Реализация защищенной гибридной сети

Брандмауэр Azure

Azure Load Balancer

Виртуальные машины Azure

Виртуальная сеть Azure

В этой эталонной архитектуре показана безопасная гибридная сеть, которая расширяет локальную сеть на Azure. Архитектура реализует периферийную сеть, так называемую DMZ, между локальной сетью и виртуальной сетью Azure. Весь входящий и исходящий трафик проходит через Azure Firewall.

Архитектура

Скачайте файл в формате Visio этой архитектуры.

Компоненты

Архитектура состоит из следующих аспектов:

• Локальная сеть. Частная локальная сеть, реализованная в пределах организации.

• Azure виртуальная сеть. Виртуальная сеть размещает компоненты решения и другие ресурсы, работающие в Azure.

  Сетевые маршруты определяют поток IP-трафика в виртуальной сети Azure. На схеме есть две пользовательские таблицы маршрутов.

  В подсети шлюза трафик направляется через инстанс Azure Firewall.

  Примечание.

  В зависимости от требований VPN-подключения можно настроить маршруты протокола BGP для реализации правил пересылки, которые направляют трафик обратно через локальную сеть.

• Шлюз. Шлюз обеспечивает подключение между маршрутизаторами в локальной сети и виртуальной сетью. Шлюз размещается в собственной подсети.

• Azure Firewall. Azure Firewall — это управляемый брандмауэр как услуга. Экземпляр брандмауэра помещается в собственную подсеть.

• Группы безопасности сети. Используйте группы безопасности для ограничения сетевого трафика в виртуальной сети.

• Azure Bastion. Azure Bastion позволяет входить в виртуальные машины в виртуальной сети через протокол SSH или протокол удаленного рабочего стола (RDP), не предоставляя виртуальные машины в сеть Интернет. Используйте Бастион для управления виртуальными машинами в виртуальной сети.

  Бастион требует выделенной подсети с именем AzureBastionSubnet.

Потенциальные варианты использования

Для этой архитектуры требуется подключение к локальному центру обработки данных с помощью VPN-шлюза или подключения ExpressRoute. Типичные способы использования этой архитектуры:

• Гибридные приложения, где рабочие нагрузки выполняются частично локально и частично в Azure.
• Инфраструктура, требующая детального контроля над трафиком, входящим в виртуальную сеть Azure из локального центра обработки данных.
• Приложения, которые должны выполнять аудит исходящего трафика. Аудит часто является нормативным требованием многих коммерческих систем и может помочь предотвратить публичное раскрытие частной информации.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Рекомендации по управлению доступом

Используйте Azure управление доступом на основе ролей (Azure RBAC) для управления ресурсами в приложении. Рекомендуем создать следующие пользовательские роли:

• Роль DevOps с разрешениями на администрирование инфраструктуры для приложения, развертывание компонентов приложения, а также мониторинг и перезапуск виртуальных машин.

• Централизованная роль ИТ-администратора для мониторинга сетевых ресурсов и управления ими.

• Роль ИТ-администратора безопасности для управления безопасными сетевыми ресурсами, такими как брандмауэр.

Роль ИТ-администратора не должна иметь доступа к ресурсам брандмауэра. Доступ должен быть ограничен ролью ИТ-администратора безопасности.

Рекомендации по группам ресурсов

Azure ресурсы, такие как виртуальные машины, виртуальные сети и подсистемы балансировки нагрузки, можно управлять, группируя их в группы ресурсов. Назначьте роли Azure каждой группе ресурсов, чтобы ограничить доступ.

Рекомендуем создать следующие группы ресурсов:

• Группа ресурсов, содержащая виртуальную сеть (за исключением виртуальных машин), группы безопасности сети и шлюзовые ресурсы для подключения к локальной сети. Назначьте централизованную роль ИТ-администратора этой группе ресурсов.
• Группа ресурсов, содержащая виртуальные машины для экземпляра Azure Firewall и пользовательские маршруты для подсети шлюза. Назначьте роль ИТ-администратора безопасности этой группе ресурсов.
• Отдельные группы ресурсов для каждой периферийной виртуальной сети, содержащей подсистему балансировки нагрузки и виртуальные машины.

