Omówienie usług sieciowych platformy Azure
Usługi sieciowe na platformie Azure zapewniają różne możliwości sieciowe, które mogą być używane razem lub oddzielnie. Wybierz każdy z następujących scenariuszy sieciowych, aby dowiedzieć się więcej o nich:
- Podstawy sieci: Usługi podstawowe platformy Azure zapewniają podstawową łączność zasobów na platformie Azure — sieć wirtualna, usługa Private Link, Azure DNS, Azure Bastion, route server, brama TRANSLATOR adresów sieciowych i usługa Traffic Manager.
- Równoważenie obciążenia i dostarczanie zawartości: równoważenie obciążenia platformy Azure i usługidostarczania zawartości umożliwiają zarządzanie, dystrybucję i optymalizację aplikacji i obciążeń — moduł równoważenia obciążenia, usługa Application Gateway i usługa Azure Front Door.
- Łączność hybrydowa: usługi łączności hybrydowej platformy Azure zabezpieczają komunikację z zasobami na platformie Azure — VPN Gateway, ExpressRoute, Virtual WAN i Peering Service.
- Zabezpieczenia sieci: Usługi zabezpieczeń sieci platformy Azure chronią aplikacje internetowe i usługi IaaS przed atakami DDoS i złośliwymi aktorami — Menedżer zapory, zapora, zapora aplikacji internetowej i ochrona przed atakami DDoS.
- Zarządzanie siecią i monitorowanie: usługi zarządzania sieciami i monitorowania platformy Azure udostępniają narzędzia do zarządzania zasobami sieciowymi i monitorowania ich — Network Watcher, Azure Monitor i Azure Virtual Network Manager.
Podstawy sieci
W tej sekcji opisano usługi, które udostępniają bloki konstrukcyjne do projektowania i tworzenia architektury środowiska sieciowego na platformie Azure — sieć wirtualna, usługa Private Link, usługa Azure DNS, usługa Azure Bastion, serwer tras, brama translatora adresów sieciowych i usługa Traffic Manager.
Sieć wirtualna
Azure Virtual Network (VNet) to podstawowy blok konstrukcyjny dla sieci prywatnej na platformie Azure. Sieci wirtualne umożliwiają:
- Komunikacja między zasobami platformy Azure: możesz wdrożyć maszyny wirtualne i kilka innych typów zasobów platformy Azure w sieci wirtualnej, takich jak aplikacja systemu Azure Service Environments, Azure Kubernetes Service (AKS) i Azure Virtual Machine Scale Sets. Aby wyświetlić kompletną listę zasobów platformy Azure, które można wdrożyć w sieci wirtualnej, zobacz Integracja sieci wirtualnej z usługą.
- Komunikacja między sobą: możesz połączyć ze sobą sieci wirtualne, umożliwiając zasobom w sieci wirtualnej komunikowanie się ze sobą przy użyciu komunikacji równorzędnej sieci wirtualnych lub usługi Azure Virtual Network Manager. Łączone sieci wirtualne mogą znajdować się w tym samym regionie lub w różnych regionach świadczenia usługi Azure. Aby uzyskać więcej informacji, zobacz Wirtualne sieci równorzędne i Azure Virtual Network Manager.
- Komunikacja z Internetem: wszystkie zasoby w sieci wirtualnej mogą domyślnie komunikować się wychodząco z Internetem. Z zasobem w ruchu przychodzącym możesz komunikować się przez przypisanie publicznego adresu IP lub publicznego modułu równoważenia obciążenia. Możesz również użyć publicznych adresów IP lub publicznego modułu równoważenia obciążenia do zarządzania połączeniami wychodzącym.
- Komunikacja z sieciami lokalnymi: możesz połączyć lokalne komputery i sieci z siecią wirtualną przy użyciu usługi VPN Gateway lub ExpressRoute.
- Szyfruj ruch między zasobami: szyfrowanie sieci wirtualnej umożliwia szyfrowanie ruchu między zasobami w sieci wirtualnej.
Sieciowe grupy zabezpieczeń
Ruch sieciowy przychodzący do zasobów platformy Azure i wychodzący z nich w sieci wirtualnej platformy Azure można filtrować za pomocą grupy zabezpieczeń sieci. Aby uzyskać więcej informacji, zobacz Sieciowe grupy zabezpieczeń.
