Topologia sieci i łączność

Topologia sieci i obszar projektowania łączności mają kluczowe znaczenie dla ustanowienia podstaw dla projektu sieci w chmurze.

Przegląd obszaru projektowania

Zaangażowane role lub funkcje: Ten obszar projektowania prawdopodobnie wymaga obsługi co najmniej jednej platformy w chmurze i centrum doskonałości w chmurze , aby podejmować i wdrażać decyzje.

Zakres: Celem projektowania sieci jest dostosowanie projektu sieci w chmurze do ogólnych planów wdrażania chmury. Jeśli plany wdrażania chmury obejmują zależności hybrydowe lub wielochmurowe lub jeśli potrzebujesz łączności z innych powodów, projekt sieci powinien również uwzględniać te opcje łączności i oczekiwane wzorce ruchu.

Poza zakresem: Ten obszar projektowy stanowi podstawę sieci. Nie dotyczy to problemów związanych ze zgodnością, takich jak zaawansowane zabezpieczenia sieci lub zautomatyzowane zabezpieczenia wymuszania. Te wskazówki są dostępne podczas przeglądania obszarów projektowania zgodności z zabezpieczeniami i utrzymaniem ładu . Odpopowiadanie dyskusji dotyczących zabezpieczeń i ładu pozwala zespołowi ds. platformy w chmurze sprostać początkowym wymaganiom sieciowym, zanim rozszerzą odbiorców na bardziej złożone tematy.

Omówienie obszaru projektowania

Topologia sieci i łączność są fundamentalne dla organizacji, które planują projekt strefy docelowej. Sieć jest centralna dla prawie wszystkich elementów w strefie docelowej. Umożliwia łączność z innymi usługami platformy Azure, użytkownikami zewnętrznymi i infrastrukturą lokalną. Topologia sieci i łączność znajdują się w grupie środowiskowej obszarów projektowych strefy docelowej platformy Azure. To grupowanie opiera się na ich znaczeniu w podstawowych decyzjach projektowych i wdrożeniowych.

W koncepcyjnej architekturze strefy docelowej platformy Azure istnieją dwie główne grupy zarządzania hostujące obciążenia: Corp i Online. Te grupy zarządzania służą odrębnym celom w organizowaniu i zarządzaniu subskrypcjami platformy Azure. Relacja sieci między różnymi grupami zarządzania strefami docelowymi platformy Azure zależy od konkretnych wymagań organizacji i architektury sieci. W kilku następnych sekcjach omówiono relację sieci między firmami Corp, Online i grupami zarządzania łącznością w odniesieniu do tego, co zapewnia akcelerator strefy docelowej platformy Azure.

Jaki jest cel grup zarządzania łączności, firmy i online?

• Grupa zarządzania łącznością: ta grupa zarządzania zawiera dedykowane subskrypcje łączności, często pojedynczą subskrypcję dla większości organizacji. Te subskrypcje hostuje zasoby sieciowe platformy Azure wymagane dla platformy, takie jak azure Virtual WAN, bramy Virtual Network, Azure Firewall i strefy prywatne usługi Azure DNS. Jest to również miejsce, w którym łączność hybrydowa jest ustanawiana między środowiskami chmurowymi i lokalnymi, przy użyciu usług, takich jak ExpressRoute itp.
• Grupa zarządzania corp: dedykowana grupa zarządzania dla firmowych stref docelowych. Ta grupa ma zawierać subskrypcje hostujące obciążenia, które wymagają tradycyjnej łączności routingu IP lub łączności hybrydowej z siecią firmową za pośrednictwem centrum w subskrypcji łączności, a zatem stanowią część tej samej domeny routingu. Obciążenia, takie jak systemy wewnętrzne, nie są widoczne bezpośrednio w Internecie, ale mogą być uwidocznione za pośrednictwem odwrotnych serwerów proxy itp., takich jak usługi Application Gateway.
• Grupa zarządzania online: dedykowana grupa zarządzania dla stref docelowych online. Ta grupa ma zawierać subskrypcje używane dla zasobów publicznych, takich jak witryny internetowe, aplikacje handlu elektronicznego i usługi dostępne dla klientów. Na przykład organizacje mogą używać grupy zarządzania online do izolowania zasobów publicznych z reszty środowiska platformy Azure, zmniejszając obszar ataków i zapewniając, że zasoby publiczne są bezpieczne i dostępne dla klientów.

Dlaczego utworzyliśmy grupy zarządzania Corp i Online w celu oddzielenia obciążeń?

Różnica w zagadnieniach dotyczących sieci między grupami zarządzania Corp i Online w koncepcyjnej architekturze strefy docelowej platformy Azure polega na ich zamierzonym użyciu i głównym celu.

Grupa zarządzania Corp służy do zarządzania i zabezpieczania wewnętrznych zasobów i usług, takich jak aplikacje biznesowe, bazy danych i zarządzanie użytkownikami. Zagadnienia dotyczące sieci dla grupy zarządzania Corp koncentrują się na zapewnianiu bezpiecznej i wydajnej łączności między zasobami wewnętrznymi, jednocześnie wymuszając ścisłe zasady zabezpieczeń, aby chronić przed nieautoryzowanym dostępem.

Grupa zarządzania online w koncepcyjnej architekturze strefy docelowej platformy Azure może być uznawana za izolowane środowisko używane do zarządzania zasobami i usługami dostępnymi z Internetu. Korzystając z grupy zarządzania online do zarządzania zasobami publicznymi, architektura strefy docelowej platformy Azure umożliwia odizolowanie tych zasobów od zasobów wewnętrznych, co zmniejsza ryzyko nieautoryzowanego dostępu i minimalizowanie obszaru ataków.

W koncepcyjnej architekturze strefy docelowej platformy Azure sieć wirtualna w grupie zarządzania online może być, opcjonalnie, za pomocą komunikacji równorzędnej z sieciami wirtualnymi w grupie zarządzania Corp, bezpośrednio lub pośrednio za pośrednictwem centrum i skojarzonych wymagań routingu za pośrednictwem Azure Firewall lub urządzenia WUS, dzięki czemu zasoby publiczne mogą komunikować się z zasobami wewnętrznymi w bezpieczny i kontrolowany sposób. Ta topologia zapewnia, że ruch sieciowy między zasobami publicznymi i zasobami wewnętrznymi jest bezpieczny i ograniczony, jednocześnie pozwalając zasobom komunikować się zgodnie z potrzebami.

Porada

Ważne jest również, aby zrozumieć i przejrzeć przypisane i dziedziczone zasady platformy Azure w każdej z grup zarządzania w ramach strefy docelowej platformy Azure. W miarę kształtowania tej pomocy należy chronić i zarządzać obciążeniami wdrożonym w ramach subskrypcji znajdujących się w tych grupach zarządzania. Przypisania zasad dla stref docelowych platformy Azure można znaleźć tutaj.