Doskonałość operacyjna i usługa Azure Virtual Network
Podstawowy blok konstrukcyjny dla sieci prywatnej, usługa Azure Virtual Network umożliwia zasobom platformy Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi.
Najważniejsze funkcje usługi Azure Virtual Network obejmują:
- Komunikacja z zasobami platformy Azure
- Komunikacja z Internetem
- Komunikacja z zasobami lokalnymi
- Filtrowanie ruchu sieciowego
Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Virtual Network?
Aby dowiedzieć się, jak usługa Azure Virtual Network obsługuje doskonałość operacyjną, zapoznaj się z następującymi tematami:
- Monitorowanie usługi Azure Virtual Network
- Monitorowanie dokumentacji danych usługi Azure Virtual Network
- Pojęcia i najlepsze rozwiązania dotyczące usługi Azure Virtual Network
Zagadnienia dotyczące projektowania
Virtual Network (VNet) obejmuje następujące zagadnienia dotyczące projektowania doskonałości operacyjnej:
- Nakładające się przestrzenie adresów IP w lokalnych regionach i regionach platformy Azure tworzą poważne wyzwania związane z rywalizacją.
- Chociaż po utworzeniu można dodać Virtual Network przestrzeń adresową, ten proces wymaga awarii, jeśli Virtual Network jest już połączona z innym Virtual Network za pośrednictwem komunikacji równorzędnej. Awaria jest konieczna, ponieważ komunikacja równorzędna Virtual Network jest usuwana i tworzona ponownie.
- Zmiana rozmiaru równorzędnych sieci wirtualnych jest dostępna w publicznej wersji zapoznawczej (20 sierpnia 2021 r.).
- Niektóre usługi platformy Azure wymagają dedykowanych podsieci, takich jak:
- Azure Firewall
- Azure Bastion
- Brama sieci wirtualnej
- Podsieci mogą być delegowane do niektórych usług w celu utworzenia wystąpień tej usługi w podsieci.
- Platforma Azure rezerwuje pięć adresów IP w każdej podsieci, które powinny być uwzględniane podczas określania rozmiaru sieci wirtualnych i uwzględnionych podsieci.
Lista kontrolna
Czy skonfigurowano usługę Azure Virtual Network z myślą o doskonałości operacyjnej?
- Użyj planów usługi Azure DDoS Standard Protection, aby chronić wszystkie publiczne punkty końcowe hostowane w sieciach wirtualnych klienta.
- Klienci korporacyjni muszą zaplanować adresowanie IP na platformie Azure, aby upewnić się, że nie ma nakładających się przestrzeni adresów IP w rozważanych lokalizacjach lokalnych i regionach platformy Azure.
- Użyj adresów IP z alokacji adresów dla prywatnych Internetu (Żądanie komentarza (RFC) 1918).
- W przypadku środowisk z ograniczoną dostępnością prywatnych adresów IP (RFC 1918) rozważ użycie protokołu IPv6.
- Nie twórz niepotrzebnie dużych sieci wirtualnych (na przykład:
/16
), aby upewnić się, że nie ma niepotrzebnych strat przestrzeni adresowej IP. - Nie twórz sieci wirtualnych bez wcześniejszego planowania wymaganej przestrzeni adresowej.
- Nie używaj publicznych adresów IP dla sieci wirtualnych, zwłaszcza jeśli publiczne adresy IP nie należą do klienta.
- Użyj punktów końcowych usługi sieci wirtualnej, aby zabezpieczyć dostęp do usług Platformy jako usługi (PaaS) platformy Azure z poziomu sieci wirtualnej klienta.
- Aby rozwiązać problemy z eksfiltracją danych z punktami końcowymi usługi, użyj filtrowania wirtualnego urządzenia sieciowego (WUS) i zasad punktu końcowego usługi sieci wirtualnej dla usługi Azure Storage.
- Nie implementuj wymuszonego tunelowania, aby umożliwić komunikację z platformy Azure do zasobów platformy Azure.
- Dostęp do usług PaaS platformy Azure ze środowiska lokalnego za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute.
- Aby uzyskać dostęp do usług PaaS platformy Azure z sieci lokalnych, gdy iniekcja sieci wirtualnej lub Private Link nie są dostępne, użyj usługi ExpressRoute z komunikacją równorzędną firmy Microsoft, jeśli nie ma problemów z eksfiltracją danych.
- Nie replikuj lokalnych pojęć i architektur sieci obwodowej (nazywanej również strefą DMZ, strefą zdemilitaryzowaną i podsiecią ekranowaną) na platformę Azure.
- Upewnij się, że komunikacja między usługami PaaS platformy Azure, które zostały wprowadzone do Virtual Network, jest zablokowana w Virtual Network przy użyciu tras zdefiniowanych przez użytkownika i sieciowych grup zabezpieczeń.
- Nie używaj punktów końcowych usługi sieci wirtualnej, jeśli występują problemy z eksfiltracją danych, chyba że jest używane filtrowanie urządzenia WUS.
- Nie włączaj domyślnie punktów końcowych usługi sieci wirtualnej we wszystkich podsieciach.
Zalecenia dotyczące konfiguracji
Podczas konfigurowania usługi Azure Virtual Network należy wziąć pod uwagę następujące zalecenia dotyczące doskonałości operacyjnej:
Zalecenie | Opis |
---|---|
Nie twórz sieci wirtualnych bez wcześniejszego planowania wymaganej przestrzeni adresowej. | Dodanie przestrzeni adresowej spowoduje awarię po połączeniu Virtual Network za pośrednictwem komunikacji równorzędnej Virtual Network. |
Użyj punktów końcowych usługi sieci wirtualnej, aby zabezpieczyć dostęp do usług Platformy jako usługi (PaaS) platformy Azure z poziomu sieci wirtualnej klienta. | Tylko wtedy, gdy Private Link nie jest dostępna i gdy nie ma żadnych problemów z eksfiltracją danych. |
Dostęp do usług PaaS platformy Azure ze środowiska lokalnego za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute. | Użyj iniekcji sieci wirtualnej dla dedykowanych usług platformy Azure lub Azure Private Link dla dostępnych udostępnionych usług platformy Azure. |
Aby uzyskać dostęp do usług PaaS platformy Azure z sieci lokalnych, gdy iniekcja sieci wirtualnej lub Private Link nie są dostępne, użyj usługi ExpressRoute z komunikacją równorzędną firmy Microsoft, jeśli nie ma problemów z eksfiltracją danych. | Unika tranzytu przez publiczny Internet. |
Nie replikuj lokalnych pojęć i architektur sieci obwodowej (nazywanej również strefą DMZ, strefą zdemilitaryzowaną i podsiecią ekranowaną) na platformę Azure. | Klienci mogą uzyskać podobne możliwości zabezpieczeń na platformie Azure jako lokalne, ale implementacja i architektura muszą zostać dostosowane do chmury. |
Upewnij się, że komunikacja między usługami PaaS platformy Azure, które zostały wprowadzone do Virtual Network, jest zablokowana w Virtual Network przy użyciu tras zdefiniowanych przez użytkownika i sieciowych grup zabezpieczeń. | Usługi PaaS platformy Azure, które zostały wprowadzone do Virtual Network nadal wykonują operacje płaszczyzny zarządzania przy użyciu publicznych adresów IP. |
Następny krok
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla