Omówienie usług sieciowych platformy Azure

Usługi sieciowe na platformie Azure zapewniają różne możliwości sieciowe, które mogą być używane razem lub oddzielnie. Wybierz dowolną z następujących kluczowych funkcji, aby dowiedzieć się więcej o nich:

• usługi Połączenie ivity: Połączenie zasobów platformy Azure i zasobów lokalnych przy użyciu dowolnej lub kombinacji tych usług sieciowych na platformie Azure — Virtual Network (VNet), Virtual WAN, ExpressRoute, VPN Gateway, NAT Gateway, Azure DNS, Peering Service, Azure Virtual Network Manager, Route Server i Azure Bastion.
• Usługi ochrony aplikacji: chroń aplikacje przy użyciu dowolnej lub kombinacji tych usług sieciowych na platformie Azure — Load Balancer, Private Link, ochrona przed atakami DDoS, zapora, sieciowe grupy zabezpieczeń, zapora aplikacji internetowej i punkty końcowe sieci wirtualnej.
• Usługi dostarczania aplikacji: dostarczanie aplikacji w sieci platformy Azure przy użyciu dowolnej lub kombinacji tych usług sieciowych na platformie Azure — Content Delivery Network (CDN), Azure Front Door Service, Traffic Manager, Application Gateway, Internet Analyzer i Load Balancer.
• Monitorowanie sieci: monitoruj zasoby sieciowe przy użyciu dowolnej lub kombinacji tych usług sieciowych na platformie Azure — Network Watcher, ExpressRoute Monitor, Azure Monitor lub VNet Terminal Access Point (TAP).

Usługi łączności

W tej sekcji opisano usługi, które zapewniają łączność między zasobami platformy Azure, łączność z siecią lokalną do zasobów platformy Azure, a także łączność między gałęziami na platformie Azure — sieć wirtualna, usługa ExpressRoute, brama VPN Gateway, usługa Virtual WAN, brama NAT sieci wirtualnej, usługa Azure DNS, usługa komunikacji równorzędnej, usługa Route Server i usługa Azure Bastion.

Sieć wirtualna

Azure Virtual Network (VNet) to podstawowy blok konstrukcyjny dla sieci prywatnej na platformie Azure. Sieci wirtualne umożliwiają:

• Komunikacja między zasobami platformy Azure: możesz wdrożyć maszyny wirtualne i kilka innych typów zasobów platformy Azure w sieci wirtualnej, takich jak aplikacja systemu Azure Service Environments, Azure Kubernetes Service (AKS) i Azure Virtual Machine Scale Sets. Aby wyświetlić kompletną listę zasobów platformy Azure, które można wdrożyć w sieci wirtualnej, zobacz Integracja sieci wirtualnej z usługą.
• Komunikacja między sobą: możesz połączyć ze sobą sieci wirtualne, umożliwiając zasobom w sieci wirtualnej komunikowanie się ze sobą przy użyciu komunikacji równorzędnej sieci wirtualnych lub usługi Azure Virtual Network Manager. Łączone sieci wirtualne mogą znajdować się w tym samym regionie lub w różnych regionach świadczenia usługi Azure. Aby uzyskać więcej informacji, zobacz Wirtualne sieci równorzędne i Azure Virtual Network Manager.
• Komunikacja z Internetem: wszystkie zasoby w sieci wirtualnej mogą domyślnie komunikować się wychodząco z Internetem. Z zasobem w ruchu przychodzącym możesz komunikować się przez przypisanie publicznego adresu IP lub publicznego modułu równoważenia obciążenia. Możesz również użyć publicznych adresów IP lub publicznego modułu równoważenia obciążenia do zarządzania połączeniami wychodzącym.
• Komunikacja z sieciami lokalnymi: możesz połączyć lokalne komputery i sieci z siecią wirtualną przy użyciu usługi VPN Gateway lub ExpressRoute.
• Szyfruj ruch między zasobami: szyfrowanie sieci wirtualnej umożliwia szyfrowanie ruchu między zasobami w sieci wirtualnej.

