Netwerktopologie en -connectiviteit

  • Artikel

Het ontwerpgebied voor netwerktopologie en connectiviteit is essentieel voor het leggen van een basis voor het ontwerp van uw cloudnetwerk.

Ontwerpgebiedbeoordeling

Betrokken rollen of functies: Dit ontwerpgebied vereist waarschijnlijk ondersteuning van een of meer cloudplatform - en Cloud Center of Excellence-functies om beslissingen te nemen en te implementeren.

Scope: Het doel van het netwerkontwerp is om het ontwerp van uw cloudnetwerk af te stemmen op de algemene plannen voor cloudmigratie. Als uw cloudmigratieplannen hybride of multicloudafhankelijkheden bevatten, of als u connectiviteit om andere redenen nodig hebt, moet uw netwerkontwerp ook deze connectiviteitsopties en verwachte verkeerspatronen bevatten.

Buiten bereik: Dit ontwerpgebied legt de basis voor netwerken. Het heeft geen betrekking op nalevingsproblemen, zoals geavanceerde netwerkbeveiliging of geautomatiseerde afdwingingsrails. Deze richtlijnen worden weergegeven wanneer u de ontwerpgebieden voor naleving van beveiliging en governance bekijkt. Door discussies over beveiliging en governance uit te stellen, kan het cloudplatformteam in eerste instantie voldoen aan de netwerkvereisten voordat ze hun doelgroep uitbreiden voor complexere onderwerpen.

Overzicht van ontwerpgebied

Netwerktopologie en connectiviteit zijn essentieel voor organisaties die hun ontwerp van hun landingszone plannen. Netwerken staat centraal in bijna alles binnen een landingszone. Het maakt connectiviteit met andere Azure-services, externe gebruikers en on-premises infrastructuur mogelijk. Netwerktopologie en -connectiviteit bevinden zich in de omgevingsgroep van ontwerpgebieden voor Azure-landingszones. Deze groepering is gebaseerd op hun belang bij belangrijke beslissingen over ontwerp en implementatie.

Diagram van netwerkgebieden van de conceptiële hiërarchie van ALZ-beheergroepen.

In de conceptuele architectuur van de Azure-landingszone zijn er twee hoofdbeheergroepen die als host fungeren voor workloads: Corp en Online. Deze beheergroepen hebben verschillende doelen bij het organiseren en beheren van Azure-abonnementen. De netwerkrelatie tussen de verschillende beheergroepen voor Azure-landingszones is afhankelijk van de specifieke vereisten en netwerkarchitectuur van de organisatie. In de volgende secties wordt de netwerkrelatie tussen Corp, Online en de connectiviteitsbeheergroepen besproken met betrekking tot wat de Azure-landingszoneversneller biedt.

Wat is het doel van connectiviteits-, bedrijfs- en onlinebeheergroepen?

  • Connectiviteitsbeheergroep: deze beheergroep bevat toegewezen abonnementen voor connectiviteit, meestal één abonnement voor de meeste organisaties. Deze abonnementen hosten de Azure-netwerkresources die vereist zijn voor het platform, zoals Azure Virtual WAN, Virtual Network Gateways, Azure Firewall en privézones van Azure DNS. Hier wordt ook hybride connectiviteit tot stand gebracht tussen de cloud- en on-premises omgevingen, met behulp van services zoals ExpressRoute, enzovoort.
  • Bedrijfsbeheergroep: de toegewezen beheergroep voor bedrijfslandingszones. Deze groep is bedoeld om abonnementen te bevatten die workloads hosten waarvoor traditionele IP-routeringsconnectiviteit of hybride connectiviteit met het bedrijfsnetwerk via de hub in het connectiviteitsabonnement is vereist en die daarom deel uitmaken van hetzelfde routeringsdomein. Workloads zoals interne systemen worden niet rechtstreeks op internet weergegeven, maar kunnen worden weergegeven via omgekeerde proxy's, enzovoort, zoals Application Gateways.
  • Onlinebeheergroep: de toegewezen beheergroep voor onlinelandingszones. Deze groep is bedoeld om abonnementen te bevatten die worden gebruikt voor openbare resources, zoals websites, e-commercetoepassingen en klantgerichte services. Organisaties kunnen bijvoorbeeld de onlinebeheergroep gebruiken om openbare resources te isoleren van de rest van de Azure-omgeving, waardoor de kwetsbaarheid voor aanvallen wordt verkleind en ervoor wordt gezorgd dat openbare resources veilig en beschikbaar zijn voor klanten.

Waarom hebben we corp- en onlinebeheergroepen gemaakt om workloads van elkaar te scheiden?

Het verschil in netwerkoverwegingen tussen de corp- en onlinebeheergroepen in de conceptuele architectuur van de Azure-landingszone ligt in het beoogde gebruik en het primaire doel.

De corp-beheergroep wordt gebruikt voor het beheren en beveiligen van interne resources en services, zoals Line-Of-Business-toepassingen, databases en gebruikersbeheer. De netwerkoverwegingen voor de corp-beheergroep zijn gericht op het bieden van veilige en efficiënte connectiviteit tussen interne resources, terwijl strikte beveiligingsbeleidsregels worden afgedwongen om te beschermen tegen onbevoegde toegang.

De onlinebeheergroep in de conceptuele architectuur van de Azure-landingszone kan worden beschouwd als een geïsoleerde omgeving die wordt gebruikt voor het beheren van openbare resources en services die toegankelijk zijn via internet. Door de onlinebeheergroep te gebruiken voor het beheren van openbare resources, biedt de architectuur van de Azure-landingszone een manier om deze resources te isoleren van interne resources, waardoor het risico op onbevoegde toegang wordt verminderd en het kwetsbaarheid voor aanvallen wordt geminimaliseerd.

In de conceptuele architectuur van de Azure-landingszone kan het virtuele netwerk in de onlinebeheergroep optioneel worden gekoppeld aan virtuele netwerken in de Corp-beheergroep, direct of indirect via de hub en de bijbehorende routeringsvereisten via een Azure Firewall of NVA, zodat openbare resources op een veilige en gecontroleerde manier met interne resources kunnen communiceren. Deze topologie zorgt ervoor dat het netwerkverkeer tussen openbare resources en interne resources veilig en beperkt is, terwijl de resources nog steeds naar behoefte kunnen communiceren.

Tip

Het is ook belangrijk om de Azure-beleidsregels te begrijpen en te controleren die zijn toegewezen en overgenomen voor elk van de beheergroepen als onderdeel van de Azure-landingszone. Omdat deze helpen bij het vormgeven, beveiligen en beheren van de workloads die zijn geïmplementeerd binnen de abonnementen die zich in deze beheergroepen bevinden. De beleidstoewijzingen voor Azure-landingszones vindt u hier.