közötti forgalom titkosítása: Virtuális hálózat titkosítása segítségével titkosíthatja a virtuális hálózat erőforrásai közötti forgalmat.

Hálózati biztonsági csoportok

Az Azure-beli virtuális hálózatokban az Azure-erőforrások bejövő és kimenő hálózati forgalmát hálózati biztonsági csoportokkal szűrheti. További információ: Hálózati biztonsági csoportok.

Szolgáltatásvégpontok

A virtuális hálózat (VNet) szolgáltatásvégpontjai közvetlen kapcsolaton keresztül kibővítik a virtuális hálózat privát címterét és a virtuális hálózat identitását az Azure-szolgáltatásokra. A végpontok segítségével biztosíthatja, hogy kritikus fontosságú Azure-szolgáltatási erőforrásai csak a virtuális hálózatain legyenek elérhetőek. A virtuális hálózatról az Azure szolgáltatásba érkező forgalom mindig a Microsoft Azure gerinchálózatán marad.

A virtuális hálózati szolgáltatásvégpontok diagramja.

Az Azure Private Link lehetővé teszi az Azure PaaS-szolgáltatások (például az Azure Storage és az SQL Database) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését a virtuális hálózat egy privát végpontján keresztül. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán keresztül halad át. Ezáltal kiküszöbölhető a szolgáltatás nyilvános internetes kitettsége. Létrehozhatja saját privát kapcsolati szolgáltatását a virtuális hálózatán belül, és eljuttathatja azt ügyfeleihez.

Képernyőkép a privát végpont áttekintéséről.

Azure DNS

Az Azure DNS a Microsoft Azure-infrastruktúrával biztosítja a DNS-üzemeltetést és -feloldást. Az Azure DNS három szolgáltatásból áll:

  • Az Azure Public DNS a DNS-tartományok üzemeltetési szolgáltatása. Ha tartományait az Azure-ban üzemelteti, DNS-rekordjait a többi Azure-szolgáltatáshoz is használt hitelesítő adatokkal, API-kkal, eszközökkel és számlázási információkkal kezelheti.
  • Az Azure saját DNS a virtuális hálózatok DNS-szolgáltatása. Az Azure saját DNS kezeli és feloldja a virtuális hálózat tartományneveit anélkül, hogy egyéni DNS-megoldást kellene konfigurálnia.
  • Az Azure DNS Private Resolver egy szolgáltatás, amely lehetővé teszi az Azure DNS privát zónáinak lekérdezését egy helyszíni környezetből, és fordítva, virtuálisgép-alapú DNS-kiszolgálók üzembe helyezése nélkül.

Az Azure DNS használatával nyilvános tartományokat üzemeltethet és oldhat fel, kezelheti a DNS-feloldásokat a virtuális hálózatokban, és engedélyezheti a névfeloldásokat az Azure és a helyszíni erőforrások között.

Azure Virtual Network Manager

Az Azure Virtual Network Manager egy felügyeleti szolgáltatás, amely lehetővé teszi a virtuális hálózatok globális csoportosítását, konfigurálását, üzembe helyezését és kezelését az előfizetések között. A Virtual Network Managerrel hálózati csoportokat határozhat meg a virtuális hálózatok azonosításához és logikai szegmentálásához. Ezután meghatározhatja a kívánt kapcsolati és biztonsági konfigurációkat , és alkalmazhatja őket a hálózati csoportokban lévő összes kiválasztott virtuális hálózatra.

Az Azure Virtual Network Managerrel egy hálós virtuális hálózati topológiához üzembe helyezett erőforrások diagramja.

Azure Bastion

Az Azure Bastion egy szolgáltatás, amelyet üzembe helyezhet egy virtuális hálózaton, hogy lehetővé tegye a virtuális géphez való csatlakozást a böngésző és az Azure Portal használatával. A helyi számítógépen már telepített natív SSH- vagy RDP-ügyféllel is csatlakozhat. Az Azure Bastion szolgáltatás egy teljesen platform által felügyelt PaaS-szolgáltatás, amelyet a virtuális hálózaton belül helyez üzembe. Biztonságos és zökkenőmentes RDP-/SSH-kapcsolatokat konfigurálhat a virtuális gépeihez közvetlenül az Azure Portalon, TLS használatával. Ha az Azure Bastionon keresztül csatlakozik, a virtuális gépeinek nincs szüksége nyilvános IP-címre, ügynökre vagy meghatározott ügyfélszoftverre. Az Azure Bastionhoz különböző termékváltozatok/szintek érhetők el. A kiválasztott szint hatással van az elérhető funkciókra. További információ: A Bastion konfigurációs beállításai.

