Обзор сетевых служб Azure

Сетевые службы в Azure предоставляют различные сетевые возможности, которые можно использовать вместе или отдельно. Выберите любую из следующих ключевых возможностей, чтобы узнать больше о них:

• службы Подключение ivity: Подключение ресурсы Azure и локальные ресурсы с помощью любого или сочетания этих сетевых служб в Azure — виртуальная сеть (виртуальная сеть), Виртуальная глобальная сеть, ExpressRoute, VPN-шлюз, шлюз NAT, Azure DNS, пиринг service, Azure виртуальная сеть Manager, Route Server и Бастион Azure.
• Службы защиты приложений. Защитите приложения с использованием любого сочетания этих сетевых служб в Azure: Azure Load Balancer, Приватный канал, защита от атак DDoS, брандмауэр, группы безопасности сети, Брандмауэр веб-приложений и конечные точки виртуальной сети.
• Службы доставки приложений. Для доставки приложений в сеть Azure используйте любую из этих сетевых служб в Azure или их комбинацию: Сети доставки содержимого (CDN), Azure Front Door Service, Диспетчер трафика, Шлюз приложений, Анализатор Интернета и Load Balancer.
• Мониторинг сети. Отслеживайте сетевые ресурсы с помощью любой из этих сетевых служб в Azure или их комбинации: Наблюдатель за сетями, ExpressRoute Monitor, Azure Monitor или Точка доступа к терминалу виртуальной сети (TAP).

Службы подключения

В этом разделе описаны службы, обеспечивающие подключение между ресурсами Azure, подключение из локальной сети к ресурсам Azure и ветвь для подключения к филиалам в Azure — виртуальная сеть (виртуальная сеть), ExpressRoute, VPN-шлюз, Виртуальная глобальная сеть, шлюз NAT виртуальной сети, Azure DNS, пиринговая служба, сервер маршрутизации и Azure Бастион.

Виртуальная сеть

Виртуальная сеть Azure — это стандартный строительный блок для частной сети в Azure. Виртуальные сети можно использовать для следующих задач.

• Обмен данными между ресурсами Azure. Вы можете развертывать виртуальные машины и несколько других типов ресурсов Azure в виртуальной сети, например среды приложение Azure служб, Служба Azure Kubernetes (AKS) и Azure Масштабируемые наборы виртуальных машин. Полный список ресурсов Azure, которые можно развернуть в виртуальной сети, см. в статье Интеграция виртуальной сети для служб Azure.
• Обмен данными между собой. Вы можете подключать виртуальные сети друг к другу, позволяя ресурсам в виртуальной сети взаимодействовать друг с другом с помощью пиринга виртуальной сети или диспетчера виртуальная сеть Azure. Виртуальные сети, которые вы подключаете, могут находиться в одном или в разных регионах Azure. Дополнительные сведения см. в статье об пиринге виртуальных сетей и диспетчере виртуальная сеть Azure.
• Подключение к Интернету. По умолчанию все ресурсы в виртуальной сети могут устанавливать исходящие подключения к Интернету. Можно также установить входящее подключение к ресурсу, присвоив ему общедоступный IP-адрес, или общедоступный экземпляр Load Balancer. Вы также можете использовать Общедоступный IP-адрес или общедоступную Azure Load Balancer для управления исходящими подключениями.
• Взаимодействие с локальными сетями. Вы можете подключить локальные компьютеры и сети к виртуальной сети с помощью VPN-шлюза или ExpressRoute.
• Шифрование трафика между ресурсами: можно использовать шифрование виртуальной сети для шифрования трафика между ресурсами в виртуальной сети.

Диспетчер виртуальных сетей Azure

Диспетчер виртуальная сеть Azure — это служба управления, которая позволяет группировать, настраивать, развертывать и управлять виртуальными сетями глобально в разных подписках. С помощью диспетчера виртуальная сеть можно определить сетевые группы для определения и логического сегментирования виртуальных сетей. Затем можно определить нужные конфигурации подключения и безопасности и применить их ко всем выбранным виртуальным сетям в группах сети одновременно.

ExpressRoute

ExpressRoute позволяет расширить локальные сети в облако Майкрософт через частное подключение, облегчаемое поставщиком подключений. Это подключение является закрытым. Трафик не проходит через Интернет. ExpressRoute позволяет устанавливать подключения к облачным службам Майкрософт, таким как Microsoft Azure, Microsoft 365 и Dynamics 365.

