Delen via

Betrouwbaarheid en netwerkconnectiviteit

  • Artikel

Netwerkconnectiviteit omvat drie Azure-modellen voor privénetwerkconnectiviteit:

VNet-injectie is van toepassing op services die specifiek voor u zijn geïmplementeerd, zoals:

  • AKS-knooppunten (Azure Kubernetes Service)
  • SQL Managed Instance
  • Virtual Machines

Deze resources maken rechtstreeks verbinding met uw virtuele netwerk.

Virtual Network service-eindpunten (VNet) bieden veilige en directe connectiviteit met Azure-services. Deze service-eindpunten gebruiken een geoptimaliseerde route via het Azure-netwerk. Met service-eindpunten kunnen privé IP-adressen in het virtuele netwerk het eindpunt van een Azure-service bereiken zonder dat hiervoor een openbaar IP-adres in het virtuele netwerk nodig is.

Private Link biedt toegewezen toegang met behulp van privé-IP-adressen tot Azure PaaS-exemplaren of aangepaste services achter een Azure Load Balancer Standard.

Overwegingen bij het ontwerpen

Netwerkconnectiviteit omvat de volgende ontwerpoverwegingen met betrekking tot een betrouwbare workload:

  • Gebruik Private Link, indien beschikbaar, voor gedeelde Azure PaaS-services. Private Link is algemeen beschikbaar voor verschillende services en is in openbare preview voor tal van services.

  • On-premises toegang tot Azure PaaS-services via persoonlijke ExpressRoute-peering .

  • Gebruik virtuele netwerkinjectie voor toegewezen Azure-services of Azure Private Link voor beschikbare gedeelde Azure-services. Als u on-premises toegang wilt krijgen tot Azure PaaS-services wanneer er geen virtuele netwerkinjectie of Private Link beschikbaar is, gebruikt u ExpressRoute met Microsoft-peering. Met deze methode voorkomt u dat er via het openbare internet wordt overgeschakeld.

  • Gebruik service-eindpunten voor virtuele netwerken om de toegang tot Azure PaaS-services vanuit uw virtuele netwerk te beveiligen. Gebruik service-eindpunten voor virtuele netwerken alleen als Private Link niet beschikbaar is en er geen problemen zijn met onbevoegde verplaatsing van gegevens.

  • Service-eindpunten staan niet toe dat een PaaS-service wordt geopend vanuit on-premises netwerken. Privé-eindpunten wel.

  • Gebruik NVA-filtering (Network-Virtual Appliance) om problemen met onbevoegde verplaatsing van gegevens met service-eindpunten op te lossen. U kunt ook service-eindpuntbeleid voor virtuele netwerken gebruiken voor Azure Storage.

  • De volgende systeemeigen netwerkbeveiligingsservices zijn volledig beheerde services. Klanten hebben geen last van de operationele en beheerkosten die zijn gekoppeld aan infrastructuurimplementaties, die op schaal complex kunnen worden:

    • Azure Firewall
    • Application Gateway
    • Azure Front Door

  • PaaS-services zijn doorgaans toegankelijk via openbare eindpunten. Het Azure-platform biedt mogelijkheden om deze eindpunten te beveiligen of volledig privé te maken.

  • U kunt ook nva's (network virtual appliances) van derden gebruiken als de klant de voorkeur geeft aan deze apparaten voor situaties waarin systeemeigen services niet aan specifieke vereisten voldoen.

Controlelijst

Hebt u netwerkconnectiviteit geconfigureerd met het oog op betrouwbaarheid?

  • Implementeer geen geforceerde tunneling om communicatie van Azure naar Azure-resources mogelijk te maken.
  • Tenzij u NVA-filtering (virtueel netwerkapparaat) gebruikt, moet u geen service-eindpunten voor virtuele netwerken gebruiken wanneer u zich zorgen maakt over onbevoegde verplaatsing van gegevens.
  • Schakel service-eindpunten voor virtuele netwerken niet standaard in op alle subnetten.

Volgende stap

Kostenoptimalisatie en netwerkconnectiviteit