Wirtualne centrum danych: perspektywa sieci

  • Artykuł

Aplikacje migrowane z środowiska lokalnego mogą korzystać z bezpiecznej ekonomicznej infrastruktury platformy Azure, nawet przy minimalnych zmianach aplikacji. Przedsiębiorstwa mogą chcieć dostosować swoje architektury, aby zwiększyć elastyczność i wykorzystać możliwości platformy Azure.

Platforma Microsoft Azure oferuje usługi i infrastrukturę hiperskala z możliwościami i niezawodnością klasy korporacyjnej. Te usługi i infrastruktura oferują wiele opcji łączności hybrydowej, co umożliwia klientom dostęp do nich za pośrednictwem Internetu lub połączenia z siecią prywatną. Partnerzy firmy Microsoft mogą również zapewnić ulepszone możliwości, oferując usługi zabezpieczeń i urządzenia wirtualne zoptymalizowane pod kątem uruchamiania na platformie Azure.

Klienci mogą używać platformy Azure do bezproblemowego rozszerzania infrastruktury do chmury i tworzenia architektur wielowarstwowych.

Co to jest wirtualne centrum danych?

Chmura rozpoczęła się jako platforma do hostowania aplikacji publicznych. Przedsiębiorstwa rozpoznały wartość chmury i zaczęły migrować wewnętrzne aplikacje biznesowe. Te aplikacje przyniosły większe bezpieczeństwo, niezawodność, wydajność i koszty, które wymagały większej elastyczności podczas dostarczania usług w chmurze. Nowe usługi infrastruktury i sieci zostały zaprojektowane w celu zapewnienia elastyczności. Nowe funkcje zapewniają elastyczną skalę, odzyskiwanie po awarii i inne zagadnienia.

Rozwiązania w chmurze zostały początkowo zaprojektowane pod kątem hostowania pojedynczych, stosunkowo izolowanych aplikacji w spektrum publicznym, które działało dobrze przez kilka lat. Ponieważ korzyści wynikające z rozwiązań w chmurze stały się jasne, wiele obciążeń na dużą skalę było hostowanych w chmurze. Rozwiązywanie problemów związanych z zabezpieczeniami, niezawodnością, wydajnością i kosztami ma kluczowe znaczenie dla wdrożenia i cyklu życia usługi w chmurze.

Na poniższym przykładowym diagramie wdrażania w chmurze czerwone pole wyróżnia lukę w zabezpieczeniach. Żółte pole przedstawia możliwość optymalizacji wirtualnych urządzeń sieciowych między obciążeniami.

Diagram przedstawiający wdrożenie w chmurze i sieć wirtualnego centrum danych.

Wirtualne centra danych pomagają osiągnąć skalę wymaganą dla obciążeń przedsiębiorstwa. Skala musi sprostać wyzwaniom wprowadzonym podczas uruchamiania aplikacji na dużą skalę w chmurze publicznej.

Implementacja wirtualnego centrum danych obejmuje więcej niż obciążenia aplikacji w chmurze. Zapewnia również usługi sieciowe, zabezpieczeń, zarządzania, DNS i Active Directory. W miarę migracji większej liczby obciążeń na platformę Azure przedsiębiorstwa należy wziąć pod uwagę infrastrukturę i obiekty, które obsługują te obciążenia. Dobre zarządzanie zasobami pomaga uniknąć wzrostu oddzielnie zarządzanych "wysp obciążeń" z niezależnymi przepływami danych, modelami zabezpieczeń i wyzwaniami dotyczącymi zgodności.

Koncepcja wirtualnego centrum danych zawiera zalecenia i projekty wysokiego poziomu do implementowania kolekcji oddzielnych, ale powiązanych jednostek. Te jednostki często mają typowe funkcje pomocnicze, funkcje i infrastrukturę. Wyświetlanie obciążeń jako wirtualnego centrum danych pomaga zmniejszyć koszty wynikające z korzyści skali. Pomaga również w zoptymalizowaniu zabezpieczeń za pośrednictwem centralizacji składników i przepływu danych oraz łatwiejsze operacje, zarządzanie i inspekcje zgodności.

Uwaga

Wirtualne centrum danych nie jest określoną usługą platformy Azure. Zamiast tego różne funkcje i możliwości platformy Azure są łączone w celu spełnienia wymagań. Wirtualne centrum danych to sposób myślenia o obciążeniach i użyciu platformy Azure w celu zoptymalizowania zasobów i możliwości w chmurze. Zapewnia modułowe podejście do świadczenia usług IT na platformie Azure przy jednoczesnym przestrzeganiu ról i obowiązków organizacji przedsiębiorstwa.

Wirtualne centrum danych ułatwia przedsiębiorstwom wdrażanie obciążeń i aplikacji na platformie Azure w następujących scenariuszach:

  • Hostowanie wielu powiązanych obciążeń.
  • Migrowanie obciążeń ze środowiska lokalnego na platformę Azure.
  • Zaimplementuj wymagania dotyczące zabezpieczeń i dostępu współużytkowanych lub scentralizowanych w ramach obciążeń.
  • Mieszaj metodykę DevOps i odpowiednio scentralizowane przedsiębiorstwa it.

Kto powinien zaimplementować wirtualne centrum danych?

Każdy klient, który decyduje się na wdrożenie platformy Azure, może skorzystać z wydajności konfigurowania zestawu zasobów do wspólnego użytku przez wszystkie aplikacje. W zależności od rozmiaru nawet pojedyncze aplikacje mogą korzystać z wzorców i składników używanych do tworzenia implementacji VDC.

Niektóre organizacje scentralizowane zespoły lub działy it, sieci, zabezpieczeń lub zgodności. Implementacja kontrolera VDC może pomóc w wymuszaniu punktów zasad, oddzielnych obowiązków i zapewnia spójność podstawowych wspólnych składników. Zespoły aplikacji mogą zachować swobodę i kontrolę, która jest odpowiednia dla ich wymagań.

Organizacje z podejściem DevOps mogą również używać koncepcji VDC, aby zapewnić autoryzowane kieszenie zasobów platformy Azure. Ta metoda zapewnia, że grupy DevOps mają całkowitą kontrolę w ramach tego grupowania na poziomie subskrypcji lub w grupach zasobów w wspólnej subskrypcji. Jednocześnie granice sieci i zabezpieczeń pozostają zgodne. Zgodność jest definiowana przez scentralizowane zasady w sieci piasty i centralnie zarządzanej grupie zasobów.

Zagadnienia dotyczące implementowania wirtualnego centrum danych

Podczas projektowania wirtualnego centrum danych należy wziąć pod uwagę następujące kluczowe problemy:

Tożsamość i usługa katalogowa

Usługi tożsamości i katalogów są kluczowymi możliwościami zarówno w centrach danych lokalnych, jak i w chmurze. Tożsamość obejmuje wszystkie aspekty dostępu i autoryzacji do usług w ramach implementacji VDC. Aby zapewnić, że tylko autoryzowani użytkownicy i procesy uzyskują dostęp do zasobów platformy Azure, platforma Azure używa kilku typów poświadczeń do uwierzytelniania, w tym haseł kont, kluczy kryptograficznych, podpisów cyfrowych i certyfikatów. Usługa Azure Active Directory Multi-Factor Authentication zapewnia dodatkową warstwę zabezpieczeń na potrzeby uzyskiwania dostępu do usług platformy Azure. Silne uwierzytelnianie z wieloma opcjami łatwej weryfikacji (połączenie telefoniczne, wiadomość SMS lub powiadomienie aplikacji mobilnej) umożliwia klientom wybór preferowanej metody.

Duże przedsiębiorstwa muszą zdefiniować procesy zarządzania tożsamościami, które opisują zarządzanie poszczególnymi tożsamościami, ich uwierzytelnianie, autoryzację, role i uprawnienia w obrębie lub w obrębie ich VDC. Cele tego procesu mogą zwiększyć bezpieczeństwo i produktywność, jednocześnie zmniejszając koszty, przestoje i powtarzające się zadania ręczne.

Organizacje przedsiębiorstwa mogą wymagać wymagającej kombinacji usług dla różnych linii biznesowych. Pracownicy często mają różne role w przypadku angażowania się w różne projekty. VDC wymaga dobrej współpracy między różnymi zespołami, z których każda ma określone definicje ról, aby systemy działały z dobrym ładem. Macierz obowiązków, dostępu i praw może być złożona. Zarządzanie tożsamościami w VDC jest implementowane za pośrednictwem usługi Azure Active Directory (Azure AD) i kontroli dostępu opartej na rolach platformy Azure (Azure RBAC).

Usługa katalogowa to udostępniona infrastruktura informacyjna, która lokalizuje, zarządza, zarządza i organizuje codzienne elementy i zasoby sieciowe. Te zasoby mogą obejmować woluminy, foldery, pliki, drukarki, użytkowników, grupy, urządzenia i inne obiekty. Każdy zasób w sieci jest uznawany za obiekt przez serwer katalogów. Informacje o zasobie są przechowywane jako kolekcja atrybutów skojarzonych z tym zasobem lub obiektem.

Wszystkie usługi biznesowe online firmy Microsoft korzystają z usługi Azure Active Directory (Azure AD) na potrzeby logowania i innych potrzeb związanych z tożsamością. Azure Active Directory to kompleksowe, wysoce dostępne rozwiązanie do zarządzania tożsamościami i dostępem w chmurze, które łączy podstawowe usługi katalogowe, zaawansowane zarządzanie tożsamościami i zarządzanie dostępem do aplikacji. Azure AD można zintegrować z lokalna usługa Active Directory, aby włączyć logowanie jednokrotne dla wszystkich aplikacji lokalnych i opartych na chmurze. Atrybuty użytkownika lokalna usługa Active Directory można automatycznie synchronizować z Azure AD.

