Udostępnij za pośrednictwem

Omówienie usług sieciowych platformy Azure

Usługi sieciowe na platformie Azure zapewniają różne możliwości sieciowe, które mogą być używane razem lub oddzielnie. Wybierz każdy z następujących scenariuszy sieciowych, aby dowiedzieć się więcej o nich:

Podstawy sieci komputerowych

W tej sekcji opisano usługi, które udostępniają bloki konstrukcyjne do projektowania i tworzenia architektury środowiska sieciowego na platformie Azure — sieć wirtualna, usługa Private Link, usługa Azure DNS, usługa Azure Bastion, serwer tras, brama translatora adresów sieciowych i usługa Traffic Manager.

Sieć wirtualna

Azure Virtual Network (VNet) to podstawowy blok konstrukcyjny dla sieci prywatnej na platformie Azure. Można używać sieci wirtualnych (VNets), aby:

  • Komunikacja między zasobami Azure: możesz wdrożyć maszyny wirtualne i kilka innych typów zasobów Azure w sieci wirtualnej, takich jak Azure App Service Environments, Azure Kubernetes Service (AKS) i Azure Virtual Machine Scale Sets. Aby wyświetlić kompletną listę zasobów platformy Azure, które można wdrożyć w sieci wirtualnej, zobacz Integracja usług w sieci wirtualnej.
  • Komunikacja między sobą: możesz połączyć ze sobą sieci wirtualne, umożliwiając zasobom w sieci wirtualnej komunikowanie się ze sobą przy użyciu komunikacji równorzędnej sieci wirtualnych lub usługi Azure Virtual Network Manager. Łączone sieci wirtualne mogą znajdować się w tym samym regionie lub w różnych regionach świadczenia usługi Azure. Aby uzyskać więcej informacji, zobacz Peering sieci wirtualnych i Azure Virtual Network Manager.
  • Komunikacja z Internetem: wszystkie zasoby w sieci wirtualnej mogą domyślnie komunikować się wychodząco z Internetem. Z zasobem w ruchu przychodzącym możesz komunikować się przez przypisanie publicznego adresu IP lub publicznego modułu równoważenia obciążenia. Możesz również użyć publicznych adresów IP lub publicznego modułu równoważenia obciążenia do zarządzania połączeniami wychodzącym.
  • Komunikacja z sieciami lokalnymi: możesz połączyć lokalne komputery i sieci z siecią wirtualną przy użyciu usługi VPN Gateway lub ExpressRoute.
  • Szyfruj ruch między zasobami: szyfrowanie sieci wirtualnej umożliwia szyfrowanie ruchu między zasobami w sieci wirtualnej.

Sieciowe grupy zabezpieczeń

Ruch sieciowy przychodzący do zasobów platformy Azure i wychodzący z nich w sieci wirtualnej platformy Azure można filtrować za pomocą grupy zabezpieczeń sieci. Aby uzyskać więcej informacji, zobacz Sieciowe grupy zabezpieczeń.

Punkty końcowe usługi

Punkty końcowe usługi sieci wirtualnej rozszerzają prywatną przestrzeń adresową sieci wirtualnej i tożsamość sieci wirtualnej do usług platformy Azure za pośrednictwem bezpośredniego połączenia. Punkty końcowe umożliwiają zabezpieczanie krytycznych zasobów usługi platformy Azure tylko do sieci wirtualnych. Ruch z sieci wirtualnej do usługi platformy Azure zawsze pozostaje w sieci szkieletowej platformy Microsoft Azure.

Diagram punktów końcowych usługi sieci wirtualnej.

Usługa Azure Private Link umożliwia dostęp do usług Azure PaaS (na przykład Azure Storage i SQL Database) oraz hostowanych przez klientów/partnerów platformy Azure za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Ruch między siecią wirtualną a usługą jest przesyłany przez sieć szkieletową firmy Microsoft. Udostępnianie usługi w publicznej sieci Internet nie jest już konieczne. Możesz również utworzyć własną usługę łącza prywatnego w sieci wirtualnej i dostarczyć ją do klientów.

Zrzut ekranu przedstawiający przegląd prywatnego punktu końcowego.