Рекомендации по сети

Чтобы принять входящий трафик из Интернета, добавьте правило Destination Network Address Translation (DNAT) в Azure Firewall.

• Целевой адрес = общедоступный IP-адрес экземпляра брандмауэра.
• Преобразованный адрес = частный IP-адрес в виртуальной сети.

Принудительное туннелирование всех исходящих интернет-трафика через локальную сеть с помощью VPN-туннеля типа "сеть — сеть" и маршрутизации в Интернет с помощью преобразования сетевых адресов (NAT). Эта конструкция предотвращает случайную утечку конфиденциальной информации и позволяет проверять и проводить аудит всего исходящего трафика.

Не полностью блокируйте интернет-трафик из ресурсов в периферийных сетевых подсетях. Блокировка трафика будет препятствовать использованию этих ресурсов Azure службам PaaS, которые используют общедоступные IP-адреса, такие как ведение журнала диагностики виртуальных машин, скачивание расширений виртуальных машин и другие функциональные возможности. Диагностике Azure также требуется, чтобы компоненты могли читать и записывать данные в учетную запись Azure хранилища.

Убедитесь, что принудительное туннелирование исходящего интернет-трафика правильно реализовано. Если вы используете VPN-подключение с службой маршрутизации и удаленного доступа на локальном сервере, используйте средство, например WireShark.

Рекомендуется использовать шлюз приложений или Azure Front Door для завершения SSL.

Рекомендации

Эти рекомендации реализуют основы платформы Azure Well-Architected Framework, которая представляет собой набор руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в разделе Microsoft Azure Well-Architected Framework.

Надежность

Надежность гарантирует, что ваше приложение позволит вам выполнить ваши обязательства перед клиентами. Для получения дополнительной информации см. Контрольный список проверки конструкции на надежность.

Если вы используете Azure ExpressRoute для обеспечения подключения между виртуальной сетью и локальной сетью, настройте VPN-шлюз для обеспечения резервирования, если подключение ExpressRoute станет недоступным.

Для получения информации о поддержании доступности для подключений VPN и ExpressRoute, ознакомьтесь с рекомендациями по доступности.

• Внедрение гибридной сетевой архитектуры с Azure и локальной VPN.
• Реализация гибридной сетевой архитектуры с помощью Azure ExpressRoute

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Для получения дополнительной информации см. контрольный список по проверке проектирования на безопасность.

В этой эталонной архитектуре реализовано несколько уровней безопасности.

Маршрутизация всех локальных запросов пользователей через Azure Firewall

Определяемый пользователем маршрут в подсети шлюза блокирует все запросы пользователей, кроме полученных из локальной сети. Маршрут передает разрешенные запросы брандмауэру. Запросы передаются ресурсам в периферийных виртуальных сетях, если они разрешены правилами брандмауэра. Вы можете добавить другие маршруты, но убедитесь, что они непреднамеренно обходят брандмауэр или блокируют административный трафик, предназначенный для подсети управления.

Использование групп безопасности сети для блокировки и передачи трафика в периферийные подсети виртуальной сети

Трафик к подсетям ресурсов в периферийных виртуальных сетях ограничен с помощью групп безопасности сети. Если у вас есть требование расширить правила NSG, чтобы разрешить более широкий доступ к этим ресурсам, взвесьте эти требования в отношении рисков безопасности. Каждый новый путь входящего трафика может привести к случайному или намеренному повреждению приложения либо утечке данных.

Защита от атак DDoS

Azure защита от DDoS-атак в сочетании с рекомендациями по проектированию приложений обеспечивает улучшенные функции для усиленной защиты от DDoS-атак. Необходимо включить защиту Azure от DDoS-атак в любой периметральной виртуальной сети.