Jeden administrator globalny nie jest wymagany do przypisywania wszystkich uprawnień w implementacji VDC. Zamiast tego każdy konkretny dział, grupa użytkowników lub usługi w usłudze katalogowej może mieć uprawnienia wymagane do zarządzania własnymi zasobami w ramach implementacji VDC. Uprawnienia do tworzenia struktury wymagają równoważenia. Zbyt wiele uprawnień może utrudniać wydajność, a zbyt mało lub luźne uprawnienia mogą zwiększyć ryzyko bezpieczeństwa. Kontrola dostępu oparta na rolach platformy Azure (RBAC) platformy Azure pomaga rozwiązać ten problem, oferując szczegółowe zarządzanie dostępem dla zasobów w implementacji VDC.

Infrastruktura zabezpieczeń

Infrastruktura zabezpieczeń odnosi się do segregacji ruchu w określonym segmencie sieci wirtualnej implementacji VDC. Ta infrastruktura określa sposób kontrolowania ruchu przychodzącego i wychodzącego w implementacji VDC. Platforma Azure jest oparta na architekturze wielodostępnej, która uniemożliwia nieautoryzowany i niezamierzony ruch między wdrożeniami. Odbywa się to przy użyciu izolacji sieci wirtualnej, list kontroli dostępu, modułów równoważenia obciążenia, filtrów IP i zasad przepływu ruchu. Translacja adresów sieciowych oddziela ruch sieciowy wewnętrzny od ruchu zewnętrznego.

Sieć szkieletowa platformy Azure przydziela zasoby infrastruktury do obciążeń dzierżawy i zarządza komunikacją z Virtual Machines (maszynami wirtualnymi). Funkcja hypervisor platformy Azure wymusza separację pamięci i procesów między maszynami wirtualnymi i bezpiecznie kieruje ruch sieciowy do dzierżaw systemu operacyjnego gościa.

Łączność z chmurą

Wirtualne centrum danych wymaga łączności z sieciami zewnętrznymi w celu oferowania usług klientom, partnerom lub użytkownikom wewnętrznym. Ta potrzeba łączności odnosi się nie tylko do Internetu, ale także do sieci lokalnych i centrów danych.

Klienci kontrolują usługi, do których można uzyskiwać dostęp i uzyskiwać dostęp z publicznego Internetu. Ten dostęp jest kontrolowany przy użyciu Azure Firewall lub innych typów wirtualnych urządzeń sieciowych (WUS), niestandardowych zasad routingu przy użyciu tras zdefiniowanych przez użytkownika i filtrowania sieci przy użyciu sieciowych grup zabezpieczeń. Zalecamy, aby wszystkie zasoby dostępne z Internetu są chronione przez usługę Azure DDoS Protection w warstwie Standardowa.

Przedsiębiorstwa mogą wymagać połączenia wirtualnego centrum danych z lokalnymi centrami danych lub innymi zasobami. Ta łączność między sieciami platformy Azure i sieciami lokalnymi jest kluczowym aspektem projektowania efektywnej architektury. Przedsiębiorstwa mają dwa różne sposoby tworzenia tego połączenia: tranzyt przez Internet lub za pośrednictwem prywatnych połączeń bezpośrednich.

Sieć VPN typu lokacja-lokacja platformy Azure łączy sieci lokalne z wirtualnym centrum danych na platformie Azure. Link jest ustanawiany za pośrednictwem bezpiecznych szyfrowanych połączeń (tunele IPsec). Połączenia sieci VPN typu lokacja-lokacja platformy Azure są elastyczne, szybkie do utworzenia i zwykle nie wymagają więcej zakupów sprzętowych. Na podstawie standardowych protokołów branżowych większość bieżących urządzeń sieciowych może tworzyć połączenia sieci VPN z platformą Azure za pośrednictwem Internetu lub istniejących ścieżek łączności.

Usługa ExpressRoute umożliwia połączenia prywatne między wirtualnym centrum danych a dowolnymi sieciami lokalnymi. Połączenia usługi ExpressRoute nie przechodzą przez publiczny Internet i oferują wyższe zabezpieczenia, niezawodność i wyższą szybkość (do 100 Gb/s) wraz ze stałym opóźnieniem. Usługa ExpressRoute zapewnia korzyści wynikające z reguł zgodności skojarzonych z połączeniami prywatnymi. Za pomocą usługi ExpressRoute Direct można łączyć się bezpośrednio z routerami firmy Microsoft przy użyciu 10 Gb/s lub 100 Gb/s.

Wdrażanie połączeń usługi ExpressRoute zwykle obejmuje angażowanie się w dostawcę usług ExpressRoute (usługa ExpressRoute Direct jest wyjątkiem). W przypadku klientów, którzy muszą szybko rozpocząć pracę, często używa się sieci VPN typu lokacja-lokacja w celu nawiązania łączności między wirtualnym centrum danych a zasobami lokalnymi. Po zakończeniu fizycznego połączenia z dostawcą usług zmigruj łączność za pośrednictwem połączenia usługi ExpressRoute.

W przypadku dużej liczby połączeń sieci VPN lub usługi ExpressRoute usługa Azure Virtual WAN to usługa sieciowa, która zapewnia zoptymalizowaną i zautomatyzowaną łączność między oddziałami za pośrednictwem platformy Azure. Virtual WAN umożliwia nawiązywanie połączeń i konfigurowanie urządzeń oddziałów w celu komunikowania się z platformą Azure. Łączenie i konfigurowanie można wykonać ręcznie lub przy użyciu preferowanych urządzeń dostawcy za pośrednictwem partnera Virtual WAN. Korzystanie z preferowanych urządzeń dostawcy umożliwia łatwe użycie, uproszczenie łączności i zarządzanie konfiguracją. Wbudowany pulpit nawigacyjny usługi Azure WAN zapewnia błyskawiczne szczegółowe informacje dotyczące rozwiązywania problemów, które mogą pomóc zaoszczędzić czas, i zapewnia łatwy sposób wyświetlania łączności typu lokacja-lokacja na dużą skalę. Virtual WAN oferuje również usługi zabezpieczeń z opcjonalnym Azure Firewall i Menedżerem zapory w centrum Virtual WAN.

Łączność w chmurze

Sieci wirtualne platformy Azure i komunikacja równorzędna sieci wirtualnych to podstawowe składniki sieciowe w wirtualnym centrum danych. Sieć wirtualna gwarantuje granicę izolacji dla zasobów wirtualnego centrum danych. Komunikacja równorzędna umożliwia komunikację między różnymi sieciami wirtualnymi w tym samym regionie świadczenia usługi Azure, w różnych regionach, a nawet między sieciami w różnych subskrypcjach. Przepływy ruchu mogą być kontrolowane wewnątrz sieci wirtualnych i między nimi przez zestawy reguł zabezpieczeń określonych dla sieciowych grup zabezpieczeń, zasad zapory (Azure Firewall lub wirtualnych urządzeń sieciowych) oraz niestandardowychtras zdefiniowanych przez użytkownika.

Sieci wirtualne to punkty zakotwiczenia integracji produktów platformy Jako usługi (PaaS) platformy Azure, takich jak Azure Storage, Azure SQL i inne zintegrowane usługi publiczne, które mają publiczne punkty końcowe. Dzięki punktom końcowym usługi i Azure Private Link możesz zintegrować usługi publiczne z siecią prywatną. Możesz nawet korzystać z prywatnych usług publicznych, ale nadal korzystać z zalet usług PaaS zarządzanych przez platformę Azure.

Omówienie wirtualnego centrum danych

Topologie

Wirtualne centrum danych można skompilować przy użyciu jednej z tych topologii wysokiego poziomu na podstawie Twoich potrzeb i wymagań dotyczących skalowania:

W topologii płaskiej wszystkie zasoby są wdrażane w jednej sieci wirtualnej. Podsieci umożliwiają sterowanie przepływem i segregację.

11

W topologii usługi Mesh komunikacja równorzędna sieci wirtualnych łączy wszystkie sieci wirtualne bezpośrednio ze sobą.

12

Topologia piasty komunikacji równorzędnej i szprych jest odpowiednia dla aplikacji rozproszonych i zespołów z delegowanymi obowiązkami.

13

Topologia usługi Azure Virtual WAN może obsługiwać scenariusze biura oddziału na dużą skalę i globalne usługi WAN.

14

Topologia piasty komunikacji równorzędnej i szprych oraz topologia usługi Azure Virtual WAN używają projektu piasty i szprych, który jest optymalny dla komunikacji, udostępnionych zasobów i scentralizowanych zasad zabezpieczeń. Koncentratory są tworzone przy użyciu koncentratora komunikacji równorzędnej sieci wirtualnej (oznaczonego jako Hub Virtual Network na diagramie) lub centrum Virtual WAN (oznaczonego jako Azure Virtual WAN na diagramie). Usługa Azure Virtual WAN została zaprojektowana pod kątem komunikacji między oddziałami i oddziałami i platformą Azure lub w celu uniknięcia złożoności tworzenia wszystkich składników indywidualnie w koncentratonie komunikacji równorzędnej sieci wirtualnych. W niektórych przypadkach wymagania mogą wymagać projektowania koncentratora komunikacji równorzędnej sieci wirtualnych, takiego jak konieczność korzystania z wirtualnych urządzeń sieciowych w centrum.