Usługa DNS platformy Azure

Usługa Azure DNS zapewnia hosting i rozpoznawanie nazw DNS przy użyciu infrastruktury platformy Microsoft Azure. Usługa Azure DNS składa się z trzech usług:

  • Publiczna usługa DNS platformy Azure to usługa hostingu dla domen DNS. Dzięki hostowaniu swoich domen na platformie Azure możesz zarządzać rekordami DNS z zastosowaniem tych samych poświadczeń, interfejsów API, narzędzi i rozliczeń co w przypadku innych usług platformy Azure.
  • Azure Prywatna strefa DNS to usługa DNS dla sieci wirtualnych. Usługa Azure Prywatna strefa DNS zarządza i rozpoznaje nazwy domen w sieci wirtualnej bez konieczności konfigurowania niestandardowego rozwiązania DNS.
  • Usługa rozpoznawania prywatnego usługi Azure DNS to usługa, która umożliwia wykonywanie zapytań dotyczących stref prywatnych usługi Azure DNS ze środowiska lokalnego i na odwrót bez wdrażania serwerów DNS opartych na maszynie wirtualnej.

Za pomocą usługi Azure DNS można hostować i rozpoznawać domeny publiczne, zarządzać rozpoznawaniem nazw DNS w sieciach wirtualnych i włączać rozpoznawanie nazw między platformą Azure a zasobami lokalnymi.

Azure Bastion

Azure Bastion to usługa, którą można wdrożyć w sieci wirtualnej, aby umożliwić łączenie się z maszyną wirtualną przy użyciu przeglądarki i witryny Azure Portal. Możesz również nawiązać połączenie przy użyciu natywnego klienta SSH lub RDP zainstalowanego już na komputerze lokalnym. Usługa Azure Bastion to w pełni zarządzana przez platformę usługa PaaS wdrażana w sieci wirtualnej. Zapewnia ona bezpieczną i bezproblemową łączność RDP/SSH z maszynami wirtualnymi bezpośrednio z poziomu witryny Azure Portal za pośrednictwem protokołu TLS. Po nawiązaniu połączenia za pośrednictwem usługi Azure Bastion maszyny wirtualne nie potrzebują publicznego adresu IP, agenta ani specjalnego oprogramowania klienckiego. Dla usługi Azure Bastion są dostępne różne różne jednostki SKU/warstwy. Wybrana warstwa ma wpływ na dostępne funkcje. Aby uzyskać więcej informacji, zobacz About Bastion configuration settings (Informacje o ustawieniach konfiguracji usługi Bastion).

Diagram przedstawiający architekturę usługi Azure Bastion.

Serwer trasowania Azure

Usługa Azure Route Server upraszcza routing dynamiczny między wirtualnym urządzeniem sieciowym a siecią wirtualną. Umożliwia wymianę informacji routingu bezpośrednio za pośrednictwem protokołu routingu BGP (Border Gateway Protocol) między dowolnym urządzeniem NVA obsługującym protokół routingu BGP a siecią zdefiniowaną przez oprogramowanie platformy Azure (SDN) w sieci wirtualnej platformy Azure bez konieczności ręcznego konfigurowania lub obsługi tabel tras.

Diagram przedstawiający usługę Azure Route Server skonfigurowaną w sieci wirtualnej.

Brama translatora adresów sieciowych

Brama translatora adresów sieciowych upraszcza łączność internetową tylko dla ruchu wychodzącego dla sieci wirtualnych. Po skonfigurowaniu w podsieci wszystkie połączenia wychodzące używają określonych statycznych publicznych adresów IP. Łączność wychodząca jest możliwa bez modułu równoważenia obciążenia lub publicznych adresów IP bezpośrednio dołączonych do maszyn wirtualnych. Aby uzyskać więcej informacji, zobacz Co to jest brama translatora adresów sieciowych platformy Azure?

Diagram bramy translatora adresów sieci wirtualnej.

Kierownik ruchu drogowego

Usługa Azure Traffic Manager to oparty na systemie DNS moduł równoważenia obciążenia ruchu, który umożliwia optymalną dystrybucję ruchu do usług w globalnych regionach platformy Azure, zapewniając jednocześnie wysoką dostępność i czas odpowiedzi. Usługa Traffic Manager udostępnia szereg metod routingu ruchu do rozdzielania ruchu, takich jak priorytetowy, ważony ruch, wydajnościowy, geograficzny, wielowartościowy lub podsieciowy.