VPN-шлюз

VPN-шлюз помогает создавать зашифрованные кросс-локальные подключения к виртуальной сети из локальных расположений или создавать зашифрованные подключения между виртуальными сетями. Существуют различные конфигурации для VPN-шлюз подключений. Среди основных функций:

• VPN-подключение "сеть — сеть"
• Подключение VPN типа "точка — сеть"
• VPN-подключение между виртуальными сетями

На следующей схеме показано несколько VPN-подключений типа "сеть — сеть" к одной виртуальной сети. Дополнительные схемы подключений см. в разделе VPN-шлюз - конструктор.

Виртуальная глобальная сеть

Azure Виртуальная глобальная сеть — это сетевая служба, которая объединяет множество функций сети, безопасности и маршрутизации для обеспечения единого рабочего интерфейса. Подключение к виртуальным сетям Azure устанавливается с помощью подключения по виртуальной сети. Среди основных функций:

• Подключение филиала (с помощью автоматизации подключения с Виртуальная глобальная сеть партнерских устройств, таких как SD-WAN или VPN CPE)
• VPN-подключение "сеть — сеть"
• Подключение VPN удаленного пользователя (точка — сеть)
• Частное подключение (ExpressRoute)
• Внутриоблачное подключение (транзитное подключение для виртуальных сетей)
• Межсоединение ExpressRoute по VPN-сети
• Маршрутизация, Брандмауэр Azure и шифрование для частного подключения

Azure DNS

Azure DNS предоставляет размещение и разрешение DNS с помощью инфраструктуры Microsoft Azure. Azure DNS состоит из трех служб:

• Общедоступная служба DNS Azure — это служба размещения для доменов DNS. Размещая домены в Azure, вы можете управлять своими записями DNS с помощью тех же учетных данных, API и инструментов и оплачивать использование, как и другие службы Azure.
• Azure Частная зона DNS — это служба DNS для виртуальных сетей. Частная зона DNS Azure управляет доменными именами в виртуальной сети и разрешает их, позволяя обойтись без собственного решения для поддержки DNS.
• Частный сопоставитель Azure DNS — это служба, которая позволяет запрашивать частные зоны Azure DNS из локальной среды и наоборот, не развертывая DNS-серверы на основе виртуальных машин.

С помощью Azure DNS можно размещать и разрешать общедоступные домены, управлять разрешением DNS в виртуальных сетях и включать разрешение имен между Azure и локальными ресурсами.

Бастион Azure

Бастион Azure — это служба, которая позволяет подключаться к виртуальной машине с помощью браузера и портал Azure или через собственный клиент SSH или RDP, уже установленный на локальном компьютере. Служба Бастиона Azure — это полностью управляемая платформой служба PaaS, развернутая в виртуальной сети. Она обеспечивает безопасное и бесперебойное подключение RDP или SSH к виртуальным машинам непосредственно на портале Azure по протоколу TLS. При подключении с помощью Azure Bastion виртуальным машинам не требуются общедоступные IP-адреса, агенты или специальное клиентское ПО. Существует множество различных номеров SKU и уровней, доступных для Бастиона Azure. Уровень, который вы выбираете, влияет на доступные функции. Дополнительные сведения см. в разделе "О параметрах конфигурации Бастиона".

Шлюз NAT

виртуальная сеть преобразование сетевых адресов упрощает исходящее подключение к Интернету для виртуальных сетей. При настройке NAT в подсети все исходящие подключения используют указанные статические общедоступные IP-адреса. Исходящее подключение возможно без подсистемы балансировки нагрузки или общедоступных IP-адресов путем прямого подключения к виртуальным машинам. Дополнительные сведения см. в статье "Что такое шлюз Azure NAT"?

Сервер маршрутизации

Сервер маршрутов Azure упрощает динамическую маршрутизацию между виртуальной сетью (модуль) (NVA) и виртуальной сетью. Он обеспечивает прямой обмен сведениями о маршрутизации по протоколу BGP между любыми NVA, которые поддерживают этот протокол, и программно-определяемой сетью (SDN) Azure в виртуальной сети Azure без необходимости вручную настраивать и обслуживать таблицы маршрутов.

Служба пиринга

Служба пиринга Azure улучшает подключение клиентов к облачным службам Майкрософт, таким как Microsoft 365, Dynamics 365, программное обеспечение как услуга (SaaS), Azure или любые службы Майкрософт доступные через общедоступный Интернет.