Создание базовых правил администратора безопасности с помощью AVNM

AVNM позволяет создавать базовые показатели правил безопасности, которые могут принимать приоритет над правилами группы безопасности сети. Правила безопасности администратора оцениваются перед правилами групп сетевой безопасности (NSG) и имеют аналогичный характер, с поддержкой приоритизации, служебных тегов и протоколов L3-L4. AVNM позволяет центральному ИТ-отделу применять базовый набор правил безопасности, позволяя независимость применения дополнительных правил NSG владельцам виртуальных сетей-заборников. Чтобы упростить управляемое развертывание изменений правил безопасности, функция развертывания AVNM позволяет безопасно применять критические изменения этих конфигураций в центральных и периферийных средах.

Права доступа DevOps

Используйте Azure RBAC, чтобы ограничить операции, которые DevOps могут выполнять на каждом уровне. При предоставлении разрешений используйте принцип минимальных привилегий. Ведите журнал всех административных операций и проводите регулярный аудит, чтобы следить за тем, все ли изменения конфигурации были запланированы.

Оптимизация затрат

Оптимизация затрат заключается в том, чтобы подумать о способах сокращения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в контрольном списке проектной экспертизы для оптимизации затрат.

Используйте калькулятор цен Azure для оценки затрат. Другие рекомендации описаны в разделе оптимизации затрат в Microsoft Azure Well-Architected Framework.

Ниже приведены рекомендации по затратам для служб, используемых в этой архитектуре.

Azure Firewall

В этой архитектуре Azure Firewall развертывается в виртуальной сети для управления трафиком между подсетью шлюза и ресурсами в периферийных виртуальных сетях. Использование Azure Firewall в качестве общего решения для нескольких рабочих нагрузок может помочь сократить дублирование инфраструктуры. Ниже приведены модели ценообразования Azure Firewall:

• Фиксированная ставка за час развертывания.
• Данные, обработанные за каждый ГБ для поддержки автоматического масштабирования.

По сравнению с сетевыми виртуальными устройствами (NVA) с Azure Firewall можно сохранить до 30-50%. Дополнительные сведения см. в разделе Azure Firewall vs NVA.

Azure Bastion

Azure Bastion безопасно подключается к виртуальной машине по протоколу RDP и SSH без необходимости настройки общедоступного IP-адреса на виртуальной машине.

Тарификация Bastion сопоставима с простой низкоуровневой виртуальной машиной, настроенной как jump-сервер. Бастион является более экономичным, чем сервер перехода, так как Бастион имеет встроенные функции безопасности и не несет дополнительных затрат на хранение и управление отдельным сервером.

Azure Virtual Network

Azure Virtual Network бесплатно. Каждая подписка может создавать до 1000 виртуальных сетей во всех регионах. Весь трафик, который происходит в границах виртуальной сети, свободен. Например, виртуальные машины в одной виртуальной сети, которые общаются друг с другом, не несут расходов на сетевой трафик.

Внутренняя подсистема балансировки нагрузки

Базовая балансировка нагрузки между виртуальными машинами, размещенными в одной виртуальной сети, является бесплатной.

В этой архитектуре внутренние подсистемы балансировки нагрузки используются для балансировки трафика в виртуальной сети.

Операционное превосходство

Операционная эффективность охватывает процессы, которые развертывают приложение и поддерживают его работу в рабочей среде. Для получения дополнительной информации см. Контрольный список для оценки проектирования с точки зрения операционной эффективности.

Если подключение шлюза из локальной сети к Azure недоступно, вы по-прежнему можете связаться с виртуальными машинами в виртуальной сети Azure через Azure Bastion.

В эталонной архитектуре подсеть каждого уровня защищена правилами NSG. Возможно, потребуется создать правило, чтобы открыть порт 3389 для доступа к протоколу удаленного рабочего стола (RDP) на виртуальных машинах Windows или порте 22 для доступа к защищенной оболочке (SSH) на виртуальных машинах Linux. Для других средств управления и мониторинга могут потребоваться правила для открытия дополнительных портов.