Na poniższym diagramie przedstawiono routing oparty na priorytecie punktu końcowego w usłudze Traffic Manager:

Diagram metody routingu ruchu

Aby uzyskać więcej informacji na temat usługi Traffic Manager, zobacz Co to jest usługa Azure Traffic Manager?.

Równoważenie obciążenia i dostarczanie zawartości

W tej sekcji opisano usługi sieciowe na platformie Azure, które pomagają dostarczać aplikacje i obciążenia — moduł równoważenia obciążenia, usługę Application Gateway i usługę Azure Front Door Service.

Równoważnik obciążenia

Usługa Azure Load Balancer zapewnia wysoką wydajność i niskie opóźnienia w równoważeniu obciążenia na poziomie warstwy 4 dla wszystkich protokołów UDP i TCP. Zarządza połączeniami przychodzącymi i wychodzącymi. Możesz skonfigurować publiczne i wewnętrzne końcowe punkty równoważenia obciążenia. Można zdefiniować reguły, aby mapować połączenia przychodzące do docelowego zaplecza przy użyciu opcji badania stanu zdrowia TCP i HTTP w celu nadzorowania dostępności usługi.

Usługa Azure Load Balancer jest dostępna w jednostkach SKU usługi Azure Load Balancer w warstwie Standardowa, Regionalnej i Bramie.

Na poniższej ilustracji przedstawiono aplikację wielowarstwową, która korzysta zarówno z zewnętrznych, jak i wewnętrznych modułów równoważenia obciążenia:

Zrzut ekranu przedstawiający przykład usługi Azure Load Balancer.

Application Gateway

Usługa Azure Application Gateway to moduł równoważenia obciążenia ruchu internetowego, który umożliwia zarządzanie ruchem kierowanym do aplikacji internetowych. Kontroler dostarczania aplikacji (ADC) jako usługa, oferuje różnorodne funkcje równoważenia obciążenia na warstwie 7 dla Twoich aplikacji.

Na poniższym diagramie przedstawiono routing oparty na ścieżkach URL w usłudze Application Gateway.

Obraz przykładu usługi Application Gateway.

Usługa Azure Front Door

Usługa Azure Front Door umożliwia definiowanie i monitorowanie globalnego routingu ruchu internetowego oraz zarządzanie nim przez optymalizację pod kątem najlepszej wydajności i natychmiastowego globalnego trybu failover w celu zapewnienia wysokiej dostępności. Dzięki usłudze Front Door można przekształcić globalne usługi dla konsumentów (wiele regionów) i aplikacji w niezawodne, spersonalizowane, nowoczesne, wysokowydajne aplikacje, interfejsy API i zawartość, które dotrą do odbiorców globalnych za pomocą platformy Azure.

Diagram usługi Azure Front Door z zaporą sieciową dla aplikacji webowych.

Łączność hybrydowa

W tej sekcji opisano usługi łączności sieciowej, które zapewniają bezpieczną komunikację między siecią lokalną i platformą Azure — VPN Gateway, ExpressRoute, Virtual WAN i Peering Service.

Brama sieci VPN

Usługa VPN Gateway ułatwia tworzenie zaszyfrowanych połączeń obejmujących wiele lokalizacji z siecią wirtualną z lokalizacji lokalnych lub tworzenie zaszyfrowanych połączeń między sieciami wirtualnymi. Istnieją różne konfiguracje dostępne dla połączeń usługi VPN Gateway. Oto niektóre z głównych funkcji:

  • Łączność sieci VPN typu lokacja-lokacja
  • Łączność sieci VPN typu punkt-lokacja
  • Łączność VPN między sieciami wirtualnymi (VNet do VNet)

Na poniższym diagramie przedstawiono wiele połączeń sieci VPN typu lokacja-lokacja z tą samą siecią wirtualną. Aby wyświetlić więcej diagramów połączeń, zobacz VPN Gateway — projektowanie.

Diagram przedstawiający wiele połączeń usługi Azure VPN Gateway typu lokacja-lokacja.

ExpressRoute

Usługa ExpressRoute umożliwia rozszerzenie sieci lokalnych do chmury firmy Microsoft za pośrednictwem połączenia prywatnego obsługiwanego przez dostawcę łączności. To połączenie jest prywatne. Ruch nie przechodzi przez Internet. Dzięki usłudze ExpressRoute możesz ustanowić połączenia z usługami firmy Microsoft w chmurze, np. Microsoft Azure, Microsoft 365 i Dynamics 365.