Службы защиты приложений

В этом разделе описываются сетевые службы в Azure, которые помогут вам защитить сетевые ресурсы. Защитите приложения с использованием любого сочетания этих сетевых служб в Azure: защита от атак DDoS, Приватный канал, Брандмауэр, Брандмауэр веб-приложений, группы безопасности сети и конечные точки виртуальной сети.

Защита от атак DDos

Защита от атак DDoS Azure предоставляет меры противодействия самым сложным атакам DDoS. Эта служба предоставляет расширенные возможности по устранению рисков атак DDoS для ваших приложений и ресурсов, развернутых в виртуальных сетях. Кроме того, клиенты, использующие службу защиты от атак DDoS Azure, имеют доступ к поддержке быстрого реагирования на атаки DDoS, благодаря чему могут получать помощь от экспертов по атакам DDoS во время активной атаки.

Защита от атак DDoS Azure состоит из двух уровней:

• Защита сети DDoS в сочетании с рекомендациями по проектированию приложений предоставляет расширенные функции защиты от атак DDoS. Она автоматически настраивается для помощи в защите конкретных ресурсов Azure в виртуальной сети.
• Защита IP-адресов DDoS — это модель ip-адресов, защищенная за оплату. Защита IP-адресов DDoS содержит те же основные функции проектирования, что и защита сети DDoS, но будет отличаться в следующих службах: поддержка быстрого реагирования DDoS, защита затрат и скидки на WAF.

Приватный канал Azure

Приватный канал Azure обеспечивает доступ к службам Azure PaaS (например, к службе хранилища Microsoft Azure и Базе данных SQL), а также размещенным в Azure службам, которые принадлежат клиенту или партнеру, через частную конечную точку в вашей виртуальной сети. Трафик между виртуальной сетью и службой проходит через магистральную сеть Майкрософт. Предоставление доступа к службе через общедоступный Интернет больше не требуется. Вы можете создать собственную службу приватного канала в виртуальной сети и предоставлять ее клиентам.

Брандмауэр Azure

Брандмауэр Azure — это управляемая облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети Azure. Используя Брандмауэр Azure, можно централизованно создавать, применять и регистрировать политики приложений и сетевых подключений в подписках и виртуальных сетях. Брандмауэр Azure использует статический общедоступный IP-адрес для виртуальных сетевых ресурсов, позволяя внешним брандмауэрам идентифицировать трафик, исходящий из виртуальной сети.

Брандмауэр веб-приложения

Брандмауэр веб-приложений Azure (WAF) обеспечивает защиту веб-приложений от распространенных веб-эксплойтов и уязвимостей, таких как внедрение кода SQL и межсайтовые сценарии. Azure WAF обеспечивает стандартную защиту от 10 самых распространенных уязвимостей по версии OWASP через управляемые правила. Кроме того, клиенты могут настроить пользовательские правила, которые являются управляемыми клиентом правилами для обеспечения дополнительной защиты на основе диапазона исходных IP-адресов и атрибутов запроса, таких как заголовки, файлы cookie, поля данных формы или параметры строки запроса.

Клиенты могут развернуть Azure WAF с Шлюз приложений, которая обеспечивает региональную защиту сущностей в общедоступном и частном адресном пространстве. Клиенты также могут развернуть WAF Azure с Front Door, которая обеспечивает защиту на границе сети для общедоступных конечных точек.

Группы безопасности сети

Отфильтровать трафик, поступающий из ресурсов Azure и обратно, в виртуальной сети можно с помощью группы безопасности сети. Дополнительные сведения см. в разделе Группы безопасности сети.

Конечные точки служб

Конечные точки служб виртуальной сети расширяют пространство частных адресов и возможности идентификации вашей виртуальной сети в службах Azure благодаря прямому соединению. Конечные точки позволяют защищать критически важные ресурсы служб Azure в пределах отдельных виртуальных сетей. Трафик, поступающий из виртуальной сети в службу Azure, всегда остается в магистральной сети Microsoft Azure.

Службы доставки приложений

В этом разделе описываются сетевые службы в Azure, которые помогают обеспечить доставку приложений: сеть доставки содержимого, Azure Front Door Service, Диспетчер трафика, Load Balancer и Шлюз приложений.

