Определение топологии сети Azure

  • Статья

Топология сети является важным элементом архитектуры целевой зоны, так как определяет, как приложения могут взаимодействовать друг с другом. В этом разделе рассматриваются технологии и подходы к построению топологии для развертываний Azure. Он посвящен двум основным подходам: топологиям, основанным на azure Виртуальная глобальная сеть, и традиционным топологиям.

Виртуальная глобальная сеть используется для удовлетворения потребности в крупномасштабном взаимодействии. Так как эта служба управляется корпорацией Майкрософт, она также снижает общий уровень сложности сети и помогает модернизировать сеть организации. Топология Виртуальная глобальная сеть может быть наиболее подходящей, если к вашей организации применяются какие-либо из следующих требований:

  • Ваша организация намерена развертывать ресурсы в нескольких регионах Azure и требует глобального подключения между виртуальными сетями в этих регионах Azure и нескольких локальных расположениях.
  • Ваша организация намерена интегрировать масштабируемую сеть филиалов непосредственно в Azure с помощью программно-определяемого развертывания глобальной сети (SD-WAN) или требует более 30 сайтов филиалов для завершения собственных IPSec.
  • Требуется транзитивная маршрутизация между виртуальной частной сетью (VPN) и Azure ExpressRoute. Например, удаленные ветви, подключенные через VPN типа "сеть — сеть" или удаленные пользователи, подключенные через VPN типа "точка — сеть", требуют подключения к подключенной к ExpressRoute контроллеру домена через Azure.

Традиционная топология сети с концентраторами и периферийными устройствами помогает создавать настраиваемые, расширенные сети, крупномасштабные сети в Azure. С помощью этой топологии вы управляете маршрутизацией и безопасностью. Традиционная топология может быть наиболее подходящей, если к вашей организации применяются какие-либо из следующих требований:

  • Ваша организация намерена развертывать ресурсы в одном или нескольких регионах Azure, а некоторый трафик между регионами Azure ожидается (например, трафик между двумя виртуальными сетями в двух разных регионах Azure), полная сеть сетки во всех регионах Azure не требуется.
  • Вы используете небольшое число удаленных расположений или филиалов на регион. То есть требуется менее 30 туннелей IPSec типа "сеть — сеть".
  • Вам требуется полный контроль и степень детализации для настройки политики маршрутизации сети Azure вручную.

Топология виртуальной глобальной сети (под управлением Майкрософт)

Diagram that illustrates a Virtual WAN network topology.

Традиционная топология сети Azure

Diagram that illustrates a traditional Azure network topology.

Диспетчер виртуальная сеть Azure в целевых зонах Azure

Концептуальная архитектура целевых зон Azure рекомендует одну из двух топологий сети: топологию сети, основанную на Виртуальная глобальная сеть или сетевой топологии, основанной на традиционной архитектуре концентраторов и периферийных серверов. По мере изменения бизнес-требований с течением времени (например, миграция локальных приложений в Azure, требующих гибридного подключения), можно использовать диспетчер виртуальная сеть для расширения и реализации сетевых изменений. Во многих случаях это можно сделать без нарушения того, что уже развернуто в Azure.

Диспетчер виртуальная сеть можно использовать для создания трех типов топологий между подписками как для существующих, так и для новых виртуальных сетей:

  • Топология концентратора и периферийной топологии
  • Топология концентратора и периферийной сети с прямым подключением между периферийными периферийными устройствами
  • Топология сетки (в предварительной версии)

Diagram that shows Azure virtual network topologies.

Примечание.

диспетчер виртуальная сеть не поддерживает центры Виртуальная глобальная сеть в составе сетевой группы или в качестве концентратора в топологии. Дополнительные сведения см. в статье "Часто задаваемые вопросы о диспетчере виртуальная сеть Azure".

При создании топологии концентратора и периферийной связи с прямым подключением в диспетчере виртуальная сеть, где периферийные периферийные устройства подключены друг к другу напрямую, прямое подключение между периферийными виртуальными сетями в той же группе сети автоматически включено, двунаправленно, через функцию Подключение группы.

Диспетчер виртуальная сеть можно использовать для статического или динамического добавления виртуальных сетей в определенные группы сети. Это определяет и создает нужную топологию на основе конфигурации подключения в диспетчере виртуальная сеть.

Можно создать несколько сетевых групп, чтобы изолировать группы виртуальных сетей от прямого подключения. Каждая сетевая группа обеспечивает одну и ту же область и многорегионную поддержку подключения между периферийными сетями. Не забудьте оставаться в пределах ограничений, определенных для диспетчера виртуальная сеть, которые описаны в разделе "Часто задаваемые вопросы о диспетчере виртуальная сеть Azure".

С точки зрения безопасности диспетчер виртуальная сеть предоставляет эффективный способ применения правил администратора безопасности для централизованного запрета или разрешения потоков трафика независимо от того, что определено в группах безопасности. Эта возможность позволяет администраторам безопасности сети применять элементы управления доступом и разрешать владельцам приложений управлять собственными правилами более низкого уровня в группах безопасности сети.