W topologii piasty i szprych piasta jest centralną strefą sieciową, która kontroluje i sprawdza cały ruch między różnymi strefami, takimi jak Internet, lokalna i szprycha. Topologia piasty i szprych pomaga działowi IT centralnie wymuszać zasady zabezpieczeń. Minimalizuje również ryzyko błędnej konfiguracji i ekspozycji.

Piasta często zawiera typowe składniki usługi używane przez szprychy. Poniżej przedstawiono typowe usługi centralne:

  • Infrastruktura usługi Windows Active Directory jest wymagana do uwierzytelniania użytkowników osób trzecich, które uzyskują dostęp z niezaufanych sieci, zanim uzyskają dostęp do obciążeń w szprychy. Obejmuje on powiązane Active Directory Federation Services (AD FS)
  • Usługa systemu nazw rozproszonych (DNS) służy do rozpoznawania nazw obciążenia w szprychach i uzyskiwania dostępu do zasobów lokalnych i w Internecie, jeśli usługa Azure DNS nie jest używana
  • Infrastruktura kluczy publicznych (PKI) służy do implementowania obciążeń logowania jednokrotnego
  • Sterowanie przepływem ruchu TCP i UDP między strefami sieci szprych i Internetem
  • Sterowanie przepływem między szprychami i środowiskiem lokalnym
  • W razie potrzeby sterowanie przepływem między jedną szprychą a drugą

Wirtualne centrum danych zmniejsza całkowity koszt przy użyciu udostępnionej infrastruktury koncentratora między wieloma szprychami.

Rolą każdej szprychy może być hostowanie różnych typów obciążeń. Szprychy zapewniają również modularne podejście do powtarzających się wdrożeń tych samych obciążeń. Przykłady obejmują tworzenie i testowanie, testowanie akceptacyjne użytkowników, przedprodukcję i produkcję. Szprychy mogą również dzielić różne grupy w obrębie organizacji i umożliwiać ich tworzenie. Grupy DevOps są dobrym przykładem tego, co mogą zrobić szprychy. Wewnątrz szprychy można wdrażać podstawowe obciążenia lub złożone obciążenia wielowarstwowe z kontrolą ruchu między warstwami.

Ograniczenia subskrypcji i wiele piast

Ważne

W zależności od rozmiaru wdrożeń platformy Azure może być potrzebna strategia wielu centrów. Podczas projektowania strategii piasty i szprych zapytaj "Czy ta skala projektu może używać innej sieci wirtualnej koncentratora w tym regionie?" i "Czy ta skala projektu może pomieścić wiele regionów?" Znacznie lepiej jest zaplanować projekt, który skaluje i nie potrzebuje go, niż nie planować i go potrzebować.

Kiedy skalowanie do pomocniczego (lub więcej) centrum zależy od kilku czynników, zwykle na podstawie właściwych limitów na dużą skalę. Pamiętaj, aby zapoznać się z limitami subskrypcji, sieci wirtualnej i maszyny wirtualnej podczas projektowania pod kątem skali.

Na platformie Azure każdy składnik, niezależnie od typu, jest wdrażany w ramach subskrypcji platformy Azure. Izolacja składników platformy Azure w różnych subskrypcjach platformy Azure może spełniać różne wymagania biznesowe, takie jak konfigurowanie różnych poziomów dostępu i autoryzacji.

Pojedyncza implementacja VDC może skalować w górę dużą liczbę szprych. Chociaż, podobnie jak w przypadku każdego systemu IT, istnieją limity platformy. Wdrożenie centrum jest powiązane z określoną subskrypcją platformy Azure, która ma ograniczenia i limity (na przykład maksymalną liczbę wirtualnych sieci równorzędnych. Aby uzyskać szczegółowe informacje, zobacz Azure subscription and service limits, quotas, and constraints (Limity, limity przydziału i ograniczenia usługi platformy Azure). W przypadkach, gdy limity mogą być problemem, architektura może być skalowana w górę, rozszerzając model z pojedynczych szprych do klastra piasty i szprych. Wiele centrów w co najmniej jednym regionie świadczenia usługi Azure można połączyć przy użyciu komunikacji równorzędnej sieci wirtualnej, usługi ExpressRoute, Virtual WAN lub sieci VPN typu lokacja-lokacja.

2

Wprowadzenie wielu centrów zwiększa nakład pracy nad kosztami i zarządzaniem systemem. Jest to uzasadnione tylko ze względu na skalowalność, limity systemu, nadmiarowość, replikację regionalną na potrzeby wydajności użytkownika końcowego lub odzyskiwanie po awarii. W scenariuszach wymagających wielu centrów wszystkie centra powinny dążyć do zaoferowania tego samego zestawu usług w celu ułatwienia działania.

Wzajemne połączenia między szprychami

Wewnątrz jednej szprychy lub płaskiej konstrukcji sieci można zaimplementować złożone obciążenia wielowarstwowe. Konfiguracje wielowarstwowe można zaimplementować przy użyciu podsieci, które są jedno dla każdej warstwy lub aplikacji w tej samej sieci wirtualnej. Kontrola ruchu i filtrowanie odbywa się przy użyciu sieciowych grup zabezpieczeń i tras zdefiniowanych przez użytkownika.

Architekt może chcieć wdrożyć obciążenie wielowarstwowe w wielu sieciach wirtualnych. Dzięki komunikacji równorzędnej sieci wirtualnej szprychy mogą łączyć się z innymi szprychami w tym samym centrum lub różnych koncentratorach. Typowym przykładem tego scenariusza jest sytuacja, w której serwery przetwarzania aplikacji znajdują się w jednej szprychy lub w sieci wirtualnej. Baza danych jest wdrażana w innej szprychy lub w sieci wirtualnej. W takim przypadku można łatwo połączyć szprychy z komunikacją równorzędną sieci wirtualnych, co pozwala uniknąć przesyłania przez koncentrator. Wykonaj staranną architekturę i przegląd zabezpieczeń, aby upewnić się, że pomijanie centrum nie pomija ważnych punktów zabezpieczeń ani inspekcji, które mogą istnieć tylko w centrum.

3

Szprychy mogą również łączyć się ze szprychą, która działa jako piasta. Takie podejście tworzy hierarchię dwu poziomów. Szprycha na wyższym poziomie (poziom 0) staje się piastą niższych szprych (poziom 1) hierarchii. Szprychy implementacji VDC są wymagane do przekazywania ruchu do centralnego koncentratora. Ruch może następnie być przesyłany do miejsca docelowego w sieci lokalnej lub w publicznym Internecie. Architektura z dwoma poziomami koncentratorów wprowadza złożony routing, który eliminuje korzyści wynikające z prostej relacji piasty i szprych.

Chociaż platforma Azure umożliwia złożone topologie, jedną z podstawowych zasad koncepcji VDC jest powtarzalność i prostota. Aby zminimalizować nakład pracy w zakresie zarządzania, prosta konstrukcja piasty i szprych to architektura referencyjna VDC, którą zalecamy.

Składniki

Wirtualne centrum danych składa się z czterech podstawowych typów składników: infrastruktura, sieci obwodowe, obciążenia i monitorowanie.

Każdy typ składnika składa się z różnych funkcji i zasobów platformy Azure. Implementacja VDC składa się z wystąpień wielu typów składników i wielu odmian tego samego typu składnika. Na przykład może istnieć wiele różnych, logicznie rozdzielonych wystąpień obciążeń, które reprezentują różne aplikacje. Te różne typy składników i wystąpienia są używane do kompilowania VDC.

4

Poprzednia architektura koncepcyjna wysokiego poziomu kontrolera VDC przedstawia różne typy składników używane w różnych strefach topologii piasty i szprych. Diagram przedstawia składniki infrastruktury w różnych częściach architektury.

Ogólnie rzecz biorąc, prawa dostępu i uprawnienia mogą być oparte na grupach. Radzenie sobie z grupami, a nie poszczególnymi użytkownikami ułatwia utrzymanie zasad dostępu, zapewniając spójny sposób zarządzania nimi w zespołach, co pomaga zminimalizować błędy konfiguracji. Przypisywanie i usuwanie użytkowników do i z odpowiednich grup pomaga zachować aktualne uprawnienia określonego użytkownika.

Każda grupa ról może mieć unikatowy prefiks na ich nazwach. Ten prefiks ułatwia identyfikowanie obciążenia skojarzonego z grupą. Na przykład obciążenie obsługujące usługę uwierzytelniania może mieć grupy o nazwie AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps i AuthServiceInfraOps. Scentralizowane role lub role, które nie są związane z określoną usługą, mogą być poprzedzone aplikacją Corp. Przykładem jest CorpNetOps.