Если вы используете ExpressRoute для обеспечения подключения между локальным центром обработки данных и Azure, используйте Azure Набор средств подключения (AzureCT) для мониторинга и устранения проблем с подключением.

Дополнительные сведения о мониторинге подключений VPN и ExpressRoute и управлении ими см. в статье Реализация гибридной сетевой архитектуры с Azure и локальной VPN.

Эффективность производительности

Эффективность производительности — это возможность масштабирования рабочей нагрузки в соответствии с требованиями, заданными пользователями. Для получения дополнительной информации см. контрольный список проверки проектного решения на эффективность производительности .

Дополнительные сведения о ограничениях пропускной способности VPN Gateway см. в разделе Gateway SKU. Для повышения пропускной способности рекомендуем выполнить обновление до шлюза ExpressRoute. ExpressRoute обеспечивает до 10 Гбит/с пропускной способностью с меньшей задержкой, чем VPN-подключение.

Дополнительные сведения о масштабируемости шлюзов Azure см. в разделах о масштабируемости в следующих разделах:

• Внедрение гибридной сетевой архитектуры с Azure и локальной VPN.
• Реализация гибридной сетевой архитектуры с помощью Azure ExpressRoute

Дополнительные сведения об управлении виртуальными сетями и сетевыми группами безопасности (NSG) в большом масштабе см. в статье Azure Virtual Network Manager (AVNM): Создание защищенного концентратора и периферийной сети для создания новых топологий виртуальной сети и подключения существующих к центральному управлению подключениями и правилами NSG.

Развертывание этого сценария

Это развертывание создает две группы ресурсов; Первый содержит макет локальной сети, второй набор центральных и периферийных сетей. Макет локальной сети на месте и центральная сеть соединены с использованием шлюзов виртуальных сетей Azure для создания подключения типа "сеть-сеть". Эта конфигурация очень похожа на подключение локального центра обработки данных к Azure.

Это развертывание может занять до 45 минут. Рекомендуемый метод развертывания предполагает использование следующей опции портала.

Azure

Используйте следующую кнопку, чтобы развернуть ссылку с помощью портала Azure.

Azure CLI

Выполните следующую команду, чтобы развернуть две группы ресурсов и архитектуру безопасной сетевой ссылки с помощью Azure CLI.

При появлении запроса введите значения имени пользователя и пароля администратора. Эти значения используются для входа в включенные виртуальные машины.

az deployment sub create --location eastus \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/main/solutions/secure-hybrid-network/azuredeploy.json

PowerShell

Выполните следующую команду, чтобы развернуть две группы ресурсов и архитектуру защищенной эталонной сети с помощью PowerShell.

При появлении запроса введите значения имени пользователя и пароля администратора. Эти значения используются для входа в включенные виртуальные машины.

New-AzSubscriptionDeployment -Location eastus `
    -TemplateUri https://raw.githubusercontent.com/mspnp/samples/main/solutions/secure-hybrid-network/azuredeploy.json

После завершения развертывания проверьте подключение типа "сеть — сеть", просмотрев только что созданные ресурсы подключения. На портале Azure найдите connections и проверьте состояние каждого подключения.

Экземпляр IIS, найденный в периферийной сети, можно получить с виртуальной машины, расположенной в локальной сети. Создайте подключение к виртуальной машине с помощью включенного узла Azure Bastion, откройте веб-браузер и перейдите по адресу сетевой подсистемы балансировки нагрузки приложения.

Дополнительные сведения и другие варианты развертывания см. в шаблонах Azure Resource Manager (шаблонах ARM), используемых для развертывания этого решения: Secure Hybrid Network.

Следующие шаги

• Виртуальный центр обработки данных: перспектива сети.
• документация по безопасности Azure.

Связанные ресурсы

• Подключите локальную сеть к Azure с помощью ExpressRoute.
• Настройка подключений ExpressRoute и межсетевых соединений в PowerShell
• Расширение локальной сети с помощью ExpressRoute.