Punkty końcowe usługi
Punkty końcowe usługi sieci wirtualnej rozszerzają prywatną przestrzeń adresową sieci wirtualnej i tożsamość sieci wirtualnej do usług platformy Azure za pośrednictwem bezpośredniego połączenia. Punkty końcowe umożliwiają zabezpieczanie krytycznych zasobów usługi platformy Azure tylko do sieci wirtualnych. Ruch z sieci wirtualnej do usługi platformy Azure zawsze pozostaje w sieci szkieletowej platformy Microsoft Azure.
Link prywatny platformy Azure
Usługa Azure Private Link umożliwia dostęp do usług Azure PaaS (na przykład Azure Storage i SQL Database) oraz hostowanych przez klientów/partnerów platformy Azure za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Ruch między siecią wirtualną a usługą jest przesyłany przez sieć szkieletową firmy Microsoft. Udostępnianie usługi w publicznej sieci Internet nie jest już konieczne. Możesz również utworzyć własną usługę łącza prywatnego w sieci wirtualnej i dostarczyć ją do klientów.
Usługa DNS platformy Azure
Usługa Azure DNS zapewnia hosting i rozpoznawanie nazw DNS przy użyciu infrastruktury platformy Microsoft Azure. Usługa Azure DNS składa się z trzech usług:
- Publiczna usługa DNS platformy Azure to usługa hostingu dla domen DNS. Dzięki hostowaniu swoich domen na platformie Azure możesz zarządzać rekordami DNS z zastosowaniem tych samych poświadczeń, interfejsów API, narzędzi i rozliczeń co w przypadku innych usług platformy Azure.
- Azure Prywatna strefa DNS to usługa DNS dla sieci wirtualnych. Usługa Azure Prywatna strefa DNS zarządza i rozpoznaje nazwy domen w sieci wirtualnej bez konieczności konfigurowania niestandardowego rozwiązania DNS.
- Usługa rozpoznawania prywatnego usługi Azure DNS to usługa, która umożliwia wykonywanie zapytań dotyczących stref prywatnych usługi Azure DNS ze środowiska lokalnego i na odwrót bez wdrażania serwerów DNS opartych na maszynie wirtualnej.
Za pomocą usługi Azure DNS można hostować i rozpoznawać domeny publiczne, zarządzać rozpoznawaniem nazw DNS w sieciach wirtualnych i włączać rozpoznawanie nazw między platformą Azure a zasobami lokalnymi.
Azure Bastion
Azure Bastion to usługa, którą można wdrożyć w sieci wirtualnej, aby umożliwić łączenie się z maszyną wirtualną przy użyciu przeglądarki i witryny Azure Portal. Możesz również nawiązać połączenie przy użyciu natywnego klienta SSH lub RDP zainstalowanego już na komputerze lokalnym. Usługa Azure Bastion to w pełni zarządzana przez platformę usługa PaaS wdrażana w sieci wirtualnej. Zapewnia ona bezpieczną i bezproblemową łączność RDP/SSH z maszynami wirtualnymi bezpośrednio z poziomu witryny Azure Portal za pośrednictwem protokołu TLS. Po nawiązaniu połączenia za pośrednictwem usługi Azure Bastion maszyny wirtualne nie potrzebują publicznego adresu IP, agenta ani specjalnego oprogramowania klienckiego. Dla usługi Azure Bastion są dostępne różne różne jednostki SKU/warstwy. Wybrana warstwa ma wpływ na dostępne funkcje. Aby uzyskać więcej informacji, zobacz About Bastion configuration settings (Informacje o ustawieniach konfiguracji usługi Bastion).
Azure Route Server
Usługa Azure Route Server upraszcza routing dynamiczny między wirtualnym urządzeniem sieciowym a siecią wirtualną. Umożliwia ona wymianę informacji routingu bezpośrednio za pośrednictwem protokołu routingu BGP (Border Gateway Protocol) między dowolnym urządzeniem WUS obsługującym protokół routingu BGP i sieciĄ zdefiniowaną przez oprogramowanie platformy Azure (SDN) w sieci wirtualnej platformy Azure bez konieczności ręcznego konfigurowania lub obsługi tabel tras.
Brama translatora adresów sieciowych
Brama translatora adresów sieciowych upraszcza łączność internetową tylko dla ruchu wychodzącego dla sieci wirtualnych. Po skonfigurowaniu w podsieci wszystkie połączenia wychodzące używają określonych statycznych publicznych adresów IP. Łączność wychodząca jest możliwa bez modułu równoważenia obciążenia lub publicznych adresów IP bezpośrednio dołączonych do maszyn wirtualnych. Aby uzyskać więcej informacji, zobacz Co to jest brama translatora adresów sieciowych platformy Azure?