Az Azure Bastion architektúrát bemutató ábra.

Azure Route Server

Az Azure Route Server leegyszerűsíti a dinamikus útválasztást a hálózati virtuális berendezés (NVA) és a virtuális hálózat között. Lehetővé teszi az útválasztási adatok közvetlen cseréjét a Border Gateway Protocol (BGP) útválasztási protokollon keresztül bármely olyan NVA között, amely támogatja a BGP-útválasztási protokollt és az Azure-beli virtuális hálózat (VNet) Azure Szoftveralapú hálózata (SDN) között anélkül, hogy manuálisan konfigurálnia vagy karbantartania kellene az útvonaltáblákat.

A virtuális hálózaton konfigurált Azure Route Servert bemutató ábra.

NAT-átjáró

A virtuális hálózati NAT (hálózati címfordítás) leegyszerűsíti a csak kimenő internetkapcsolatot a virtuális hálózatokhoz. Ha alhálózaton van konfigurálva, minden kimenő kapcsolat a megadott statikus nyilvános IP-címeket használja. A kimenő kapcsolat terheléselosztó vagy a virtuális gépekhez közvetlenül csatlakoztatott nyilvános IP-címek nélkül lehetséges. További információ: Mi az Az Azure NAT-átjáró?

A virtuális hálózati NAT-átjáró diagramja.

Traffic Manager

Az Azure Traffic Manager egy DNS-alapú forgalom terheléselosztó, amely lehetővé teszi a forgalom optimális elosztását a szolgáltatások között a globális Azure-régiók között, magas rendelkezésre állást és válaszkészséget biztosítva. A Traffic Manager számos forgalom-útválasztási módszert kínál a forgalom elosztásához, például prioritás, súlyozott, teljesítmény, földrajzi, többértékű vagy alhálózat.

Az alábbi ábra a végpont prioritásalapú útválasztását mutatja be a Traffic Managerrel:

Az Azure Traffic Manager

További információ a Traffic Managerről: Mi az Az Azure Traffic Manager?.

Azure Network Watcher

Az Azure Network Watcher eszközeivel monitorozhatja és diagnosztizálhatja az erőforrásokat egy Azure virtuális hálózaton belül, illetve megtekintheti azok metrikáit, és engedélyezheti vagy letiltja azok naplóit.

Az Azure Network Watcher képességeit bemutató ábra.

Azure Monitor

Az Azure Monitor maximalizálja az alkalmazások rendelkezésre állását és teljesítményét azzal, hogy egy teljes értékű megoldást kínál, amellyel a felhőbeli és a helyszíni környezetből származó telemetriai adatokat lehet gyűjteni, elemezni, és ezek alapján műveleteket elvégezni. Ez a szolgáltatás segít megérteni azt, hogy az alkalmazásai hogyan teljesítenek, valamint proaktív módon azonosítja a működésüket befolyásoló problémákat és azokat az erőforrásokat, amelyektől függenek.

Terheléselosztás és tartalomkézbesítés

Ez a szakasz az Azure-beli hálózatkezelési szolgáltatásokat ismerteti, amelyek segítenek az alkalmazások és számítási feladatok biztosításában – Load Balancer, Application Gateway és Azure Front Door Service.

Load Balancer

Az Azure Load Balancer nagy teljesítményű, alacsony késésű 4. rétegbeli terheléselosztást biztosít az összes UDP- és TCP-protokollhoz. Kezeli a bejövő és kimenő kapcsolatokat. Konfigurálhat nyilvános és belső terheléselosztású végpontokat. A szolgáltatás rendelkezésre állásának kezeléséhez TCP- és HTTP-állapottesztelési lehetőségekkel szabályokat határozhat meg a háttérkészlet-célkészletek bejövő kapcsolatainak leképezéséhez.

Az Azure Load Balancer standard, regionális és átjáró termékváltozatokban érhető el.

Az alábbi képen egy internetes többrétegű alkalmazás látható, amely külső és belső terheléselosztókat is használ:

Képernyőkép az Azure Load Balancer példájáról.

Application Gateway

Az Azure Application Gateway egy webes forgalomra vonatkozó terheléselosztó, amellyel kezelheti a webalkalmazásai forgalmát. Ez egy alkalmazáskézbesítési vezérlő (ADC) szolgáltatásként, amely különböző 7. rétegbeli terheléselosztási képességeket kínál az alkalmazások számára.