Zrzut ekranu przedstawiający usługę Azure ExpressRoute.

Wirtualna sieć WAN

Azure Virtual WAN to usługa sieciowa, która zapewnia wiele funkcji sieci, zabezpieczeń i routingu w celu zapewnienia jednego interfejsu operacyjnego. Łączność z sieciami wirtualnymi platformy Azure jest ustanawiana przy użyciu połączeń sieci wirtualnej. Oto niektóre z głównych funkcji:

  • Łączność oddziałowa (za pośrednictwem automatyzacji łączności z urządzeń partnerów usługi Virtual WAN, takich jak SD-WAN lub VPN CPE)
  • Łączność sieci VPN typu lokacja-lokacja
  • Łączność sieci VPN użytkownika zdalnego (punkt-lokacja)
  • Łączność prywatna (ExpressRoute)
  • Łączność wewnątrz chmury (łączność przechodnia dla sieci wirtualnych)
  • Łączność VPN ExpressRoute
  • Routing, usługa Azure Firewall i szyfrowanie na potrzeby łączności prywatnej

Diagram wirtualnej sieci WAN.

Usługa Peeringu

Usługa Azure Peering Service zwiększa łączność klientów z usługami w chmurze firmy Microsoft, takimi jak Microsoft 365, Dynamics 365, usługi SaaS(Software as a service), Azure lub wszelkie usługi firmy Microsoft dostępne za pośrednictwem publicznego Internetu.

Bezpieczeństwo sieci

W tej sekcji opisano usługi sieciowe na platformie Azure, które chronią i monitorują zasoby sieciowe — Menedżer zapory, zapora, zapora aplikacji internetowej i ochrona przed atakami DDoS.

Menedżer zapory

Azure Firewall Manager to usługa zarządzania zabezpieczeniami, która zapewnia centralne zasady zabezpieczeń i zarządzanie routingiem dla obwodów zabezpieczeń opartych na chmurze. Menedżer zapory może zapewnić zarządzanie zabezpieczeniami dla dwóch różnych typów architektury sieci: bezpiecznego koncentratora wirtualnego i sieci wirtualnej koncentratora. Za pomocą usługi Azure Firewall Manager można wdrożyć wiele wystąpień usługi Azure Firewall w różnych regionach i subskrypcjach platformy Azure, zaimplementować plany ochrony przed atakami DDoS, zarządzać zasadami zapory aplikacji internetowej i integrować je z zabezpieczeniami jako usługą partnerów w celu zapewnienia zwiększonych zabezpieczeń.

Diagram przedstawiający wiele usługi Azure Firewall w bezpiecznej sieci wirtualnej koncentratora i koncentratora.

Azure Firewall

Azure Firewall to zarządzana usługa zabezpieczeń sieci oparta na chmurze, która chroni zasoby usługi Azure Virtual Network. Za pomocą usługi Azure Firewall można centralnie tworzyć, wymuszać i rejestrować zasady aplikacji i łączności sieciowej w subskrypcjach i sieciach wirtualnych. Usługa Azure Firewall korzysta ze statycznego publicznego adresu IP dla zasobów sieci wirtualnej, co umożliwia zewnętrznym zaporom identyfikowanie ruchu pochodzącego z sieci wirtualnej.

Diagram przedstawiający omówienie zapory.

Zapora Aplikacji Sieciowej

Usługa Azure Web Application Firewall (WAF) zapewnia ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak wstrzyknięcie kodu SQL i wykonywanie skryptów między witrynami. Zapora aplikacji internetowej platformy Azure zapewnia ochronę przed lukami w zabezpieczeniach OWASP 10 za pośrednictwem reguł zarządzanych. Ponadto klienci mogą również konfigurować niestandardowe reguły, które są regułami zarządzanymi przez klienta w celu zapewnienia dodatkowej ochrony na podstawie źródłowego zakresu adresów IP oraz atrybutów żądania, takich jak nagłówki, pliki cookie, pola danych formularza lub parametry ciągu zapytania.

Klienci mogą zdecydować się na wdrożenie Azure WAF z użyciem Application Gateway, która zapewnia ochronę regionalną dla jednostek w przestrzeni adresowej publicznej i prywatnej. Klienci mogą również zdecydować się na wdrożenie Azure WAF z Front Door, która zapewnia ochronę na krawędzi sieci dla publicznych punktów końcowych.

