Topologia de rede e conectividade
A área de design de conectividade e topologia de rede é essencial para estabelecer uma base para o design de rede de nuvem.
Revisão da área de design
Funções envolvidas: essa área de design provavelmente requer apoio de uma ou mais funções da plataforma de nuvem e do centro de excelência em nuvem para tomar e implementar decisões.
Escopo: o objetivo do design de rede é alinhar o design de rede de nuvem com os planos gerais de adoção da nuvem. Se os planos de adoção da nuvem incluírem dependências híbridas ou de várias nuvens ou se você precisar de conectividade por outros motivos, seu design de rede também deverá incorporar essas opções de conectividade e os padrões de tráfego esperados.
Fora do escopo: esta área de design estabelece a base para rede. Ela não aborda problemas relacionados à conformidade, como segurança de rede avançada ou proteções de aplicação automatizadas. Essa orientação vem quando você analisa as áreas de design de conformidade de segurança e governança. O adiamento de discussões de segurança e governança permite que a equipe da plataforma de nuvem atenda aos requisitos iniciais de rede antes de expandir o público-alvo para tópicos mais complexos.
Visão geral da área de design
A topologia de rede e a conectividade são fundamentais para as organizações que planejam o design da zona de destino. A rede é fundamental para quase tudo dentro de uma zona de destino. Ela habilita a conectividade com outros serviços do Azure, usuários externos e infraestrutura local. A topologia de rede e a conectividade estão no grupo ambiental das áreas de design da zona de destino do Azure. Esse agrupamento baseia-se na importância nas principais decisões de design e implementação.
Na arquitetura conceitual da zona de destino do Azure, há dois grupos de gerenciamento main que hospedam cargas de trabalho: Corp e Online. Esses grupos de gerenciamento atendem a finalidades distintas na organização e governança de assinaturas do Azure. A relação de rede entre os vários grupos de gerenciamento de zonas de destino do Azure depende dos requisitos específicos da organização e da arquitetura de rede. As próximas seções discutem a relação de rede entre Corp, Online e os grupos de gerenciamento de conectividade em relação ao que o acelerador de zona de destino do Azure fornece.
Qual é a finalidade dos Grupos de Gerenciamento Online, Corp e Conectividade?
- Grupo de gerenciamento de conectividade: esse grupo de gerenciamento contém assinaturas dedicadas para conectividade, geralmente uma única assinatura para a maioria das organizações. Essas assinaturas hospedam os recursos de rede do Azure necessários para a plataforma, como WAN Virtual do Azure, Gateways de Rede Virtual, Firewall do Azure e zonas privadas do DNS do Azure. É também onde a conectividade híbrida é estabelecida entre a nuvem e os ambientes locais, usando serviços como o ExpressRoute etc.
- Grupo de gerenciamento corp: o grupo de gerenciamento dedicado para zonas de destino corporativas. Esse grupo destina-se a conter assinaturas que hospedam cargas de trabalho que exigem conectividade de roteamento de IP tradicional ou conectividade híbrida com a rede corporativa por meio do hub na assinatura de conectividade e, portanto, fazem parte do mesmo domínio de roteamento. Cargas de trabalho como sistemas internos não são expostas diretamente à Internet, mas podem ser expostas por meio de proxies reversos etc., como Gateways de Aplicativo.
- Grupo de gerenciamento online: o grupo de gerenciamento dedicado para zonas de destino online. Esse grupo destina-se a conter assinaturas usadas para recursos voltados para o público, como sites, aplicativos de comércio eletrônico e serviços voltados para o cliente. Por exemplo, as organizações podem usar o grupo de gerenciamento Online para isolar recursos voltados para o público do restante do ambiente do Azure, reduzindo a superfície de ataque e garantindo que os recursos voltados ao público estejam seguros e disponíveis para os clientes.
Por que criamos grupos de gerenciamento Corp e Online para separar cargas de trabalho?
A diferença nas considerações de rede entre os grupos de gerenciamento Corp e Online na arquitetura conceitual da zona de destino do Azure está no uso pretendido e na finalidade principal.
O grupo de gerenciamento Corp é usado para gerenciar e proteger recursos e serviços internos, como aplicativos de linha de negócios, bancos de dados e gerenciamento de usuários. As considerações de rede para o grupo de gerenciamento Corp se concentram em fornecer conectividade segura e eficiente entre recursos internos, ao mesmo tempo em que impõem políticas de segurança estritas para proteger contra acesso não autorizado.
O grupo de gerenciamento online na arquitetura conceitual da zona de destino do Azure pode ser considerado como um ambiente isolado usado para gerenciar recursos e serviços voltados ao público acessíveis pela Internet. Usando o grupo de gerenciamento Online para gerenciar recursos voltados para o público, a arquitetura da zona de destino do Azure fornece uma maneira de isolar esses recursos de recursos internos, reduzindo assim o risco de acesso não autorizado e minimizando a superfície de ataque.
Na arquitetura conceitual da zona de destino do Azure, a rede virtual no grupo de gerenciamento Online pode ser, opcionalmente, emparelhada com redes virtuais no grupo de gerenciamento Corp, direta ou indiretamente por meio do hub e dos requisitos de roteamento associados por meio de um Firewall do Azure ou NVA, permitindo que os recursos voltados ao público se comuniquem com recursos internos de maneira segura e controlada. Essa topologia garante que o tráfego de rede entre recursos públicos e recursos internos seja seguro e restrito, ao mesmo tempo em que permite que os recursos se comuniquem conforme necessário.
Dica
Também é importante entender e examinar as Políticas do Azure atribuídas e herdadas em cada um dos Grupos de Gerenciamento como parte da zona de destino do Azure. Como eles ajudam a moldar, proteja e governe as cargas de trabalho implantadas dentro das assinaturas que estão nesses Grupos de Gerenciamento. As atribuições de política para zonas de destino do Azure podem ser encontradas aqui.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de