Azure Virtual Network Manager

Azure Virtual Network Manager to usługa zarządzania, która umożliwia grupowanie, konfigurowanie, wdrażanie i zarządzanie sieciami wirtualnymi globalnie w ramach subskrypcji. Za pomocą menedżera sieci wirtualnej można zdefiniować grupy sieciowe w celu identyfikowania i logicznego segmentowania sieci wirtualnych. Następnie można określić żądane konfiguracje łączności i zabezpieczeń i zastosować je we wszystkich wybranych sieciach wirtualnych w grupach sieci jednocześnie.

ExpressRoute

Usługa ExpressRoute umożliwia rozszerzenie sieci lokalnych do chmury firmy Microsoft za pośrednictwem połączenia prywatnego obsługiwanego przez dostawcę łączności. To połączenie jest prywatne. Ruch nie przechodzi przez Internet. Dzięki usłudze ExpressRoute możesz ustanowić połączenia z usługami firmy Microsoft w chmurze, np. Microsoft Azure, Microsoft 365 i Dynamics 365.

VPN Gateway

Usługa VPN Gateway ułatwia tworzenie zaszyfrowanych połączeń obejmujących wiele lokalizacji z siecią wirtualną z lokalizacji lokalnych lub tworzenie zaszyfrowanych połączeń między sieciami wirtualnymi. Istnieją różne konfiguracje dostępne dla połączeń usługi VPN Gateway. Oto niektóre z głównych funkcji:

• Łączność sieci VPN typu lokacja-lokacja
• Łączność sieci VPN typu punkt-lokacja
• Łączność sieci VPN między sieciami wirtualnymi

Na poniższym diagramie przedstawiono wiele połączeń sieci VPN typu lokacja-lokacja z tą samą siecią wirtualną. Aby wyświetlić więcej diagramów połączeń, zobacz VPN Gateway — projektowanie.

Wirtualna sieć WAN

Azure Virtual WAN to usługa sieciowa, która zapewnia wiele funkcji sieci, zabezpieczeń i routingu w celu zapewnienia jednego interfejsu operacyjnego. Połączenie ivity z sieciami wirtualnymi platformy Azure jest ustanawiana przy użyciu połączeń sieci wirtualnych. Oto niektóre z głównych funkcji:

• Łączność z gałęzią (za pośrednictwem automatyzacji łączności z urządzeń partnerów usługi Virtual WAN, takich jak SD-WAN lub VPN CPE)
• Łączność sieci VPN typu lokacja-lokacja
• Łączność sieci VPN użytkownika zdalnego (punkt-lokacja)
• Łączność prywatna (ExpressRoute)
• Łączność wewnątrz chmury (łączność przechodnia dla sieci wirtualnych)
• Łączność między sieciami VPN usługi ExpressRoute
• Routing, usługa Azure Firewall i szyfrowanie na potrzeby łączności prywatnej

Usługa DNS platformy Azure

Usługa Azure DNS zapewnia hosting i rozpoznawanie nazw DNS przy użyciu infrastruktury platformy Microsoft Azure. Usługa Azure DNS składa się z trzech usług:

• Publiczna usługa DNS platformy Azure to usługa hostingu dla domen DNS. Dzięki hostowaniu swoich domen na platformie Azure możesz zarządzać rekordami DNS z zastosowaniem tych samych poświadczeń, interfejsów API, narzędzi i rozliczeń co w przypadku innych usług platformy Azure.
• Azure Prywatna strefa DNS to usługa DNS dla sieci wirtualnych. Usługa Azure Prywatna strefa DNS zarządza i rozpoznaje nazwy domen w sieci wirtualnej bez konieczności konfigurowania niestandardowego rozwiązania DNS.
• Usługa rozpoznawania prywatnego usługi Azure DNS to usługa, która umożliwia wykonywanie zapytań dotyczących stref prywatnych usługi Azure DNS ze środowiska lokalnego i na odwrót bez wdrażania serwerów DNS opartych na maszynie wirtualnej.

Za pomocą usługi Azure DNS można hostować i rozpoznawać domeny publiczne, zarządzać rozpoznawaniem nazw DNS w sieciach wirtualnych i włączać rozpoznawanie nazw między platformą Azure a zasobami lokalnymi.