В этой эталонной архитектуре показана безопасная гибридная сеть, которая расширяет локальную сеть на Azure. Архитектура реализует периферийную сеть, так называемую DMZ, между локальной сетью и виртуальной сетью Azure. Весь входящий и исходящий трафик проходит через Azure Firewall.

Архитектура

Скачайте файл в формате Visio этой архитектуры.

Компоненты

Архитектура состоит из следующих аспектов:

• Локальная сеть. Частная локальная сеть, реализованная в пределах организации.

• Azure виртуальная сеть. Виртуальная сеть размещает компоненты решения и другие ресурсы, работающие в Azure.

  Сетевые маршруты определяют поток IP-трафика в виртуальной сети Azure. На схеме есть две пользовательские таблицы маршрутов.

  В подсети шлюза трафик направляется через инстанс Azure Firewall.

  Примечание.

  В зависимости от требований VPN-подключения можно настроить маршруты протокола BGP для реализации правил пересылки, которые направляют трафик обратно через локальную сеть.

• Шлюз. Шлюз обеспечивает подключение между маршрутизаторами в локальной сети и виртуальной сетью. Шлюз размещается в собственной подсети.

• Azure Firewall. Azure Firewall — это управляемый брандмауэр как услуга. Экземпляр брандмауэра помещается в собственную подсеть.

• Группы безопасности сети. Используйте группы безопасности для ограничения сетевого трафика в виртуальной сети.

• Azure Bastion. Azure Bastion позволяет входить в виртуальные машины в виртуальной сети через протокол SSH или протокол удаленного рабочего стола (RDP), не предоставляя виртуальные машины в сеть Интернет. Используйте Бастион для управления виртуальными машинами в виртуальной сети.

  Бастион требует выделенной подсети с именем AzureBastionSubnet.

Потенциальные варианты использования

Для этой архитектуры требуется подключение к локальному центру обработки данных с помощью VPN-шлюза или подключения ExpressRoute. Типичные способы использования этой архитектуры:

• Гибридные приложения, где рабочие нагрузки выполняются частично локально и частично в Azure.
• Инфраструктура, требующая детального контроля над трафиком, входящим в виртуальную сеть Azure из локального центра обработки данных.
• Приложения, которые должны выполнять аудит исходящего трафика. Аудит часто является нормативным требованием многих коммерческих систем и может помочь предотвратить публичное раскрытие частной информации.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Рекомендации по управлению доступом

Используйте Azure управление доступом на основе ролей (Azure RBAC) для управления ресурсами в приложении. Рекомендуем создать следующие пользовательские роли:

• Роль DevOps с разрешениями на администрирование инфраструктуры для приложения, развертывание компонентов приложения, а также мониторинг и перезапуск виртуальных машин.

• Централизованная роль ИТ-администратора для мониторинга сетевых ресурсов и управления ими.

• Роль ИТ-администратора безопасности для управления безопасными сетевыми ресурсами, такими как брандмауэр.

Роль ИТ-администратора не должна иметь доступа к ресурсам брандмауэра. Доступ должен быть ограничен ролью ИТ-администратора безопасности.

Рекомендации по группам ресурсов

Azure ресурсы, такие как виртуальные машины, виртуальные сети и подсистемы балансировки нагрузки, можно управлять, группируя их в группы ресурсов. Назначьте роли Azure каждой группе ресурсов, чтобы ограничить доступ.

Рекомендуем создать следующие группы ресурсов:

• Группа ресурсов, содержащая виртуальную сеть (за исключением виртуальных машин), группы безопасности сети и шлюзовые ресурсы для подключения к локальной сети. Назначьте централизованную роль ИТ-администратора этой группе ресурсов.
• Группа ресурсов, содержащая виртуальные машины для экземпляра Azure Firewall и пользовательские маршруты для подсети шлюза. Назначьте роль ИТ-администратора безопасности этой группе ресурсов.
• Отдельные группы ресурсов для каждой периферийной виртуальной сети, содержащей подсистему балансировки нагрузки и виртуальные машины.