Wiele organizacji używa odmiany następujących grup w celu zapewnienia głównego podziału ról:

  • Centralny zespół IT o nazwie Corp ma prawa własności do kontrolowania składników infrastruktury. Przykłady to sieć i zabezpieczenia. Grupa musi mieć rolę współautora w subskrypcji, kontroli nad piastą i prawami współautora sieci w szprychach. Duże organizacje często dzielą te obowiązki związane z zarządzaniem między wieloma zespołami. Przykłady to grupa operacji sieciowych CorpNetOps z wyłącznym naciskiem na sieć i grupę operacji zabezpieczeń CorpSecOps odpowiedzialną za zaporę i zasady zabezpieczeń. W tym konkretnym przypadku należy utworzyć dwie różne grupy do przypisania tych ról niestandardowych.
  • Grupa deweloperów/testów o nazwie AppDevOps ponosi odpowiedzialność za wdrażanie obciążeń aplikacji lub usług. Ta grupa ma rolę współautora maszyny wirtualnej dla wdrożeń IaaS lub co najmniej jednej roli współautora PaaS. Aby uzyskać więcej informacji, zobacz Role wbudowane platformy Azure. Opcjonalnie zespół deweloperów/testów może potrzebować wglądu w zasady zabezpieczeń (sieciowe grupy zabezpieczeń) i zasady routingu (trasy zdefiniowane przez użytkownika) wewnątrz centrum lub określonej szprychy. Oprócz roli współautora dla obciążeń ta grupa będzie również potrzebować roli czytelnika sieci.
  • Grupa operacji i konserwacji o nazwie CorpInfraOps lub AppInfraOps ponosi odpowiedzialność za zarządzanie obciążeniami w środowisku produkcyjnym. Ta grupa musi być współautorem subskrypcji dla obciążeń w dowolnej subskrypcji produkcyjnej. Niektóre organizacje mogą również ocenić, czy potrzebują grupy zespołu pomocy technicznej eskalacji z rolą współautora subskrypcji w środowisku produkcyjnym i centralnej subskrypcji centrum. Druga grupa rozwiązuje potencjalne problemy z konfiguracją w środowisku produkcyjnym.

VDC został zaprojektowany tak, aby centralne grupy zespołów IT, które zarządzają centrum, mają odpowiednie grupy na poziomie obciążenia. Oprócz zarządzania zasobami centrum centralny zespół IT może kontrolować dostęp zewnętrzny i uprawnienia najwyższego poziomu subskrypcji. Grupy obciążeń mogą również kontrolować zasoby i uprawnienia sieci wirtualnej niezależnie od centralnego zespołu IT.

Wirtualne centrum danych jest partycjonowane w celu bezpiecznego hostowania wielu projektów w różnych liniach biznesowych. Wszystkie projekty wymagają różnych środowisk izolowanych (dev, UAT i production). Oddzielne subskrypcje platformy Azure dla każdego z tych środowisk mogą zapewnić naturalną izolację.

5

Na powyższym diagramie przedstawiono relację między projektami, użytkownikami, grupami i środowiskami, w których są wdrażane składniki platformy Azure.

Zazwyczaj w it środowisko (lub warstwa) to system, w którym wdrożono i wykonano wiele aplikacji. Duże przedsiębiorstwa używają środowiska programistycznego (w którym zmiany są wprowadzane i testowane) oraz środowiska produkcyjnego (czego używają użytkownicy końcowi). Te środowiska są oddzielone, często z kilkoma środowiskami przejściowymi między nimi, aby umożliwić wdrażanie etapowe (wdrażanie), testowanie i wycofywanie w razie wystąpienia problemów. Architektury wdrażania różnią się znacznie, ale zwykle następuje podstawowy proces rozpoczynania programowania (DEV) i kończenia procesu produkcyjnego (PROD).

Typowa architektura dla tych typów środowisk wielowarstwowych obejmuje metodykę DevOps na potrzeby programowania i testowania, funkcji UAT dla środowisk przejściowych i produkcyjnych. Organizacje mogą używać jednej lub wielu dzierżaw Azure AD do definiowania dostępu i praw do tych środowisk. Na poprzednim diagramie przedstawiono przypadek, w którym są używane dwie różne dzierżawy Azure AD: jedna dla metodyki DevOps i UAT, a druga wyłącznie dla środowiska produkcyjnego.

Obecność różnych dzierżaw Azure AD wymusza rozdzielenie środowisk. Ta sama grupa użytkowników, takich jak centralny zespół IT, musi uwierzytelniać się przy użyciu innego identyfikatora URI, aby uzyskać dostęp do innej dzierżawy Azure AD. Dzięki temu zespół może zmodyfikować role lub uprawnienia środowiska DevOps lub środowiska produkcyjne projektu. Obecność różnych uwierzytelniania użytkowników w celu uzyskania dostępu do różnych środowisk zmniejsza możliwe awarie i inne problemy spowodowane błędami ludzkimi.

Typ składnika: infrastruktura

Ten typ składnika to miejsce, w którym znajduje się większość infrastruktury pomocniczej. Jest to również miejsce, w którym scentralizowane zespoły IT, zabezpieczeń i zgodności spędzają większość czasu.

Diagram infrastruktury 6

Składniki infrastruktury zapewniają połączenie dla różnych składników implementacji VDC i są obecne zarówno w piastze, jak i szprychach. Odpowiedzialność za zarządzanie i utrzymywanie składników infrastruktury jest zwykle przypisywana do centralnego zespołu IT lub zespołu ds. zabezpieczeń.

Jednym z głównych zadań zespołu infrastruktury IT jest zagwarantowanie spójności schematów adresów IP w całym przedsiębiorstwie. Prywatna przestrzeń adresów IP przypisana do implementacji VDC musi być spójna i nie nakłada się na prywatne adresy IP przypisane w sieciach lokalnych.

Translator adresów sieciowych w lokalnych routerach brzegowych lub w środowiskach platformy Azure może uniknąć konfliktów adresów IP, ale dodaje komplikacje do składników infrastruktury. Prostota zarządzania jest jednym z kluczowych celów VDC. Używanie translatora adresów sieciowych do obsługi problemów z adresami IP, chociaż jest prawidłowym rozwiązaniem, nie jest zalecanym rozwiązaniem.

Składniki infrastruktury mają następujące funkcje:

  • Tożsamości i usługi katalogowe: dostęp do każdego typu zasobu na platformie Azure jest kontrolowany przez tożsamość przechowywaną w usłudze katalogowej. Usługa katalogowa przechowuje nie tylko listę użytkowników, ale także prawa dostępu do zasobów w określonej subskrypcji platformy Azure. Te usługi mogą istnieć w chmurze lub mogą być synchronizowane z tożsamością lokalną przechowywaną w usłudze Active Directory.
  • Sieci wirtualne: sieci wirtualne są jednym z głównych składników VDC i umożliwiają utworzenie granicy izolacji ruchu na platformie Azure. Sieć wirtualna składa się z jednego lub wielu segmentów sieci wirtualnej, z których każdy ma określony prefiks sieci IP (podsieć, protokół IPv4 lub podwójny stos IPv4/IPv6). Sieć wirtualna definiuje wewnętrzny obszar obwodowy, w którym maszyny wirtualne IaaS i usługi PaaS mogą ustanowić prywatną komunikację. Maszyny wirtualne (i usługi PaaS) w jednej sieci wirtualnej nie mogą komunikować się bezpośrednio z maszynami wirtualnymi (i usługami PaaS) w innej sieci wirtualnej. Jest to prawdą, nawet jeśli obie sieci wirtualne są tworzone przez tego samego klienta, w ramach tej samej subskrypcji. Izolacja jest właściwością krytyczną, która zapewnia, że maszyny wirtualne klienta i komunikacja pozostają prywatne w sieci wirtualnej. Gdzie jest wymagana łączność między sieciami, poniższe funkcje opisują, jak można to osiągnąć.
  • Komunikacja równorzędna sieci wirtualnych: podstawową funkcją służącą do tworzenia infrastruktury VDC jest komunikacja równorzędna sieci wirtualnych, która łączy dwie sieci wirtualne w tym samym regionie. To połączenie odbywa się za pośrednictwem sieci centrum danych platformy Azure lub korzystania z sieci szkieletowej platformy Azure na całym świecie w różnych regionach.
  • Virtual Network punktów końcowych usługi: punkty końcowe usługi rozszerzają prywatną przestrzeń adresową sieci wirtualnej, aby uwzględnić przestrzeń PaaS. Punkty końcowe rozszerzają również tożsamość sieci wirtualnej do usług platformy Azure za pośrednictwem bezpośredniego połączenia. Punkty końcowe umożliwiają zabezpieczanie krytycznych zasobów usługi platformy Azure w sieciach wirtualnych.
  • Private Link: Azure Private Link umożliwia dostęp do usług Azure PaaS (na przykład Azure Storage, Azure Cosmos DB i Azure SQL Database) oraz usług klienta/partnerów platformy Azure za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Ruch między siecią wirtualną a usługą odbywa się za pośrednictwem sieci szkieletowej firmy Microsoft, eliminując ekspozycję z publicznego Internetu. Możesz również utworzyć własną usługę Private Link w sieci wirtualnej i dostarczyć ją prywatnie klientom. Środowisko konfiguracji i użycia przy użyciu Azure Private Link jest spójne w usługach PaaS platformy Azure, należących do klienta i udostępnionych usługach partnerskich.
  • Trasy zdefiniowane przez użytkownika: ruch w sieci wirtualnej jest domyślnie kierowany na podstawie tabeli routingu systemu. Trasa zdefiniowana przez użytkownika to niestandardowa tabela routingu, którą administratorzy sieci mogą skojarzyć z co najmniej jedną podsiecią, aby zastąpić zachowanie tabeli routingu systemu i definiuje ścieżkę komunikacji w sieci wirtualnej. Obecność tras zdefiniowanych przez użytkownika gwarantuje ruch z przesyłania szprych przez określone niestandardowe maszyny wirtualne lub wirtualne urządzenia sieciowe oraz moduły równoważenia obciążenia obecne zarówno w piastze, jak i szprychach.
  • Sieciowe grupy zabezpieczeń: sieciowa grupa zabezpieczeń to lista reguł zabezpieczeń, które działają jako filtrowanie ruchu w źródłach adresów IP, miejscach docelowych IP, protokołach, portach źródłowych IP i portach docelowych IP (nazywanych również pięcioma krotkami warstwy). Sieciowa grupa zabezpieczeń może być stosowana do podsieci, wirtualnej karty sieciowej skojarzonej z maszyną wirtualną platformy Azure lub obu tych elementów. Sieciowe grupy zabezpieczeń są niezbędne do zaimplementowania prawidłowego sterowania przepływem w koncentratonie i w szprychach. Poziom zabezpieczeń zapewniany przez sieciową grupę zabezpieczeń jest funkcją, której portów otwierasz i do jakiego celu. Klienci mogą stosować więcej filtrów na maszynę wirtualną za pomocą zapór opartych na hoście, takich jak iptables lub Zapora systemu Windows.
  • DNS: usługa DNS zapewnia rozpoznawanie nazw dla zasobów w wirtualnym centrum danych. Platforma Azure udostępnia usługi DNS dla rozpoznawania nazw publicznych i prywatnych . Strefy prywatne zapewniają rozpoznawanie nazw w sieci wirtualnej i w sieciach wirtualnych. Strefy prywatne mogą obejmować wiele sieci wirtualnych w tym samym regionie oraz między regionami i subskrypcjami. W przypadku rozpoznawania publicznego usługa Azure DNS udostępnia usługę hostingu dla domen DNS, zapewniając rozpoznawanie nazw przy użyciu infrastruktury platformy Microsoft Azure. Dzięki hostowaniu swoich domen na platformie Azure możesz zarządzać rekordami DNS z zastosowaniem tych samych poświadczeń, interfejsów API, narzędzi i rozliczeń co w przypadku innych usług platformy Azure.
  • Zarządzanie grupą zarządzania, subskrypcją i grupą zasobów . Subskrypcja definiuje granicę naturalną, aby utworzyć wiele grup zasobów na platformie Azure. To rozdzielenie może dotyczyć funkcji, segregacji ról lub rozliczeń. Zasoby w subskrypcji są zbierane razem w kontenerach logicznych nazywanych grupami zasobów. Grupa zasobów reprezentuje grupę logiczną do organizowania zasobów w wirtualnym centrum danych. Jeśli Twoja organizacja ma wiele subskrypcji, konieczny może być sposób na wydajne zarządzanie dostępem, zasadami i zgodnością dla tych subskrypcji. Grupy zarządzania platformy Azure zapewniają poziom zakresu powyżej subskrypcji. Subskrypcje są zorganizowane w kontenery znane jako grupy zarządzania i stosujesz warunki ładu do grup zarządzania. Wszystkie subskrypcje w grupie zarządzania automatycznie dziedziczą warunki zastosowane do tej grupy zarządzania. Aby wyświetlić te trzy funkcje w widoku hierarchii, zobacz Organizowanie zasobów w Cloud Adoption Framework.
  • Kontrola dostępu oparta na rolach platformy Azure (RBAC) platformy Azure: kontrola dostępu oparta na rolach platformy Azure umożliwia mapowanie ról organizacyjnych i praw dostępu do określonych zasobów platformy Azure. Pozwala to ograniczyć użytkowników tylko do określonego podzestawu akcji. Jeśli synchronizujesz usługę Azure Active Directory z lokalna usługa Active Directory, możesz użyć tych samych grup usługi Active Directory na platformie Azure, które są używane lokalnie. Dzięki kontroli dostępu opartej na rolach platformy Azure można udzielić dostępu, przypisując odpowiednią rolę użytkownikom, grupom i aplikacjom w odpowiednim zakresie. Zakres przypisania roli może być subskrypcją platformy Azure, grupą zasobów lub pojedynczym zasobem. Kontrola dostępu oparta na rolach platformy Azure umożliwia dziedziczenie uprawnień. Rola przypisana w zakresie nadrzędnym przyznaje również dostęp do elementów podrzędnych zawartych w nim. Dzięki kontroli dostępu opartej na rolach platformy Azure można segregować obowiązki i udzielać dostępu tylko do użytkowników, których potrzebują do wykonywania swoich zadań. Na przykład jeden pracownik może zarządzać maszynami wirtualnymi w ramach subskrypcji, a inny może zarządzać SQL Server bazami danych w tej samej subskrypcji.

Typ składnika: sieci obwodowe

Składniki sieci obwodowej (nazywanej czasami siecią DMZ) łączą lokalne lub fizyczne sieci centrum danych wraz z dowolną łącznością internetową. Obwód zazwyczaj wymaga znacznego czasu inwestycji ze strony zespołów ds. sieci i zabezpieczeń.

Pakiety przychodzące mogą przepływać przez urządzenia zabezpieczające w centrum przed dotarciem do serwerów zaplecza i usług w szprychach. Przykłady obejmują zaporę, identyfikatory i adresy IPS. Przed opuszczeniem sieci pakiety powiązane z Internetem z obciążeń mogą również przepływać przez urządzenia zabezpieczeń w sieci obwodowej. Ten przepływ umożliwia wymuszanie, inspekcję i inspekcję zasad.

Składniki sieci obwodowej obejmują:

Zazwyczaj centralny zespół IT i zespoły ds. zabezpieczeń odpowiadają za definicję wymagań i działanie sieci obwodowych.

Diagram infrastruktury 7

Na powyższym diagramie przedstawiono wymuszanie dwóch obwodów z dostępem do Internetu i sieci lokalnej, zarówno mieszkającej w centrum DMZ. W centrum DMZ sieć obwodowa do Internetu może być skalowana w górę w celu obsługi wielu linii biznesowych przy użyciu wielu farm zapór aplikacji internetowych (WAFs) lub usługi Azure Firewall. Centrum umożliwia również łączność lokalną za pośrednictwem sieci VPN lub usługi ExpressRoute zgodnie z potrzebami.

Uwaga

Na powyższym diagramie w systemie DMZ Hubwiele z następujących funkcji można połączyć ze sobą w centrum usługi Azure Virtual WAN (na przykład sieci wirtualne, trasy zdefiniowane przez użytkownika, sieciowe grupy zabezpieczeń, bramy sieci VPN, bramy usługi ExpressRoute, usługi Azure Load Balancers, usługi Azure Firewalls, menedżera zapory i usługi DDOS). Korzystanie z centrów azure Virtual WAN może znacznie ułatwić tworzenie sieci wirtualnej koncentratora i VDC, ponieważ większość złożoności inżynieryjnej jest obsługiwana przez platformę Azure podczas wdrażania centrum azure Virtual WAN Hub.

Sieci wirtualne. Piasta jest zwykle oparta na sieci wirtualnej z wieloma podsieciami hostujących różne typy usług. Te usługi filtrować i sprawdzać ruch do lub z Internetu za pośrednictwem Azure Firewall, urządzeń WUS, zapory aplikacji internetowej i Azure Application Gateway wystąpień.

Trasy zdefiniowane przez użytkownika. Korzystając z tras definiowanych przez użytkownika, klienci mogą wdrażać zapory, systemy wykrywania nieautoryzowanego dostępu/adresy IP oraz inne urządzenia wirtualne. Mogą one kierować ruch sieciowy za pośrednictwem tych urządzeń zabezpieczeń na potrzeby wymuszania zasad granic zabezpieczeń, inspekcji i inspekcji. Trasy zdefiniowane przez użytkownika można tworzyć zarówno w centrum, jak i szprychach, aby zagwarantować, że ruch przesyłany przez określone niestandardowe maszyny wirtualne, wirtualne urządzenia sieciowe i moduły równoważenia obciążenia używane przez implementację VDC. Aby zagwarantować, że ruch generowany na podstawie maszyn wirtualnych przesyłanych szprych do odpowiednich urządzeń wirtualnych, należy ustawić trasę zdefiniowaną przez użytkownika w podsieciach szprychy. Jest to wykonywane przez ustawienie adresu IP frontonu wewnętrznego modułu równoważenia obciążenia jako następnego przeskoku. Wewnętrzny moduł równoważenia obciążenia rozkłada ruch wewnętrzny na urządzenia wirtualne (pula wewnętrznej bazy danych modułu równoważenia obciążenia).

Azure Firewall to zarządzana usługa zabezpieczeń sieci, która chroni zasoby usługi Azure Virtual Network. Jest to stanowa zarządzana zapora o wysokiej dostępności i skalowalności chmury. Możesz centralnie tworzyć, wymuszać i rejestrować zasady łączności aplikacji i sieci w subskrypcjach i sieciach wirtualnych. Usługa Azure Firewall używa statycznego publicznego adresu IP do zasobów sieci wirtualnej. Umożliwia to zewnętrznym zaporom identyfikowanie ruchu pochodzącego z danej sieci wirtualnej. Usługa jest w pełni zintegrowana z usługą Azure Monitor na potrzeby rejestrowania i analiz.

Jeśli używasz topologii usługi Azure Virtual WAN, menedżer Azure Firewall jest usługą zarządzania zabezpieczeniami, która zapewnia centralne zasady zabezpieczeń i zarządzanie trasami dla obwodów zabezpieczeń opartych na chmurze. Współpracuje ona z usługą Azure Virtual WAN Hub, zasobem zarządzanym przez firmę Microsoft, który umożliwia łatwe tworzenie architektur piasty i szprych. Gdy zasady zabezpieczeń i routingu są skojarzone z koncentratorem, jest nazywane zabezpieczonym koncentratorem wirtualnym.