Azure Bastion

Azure Bastion to usługa, którą można wdrożyć, aby umożliwić nawiązywanie połączenia z maszyną wirtualną przy użyciu przeglądarki i witryny Azure Portal lub za pośrednictwem natywnego klienta SSH lub RDP zainstalowanego już na komputerze lokalnym. Usługa Azure Bastion to w pełni zarządzana przez platformę usługa PaaS wdrażana w sieci wirtualnej. Zapewnia ona bezpieczną i bezproblemową łączność RDP/SSH z maszynami wirtualnymi bezpośrednio z poziomu witryny Azure Portal za pośrednictwem protokołu TLS. Po nawiązaniu połączenia za pośrednictwem usługi Azure Bastion maszyny wirtualne nie potrzebują publicznego adresu IP, agenta ani specjalnego oprogramowania klienckiego. Istnieje wiele różnych jednostek SKU/warstw dostępnych dla usługi Azure Bastion. Wybrana warstwa ma wpływ na dostępne funkcje. Aby uzyskać więcej informacji, zobacz About Bastion configuration settings (Informacje o ustawieniach konfiguracji usługi Bastion).

Brama translatora adresów sieciowych

Translator adresów sieci wirtualnych (translator adresów sieciowych) upraszcza łączność internetową tylko dla ruchu wychodzącego dla sieci wirtualnych. Po skonfigurowaniu w podsieci wszystkie połączenia wychodzące używają określonych statycznych publicznych adresów IP. Łączność wychodząca jest możliwa bez modułu równoważenia obciążenia lub publicznych adresów IP bezpośrednio dołączonych do maszyn wirtualnych. Aby uzyskać więcej informacji, zobacz Co to jest brama translatora adresów sieciowych platformy Azure?

Serwer tras

Usługa Azure Route Server upraszcza routing dynamiczny między wirtualnym urządzeniem sieciowym a siecią wirtualną. Umożliwia ona wymianę informacji routingu bezpośrednio za pośrednictwem protokołu routingu BGP (Border Gateway Protocol) między dowolnym urządzeniem WUS obsługującym protokół routingu BGP i sieciĄ zdefiniowaną przez oprogramowanie platformy Azure (SDN) w sieci wirtualnej platformy Azure bez konieczności ręcznego konfigurowania lub obsługi tabel tras.

Peering Service

Usługa Azure Peering Service zwiększa łączność klientów z usługami w chmurze firmy Microsoft, takimi jak Microsoft 365, Dynamics 365, usługi SaaS(Software as a service), Azure lub wszelkie usługi firmy Microsoft dostępne za pośrednictwem publicznego Internetu.

Usługi ochrony aplikacji

W tej sekcji opisano usługi sieciowe na platformie Azure, które ułatwiają ochronę zasobów sieciowych — ochrona aplikacji przy użyciu dowolnej lub kombinacji tych usług sieciowych na platformie Azure — ochrona przed atakami DDoS, usługa Private Link, zapora, zapora, zapora aplikacji internetowej, sieciowe grupy zabezpieczeń i punkty końcowe usługi sieci wirtualnej.

Ochrona przed atakami DDoS

Usługa Azure DDoS Protection zapewnia środki zaradcze przed najbardziej zaawansowanymi zagrożeniami DDoS. Usługa zapewnia rozszerzone możliwości ograniczania ryzyka ataków DDoS dla aplikacji i zasobów wdrożonych w sieciach wirtualnych. Ponadto klienci korzystający z usługi Azure DDoS Protection mają dostęp do pomocy technicznej DDoS Rapid Response w celu zaangażowania ekspertów ds. ataków DDoS.

Usługa Azure DDoS Protection składa się z dwóch warstw:

• Ochrona przed atakami DDoS Network Protection w połączeniu z najlepszymi rozwiązaniami dotyczącymi projektowania aplikacji zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS. Jest ona automatycznie dostrojona w celu ochrony określonych zasobów platformy Azure w sieci wirtualnej.
• Ochrona adresów IP przed atakami DDoS to model adresów IP chronionych za płatność. Ochrona przed atakami DDoS IP zawiera te same podstawowe funkcje inżynieryjne co ochrona sieci DDoS, ale będą się różnić w następujących usługach dodawanych do wartości: obsługa szybkiego reagowania DDoS, ochrona kosztów i rabaty na zaporę aplikacji internetowej.