Рекомендации по сети

Чтобы принять входящий трафик из Интернета, добавьте правило Destination Network Address Translation (DNAT) в Azure Firewall.

• Целевой адрес = общедоступный IP-адрес экземпляра брандмауэра.
• Преобразованный адрес = частный IP-адрес в виртуальной сети.

Принудительное туннелирование всех исходящих интернет-трафика через локальную сеть с помощью VPN-туннеля типа "сеть — сеть" и маршрутизации в Интернет с помощью преобразования сетевых адресов (NAT). Эта конструкция предотвращает случайную утечку конфиденциальной информации и позволяет проверять и проводить аудит всего исходящего трафика.

Не полностью блокируйте интернет-трафик из ресурсов в периферийных сетевых подсетях. Блокировка трафика будет препятствовать использованию этих ресурсов Azure службам PaaS, которые используют общедоступные IP-адреса, такие как ведение журнала диагностики виртуальных машин, скачивание расширений виртуальных машин и другие функциональные возможности. Диагностике Azure также требуется, чтобы компоненты могли читать и записывать данные в учетную запись Azure хранилища.

Убедитесь, что принудительное туннелирование исходящего интернет-трафика правильно реализовано. Если вы используете VPN-подключение с службой маршрутизации и удаленного доступа на локальном сервере, используйте средство, например WireShark.

Рекомендуется использовать шлюз приложений или Azure Front Door для завершения SSL.

Рекомендации

Эти рекомендации реализуют основы платформы Azure Well-Architected Framework, которая представляет собой набор руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в разделе Microsoft Azure Well-Architected Framework.

Надежность

Надежность гарантирует, что ваше приложение позволит вам выполнить ваши обязательства перед клиентами. Для получения дополнительной информации см. Контрольный список проверки конструкции на надежность.

Если вы используете Azure ExpressRoute для обеспечения подключения между виртуальной сетью и локальной сетью, настройте VPN-шлюз для обеспечения резервирования, если подключение ExpressRoute станет недоступным.

Для получения информации о поддержании доступности для подключений VPN и ExpressRoute, ознакомьтесь с рекомендациями по доступности.

• Внедрение гибридной сетевой архитектуры с Azure и локальной VPN.
• Реализация гибридной сетевой архитектуры с помощью Azure ExpressRoute

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Для получения дополнительной информации см. контрольный список по проверке проектирования на безопасность.

В этой эталонной архитектуре реализовано несколько уровней безопасности.

Маршрутизация всех локальных запросов пользователей через Azure Firewall

Определяемый пользователем маршрут в подсети шлюза блокирует все запросы пользователей, кроме полученных из локальной сети. Маршрут передает разрешенные запросы брандмауэру. Запросы передаются ресурсам в периферийных виртуальных сетях, если они разрешены правилами брандмауэра. Вы можете добавить другие маршруты, но убедитесь, что они непреднамеренно обходят брандмауэр или блокируют административный трафик, предназначенный для подсети управления.

Использование групп безопасности сети для блокировки и передачи трафика в периферийные подсети виртуальной сети

Трафик к подсетям ресурсов в периферийных виртуальных сетях ограничен с помощью групп безопасности сети. Если у вас есть требование расширить правила NSG, чтобы разрешить более широкий доступ к этим ресурсам, взвесьте эти требования в отношении рисков безопасности. Каждый новый путь входящего трафика может привести к случайному или намеренному повреждению приложения либо утечке данных.

Защита от атак DDoS

Azure защита от DDoS-атак в сочетании с рекомендациями по проектированию приложений обеспечивает улучшенные функции для усиленной защиты от DDoS-атак. Необходимо включить защиту Azure от DDoS-атак в любой периметральной виртуальной сети.

Создание базовых правил администратора безопасности с помощью AVNM

AVNM позволяет создавать базовые показатели правил безопасности, которые могут принимать приоритет над правилами группы безопасности сети. Правила безопасности администратора оцениваются перед правилами групп сетевой безопасности (NSG) и имеют аналогичный характер, с поддержкой приоритизации, служебных тегов и протоколов L3-L4. AVNM позволяет центральному ИТ-отделу применять базовый набор правил безопасности, позволяя независимость применения дополнительных правил NSG владельцам виртуальных сетей-заборников. Чтобы упростить управляемое развертывание изменений правил безопасности, функция развертывания AVNM позволяет безопасно применять критические изменения этих конфигураций в центральных и периферийных средах.

Права доступа DevOps

Используйте Azure RBAC, чтобы ограничить операции, которые DevOps могут выполнять на каждом уровне. При предоставлении разрешений используйте принцип минимальных привилегий. Ведите журнал всех административных операций и проводите регулярный аудит, чтобы следить за тем, все ли изменения конфигурации были запланированы.

Оптимизация затрат

Оптимизация затрат заключается в том, чтобы подумать о способах сокращения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в контрольном списке проектной экспертизы для оптимизации затрат.

Используйте калькулятор цен Azure для оценки затрат. Другие рекомендации описаны в разделе оптимизации затрат в Microsoft Azure Well-Architected Framework.

Ниже приведены рекомендации по затратам для служб, используемых в этой архитектуре.

Azure Firewall

В этой архитектуре Azure Firewall развертывается в виртуальной сети для управления трафиком между подсетью шлюза и ресурсами в периферийных виртуальных сетях. Использование Azure Firewall в качестве общего решения для нескольких рабочих нагрузок может помочь сократить дублирование инфраструктуры. Ниже приведены модели ценообразования Azure Firewall:

• Фиксированная ставка за час развертывания.
• Данные, обработанные за каждый ГБ для поддержки автоматического масштабирования.

По сравнению с сетевыми виртуальными устройствами (NVA) с Azure Firewall можно сохранить до 30-50%. Дополнительные сведения см. в разделе Azure Firewall vs NVA.

Azure Bastion

Azure Bastion безопасно подключается к виртуальной машине по протоколу RDP и SSH без необходимости настройки общедоступного IP-адреса на виртуальной машине.

Тарификация Bastion сопоставима с простой низкоуровневой виртуальной машиной, настроенной как jump-сервер. Бастион является более экономичным, чем сервер перехода, так как Бастион имеет встроенные функции безопасности и не несет дополнительных затрат на хранение и управление отдельным сервером.

Azure Virtual Network

Azure Virtual Network бесплатно. Каждая подписка может создавать до 1000 виртуальных сетей во всех регионах. Весь трафик, который происходит в границах виртуальной сети, свободен. Например, виртуальные машины в одной виртуальной сети, которые общаются друг с другом, не несут расходов на сетевой трафик.

Внутренняя подсистема балансировки нагрузки

Базовая балансировка нагрузки между виртуальными машинами, размещенными в одной виртуальной сети, является бесплатной.

В этой архитектуре внутренние подсистемы балансировки нагрузки используются для балансировки трафика в виртуальной сети.

Операционное превосходство

Операционная эффективность охватывает процессы, которые развертывают приложение и поддерживают его работу в рабочей среде. Для получения дополнительной информации см. Контрольный список для оценки проектирования с точки зрения операционной эффективности.

Если подключение шлюза из локальной сети к Azure недоступно, вы по-прежнему можете связаться с виртуальными машинами в виртуальной сети Azure через Azure Bastion.

В эталонной архитектуре подсеть каждого уровня защищена правилами NSG. Возможно, потребуется создать правило, чтобы открыть порт 3389 для доступа к протоколу удаленного рабочего стола (RDP) на виртуальных машинах Windows или порте 22 для доступа к защищенной оболочке (SSH) на виртуальных машинах Linux. Для других средств управления и мониторинга могут потребоваться правила для открытия дополнительных портов.