Azure Front Door

Azure Front Door позволяет определять, управлять и отслеживать глобальную маршрутизацию для веб-трафика, оптимизированную для повышения производительности и мгновенной глобальной отработки отказа для обеспечения высокой доступности. С помощью службы Front Door вы можете преобразовать глобальные (с поддержкой нескольких регионов) пользовательские и корпоративные приложения в современные, надежные, высокопроизводительные и персонализированные приложения, интерфейсы API и содержимое, которые охватывают глобальную аудиторию с помощью Azure.

Диспетчер трафика

Диспетчер трафика Azure. — это подсистема балансировки нагрузки трафика на основе DNS, которая позволяет оптимально распределять трафик между службами в глобальных регионах Azure, обеспечивая высокую доступность и скорость реагирования. Диспетчер трафика предоставляет ряд методов маршрутизации трафика для его распределения по таким параметрам, как приоритет, вес, производительность, географические данные, многозначность и подсеть.

На следующей схеме показана маршрутизация на основе приоритета конечных точек с помощью Диспетчера трафика Microsoft Azure.

Подробные сведения о Диспетчере трафика Azure см. в статье Что такое Диспетчер трафика Azure.

Load Balancer

Azure Load Balancer обеспечивает высокопроизводительную балансировку нагрузки уровня 4 с низкой задержкой для всех протоколов UDP и TCP. Она управляет и входящими, и исходящими подключениями. Вы можете настроить общедоступные и внутренние конечные точки с балансировкой нагрузки, а также определить правила для сопоставления входящих подключений к внутреннему пулу, используя параметры проверки состояний TCP и HTTP, чтобы управлять доступностью служб.

Azure Load Balancer доступен в ценовых категориях "Стандартный", "Региональный" и "Шлюз".

На схеме ниже показано многоуровневое приложение с доступом к Интернету, использующее внешние и внутренние балансировщики нагрузки:

Шлюз приложений

Шлюз приложений Azure — это подсистема балансировки нагрузки веб-трафика, предназначенная для управления трафиком веб-приложений. Это контроллер доставки приложений (ADC) как услуга, предлагающий различные возможности балансировки нагрузки уровня 7 для приложений.

На схеме ниже показана маршрутизация трафика на основе URL-адресов с помощью Шлюза приложений Azure.

Сеть доставки содержимого

Azure сеть доставки содержимого (CDN). предлагает разработчикам глобальное решение для быстрого предоставления содержимого с высокой пропускной способностью пользователям путем кэширования содержимого на стратегически размещенных физических узлах по всему миру.

Службы мониторинга сети

В этом разделе описаны сетевые службы в Azure, которые помогают отслеживать сетевые ресурсы — Azure Наблюдатель за сетями, сеть Azure Monitor Аналитика, Azure Monitor и ExpressRoute Monitor.

Наблюдатель за сетями Azure

Наблюдатель за сетями Azure предоставляет инструменты для мониторинга, диагностики, просмотра метрик и включения или отключения журналов для ресурсов в виртуальной сети Azure. Дополнительные сведения см. в статье [Что такое Наблюдатель за сетями?

Azure Monitor

Служба Azure Monitor обеспечивает максимальную доступность и производительность приложений, предоставляя полноценное решение для сбора, анализа и обработки данных телеметрии из облачных и локальных сред. Она поможет вам понять, как выполняются приложения, а также заранее определить проблемы, влияющие на них, и ресурсы, от которых они зависят. Дополнительные сведения см. в статье [Обзор Azure Monitor.

Монитор ExpressRoute

Сведения о просмотре метрик канала ExpressRoute, журналов ресурсов и оповещений см. в разделе мониторинга ExpressRoute, метрик и оповещений.

Аналитические сведения о сети

Azure Monitor для сетей (сетевая Аналитика). предоставляет комплексное представление о работоспособности и метриках для всех развернутых сетевых ресурсов без необходимости настройки.

Следующие шаги

• Создайте первую виртуальную сеть и подключите к ней несколько виртуальных машин, выполнив действия, описанные в статье "Создание первой виртуальной сети ".
• Подключите свой компьютер к виртуальной сети, выполнив действия, описанные в статье Настройка подключения "точка — сеть".
• Реализуйте балансировку интернет-трафика на общедоступные серверы, выполнив действия, описанные в статье Создание подсистемы балансировки нагрузки для Интернета на портале Azure.