Link prywatny platformy Azure

Usługa Azure Private Link umożliwia dostęp do usług Azure PaaS (na przykład Azure Storage i SQL Database) oraz hostowanych przez klientów/partnerów platformy Azure za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Ruch między siecią wirtualną a usługą jest przesyłany przez sieć szkieletową firmy Microsoft. Udostępnianie usługi w publicznej sieci Internet nie jest już konieczne. Możesz również utworzyć własną usługę łącza prywatnego w sieci wirtualnej i dostarczyć ją do klientów.

Azure Firewall

Azure Firewall to zarządzana usługa zabezpieczeń sieci oparta na chmurze, która chroni zasoby usługi Azure Virtual Network. Za pomocą usługi Azure Firewall można centralnie tworzyć, wymuszać i rejestrować zasady aplikacji i łączności sieciowej w subskrypcjach i sieciach wirtualnych. Usługa Azure Firewall korzysta ze statycznego publicznego adresu IP dla zasobów sieci wirtualnej, co umożliwia zewnętrznym zaporom identyfikowanie ruchu pochodzącego z sieci wirtualnej.

Web Application Firewall

Usługa Azure Web Application Firewall (WAF) zapewnia ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak wstrzyknięcie kodu SQL i wykonywanie skryptów między witrynami. Zapora aplikacji internetowej platformy Azure zapewnia ochronę przed lukami w zabezpieczeniach OWASP 10 za pośrednictwem reguł zarządzanych. Ponadto klienci mogą również skonfigurować reguły niestandardowe, które są regułami zarządzanymi przez klienta w celu zapewnienia dodatkowej ochrony na podstawie źródłowego zakresu adresów IP oraz atrybutów żądania, takich jak nagłówki, pliki cookie, pola danych formularza lub parametry ciągu zapytania.

Klienci mogą zdecydować się na wdrożenie zapory aplikacji internetowej platformy Azure za pomocą usługi Application Gateway, która zapewnia ochronę regionalną dla jednostek w przestrzeni adresowej publicznej i prywatnej. Klienci mogą również zdecydować się na wdrożenie zapory aplikacji internetowej platformy Azure za pomocą usługi Front Door , która zapewnia ochronę na brzegu sieci do publicznych punktów końcowych.

Sieciowe grupy zabezpieczeń

Ruch sieciowy przychodzący do zasobów platformy Azure i wychodzący z nich w sieci wirtualnej platformy Azure można filtrować za pomocą grupy zabezpieczeń sieci. Aby uzyskać więcej informacji, zobacz Sieciowe grupy zabezpieczeń.

Punkty końcowe usługi

Punkty końcowe usługi sieci wirtualnej rozszerzają prywatną przestrzeń adresową i tożsamość sieci wirtualnej do usług platformy Azure za pośrednictwem bezpośredniego połączenia. Punkty końcowe umożliwiają zabezpieczanie krytycznych zasobów usługi platformy Azure tylko do sieci wirtualnych. Ruch z sieci wirtualnej do usługi platformy Azure zawsze pozostaje w sieci szkieletowej platformy Microsoft Azure.

Usługi dostarczania aplikacji

W tej sekcji opisano usługi sieciowe na platformie Azure, które ułatwiają dostarczanie aplikacji — Content Delivery Network, Azure Front Door Service, Traffic Manager, Load Balancer i Application Gateway.

Azure Front Door

Usługa Azure Front Door umożliwia definiowanie i monitorowanie globalnego routingu ruchu internetowego oraz zarządzanie nim przez optymalizację pod kątem najlepszej wydajności i natychmiastowego globalnego trybu failover w celu zapewnienia wysokiej dostępności. Dzięki usłudze Front Door można przekształcić globalne usługi dla konsumentów (wiele regionów) i aplikacji w niezawodne, spersonalizowane, nowoczesne, wysokowydajne aplikacje, interfejsy API i zawartość, które dotrą do odbiorców globalnych za pomocą platformy Azure.

Traffic Manager

Azure Traffic Manager. to oparty na systemie DNS moduł równoważenia obciążenia ruchu, który umożliwia optymalną dystrybucję ruchu do usług w regionach globalnych platformy Azure, zapewniając jednocześnie wysoką dostępność i czas odpowiedzi. Usługa Traffic Manager udostępnia szereg metod routingu ruchu do dystrybucji ruchu, takich jak priorytet, ważony, wydajność, geograficzny, wielowartościowy lub podsieć.