Если вы используете ExpressRoute для обеспечения подключения между локальным центром обработки данных и Azure, используйте Azure Набор средств подключения (AzureCT) для мониторинга и устранения проблем с подключением.

Дополнительные сведения о мониторинге подключений VPN и ExpressRoute и управлении ими см. в статье Реализация гибридной сетевой архитектуры с Azure и локальной VPN.

Эффективность производительности

Эффективность производительности — это возможность масштабирования рабочей нагрузки в соответствии с требованиями, заданными пользователями. Для получения дополнительной информации см. контрольный список проверки проектного решения на эффективность производительности .

Дополнительные сведения о ограничениях пропускной способности VPN Gateway см. в разделе Gateway SKU. Для повышения пропускной способности рекомендуем выполнить обновление до шлюза ExpressRoute. ExpressRoute обеспечивает до 10 Гбит/с пропускной способностью с меньшей задержкой, чем VPN-подключение.

Дополнительные сведения о масштабируемости шлюзов Azure см. в разделах о масштабируемости в следующих разделах:

• Внедрение гибридной сетевой архитектуры с Azure и локальной VPN.
• Реализация гибридной сетевой архитектуры с помощью Azure ExpressRoute

Дополнительные сведения об управлении виртуальными сетями и сетевыми группами безопасности (NSG) в большом масштабе см. в статье Azure Virtual Network Manager (AVNM): Создание защищенного концентратора и периферийной сети для создания новых топологий виртуальной сети и подключения существующих к центральному управлению подключениями и правилами NSG.

Развертывание этого сценария

Это развертывание создает две группы ресурсов; Первый содержит макет локальной сети, второй набор центральных и периферийных сетей. Макет локальной сети на месте и центральная сеть соединены с использованием шлюзов виртуальных сетей Azure для создания подключения типа "сеть-сеть". Эта конфигурация очень похожа на подключение локального центра обработки данных к Azure.

Это развертывание может занять до 45 минут. Рекомендуемый метод развертывания предполагает использование следующей опции портала.

Azure

Используйте следующую кнопку, чтобы развернуть ссылку с помощью портала Azure.

Azure CLI

Выполните следующую команду, чтобы развернуть две группы ресурсов и архитектуру безопасной сетевой ссылки с помощью Azure CLI.

При появлении запроса введите значения имени пользователя и пароля администратора. Эти значения используются для входа в включенные виртуальные машины.

az deployment sub create --location eastus \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/main/solutions/secure-hybrid-network/azuredeploy.json

PowerShell

Выполните следующую команду, чтобы развернуть две группы ресурсов и архитектуру защищенной эталонной сети с помощью PowerShell.

При появлении запроса введите значения имени пользователя и пароля администратора. Эти значения используются для входа в включенные виртуальные машины.

New-AzSubscriptionDeployment -Location eastus `
    -TemplateUri https://raw.githubusercontent.com/mspnp/samples/main/solutions/secure-hybrid-network/azuredeploy.json

После завершения развертывания проверьте подключение типа "сеть — сеть", просмотрев только что созданные ресурсы подключения. На портале Azure найдите connections и проверьте состояние каждого подключения.

Экземпляр IIS, найденный в периферийной сети, можно получить с виртуальной машины, расположенной в локальной сети. Создайте подключение к виртуальной машине с помощью включенного узла Azure Bastion, откройте веб-браузер и перейдите по адресу сетевой подсистемы балансировки нагрузки приложения.

Дополнительные сведения и другие варианты развертывания см. в шаблонах Azure Resource Manager (шаблонах ARM), используемых для развертывания этого решения: Secure Hybrid Network.

Следующие шаги

• Виртуальный центр обработки данных: перспектива сети.
• документация по безопасности Azure.

Связанные ресурсы

• Подключите локальную сеть к Azure с помощью ExpressRoute.
• Настройка подключений ExpressRoute и межсетевых соединений в PowerShell
• Расширение локальной сети с помощью ExpressRoute.