Traffic Manager
Usługa Azure Traffic Manager to oparty na systemie DNS moduł równoważenia obciążenia ruchu, który umożliwia optymalną dystrybucję ruchu do usług w globalnych regionach platformy Azure, zapewniając jednocześnie wysoką dostępność i czas odpowiedzi. Usługa Traffic Manager udostępnia szereg metod routingu ruchu do dystrybucji ruchu, takich jak priorytet, ważony, wydajność, geograficzny, wielowartościowy lub podsieć.
Na poniższym diagramie przedstawiono routing oparty na priorytecie punktu końcowego w usłudze Traffic Manager:
Aby uzyskać więcej informacji na temat usługi Traffic Manager, zobacz Co to jest usługa Azure Traffic Manager?.
Równoważenie obciążenia i dostarczanie zawartości
W tej sekcji opisano usługi sieciowe na platformie Azure, które pomagają dostarczać aplikacje i obciążenia — moduł równoważenia obciążenia, usługę Application Gateway i usługę Azure Front Door Service.
Load Balancer
Usługa Azure Load Balancer zapewnia wysoką wydajność, małe opóźnienia warstwy 4 równoważenia obciążenia dla wszystkich protokołów UDP i TCP. Zarządza połączeniami przychodzącymi i wychodzącymi. Publiczne i wewnętrzne punkty końcowe ze zrównoważonym obciążeniem można skonfigurować. Reguły można zdefiniować tak, aby mapować połączenia przychodzące do miejsc docelowych puli zaplecza przy użyciu opcji sondowania kondycji PROTOKOŁU TCP i HTTP w celu zarządzania dostępnością usługi.
Usługa Azure Load Balancer jest dostępna w jednostkach SKU usługi Azure Load Balancer w warstwie Standardowa, Regionalnej i Bramie.
Na poniższej ilustracji przedstawiono aplikację wielowarstwową, która korzysta zarówno z zewnętrznych, jak i wewnętrznych modułów równoważenia obciążenia:
Application Gateway
Usługa Azure Application Gateway to moduł równoważenia obciążenia ruchu internetowego, który umożliwia zarządzanie ruchem kierowanym do aplikacji internetowych. Jest to kontroler dostarczania aplikacji (ADC) jako usługa, oferując różne funkcje równoważenia obciążenia warstwy 7 dla aplikacji.
Na poniższym diagramie przedstawiono routing oparty na ścieżkach URL w usłudze Application Gateway.
Azure Front Door
Usługa Azure Front Door umożliwia definiowanie i monitorowanie globalnego routingu ruchu internetowego oraz zarządzanie nim przez optymalizację pod kątem najlepszej wydajności i natychmiastowego globalnego trybu failover w celu zapewnienia wysokiej dostępności. Dzięki usłudze Front Door można przekształcić globalne usługi dla konsumentów (wiele regionów) i aplikacji w niezawodne, spersonalizowane, nowoczesne, wysokowydajne aplikacje, interfejsy API i zawartość, które dotrą do odbiorców globalnych za pomocą platformy Azure.
Łączność hybrydowa
W tej sekcji opisano usługi łączności sieciowej, które zapewniają bezpieczną komunikację między siecią lokalną i platformą Azure — VPN Gateway, ExpressRoute, Virtual WAN i Peering Service.
VPN Gateway
Usługa VPN Gateway ułatwia tworzenie zaszyfrowanych połączeń obejmujących wiele lokalizacji z siecią wirtualną z lokalizacji lokalnych lub tworzenie zaszyfrowanych połączeń między sieciami wirtualnymi. Istnieją różne konfiguracje dostępne dla połączeń usługi VPN Gateway. Oto niektóre z głównych funkcji:
- Łączność sieci VPN typu lokacja-lokacja
- Łączność sieci VPN typu punkt-lokacja
- Łączność sieci VPN między sieciami wirtualnymi
Na poniższym diagramie przedstawiono wiele połączeń sieci VPN typu lokacja-lokacja z tą samą siecią wirtualną. Aby wyświetlić więcej diagramów połączeń, zobacz VPN Gateway — projektowanie.