Диспетчер виртуальная сеть можно использовать для группировки виртуальных сетей. Затем можно применить конфигурации к группам, а не к отдельным виртуальным сетям. Эта функция обеспечивает более эффективное управление подключением, конфигурацией и топологией, правилами безопасности и развертыванием в одном или нескольких регионах одновременно без потери детального контроля.

Вы можете сегментирование сетей по средам, командам, расположениям, линиям бизнеса или другой функции, которая соответствует вашим потребностям. Вы можете определять сетевые группы статически или динамически, создавая набор условий, которые управляют членством в группах.

Вы можете использовать диспетчер виртуальная сеть для реализации принципов проектирования целевой зоны Azure для реализации всех принципов миграции приложений, модернизации и инноваций в масштабе.

Рекомендации по проектированию

  • В традиционном развертывании концентратора и периферийной сети пиринговые подключения виртуальной сети создаются вручную и поддерживаются. виртуальная сеть Manager представляет уровень автоматизации пиринга виртуальных сетей, что упрощает управление крупными и сложными топологиями сети, такими как сетка. Дополнительные сведения см. в разделе "Общие сведения о группе сети".
  • Требования к безопасности различных бизнес-функций определяют необходимость создания групп сети. Сетевая группа — это набор виртуальных сетей, выбранных вручную или с помощью условных инструкций, как описано ранее в этом документе. При создании сетевой группы необходимо указать политику или диспетчер виртуальная сеть может создать политику, если она явно разрешена. Эта политика позволяет диспетчеру виртуальная сеть получать уведомления об изменениях. Чтобы обновить существующие инициативы политики Azure, необходимо развернуть изменения в сетевой группе в ресурсе виртуальная сеть Manager.
  • Чтобы разработать соответствующие сетевые группы, следует оценить, какие части общего сетевого ресурса имеют общие характеристики безопасности. Например, можно создавать группы сети для корпоративного и онлайн-управления их подключением и правилами безопасности в большом масштабе.
  • Если несколько виртуальных сетей в подписках организации используют одинаковые атрибуты безопасности, вы можете использовать диспетчер виртуальная сеть для эффективного применения. Например, следует разместить все системы, используемые бизнес-подразделением, например HR или Finance, в отдельной сетевой группе, так как к ним необходимо применить различные правила администратора.
  • виртуальная сеть Manager может централизованно применять правила администратора безопасности, которые имеют более высокий приоритет, чем правила NSG, применяемые на уровне подсети. (Эта функция доступна в предварительной версии.) Эта функция позволяет группам безопасности сети и безопасности эффективно применять политики компании и создавать средства безопасности в масштабе, но позволяет группам продуктов одновременно поддерживать контроль над группами безопасности групп безопасности в подписках целевой зоны.
  • Вы можете использовать функцию правил администратора безопасности виртуальная сеть Manager для явного разрешения или запрета определенных сетевых потоков независимо от конфигураций группы безопасности сети на уровне подсети или сетевого интерфейса. Эту возможность можно использовать, например, чтобы разрешить сетевые потоки служб управления всегда разрешены. Группы безопасности сети, контролируемые командами приложений, не могут переопределить эти правила.
  • Виртуальная сеть может быть частью двух подключенных групп.

Рекомендации по проектированию

  • Определите область диспетчера виртуальная сеть. Примените правила администратора безопасности, которые применяют правила уровня организации в корневой группе управления (клиент). Это иерархически применяет правила автоматически к существующим и новым ресурсам и ко всем связанным группам управления.
  • Создайте экземпляр диспетчера виртуальная сеть в подписке Подключение ivity с область промежуточной корневой группы управления (например, Contoso). Включите функцию администратора безопасности в этом экземпляре. Эта конфигурация позволяет определить правила администратора безопасности, которые применяются ко всем виртуальным сетям и подсетям в иерархии целевой зоны Azure и помогают демократизировать группы безопасности для владельцев и команд целевой зоны приложения.
  • Сегментируйте сети путем группировки виртуальных сетей статически (вручную) или динамически (на основе политик).
  • Включите прямое подключение между периферийными устройствами, когда выбранные периферийные периферийные устройства часто взаимодействуют с низкой задержкой и высокой пропускной способностью, а также доступом к общим службам или сетевым сетям в концентраторе.
  • Включите глобальную сетку, когда все виртуальные сети между регионами должны взаимодействовать друг с другом.
  • Назначьте значение приоритета каждому правилу администратора безопасности в коллекциях правил. Чем ниже значение, тем выше приоритет правила.
  • Используйте правила администратора безопасности для явного разрешения или запрета сетевых потоков независимо от конфигураций NSG, контролируемых командами приложений. Это также позволяет полностью делегировать управление группами безопасности сети и их правилами в команды приложений.