Wirtualne urządzenia sieciowe. W centrum sieć obwodowa z dostępem do Internetu jest zwykle zarządzana za pośrednictwem wystąpienia Azure Firewall lub farmy zapór lub zapory aplikacji internetowej (WAF).

Różne linie biznesowe często używają wielu aplikacji internetowych, które mają tendencję do występowania różnych luk w zabezpieczeniach i potencjalnych luk w zabezpieczeniach. Zapory aplikacji internetowej to specjalny typ produktu używany do wykrywania ataków na aplikacje internetowe i protokół HTTP/HTTPS bardziej efektywnie niż ogólna zapora. W porównaniu z technologią zapory tradycji WAFs mają zestaw określonych funkcji, aby chronić wewnętrzne serwery internetowe przed zagrożeniami.

Zapora Azure Firewall lub urządzenia WUS używa wspólnej płaszczyzny administracyjnej z zestawem reguł zabezpieczeń w celu ochrony obciążeń hostowanych w szprychach i kontrolowania dostępu do sieci lokalnych. Azure Firewall ma wbudowaną skalowalność, podczas gdy zapory urządzenia WUS można ręcznie skalować za modułem równoważenia obciążenia. Ogólnie rzecz biorąc, farma zapory ma mniej wyspecjalizowane oprogramowanie w porównaniu z zaporą aplikacji internetowej, ale ma szerszy zakres aplikacji do filtrowania i sprawdzania dowolnego typu ruchu przychodzącego i przychodzącego. Jeśli jest używane podejście urządzenia WUS, można je znaleźć i wdrożyć z Azure Marketplace.

Zalecamy użycie jednego zestawu wystąpień Azure Firewall lub urządzeń WUS dla ruchu pochodzącego z Internetu. Użyj innego dla ruchu pochodzącego ze środowiska lokalnego. Używanie tylko jednego zestawu zapór dla obu jest zagrożeniem bezpieczeństwa, ponieważ nie zapewnia obwodu zabezpieczeń między dwoma zestawami ruchu sieciowego. Użycie oddzielnych warstw zapory zmniejsza złożoność sprawdzania reguł zabezpieczeń, co sprawia, że reguły odpowiadają żądaniu sieci przychodzącej.

Azure Load Balancer oferuje usługę warstwy 4 (TCP/UDP), która może dystrybuować ruch przychodzący między wystąpieniami usług zdefiniowanymi w zestawie o zrównoważonym obciążeniu. Ruch wysyłany do modułu równoważenia obciążenia z punktów końcowych frontonu (publicznych punktów końcowych adresów IP lub prywatnych punktów końcowych ip) może być redystrybuowany za pomocą translacji adresów IP zaplecza lub bez ich tłumaczenia do zestawu pul adresów IP zaplecza (takich jak wirtualne urządzenia sieciowe lub maszyny wirtualne).

Azure Load Balancer może sondować kondycję różnych wystąpień serwera. Jeśli wystąpienie nie zareaguje na sondę, moduł równoważenia obciążenia przestaje wysyłać ruch do wystąpienia o złej kondycji. W wirtualnym centrum danych zewnętrzny moduł równoważenia obciążenia jest wdrażany w centrum i szprychach. W centrum moduł równoważenia obciążenia jest używany do wydajnego kierowania ruchu między wystąpieniami zapory. W szprychach moduły równoważenia obciążenia są używane do zarządzania ruchem aplikacji.

Usługa Azure Front Door (AFD) to wysoce dostępna i skalowalna platforma przyspieszania aplikacji internetowych firmy Microsoft, globalna usługa równoważenia obciążenia HTTP, ochrona aplikacji i sieć dostarczania zawartości. Działa w ponad 100 lokalizacjach na brzegu globalnej sieci firmy Microsoft, usługa AFD umożliwia tworzenie, obsługę i skalowanie w poziomie dynamicznej aplikacji internetowej i zawartości statycznej. Usługa AFD zapewnia aplikacji światowej klasy wydajność użytkownika końcowego, ujednoliconą automatyzację konserwacji regionalnej/sygnatury, automatyzację BCDR, ujednolicone informacje o kliencie/użytkowniku, buforowanie i szczegółowe informacje o usłudze.

Platforma oferuje:

  • Umowy dotyczące poziomu usług (SLA) dotyczące wydajności, niezawodności i obsługi.
  • Certyfikaty zgodności.
  • Inspekcja praktyk zabezpieczeń, które są opracowywane, obsługiwane i natywnie obsługiwane przez platformę Azure.

Usługa Azure Front Door udostępnia również zaporę aplikacji internetowej (WAF), która chroni aplikacje internetowe przed typowymi lukami w zabezpieczeniach i ekspozycjami.

Azure Application Gateway jest dedykowanym urządzeniem wirtualnym zapewniającym zarządzany kontroler dostarczania aplikacji. Oferuje ona różne funkcje równoważenia obciążenia warstwy 7 dla aplikacji. Umożliwia ona optymalizację wydajności farmy internetowej przez odciążanie kończenia żądań SSL intensywnie korzystających z procesora CPU do bramy aplikacji. Zapewnia również inne funkcje routingu w warstwie 7, takie jak okrężna dystrybucja ruchu przychodzącego, koligacja sesji oparta na plikach cookie, routing oparty na ścieżkach URL i możliwość hostowania wielu witryn internetowych za pojedynczą bramą aplikacji. Zapora aplikacji internetowych jest również udostępniana w ramach jednostki SKU zapory aplikacji internetowych w usłudze Application Gateway. Zapewnia ona ochronę aplikacji internetowych przed typowymi internetowymi lukami w zabezpieczeniach. Bramę aplikacji można skonfigurować jako bramę dostępną z Internetu, bramę tylko do użytku wewnętrznego lub kombinację obu tych bram.

Publiczne adresy IP. W przypadku niektórych funkcji platformy Azure można skojarzyć punkty końcowe usługi z publicznym adresem IP, aby zasób był dostępny z Internetu. Ten punkt końcowy używa translatora adresów sieciowych do kierowania ruchu do wewnętrznego adresu i portu w sieci wirtualnej na platformie Azure. Ta ścieżka stanowi podstawową metodę przekazywania ruchu zewnętrznego do sieci wirtualnej. Możesz skonfigurować publiczne adresy IP, aby określić, który ruch jest przekazywany i jak i gdzie jest tłumaczony na sieć wirtualną.

Usługa Azure DDoS Protection w warstwie Standardowa zapewnia więcej możliwości ograniczania ryzyka w warstwie podstawowej usługi , które są dostosowane specjalnie do zasobów sieci wirtualnej platformy Azure. Usługę DDoS Protection w warstwie Standardowa można łatwo włączyć i nie wymaga to wprowadzania zmian w aplikacji. Zasady ochrony są dostosowywane za pośrednictwem dedykowanych algorytmów monitorowania ruchu i uczenia maszynowego. Zasady są stosowane do publicznych adresów IP skojarzonych z zasobami wdrożonymi w sieciach wirtualnych. Przykłady obejmują moduł równoważenia obciążenia platformy Azure, bramę aplikacji platformy Azure i wystąpienia usługi Azure Service Fabric. Niemal w czasie rzeczywistym dzienniki generowane przez system są dostępne za pośrednictwem widoków usługi Azure Monitor podczas ataku i historii. Ochronę warstwy aplikacji można dodać za pośrednictwem zapory aplikacji internetowej usługi Azure Application Gateway. Ochrona jest zapewniana dla publicznych adresów IP platformy Azure i IPv4 i IPv6.

Topologia piasty i szprych używa komunikacji równorzędnej sieci wirtualnej i tras zdefiniowanych przez użytkownika w celu prawidłowego kierowania ruchu.

8

Na diagramie trasa zdefiniowana przez użytkownika zapewnia, że ruch przepływa z szprychy do zapory przed przekazaniem do środowiska lokalnego za pośrednictwem bramy usługi ExpressRoute (jeśli zasady zapory zezwalają na ten przepływ).

Typ składnika: monitorowanie

Składniki monitorowania zapewniają widoczność i alerty ze wszystkich innych typów składników. Wszystkie zespoły mogą mieć dostęp do monitorowania składników i usług, do których mają dostęp. Jeśli masz scentralizowane zespoły pomocy technicznej lub operacyjne, wymagają zintegrowanego dostępu do danych dostarczonych przez te składniki.

Platforma Azure oferuje różne typy usług rejestrowania i monitorowania w celu śledzenia zachowania zasobów hostowanych na platformie Azure. Ład i kontrola obciążeń na platformie Azure opiera się nie tylko na zbieraniu danych dzienników, ale także na możliwości wyzwalania akcji na podstawie określonych zgłoszonych zdarzeń.

Azure Monitor. Platforma Azure obejmuje wiele usług, które indywidualnie wykonują określoną rolę lub zadanie w obszarze monitorowania. Razem te usługi zapewniają kompleksowe rozwiązanie do zbierania, analizowania i działania na dziennikach generowanych przez system z aplikacji i zasobów platformy Azure, które je obsługują. Mogą również pracować nad monitorowaniem krytycznych zasobów lokalnych w celu zapewnienia hybrydowego środowiska monitorowania. Zrozumienie dostępnych narzędzi i danych jest pierwszym krokiem w tworzeniu pełnej strategii monitorowania dla aplikacji.