ExpressRoute
Usługa ExpressRoute umożliwia rozszerzenie sieci lokalnych do chmury firmy Microsoft za pośrednictwem połączenia prywatnego obsługiwanego przez dostawcę łączności. To połączenie jest prywatne. Ruch nie przechodzi przez Internet. Dzięki usłudze ExpressRoute możesz ustanowić połączenia z usługami firmy Microsoft w chmurze, np. Microsoft Azure, Microsoft 365 i Dynamics 365.
Wirtualna sieć WAN
Azure Virtual WAN to usługa sieciowa, która zapewnia wiele funkcji sieci, zabezpieczeń i routingu w celu zapewnienia jednego interfejsu operacyjnego. Łączność z sieciami wirtualnymi platformy Azure jest ustanawiana przy użyciu połączeń sieci wirtualnej. Oto niektóre z głównych funkcji:
- Łączność z gałęzią (za pośrednictwem automatyzacji łączności z urządzeń partnerów usługi Virtual WAN, takich jak SD-WAN lub VPN CPE)
- Łączność sieci VPN typu lokacja-lokacja
- Łączność sieci VPN użytkownika zdalnego (punkt-lokacja)
- Łączność prywatna (ExpressRoute)
- Łączność wewnątrz chmury (łączność przechodnia dla sieci wirtualnych)
- Łączność między sieciami VPN usługi ExpressRoute
- Routing, usługa Azure Firewall i szyfrowanie na potrzeby łączności prywatnej
Peering Service
Usługa Azure Peering Service zwiększa łączność klientów z usługami w chmurze firmy Microsoft, takimi jak Microsoft 365, Dynamics 365, usługi SaaS(Software as a service), Azure lub wszelkie usługi firmy Microsoft dostępne za pośrednictwem publicznego Internetu.
Bezpieczeństwo sieci
W tej sekcji opisano usługi sieciowe na platformie Azure, które chronią i monitorują zasoby sieciowe — Menedżer zapory, zapora, zapora aplikacji internetowej i ochrona przed atakami DDoS.
Firewall Manager
Azure Firewall Manager to usługa zarządzania zabezpieczeniami, która zapewnia centralne zasady zabezpieczeń i zarządzanie routingiem dla obwodów zabezpieczeń opartych na chmurze. Menedżer zapory może zapewnić zarządzanie zabezpieczeniami dla dwóch różnych typów architektury sieci: bezpiecznego koncentratora wirtualnego i sieci wirtualnej koncentratora. Za pomocą usługi Azure Firewall Manager można wdrożyć wiele wystąpień usługi Azure Firewall w różnych regionach i subskrypcjach platformy Azure, zaimplementować plany ochrony przed atakami DDoS, zarządzać zasadami zapory aplikacji internetowej i integrować je z zabezpieczeniami jako usługą partnerów w celu zapewnienia zwiększonych zabezpieczeń.
Azure Firewall
Azure Firewall to zarządzana usługa zabezpieczeń sieci oparta na chmurze, która chroni zasoby usługi Azure Virtual Network. Za pomocą usługi Azure Firewall można centralnie tworzyć, wymuszać i rejestrować zasady aplikacji i łączności sieciowej w subskrypcjach i sieciach wirtualnych. Usługa Azure Firewall korzysta ze statycznego publicznego adresu IP dla zasobów sieci wirtualnej, co umożliwia zewnętrznym zaporom identyfikowanie ruchu pochodzącego z sieci wirtualnej.
Web Application Firewall
Usługa Azure Web Application Firewall (WAF) zapewnia ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak wstrzyknięcie kodu SQL i wykonywanie skryptów między witrynami. Zapora aplikacji internetowej platformy Azure zapewnia ochronę przed lukami w zabezpieczeniach OWASP 10 za pośrednictwem reguł zarządzanych. Ponadto klienci mogą również konfigurować niestandardowe reguły, które są regułami zarządzanymi przez klienta w celu zapewnienia dodatkowej ochrony na podstawie źródłowego zakresu adresów IP oraz atrybutów żądania, takich jak nagłówki, pliki cookie, pola danych formularza lub parametry ciągu zapytania.
Klienci mogą zdecydować się na wdrożenie zapory aplikacji internetowej platformy Azure za pomocą usługi Application Gateway, która zapewnia ochronę regionalną dla jednostek w przestrzeni adresowej publicznej i prywatnej. Klienci mogą również zdecydować się na wdrożenie zapory aplikacji internetowej platformy Azure za pomocą usługi Front Door , która zapewnia ochronę na brzegu sieci do publicznych punktów końcowych.
