Delen via

Netwerktopologie en -connectiviteit

  • Artikel

Het ontwerpgebied voor netwerktopologie en connectiviteit is essentieel voor het opzetten van een basis voor uw cloudnetwerkontwerp.

Ontwerpgebiedbeoordeling

Betrokken rollen of functies: voor dit ontwerpgebied is waarschijnlijk ondersteuning vereist van een of meer cloudplatforms en cloudcentrum van topfuncties om beslissingen te nemen en te implementeren.

Bereik: Het doel van het netwerkontwerp is om uw cloudnetwerkontwerp af te stemmen op algemene cloudimplementatieplannen. Als uw cloudacceptatieplannen hybride of multicloudafhankelijkheden bevatten, of als u om andere redenen connectiviteit nodig hebt, moet uw netwerkontwerp ook deze connectiviteitsopties en verwachte verkeerspatronen bevatten.

Buiten het bereik: In dit ontwerpgebied wordt de basis voor netwerken gelegd. Het biedt geen betrekking op nalevingsproblemen, zoals geavanceerde netwerkbeveiliging of geautomatiseerde afdwingingsrails. Deze richtlijnen worden geleverd wanneer u de ontwerpgebieden voor naleving van beveiliging en governance bekijkt. Door beveiligings- en governancediscussies uit te stellen, kan het cloudplatformteam voldoen aan de eerste netwerkvereisten voordat ze hun publiek uitbreiden voor complexere onderwerpen.

Overzicht van ontwerpgebied

Netwerktopologie en -connectiviteit zijn essentieel voor organisaties die hun landingszoneontwerp plannen. Netwerken zijn centraal in bijna alles binnen een landingszone. Het maakt connectiviteit mogelijk met andere Azure-services, externe gebruikers en on-premises infrastructuur. De netwerktopologie en -connectiviteit bevinden zich in de omgevingsgroep van ontwerpgebieden van Azure-landingszones. Deze groepering is gebaseerd op hun belang in belangrijke ontwerp- en implementatiebeslissingen.

Diagram van netwerkgebieden van ALZ conceptiële beheergroephiërarchie.

In de conceptuele architectuur van de Azure-landingszone zijn er twee hoofdbeheergroepen die workloads hosten: Corp en Online. Deze beheergroepen dienen voor verschillende doeleinden bij het organiseren en beheren van Azure-abonnementen. De netwerkrelatie tussen de verschillende beheergroepen van Azure-landingszones is afhankelijk van de specifieke vereisten en netwerkarchitectuur van de organisatie. De volgende secties bespreken de netwerkrelatie tussen Corp, Online en de verbindingsbeheergroepen met betrekking tot wat de Azure-landingszoneversneller biedt.

Wat is het doel van connectiviteits-, corp- en onlinebeheergroepen?

  • Connectiviteitsbeheergroep: deze beheergroep bevat toegewezen abonnementen voor connectiviteit, meestal één abonnement voor de meeste organisaties. Deze abonnementen hosten de Azure-netwerkresources die vereist zijn voor het platform, zoals Azure Virtual WAN, Virtuele netwerkgateways, Azure Firewall en privézones van Azure DNS. Hier wordt ook hybride connectiviteit tot stand gebracht tussen de cloud- en on-premises omgevingen, met behulp van services zoals ExpressRoute, enzovoort.
  • Corp-beheergroep: de toegewezen beheergroep voor bedrijfslandingszones. Deze groep is bedoeld voor abonnementen die hostworkloads bevatten die traditionele IP-routeringsconnectiviteit of hybride connectiviteit met het bedrijfsnetwerk vereisen via de hub in het connectiviteitsabonnement en daarom deel uitmaken van hetzelfde routeringsdomein. Workloads zoals interne systemen worden niet rechtstreeks blootgesteld aan internet, maar kunnen worden weergegeven via omgekeerde proxy's, zoals Application Gateways.
  • Online beheergroep: De toegewezen beheergroep voor online landingszones. Deze groep is bedoeld voor abonnementen die worden gebruikt voor openbare resources, zoals websites, e-commercetoepassingen en klantgerichte services. Organisaties kunnen bijvoorbeeld de onlinebeheergroep gebruiken om openbare resources te isoleren van de rest van de Azure-omgeving, waardoor het kwetsbaarheid voor aanvallen wordt verminderd en ervoor zorgt dat openbare resources veilig en beschikbaar zijn voor klanten.

Waarom hebben we Corp- en Online-beheergroepen gemaakt om workloads te scheiden?

Het verschil in netwerkoverwegingen tussen de Corp- en Online-beheergroepen in de conceptuele architectuur van de Azure-landingszone ligt in het beoogde gebruik en het primaire doel.

De Corp-beheergroep wordt gebruikt voor het beheren en beveiligen van interne resources en services, zoals Line-Of-Business-toepassingen, databases en gebruikersbeheer. De netwerkoverwegingen voor de Corp-beheergroep zijn gericht op het bieden van veilige en efficiënte connectiviteit tussen interne resources, terwijl strikte beveiligingsbeleidsregels worden afgedwongen om te beschermen tegen onbevoegde toegang.

De onlinebeheergroep in de conceptuele architectuur van de Azure-landingszone kan worden beschouwd als een geïsoleerde omgeving die wordt gebruikt voor het beheren van openbare resources en services die toegankelijk zijn via internet. Door de onlinebeheergroep te gebruiken om openbare resources te beheren, biedt de Architectuur van de Azure-landingszone een manier om deze resources te isoleren van interne resources, waardoor het risico op onbevoegde toegang wordt verminderd en het kwetsbaarheid voor aanvallen wordt geminimaliseerd.

In de conceptuele architectuur van de Azure-landingszone kan het virtuele netwerk in de onlinebeheergroep optioneel worden gekoppeld aan virtuele netwerken in de corp-beheergroep, hetzij direct of indirect via de hub en bijbehorende routeringsvereisten via een Azure Firewall of NVA, zodat openbare resources op een veilige en gecontroleerde manier kunnen communiceren met interne resources. Deze topologie zorgt ervoor dat het netwerkverkeer tussen openbare resources en interne resources veilig en beperkt is, terwijl de resources toch naar behoefte kunnen communiceren.

Tip

Het is ook belangrijk om inzicht te krijgen in het Azure-beleid dat is toegewezen en overgenomen voor elk van de beheergroepen als onderdeel van de Azure-landingszone. Beveilig en beheer de werkbelastingen die zijn geïmplementeerd in de abonnementen die zich in deze beheergroepen bevinden. De beleidstoewijzingen voor Azure-landingszones vindt u hier.