Istnieją dwa podstawowe typy dzienników w usłudze Azure Monitor:

  • Metryki to wartości liczbowe, które opisują jakiś aspekt systemu w określonym punkcie w czasie. Są one lekkie i mogą obsługiwać scenariusze niemal w czasie rzeczywistym. W przypadku wielu zasobów platformy Azure dane zebrane przez usługę Azure Monitor zostaną wyświetlone bezpośrednio na stronie przeglądu w Azure Portal. Na przykład przyjrzyjmy się dowolnej maszynie wirtualnej i zobaczysz kilka wykresów wyświetlających metryki wydajności. Wybierz dowolny z wykresów, aby otworzyć dane w Eksploratorze metryk w Azure Portal, co pozwala na wykres wartości wielu metryk w czasie. Wykresy można wyświetlić interaktywnie lub przypiąć do pulpitu nawigacyjnego, aby wyświetlić je z innymi wizualizacjami.

  • Dzienniki zawierają różne rodzaje danych zorganizowanych w rekordy z różnymi zestawami właściwości dla każdego typu. Zdarzenia i ślady są przechowywane jako dzienniki wraz z danymi wydajności, które można połączyć na potrzeby analizy. Dane dziennika zbierane przez usługę Azure Monitor można analizować za pomocą zapytań w celu szybkiego pobierania, konsolidowania i analizowania zebranych danych. Dzienniki są przechowywane i odpytywane z usługi Log Analytics. Zapytania można tworzyć i testować przy użyciu usługi Log Analytics w Azure Portal, a następnie bezpośrednio analizować dane przy użyciu tych narzędzi lub zapisywać zapytania do użycia z wizualizacjami lub regułami alertów.

9

Usługa Azure Monitor może zbierać dane z różnych źródeł. Możesz myśleć o monitorowaniu danych dla aplikacji w warstwach, począwszy od aplikacji, dowolnego systemu operacyjnego i usług, na których opiera się, aż do samej platformy Azure. Usługa Azure Monitor zbiera dane z każdej z następujących warstw:

  • Dane monitorowania aplikacji: Dane dotyczące wydajności i funkcjonalności napisanego kodu, niezależnie od jego platformy.
  • Dane monitorowania systemu operacyjnego gościa: Dane dotyczące systemu operacyjnego, na którym działa aplikacja. Ten system operacyjny może działać na platformie Azure, w innej chmurze lub lokalnie.
  • Dane monitorowania zasobów platformy Azure: Dane dotyczące działania zasobu platformy Azure.
  • Dane monitorowania subskrypcji platformy Azure: Dane dotyczące operacji i zarządzania subskrypcją platformy Azure oraz kondycji i działania samej platformy Azure.
  • Dane monitorowania dzierżawy platformy Azure: Dane dotyczące działania usług platformy Azure na poziomie dzierżawy, takich jak Azure Active Directory.
  • Źródła niestandardowe: Dzienniki wysyłane ze źródeł lokalnych można również uwzględnić. Przykłady obejmują zdarzenia serwera lokalnego lub dane wyjściowe dziennika systemowego urządzeń sieciowych.

Monitorowanie danych jest przydatne tylko wtedy, gdy może zwiększyć wgląd w działanie środowiska obliczeniowego. Usługa Azure Monitor zawiera kilka funkcji i narzędzi, które zapewniają cenny wgląd w aplikacje i inne zasoby, od których zależą. Monitorowanie rozwiązań i funkcji, takich jak application insights i Azure Monitor dla kontenerów, zapewnia szczegółowe informacje o różnych aspektach aplikacji i określonych usługach platformy Azure.

Rozwiązania do monitorowania w usłudze Azure Monitor to spakowane zestawy logiki, które zapewniają szczegółowe informacje dotyczące określonej aplikacji lub usługi. Obejmują one logikę zbierania danych monitorowania dla aplikacji lub usługi, zapytań dotyczących analizowania tych danych i widoków wizualizacji. Rozwiązania do monitorowania są dostępne od firmy Microsoft i partnerów w celu zapewnienia monitorowania różnych usług platformy Azure i innych aplikacji.

W przypadku takiej kolekcji bogatych danych ważne jest, aby podejmować proaktywne działania dotyczące zdarzeń wykonywanych w środowisku, szczególnie w przypadku, gdy same zapytania ręczne nie będą wystarczające. Alerty w usłudze Azure Monitor aktywnie powiadamiają o krytycznych warunkach i potencjalnie próbują podjąć działania naprawcze. Reguły alertów oparte na metrykach zapewniają alerty niemal w czasie rzeczywistym na podstawie wartości liczbowych. Reguły alertów oparte na dziennikach umożliwiają złożoną logikę między danymi z wielu źródeł. Reguły alertów w usłudze Azure Monitor używają grup akcji, które zawierają unikatowe zestawy adresatów i akcji, które mogą być współużytkowane przez wiele reguł. Na podstawie wymagań grupy akcji mogą używać elementów webhook, które powodują, że alerty uruchamiają akcje zewnętrzne lub integrują się z narzędziami ITSM.

Usługa Azure Monitor umożliwia również tworzenie niestandardowych pulpitów nawigacyjnych. Pulpity nawigacyjne platformy Azure umożliwiają łączenie różnych rodzajów danych, w tym metryk i dzienników, w jednym okienku w Azure Portal. Możesz opcjonalnie udostępnić pulpit nawigacyjny innym użytkownikom platformy Azure. Elementy w usłudze Azure Monitor można dodać do pulpitu nawigacyjnego platformy Azure oprócz danych wyjściowych dowolnego zapytania dziennika lub wykresu metryk. Możesz na przykład utworzyć pulpit nawigacyjny, który łączy kafelki, które pokazują graf metryk, tabelę dzienników aktywności, wykres użycia z usługi Application Insights i dane wyjściowe zapytania dziennika.

Na koniec dane usługi Azure Monitor są natywnym źródłem dla usługi Power BI. Power BI to usługa analizy biznesowej, która udostępnia interaktywne wizualizacje w różnych źródłach danych. Jest to również skuteczny sposób udostępniania danych innym osobom w organizacji i poza nią. Usługę Power BI można skonfigurować tak, aby automatycznie importować dane dziennika z usługi Azure Monitor, aby korzystać z tych większej liczby wizualizacji.

Usługa Azure Network Watcher udostępnia narzędzia do monitorowania, diagnozowania i wyświetlania metryk oraz włączania lub wyłączania dzienników dla zasobów w sieci wirtualnej na platformie Azure. Jest to wieloaspektowa usługa, która umożliwia wykonywanie następujących funkcji i nie tylko:

  • Monitorowanie komunikacji między maszyną wirtualną a punktem końcowym.
  • Wyświetlanie zasobów w sieci wirtualnej i ich relacjach.
  • Diagnozowanie problemów z filtrowaniem ruchu sieciowego do lub z maszyny wirtualnej.
  • Diagnozowanie problemów z routingiem sieci z maszyny wirtualnej.
  • Diagnozowanie połączeń wychodzących z maszyny wirtualnej.
  • Przechwyć pakiety do i z maszyny wirtualnej.
  • Diagnozowanie problemów z bramą sieci wirtualnej i połączeniami.
  • Określanie względnych opóźnień między regionami platformy Azure i dostawcami usług internetowych.
  • Wyświetlanie reguł zabezpieczeń dla interfejsu sieciowego.
  • Wyświetlanie metryk sieci.
  • Analizowanie ruchu do lub z sieciowej grupy zabezpieczeń.
  • Wyświetl dzienniki diagnostyczne dla zasobów sieciowych.

Typ składnika: Obciążenia

Składniki obciążenia to miejsce, w którym znajdują się rzeczywiste aplikacje i usługi. To miejsce, w którym zespoły deweloperów aplikacji spędzają większość czasu.

Możliwości obciążeń są nieskończone. Poniżej przedstawiono tylko kilka możliwych typów obciążeń:

Aplikacje wewnętrzne: Aplikacje biznesowe mają kluczowe znaczenie dla operacji przedsiębiorstwa. Te aplikacje mają pewne typowe cechy:

  • Interaktywne: Dane są wprowadzane, a wyniki lub raporty są zwracane.
  • Oparte na danych: Intensywne wykorzystanie danych z częstym dostępem do baz danych lub innego magazynu.
  • Zintegrowane: Oferuje integrację z innymi systemami w organizacji lub poza nią.

Witryny internetowe dostępne dla klientów (połączone z Internetem lub wewnętrznie): Większość aplikacji internetowych to witryny internetowe. Platforma Azure może uruchamiać witrynę internetową za pośrednictwem maszyny wirtualnej IaaS lub witryny usługi Azure Web Apps (PaaS). Aplikacje internetowe platformy Azure integrują się z sieciami wirtualnymi w celu wdrażania aplikacji internetowych w strefie sieciowej szprych. Witryny internetowe połączone wewnętrznie nie muszą uwidaczniać publicznego punktu końcowego internetu, ponieważ zasoby są dostępne za pośrednictwem prywatnych adresów routingowych innych niż Internet z prywatnej sieci wirtualnej.

Analiza danych big data: Gdy dane muszą być skalowane w górę do większych woluminów, relacyjne bazy danych mogą nie działać prawidłowo pod ekstremalnym obciążeniem lub nieustrukturyzowanym charakterem danych. Azure HDInsight to zarządzana, pełna spektrum, usługa analizy typu open source w chmurze dla przedsiębiorstw. Platformy typu open source, takie jak Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm i R. HDInsight. Obsługuje to wdrażanie w sieci wirtualnej opartej na lokalizacji, którą można wdrożyć w klastrze w szprychach wirtualnego centrum danych.

