Эффективность работы и виртуальная сеть Azure
Базовый стандартный блок для частной сети Azure виртуальная сеть позволяет ресурсам Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями.
К ключевым функциям Azure виртуальная сеть относятся:
- Обмен данными с ресурсами Azure
- Обмен данными с Интернетом
- Взаимодействие с локальными ресурсами
- Фильтрация сетевого трафика
Дополнительные сведения см. в статье "Что такое Azure виртуальная сеть?"
Чтобы понять, как Azure виртуальная сеть поддерживает эффективность работы, ознакомьтесь со следующими разделами:
- Мониторинг Azure виртуальная сеть
- Мониторинг справочника по данным Azure виртуальная сеть
- Основные понятия и рекомендации по azure виртуальная сеть
Рекомендации по проектированию
Виртуальная сеть (виртуальная сеть) включает следующие рекомендации по проектированию для повышения эффективности работы.
- Перекрывающиеся диапазоны IP-адресов в локальной среде и регионах Azure создают серьезные проблемы с состязанием.
- Хотя после создания можно добавить виртуальная сеть адресное пространство, этот процесс требует сбоя, если виртуальная сеть уже подключены к другому виртуальная сеть через пиринг. Сбой необходим, так как виртуальная сеть пиринг удаляется и создается повторно.
- Для некоторых служб Azure требуются выделенные подсети, например:
- Брандмауэр Azure
- Бастион Azure
- шлюз виртуальной сети;
- Подсети можно делегировать определенным службам для создания экземпляров этой службы в подсети.
- Azure резервирует пять IP-адресов в каждой подсети, которые следует учитывать при изменении размера виртуальная сеть и охватываемых подсетей.
Контрольный список
Вы настроили azure виртуальная сеть с учетом эффективности работы?
- Используйте планы защиты от атак DDoS уровня "Стандартный" Azure для защиты всех общедоступных конечных точек, размещенных в виртуальная сеть клиента.
- Корпоративные клиенты должны планировать ip-адресацию в Azure, чтобы обеспечить отсутствие перекрывающегося пространства IP-адресов в локальных расположениях и регионах Azure.
- Используйте IP-адреса из выделения адресов для частных интернет-адресов (запрос на комментарий (RFC) 1918).
- Для сред с ограниченными частными IP-адресами (RFC 1918) рекомендуется использовать IPv6.
- Не создавайте ненужные большие виртуальная сеть (например,
/16
чтобы не было ненужных отходов в пространстве IP-адресов). - Не создавайте виртуальная сеть без предварительного планирования требуемого адресного пространства.
- Не используйте общедоступные IP-адреса для виртуальная сеть, особенно если общедоступные IP-адреса не принадлежат клиенту.
- Используйте конечные точки службы виртуальной сети для защиты доступа к службам Платформы Azure как услуга (PaaS) из клиентской виртуальной сети.
- Чтобы устранить проблемы с утечкой данных с конечными точками службы, используйте фильтрацию виртуальных сетевых устройств и политики конечных точек службы виртуальной сети для служба хранилища Azure.
- Не реализуйте принудительное туннелирование, чтобы обеспечить обмен данными из Azure с ресурсами Azure.
- Доступ к службам Azure PaaS из локальной среды через частный пиринг ExpressRoute.
- Чтобы получить доступ к службам Azure PaaS из локальных сетей, когда внедрение виртуальной сети или Приватный канал недоступны, используйте ExpressRoute с пирингом Майкрософт, если нет проблем с утечкой данных.
- Не реплицируйте локальные сети периметра (также известные как DMZ, демилитаризованная зона и экранированная подсеть) в Azure.
- Убедитесь, что связь между службами Azure PaaS, внедренными в виртуальная сеть, заблокирована в виртуальная сеть с помощью определяемых пользователем маршрутов (определяемых пользователем) и групп безопасности сети (NSG).
- Не используйте конечные точки службы виртуальной сети при возникновении проблем с кражей данных, если не используется фильтрация NVA.
- Не включите конечные точки службы виртуальной сети по умолчанию во всех подсетях.
Рекомендации по настройке
При настройке виртуальная сеть Azure рекомендуется использовать следующие рекомендации по повышению эффективности работы.
Рекомендация | Description |
---|---|
Не создавайте виртуальная сеть без предварительного планирования требуемого адресного пространства. | Добавление адресного пространства приведет к сбою после подключения виртуальная сеть через пиринг виртуальная сеть. |
Используйте конечные точки службы виртуальной сети для защиты доступа к службам Платформы Azure как услуга (PaaS) из клиентской виртуальной сети. | Только если Приватный канал недоступна и когда нет проблем с кражей данных. |
Доступ к службам Azure PaaS из локальной среды через частный пиринг ExpressRoute. | Используйте внедрение виртуальной сети для выделенных служб Azure или Приватный канал Azure для доступных общих служб Azure. |
Чтобы получить доступ к службам Azure PaaS из локальных сетей, когда внедрение виртуальной сети или Приватный канал недоступны, используйте ExpressRoute с пирингом Майкрософт, если нет проблем с утечкой данных. | Избегает передачи через общедоступный Интернет. |
Не реплицируйте локальные сети периметра (также известные как DMZ, демилитаризованная зона и экранированная подсеть) в Azure. | Клиенты могут получить аналогичные возможности безопасности в Azure как в локальной среде, но реализация и архитектура должны быть адаптированы к облаку. |
Убедитесь, что связь между службами Azure PaaS, внедренными в виртуальная сеть, заблокирована в виртуальная сеть с помощью определяемых пользователем маршрутов (определяемых пользователем) и групп безопасности сети (NSG). | Службы Azure PaaS, внедренные в виртуальная сеть по-прежнему выполняют операции плоскости управления с помощью общедоступных IP-адресов. |