Ochrona przed atakami DDoS
Usługa Azure DDoS Protection zapewnia środki zaradcze przed najbardziej zaawansowanymi zagrożeniami DDoS. Usługa zapewnia rozszerzone możliwości ograniczania ryzyka ataków DDoS dla aplikacji i zasobów wdrożonych w sieciach wirtualnych. Ponadto klienci korzystający z usługi Azure DDoS Protection mają dostęp do pomocy technicznej DDoS Rapid Response w celu zaangażowania ekspertów ds. ataków DDoS.
Usługa Azure DDoS Protection składa się z dwóch warstw:
- Ochrona przed atakami DDoS Network Protection w połączeniu z najlepszymi rozwiązaniami dotyczącymi projektowania aplikacji zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS. Jest ona automatycznie dostrojona w celu ochrony określonych zasobów platformy Azure w sieci wirtualnej.
- Ochrona adresów IP przed atakami DDoS to model adresów IP chronionych za płatność. Ochrona przed atakami DDoS IP zawiera te same podstawowe funkcje inżynieryjne, co ochrona przed siecią DDoS, ale różni się w następujących usługach dodawanych do wartości: obsługa szybkiego reagowania DDoS, ochrona kosztów i rabaty na zaporę aplikacji internetowej.
Zabezpieczenia sieci kontenerów
Zabezpieczenia sieci kontenerów są częścią usług Advanced Container Networking Services (ACNS). Zapewnia on rozszerzoną kontrolę nad zabezpieczeniami sieci usługi AKS. Dzięki funkcjom, takich jak filtrowanie w pełni kwalifikowanej nazwy domeny (FQDN), klastry korzystające z usługi Azure CNI obsługiwane przez cilium mogą implementować zasady sieci oparte na nazwach FQDN w celu osiągnięcia architektury zabezpieczeń Zero Trust w usłudze AKS.
Zarządzanie siecią i monitorowanie
W tej sekcji opisano usługi zarządzania siecią i monitorowania na platformie Azure — Network Watcher, Azure Monitor i Azure Virtual Network Manager.
Azure Network Watcher
Azure Network Watcher to usługa, która udostępnia narzędzia umożliwiające monitorowanie, diagnozowanie, wyświetlanie metryk i włączanie lub wyłączanie dzienników zasobów w sieci wirtualnej platformy Azure.
Azure Monitor
Usługa Azure Monitor maksymalizuje dostępność i wydajność aplikacji, zapewniając kompleksowe rozwiązanie umożliwiające zbieranie, analizowanie i przetwarzanie danych telemetrycznych z chmury i środowisk lokalnych. Usługa ta pomaga interpretować działanie aplikacji i proaktywnie identyfikuje problemy dotyczące aplikacji i zasobów, od których zależą.
Azure Virtual Network Manager
Azure Virtual Network Manager to usługa zarządzania, która umożliwia grupowanie, konfigurowanie, wdrażanie i zarządzanie sieciami wirtualnymi globalnie w ramach subskrypcji. Za pomocą menedżera sieci wirtualnej można zdefiniować grupy sieciowe w celu identyfikowania i logicznego segmentowania sieci wirtualnych. Następnie można określić żądane konfiguracje łączności i zabezpieczeń i zastosować je we wszystkich wybranych sieciach wirtualnych w grupach sieci jednocześnie.
Możliwość obserwowania sieci kontenerów
Obserwowanie sieci kontenerów jest częścią usług Advanced Container Networking Services (ACNS). Usługa ACNS używa płaszczyzny sterowania hubble'a, aby zapewnić kompleksowy wgląd w sieć i wydajność usługi AKS. Oferuje ona szczegółowe szczegółowe informacje na poziomie węzła, na poziomie zasobnika, tcp i DNS, zapewniając dokładne monitorowanie infrastruktury sieciowej.
Następne kroki
- Utwórz pierwszą sieć wirtualną i połącz z nią kilka maszyn wirtualnych, wykonując kroki opisane w artykule Tworzenie pierwszej sieci wirtualnej.
- Połącz komputer z siecią wirtualną, wykonując kroki opisane w artykule Konfigurowanie połączenia punkt-lokacja.
- Równoważenie obciążenia ruchem internetowym do serwerów publicznych przez wykonanie kroków opisanych w artykule Tworzenie modułu równoważenia obciążenia dostępnego z Internetu.