Condividi tramite

Topologia di rete e connettività

  • Articolo

L'area di progettazione della topologia di rete e della connettività è fondamentale per stabilire una base per la progettazione della rete cloud.

Revisione dell'area di progettazione

Ruoli o funzioni coinvolti: questa area di progettazione richiede probabilmente il supporto di una o più funzioni della piattaforma cloud e del centro di eccellenza del cloud per prendere e implementare decisioni.

Ambito: l'obiettivo della progettazione della rete è allineare la progettazione della rete cloud con i piani di adozione generali del cloud. Se i piani di adozione del cloud includono dipendenze ibride o multi-cloud o se è necessaria la connettività per altri motivi, la progettazione della rete deve incorporare anche queste opzioni di connettività e i modelli di traffico previsti.

Fuori ambito: questa area di progettazione stabilisce le basi per la rete. Non risolve i problemi relativi alla conformità, ad esempio sicurezza di rete avanzata o protezioni automatiche per l'applicazione. Queste indicazioni vengono fornite quando si esaminano le aree di progettazione della conformità della sicurezza e della governance. Postponendo discussioni sulla sicurezza e sulla governance, il team della piattaforma cloud risponde ai requisiti di rete iniziali prima di espandere il pubblico per argomenti più complessi.

Panoramica dell'area di progettazione

La topologia di rete e la connettività sono fondamentali per le organizzazioni che pianificano la progettazione della zona di destinazione. La rete è fondamentale per quasi tutto all'interno di una zona di destinazione. Consente la connettività ad altri servizi di Azure, utenti esterni e infrastruttura locale. La topologia di rete e la connettività si trovano nel gruppo ambientale delle aree di progettazione della zona di destinazione di Azure. Questo raggruppamento si basa sulla loro importanza nelle decisioni di progettazione e implementazione di base.

Diagramma delle aree di rete della gerarchia del gruppo di gestione di ALZ.

Nell'architettura concettuale della zona di destinazione di Azure sono disponibili due gruppi di gestione principali che ospitano carichi di lavoro: Corp e Online. Questi gruppi di gestione servono a scopi distinti per organizzare e gestire le sottoscrizioni di Azure. La relazione di rete tra i vari gruppi di gestione delle zone di destinazione di Azure dipende dai requisiti specifici dell'organizzazione e dall'architettura di rete. Le sezioni successive illustrano la relazione di rete tra Corp, Online e i gruppi di gestione della connettività in relazione a ciò che fornisce l'acceleratore di zona di destinazione di Azure.

Qual è lo scopo di Connectivity, Corp e Online Management Groups?

  • Gruppo di gestione della connettività: questo gruppo di gestione contiene sottoscrizioni dedicate per la connettività, in genere una singola sottoscrizione per la maggior parte delle organizzazioni. Queste sottoscrizioni ospitano le risorse di rete di Azure necessarie per la piattaforma, ad esempio Azure rete WAN virtuale, gateway Rete virtuale, Firewall di Azure e zone private dns di Azure. È anche la posizione in cui viene stabilita la connettività ibrida tra ambienti cloud e locali, usando servizi come ExpressRoute e così via.
  • Gruppo di gestione aziendale: gruppo di gestione dedicato per le zone di destinazione aziendali. Questo gruppo è destinato a contenere sottoscrizioni che ospitano carichi di lavoro che richiedono connettività tradizionale del routing IP o connettività ibrida con la rete aziendale tramite l'hub nella sottoscrizione di connettività e quindi fanno parte dello stesso dominio di routing. I carichi di lavoro, ad esempio i sistemi interni, non vengono esposti direttamente a Internet, ma possono essere esposti tramite proxy inversi e così via, ad esempio gateway applicazione.
  • Gruppo di gestione online: gruppo di gestione dedicato per le zone di destinazione online. Questo gruppo è destinato a contenere sottoscrizioni usate per le risorse pubbliche, ad esempio siti Web, applicazioni di e-commerce e servizi rivolti ai clienti. Ad esempio, le organizzazioni possono usare il gruppo di gestione online per isolare le risorse pubbliche dal resto dell'ambiente Azure, riducendo la superficie di attacco e assicurando che le risorse pubbliche siano sicure e disponibili per i clienti.

Perché sono stati creati gruppi di gestione Corp e Online per separare i carichi di lavoro?

La differenza nelle considerazioni sulla rete tra i gruppi di gestione Corp e Online nell'architettura concettuale della zona di destinazione di Azure risiede nell'uso previsto e nello scopo principale.

Il gruppo di gestione aziendale viene usato per gestire e proteggere risorse e servizi interni, ad esempio applicazioni line-of-business, database e gestione degli utenti. Le considerazioni sulla rete per il gruppo di gestione aziendale sono incentrate sulla fornitura di connettività sicura ed efficiente tra le risorse interne, applicando al tempo stesso criteri di sicurezza rigorosi per proteggersi da accessi non autorizzati.

Il gruppo di gestione online nell'architettura concettuale della zona di destinazione di Azure può essere considerato come un ambiente isolato usato per gestire le risorse e i servizi pubblici accessibili da Internet. Usando il gruppo di gestione online per gestire le risorse pubbliche, l'architettura della zona di destinazione di Azure consente di isolare tali risorse dalle risorse interne, riducendo così il rischio di accesso non autorizzato e riducendo al minimo la superficie di attacco.

Nell'architettura concettuale della zona di destinazione di Azure, la rete virtuale nel gruppo di gestione online può essere, facoltativamente, con peering con reti virtuali nel gruppo di gestione aziendale, direttamente o indirettamente tramite l'hub e i requisiti di routing associati tramite un Firewall di Azure o un'appliance virtuale di rete, consentendo alle risorse pubbliche di comunicare con le risorse interne in modo sicuro e controllato. Questa topologia garantisce che il traffico di rete tra le risorse pubbliche e le risorse interne sia sicuro e limitato, consentendo comunque alle risorse di comunicare in base alle esigenze.

Suggerimento

È anche importante comprendere ed esaminare i criteri di Azure assegnati e ereditati in ognuno dei gruppi di gestione come parte della zona di destinazione di Azure. In quanto consentono di definire la forma, proteggere e gestire i carichi di lavoro distribuiti all'interno delle sottoscrizioni presenti in questi gruppi di gestione. Le assegnazioni di criteri per le zone di destinazione di Azure sono disponibili qui.