Zrzut ekranu przedstawiający zaporę aplikacji internetowej.

Ochrona przed atakami DDoS

Usługa Azure DDoS Protection zapewnia środki zaradcze przed najbardziej zaawansowanymi zagrożeniami DDoS. Usługa zapewnia rozszerzone możliwości ograniczania ryzyka ataków DDoS dla aplikacji i zasobów wdrożonych w sieciach wirtualnych. Ponadto klienci korzystający z usługi Azure DDoS Protection mają dostęp do pomocy technicznej DDoS Rapid Response w celu zaangażowania ekspertów ds. ataków DDoS.

Usługa Azure DDoS Protection składa się z dwóch warstw:

  • Ochrona przed atakami DDoS Network Protection w połączeniu z najlepszymi rozwiązaniami dotyczącymi projektowania aplikacji zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS. Jest ona automatycznie dostrojona w celu ochrony określonych zasobów platformy Azure w sieci wirtualnej.
  • Ochrona adresów IP przed atakami DDoS to model adresów IP chronionych za płatność. Ochrona DDoS IP zawiera te same podstawowe funkcje inżynieryjne, co ochrona sieci przed atakami DDoS, ale różni się następującymi usługami o wartości dodanej: szybka obsługa incydentów DDoS, ochrona kosztów i rabaty na zaporę aplikacji internetowej (WAF).

Diagram architektury referencyjnej dla aplikacji internetowej PaaS chronionej przez usługę DDoS.

Zabezpieczenia sieci kontenerów

Zabezpieczenia sieci kontenerów są częścią usług Advanced Container Networking Services. Usługa Advanced Container Networking Services zapewnia rozszerzoną kontrolę nad zabezpieczeniami sieci usługi AKS. Dzięki funkcjom, takie jak filtrowanie w pełni kwalifikowanej nazwy domeny (FQDN), klastry korzystające z Azure CNI zasilanego przez Cilium mogą implementować zasady sieci oparte na FQDN w celu osiągnięcia bezpieczeństwa architektury Zero Trust w AKS.

Zarządzanie siecią i monitorowanie

W tej sekcji opisano usługi zarządzania siecią i monitorowania na platformie Azure — Network Watcher, Azure Monitor i Azure Virtual Network Manager.

Azure Network Watcher

Azure Network Watcher to usługa, która udostępnia narzędzia umożliwiające monitorowanie, diagnozowanie, wyświetlanie metryk i włączanie lub wyłączanie dzienników zasobów w sieci wirtualnej platformy Azure.

Diagram przedstawiający możliwości usługi Azure Network Watcher.

Azure Monitor

Usługa Azure Monitor maksymalizuje dostępność i wydajność aplikacji, zapewniając kompleksowe rozwiązanie umożliwiające zbieranie, analizowanie i przetwarzanie danych telemetrycznych z chmury i środowisk lokalnych. Usługa ta pomaga interpretować działanie aplikacji i proaktywnie identyfikuje problemy dotyczące aplikacji i zasobów, od których zależą.

Menedżer sieci wirtualnej platformy Azure

Azure Virtual Network Manager to usługa zarządzania, która umożliwia grupowanie, konfigurowanie, wdrażanie i zarządzanie sieciami wirtualnymi globalnie w ramach subskrypcji. Za pomocą menedżera sieci wirtualnej można zdefiniować grupy sieciowe w celu identyfikowania i logicznego segmentowania sieci wirtualnych. Następnie można określić żądane konfiguracje łączności i zabezpieczeń i zastosować je we wszystkich wybranych sieciach wirtualnych w grupach sieci jednocześnie.

Diagram zasobów wdrożonych dla topologii sieci wirtualnej siatki za pomocą menedżera sieci wirtualnej platformy Azure.

Możliwość obserwowania sieci kontenerów

Obserwowanie sieci kontenerów jest częścią usług Advanced Container Networking Services. Usługa Advanced Container Networking Services używa płaszczyzny sterowania Hubble'a, aby zapewnić kompleksowy wgląd w sieć i wydajność usługi AKS. Oferuje ona szczegółowe informacje na poziomie węzła, zasobnika, TCP i DNS, zapewniając dokładne monitorowanie infrastruktury sieciowej.

Diagram obserwacji sieci kontenerów.

Następne kroki