Zdarzenia i komunikaty:Azure Event Hubs to platforma przesyłania strumieniowego danych big data i usługa pozyskiwania zdarzeń. Może odbierać i przetwarzać miliony zdarzeń na sekundę. Zapewnia małe opóźnienia i konfigurowalne przechowywanie czasu, umożliwiając pozyskiwanie ogromnych ilości danych na platformie Azure i odczytywanie ich z wielu aplikacji. Pojedynczy strumień może obsługiwać potoki w czasie rzeczywistym i wsadowe.

Za pomocą Azure Service Bus można zaimplementować wysoce niezawodną usługę obsługi komunikatów w chmurze między aplikacjami i usługami. Oferuje asynchroniczną obsługę komunikatów obsługiwanych przez brokera między klientem a serwerem, ustrukturyzowaną obsługą komunikatów typu "pierwszy na pierwszy wyjście" (FIFO), a także publikowanie i subskrybowanie możliwości.

10

Te przykłady ledwo rysują powierzchnię typów obciążeń, które można utworzyć na platformie Azure. Możesz utworzyć wszystko, od podstawowej aplikacji internetowej i SQL do najnowszej wersji w usłudze IoT, danych big data, uczeniu maszynowym, sztucznej inteligencji itd.

Wysoka dostępność: wiele wirtualnych centrów danych

Do tej pory ten artykuł koncentruje się na projektowaniu pojedynczego VDC, opisującego podstawowe składniki i architektury, które przyczyniają się do odporności. Funkcje platformy Azure, takie jak Azure Load Balancer, urządzenia WUS, strefy dostępności, zestawy dostępności, zestawy skalowania i inne możliwości, które ułatwiają uwzględnianie solidnych poziomów umowy SLA w usługach produkcyjnych.

Jednak ze względu na to, że wirtualne centrum danych jest zwykle implementowane w jednym regionie, może być narażone na awarie, które mają wpływ na cały region. Klienci, którzy wymagają wysokiej dostępności, muszą chronić usługi za pośrednictwem wdrożeń tego samego projektu w co najmniej dwóch implementacjach VDC wdrożonych w różnych regionach.

Oprócz kwestii dotyczących umowy SLA kilka typowych scenariuszy korzysta z uruchamiania wielu wirtualnych centrów danych:

  • Regionalna lub globalna obecność użytkowników końcowych lub partnerów.
  • Wymagania dotyczące odzyskiwania po awarii.
  • Mechanizm przekierowywania ruchu między centrami danych w celu obciążenia lub wydajności.

Obecność regionalna/globalna

Centra danych platformy Azure istnieją w wielu regionach na całym świecie. Podczas wybierania wielu centrów danych platformy Azure należy wziąć pod uwagę dwa powiązane czynniki: odległości geograficzne i opóźnienie. Aby zoptymalizować środowisko użytkownika, oceń odległość między każdym wirtualnym centrum danych a odległością od każdego wirtualnego centrum danych do użytkowników końcowych.

Region świadczenia usługi Azure hostujący wirtualne centrum danych musi być zgodny z wymaganiami prawnymi każdej jurysdykcji prawnej, w ramach której działa Twoja organizacja.

Odzyskiwanie po awarii

Projekt planu odzyskiwania po awarii zależy od typów obciążeń i możliwości synchronizacji stanu tych obciążeń między różnymi implementacjami VDC. W idealnym przypadku większość klientów potrzebuje szybkiego mechanizmu przełączania w tryb failover, a to wymaganie może wymagać synchronizacji danych aplikacji między wdrożeniami uruchomionymi w wielu implementacjach VDC. Jednak podczas projektowania planów odzyskiwania po awarii należy wziąć pod uwagę, że większość aplikacji jest wrażliwa na opóźnienia, które mogą być spowodowane przez tę synchronizację danych.

Synchronizacja i monitorowanie pulsu aplikacji w różnych implementacjach VDC wymaga, aby komunikowały się za pośrednictwem sieci. Wiele implementacji VDC w różnych regionach można połączyć za pośrednictwem:

  • Komunikacja między koncentratorami wbudowana w centra usługi Azure Virtual WAN w różnych regionach w tym samym Virtual WAN.
  • Komunikacja równorzędna sieci wirtualnych w celu połączenia koncentratorów między regionami.
  • Prywatna komunikacja równorzędna usługi ExpressRoute, gdy koncentratory w każdej implementacji VDC są połączone z tym samym obwodem usługi ExpressRoute.
  • Wiele obwodów usługi ExpressRoute połączonych za pośrednictwem sieci szkieletowej firmy oraz wiele implementacji VDC połączonych z obwodami usługi ExpressRoute.
  • Połączenia sieci VPN typu lokacja-lokacja między strefą piasty implementacji VDC w każdym regionie świadczenia usługi Azure.

Zazwyczaj w przypadku łączności sieciowej preferowane jest Virtual WAN koncentratory, komunikacja równorzędna sieci wirtualnych lub połączenia usługi ExpressRoute ze względu na większą przepustowość i spójne poziomy opóźnień podczas przechodzenia przez sieć szkieletową firmy Microsoft.

Uruchom testy kwalifikacji sieci, aby zweryfikować opóźnienie i przepustowość tych połączeń oraz zdecydować, czy replikacja danych synchronicznych lub asynchronicznych jest odpowiednia na podstawie wyniku. Ważne jest również, aby rozważyć te wyniki w celu optymalnego celu czasu odzyskiwania (RTO).

Odzyskiwanie po awarii: przekierowywanie ruchu z jednego regionu do innego

Zarówno usługa Azure Traffic Manager , jak i usługa Azure Front Door okresowo sprawdzają kondycję usługi nasłuchiwania punktów końcowych w różnych implementacjach VDC. W przypadku awarii tych punktów końcowych usługa Azure Traffic Manager i usługa Azure Front Door automatycznie kierują do następnego najbliższego VDC. Usługa Traffic Manager używa pomiarów użytkownika w czasie rzeczywistym i systemu DNS do kierowania użytkowników do najbliższej (lub następnej najbliższej podczas awarii). Usługa Azure Front Door jest zwrotnym serwerem proxy w ponad 100 lokacjach sieci szkieletowych firmy Microsoft, używając dowolnej emisji do kierowania użytkowników do najbliższego punktu końcowego nasłuchiwania.

Podsumowanie

Podejście do migracji wirtualnego centrum danych polega na utworzeniu skalowalnej architektury, która optymalizuje użycie zasobów platformy Azure, obniża koszty i upraszcza zarządzanie systemem. Wirtualne centrum danych jest typowe w oparciu o topologie sieci piasty i szprych (przy użyciu komunikacji równorzędnej sieci wirtualnych lub centrów Virtual WAN). W szprychach są wdrażane typowe usługi udostępnione udostępniane w centrum, a określone aplikacje i obciążenia. Wirtualne centrum danych jest również zgodne ze strukturą ról firmy, w których różne działy, takie jak centralny dział IT, DevOps i operacje oraz konserwacja, współpracują ze sobą podczas wykonywania określonych ról. Wirtualne centrum danych obsługuje migrowanie istniejących obciążeń lokalnych na platformę Azure, ale zapewnia również wiele zalet wdrożeń natywnych dla chmury.

Odwołania

Dowiedz się więcej o możliwościach platformy Azure omówionych w tym dokumencie.

Funkcje sieciowe
Sieci wirtualne platformy Azure
Grupy zabezpieczeń sieci
Punkty końcowe usługi
Link prywatny
Trasy zdefiniowane przez użytkownika
Wirtualne urządzenia sieciowe
Publiczne adresy IP
Azure DNS

Równoważenie obciążenia
Azure Front Door
Azure Load Balancer (warstwa 4)
Application Gateway (warstwa 7)
Azure Traffic Manager

Połączenia
Komunikacja równorzędna sieci wirtualnych
Wirtualna sieć prywatna
Wirtualna sieć WAN
ExpressRoute
Usługa ExpressRoute Direct

Tożsamość
Azure Active Directory
Azure AD Multi-Factor Authentication
Kontrola dostępu na podstawie ról na platformie Azure
Role wbudowane platformy Azure

Monitorowanie
Network Watcher
Azure Monitor
Log Analytics

Najlepsze praktyki
Grupa zarządzania
Zarządzanie subskrypcjami
Zarządzanie grupami zasobów
Limity subskrypcji platformy Azure

Bezpieczeństwo
Azure Firewall
Firewall Manager
zapora aplikacji internetowej Application Gateway
Zapora aplikacji internetowej usługi Front Door
Azure DDoS

Inne usługi platformy Azure
Azure Storage
Azure SQL
Aplikacje internetowe platformy Azure
Azure Cosmos DB
HDInsight
Event Hubs
Service Bus
Azure IoT
Azure Machine Learning

Następne kroki

  • Dowiedz się więcej o komunikacji równorzędnej sieci wirtualnych, podstawowej technologii topologii piasty i szprych.
  • Zaimplementuj usługę Azure Active Directory , aby używać kontroli dostępu opartej na rolach platformy Azure.
  • Opracuj model zarządzania subskrypcjami i zasobami przy użyciu kontroli dostępu opartej na rolach platformy Azure, która pasuje do struktury, wymagań i zasad organizacji. Najważniejszym działaniem jest planowanie. Przeanalizuj, w jaki sposób reorganizacje, fuzje, nowe linie produktów i inne zagadnienia będą wpływać na twoje początkowe modele, aby mieć pewność, że będzie można skalować w celu zaspokojenia przyszłych potrzeb i wzrostu.