Az alábbi ábrán az URL-útvonalon alapuló útválasztás látható az Application Gateway használatával.

Példa az Application Gatewayre.

Azure Front Door

Az Azure Front Door lehetővé teszi a webes forgalom globális útválasztásának meghatározását, kezelését és monitorozását a legjobb teljesítmény és azonnali globális feladatátvétel optimalizálásával a magas rendelkezésre állás érdekében. A Front Door használatával a globális (több régióban található) fogyasztói és nagyvállalati alkalmazásait olyan robusztus, nagy teljesítményű, személyre szabott és modern alkalmazásokká, API-kká és tartalmakká alakíthatja, amelyek az Azure-on keresztül elérhetik a globális közönségüket.

Az Azure Front Door szolgáltatás diagramja webalkalmazási tűzfallal.

Hibrid kapcsolat

Ez a szakasz a helyszíni hálózat és az Azure – VPN Gateway, az ExpressRoute, a Virtual WAN és a társviszony-létesítési szolgáltatás közötti biztonságos kommunikációt biztosító hálózati kapcsolati szolgáltatásokat ismerteti.

VPN Gateway

A VPN Gateway segítségével titkosított, helyszíni helyekről létesíthet kapcsolatot a virtuális hálózattal, vagy titkosított kapcsolatokat hozhat létre a virtuális hálózatok között. A VPN Gateway-kapcsolatokhoz különböző konfigurációk érhetők el. Néhány fő funkció:

  • Helyek közötti VPN-kapcsolatok
  • Pont–hely VPN-kapcsolat
  • Virtuális hálózatok közötti VPN-kapcsolat

Az alábbi ábra több helyek közötti VPN-kapcsolatot mutat be ugyanahhoz a virtuális hálózathoz. További kapcsolati diagramok megtekintéséhez tekintse meg a VPN Gateway tervezését.

Több helyek közötti Azure VPN Gateway-kapcsolatot bemutató ábra.

ExpressRoute

Az ExpressRoute lehetővé teszi a helyszíni hálózatok microsoftos felhőbe való kiterjesztését egy kapcsolatszolgáltató által megkönnyített privát kapcsolaton keresztül. Ez a kapcsolat nem nyilvános. A forgalom nem megy át az interneten. Az ExpressRoute-tal kapcsolatokat létesíthet a Microsoft-felhőszolgáltatásokkal, például a Microsoft Azure-ral, a Microsoft 365-tel és a Dynamics 365-tel.

Képernyőkép az Azure ExpressRoute-ról.

Virtuális WAN

Az Azure Virtual WAN egy olyan hálózatkezelési szolgáltatás, amely számos hálózatkezelési, biztonsági és útválasztási funkciót egyesítve egyetlen működési felületet biztosít. Az Azure-beli virtuális hálózatokhoz való kapcsolódás virtuális hálózati kapcsolatok használatával jön létre. Néhány fő funkció:

  • Ágkapcsolat (virtuális WAN-partnereszközök, például SD-WAN vagy VPN CPE kapcsolatautomatizálásával)
  • Helyek közötti VPN-kapcsolatok
  • Távoli felhasználói VPN-kapcsolat (pont–hely)
  • Privát kapcsolat (ExpressRoute)
  • Felhőn belüli kapcsolatok (virtuális hálózatok átjárható kapcsolatai)
  • VPN ExpressRoute-kapcsolatok
  • Útválasztás, Azure Firewall és titkosítás a privát kapcsolatokhoz

Virtual WAN-diagram.

Peering Service

Az Azure Peering Service javítja az ügyfélkapcsolatot a Microsoft felhőszolgáltatásokkal, például a Microsoft 365-tel, a Dynamics 365, a szolgáltatott szoftverekkel (SaaS)-szolgáltatásokkal, az Azure-sal vagy a nyilvános interneten keresztül elérhető Microsoft-szolgáltatások.

Hálózati biztonság

Ez a szakasz az Azure hálózati szolgáltatásait ismerteti, amelyek védik és figyelik a hálózati erőforrásokat – a Firewall Managert, a tűzfalat, a webalkalmazási tűzfalat és a DDoS Protectiont.