Na poniższym diagramie przedstawiono routing oparty na priorytecie punktu końcowego w usłudze Traffic Manager:

Aby uzyskać więcej informacji na temat usługi Traffic Manager, zobacz Co to jest usługa Azure Traffic Manager?

Load Balancer

Usługa Azure Load Balancer zapewnia wysoką wydajność, małe opóźnienia warstwy 4 równoważenia obciążenia dla wszystkich protokołów UDP i TCP. Zarządza połączeniami przychodzącymi i wychodzącymi. Publiczne i wewnętrzne punkty końcowe ze zrównoważonym obciążeniem można skonfigurować. Reguły można zdefiniować tak, aby mapować połączenia przychodzące do miejsc docelowych puli zaplecza przy użyciu opcji sondowania kondycji PROTOKOŁU TCP i HTTP w celu zarządzania dostępnością usługi.

Usługa Azure Load Balancer jest dostępna w jednostkach SKU usługi Azure Load Balancer w warstwie Standardowa, Regionalnej i Bramie.

Na poniższej ilustracji przedstawiono aplikację wielowarstwową, która korzysta zarówno z zewnętrznych, jak i wewnętrznych modułów równoważenia obciążenia:

Application Gateway

Usługa Azure Application Gateway to moduł równoważenia obciążenia ruchu internetowego, który umożliwia zarządzanie ruchem kierowanym do aplikacji internetowych. Jest to kontroler dostarczania aplikacji (ADC) jako usługa, oferując różne funkcje równoważenia obciążenia warstwy 7 dla aplikacji.

Na poniższym diagramie przedstawiono routing oparty na ścieżkach URL w usłudze Application Gateway.

Content Delivery Network

Azure Content Delivery Network (CDN). oferuje deweloperom globalne rozwiązanie umożliwiające szybkie dostarczanie użytkownikom zawartości o wysokiej przepustowości przez buforowanie zawartości w strategicznie umieszczonych węzłach fizycznych na całym świecie.

Usługi monitorowania sieci

W tej sekcji opisano usługi sieciowe na platformie Azure, które ułatwiają monitorowanie zasobów sieciowych — Azure Network Watcher, Azure Monitor Network Szczegółowe informacje, Azure Monitor i ExpressRoute Monitor.

Azure Network Watcher

Azure Network Watcher to usługa, która udostępnia narzędzia umożliwiające monitorowanie, diagnozowanie, wyświetlanie metryk i włączanie lub wyłączanie dzienników zasobów w sieci wirtualnej platformy Azure. Aby uzyskać więcej informacji, zobacz [Co to jest usługa Network Watcher?

Azure Monitor

Usługa Azure Monitor maksymalizuje dostępność i wydajność aplikacji, zapewniając kompleksowe rozwiązanie umożliwiające zbieranie, analizowanie i przetwarzanie danych telemetrycznych z chmury i środowisk lokalnych. Usługa ta pomaga interpretować działanie aplikacji i proaktywnie identyfikuje problemy dotyczące aplikacji i zasobów, od których zależą. Aby uzyskać więcej informacji, zobacz [Omówienie usługi Azure Monitor

ExpressRoute Monitor

Aby dowiedzieć się, jak wyświetlać metryki obwodu usługi ExpressRoute, dzienniki zasobów i alerty, zobacz Monitorowanie, metryki i alerty usługi ExpressRoute.

Analizy dotyczące sieci

Usługa Azure Monitor dla sieci (Szczegółowe informacje sieci). Zapewnia kompleksowy widok kondycji i metryk dla wszystkich wdrożonych zasobów sieciowych bez konieczności konfigurowania.

Następne kroki

• Utwórz pierwszą sieć wirtualną i połącz z nią kilka maszyn wirtualnych, wykonując kroki opisane w artykule Tworzenie pierwszej sieci wirtualnej.
• Połączenie komputera do sieci wirtualnej, wykonując kroki opisane w temacie Konfigurowanie artykułu o połączeniu punkt-lokacja.
• Równoważenie obciążenia ruchem internetowym do serwerów publicznych przez wykonanie kroków opisanych w artykule Tworzenie modułu równoważenia obciążenia dostępnego z Internetu.