Firewall Manager

Az Azure Firewall Manager egy biztonsági felügyeleti szolgáltatás, amely központi biztonsági szabályzatot és útválasztás-felügyeletet biztosít a felhőalapú biztonsági szegélyekhez. A Tűzfalkezelő kétféle hálózati architektúra biztonsági felügyeletét biztosítja: a biztonságos virtuális központot és a központi virtuális hálózatot. Az Azure Firewall Managerrel több Azure Firewall-példányt is üzembe helyezhet az Azure-régiókban és az előfizetésekben, DDoS-védelmi csomagokat implementálhat, webalkalmazási tűzfalszabályzatokat kezelhet, és integrálhatja a partneri biztonsági szolgáltatással a fokozott biztonság érdekében.

Egy biztonságos virtuális központ és egy központi virtuális hálózat több Azure-tűzfalának diagramja.

Azure Firewall

Az Azure Firewall egy felügyelt, felhőalapú hálózati biztonsági szolgáltatás, amely védi az Azure-beli virtuális hálózati erőforrásokat. Az Azure Firewall használatával központilag hozhat létre, kényszeríthet és naplózhat alkalmazás- és hálózati kapcsolati szabályzatokat előfizetések és virtuális hálózatok között. Az Azure Firewall statikus nyilvános IP-címet használ a virtuális hálózat erőforrásaihoz, így a külső tűzfalak azonosíthatják a virtuális hálózatból érkező forgalmat.

A tűzfal áttekintésének diagramja.

Webalkalmazási tűzfal

Az Azure Web Application Firewall (WAF) védelmet nyújt a webalkalmazásoknak az olyan gyakori webes biztonsági rések és biztonsági rések ellen, mint az SQL-injektálás és a helyek közötti szkriptelés. Az Azure WAF a felügyelt szabályokon keresztül biztosítja az OWASP 10 legfontosabb biztonsági résének védelmét. Emellett az ügyfelek egyéni szabályokat is konfigurálhatnak, amelyek ügyfél által felügyelt szabályok, amelyek további védelmet nyújtanak a forrás IP-címtartománya alapján, valamint olyan kérési attribútumokat, mint a fejlécek, a cookie-k, az űrlapadatmezők vagy a lekérdezési sztring paraméterei.

Az ügyfelek dönthetnek úgy, hogy az Azure WAF-et az Application Gateway használatával helyezik üzembe, amely regionális védelmet nyújt a nyilvános és a privát címtérben lévő entitások számára. Az ügyfelek dönthetnek úgy is, hogy az Azure WAF-et a Front Door használatával helyezik üzembe, amely védelmet nyújt a hálózati peremhálózaton a nyilvános végpontok számára.

Képernyőkép a webalkalmazási tűzfalról.

DDoS Protection

Az Azure DDoS Protection ellenintézkedéseket biztosít a legkifinomultabb DDoS-fenyegetésekkel szemben. A szolgáltatás továbbfejlesztett DDoS-kockázatcsökkentési képességeket biztosít az alkalmazáshoz és a virtuális hálózatokon üzembe helyezett erőforrásokhoz. Emellett az Azure DDoS Protectiont használó ügyfeleknek hozzáférésük van a DDoS gyorsreagálási támogatásához, hogy DDoS-szakértőket vonjanak be egy aktív támadás során.

Az Azure DDoS Protection két szintből áll:

  • A DDoS Network Protection alkalmazástervezési ajánlott eljárásokkal kombinálva továbbfejlesztett DDoS-kockázatcsökkentő funkciókat biztosít a DDoS-támadások elleni védelemhez. A rendszer automatikusan hangolja a virtuális hálózatban lévő azure-erőforrások védelmét.
  • A DDoS IP Protection egy fizetős, védett IP-modell. A DDoS IP Protection ugyanazokat az alapvető mérnöki funkciókat tartalmazza, mint a DDoS Network Protection, de a következő hozzáadott értékekkel rendelkező szolgáltatásokban különbözik: DDoS gyors választámogatás, költségvédelem és WAF-kedvezmények.

Egy DDoS által védett PaaS-webalkalmazás referenciaarchitektúrájának diagramja.

Következő lépések

  • Hozza létre az első virtuális hálózatot, és csatlakozzon hozzá néhány virtuális gépet az első virtuális hálózat létrehozása című cikk lépéseinek végrehajtásával.
  • Csatlakoztassa a számítógépet egy virtuális hálózathoz a pont–hely kapcsolat konfigurálásával foglalkozó cikk lépéseinek végrehajtásával.
  • A nyilvános kiszolgálók felé irányuló internetes forgalom terheléselosztása az internetre irányuló terheléselosztó-cikk lépéseinek végrehajtásával.