Надежность и виртуальная сеть Azure
Базовый стандартный блок для частной сети, Azure виртуальная сеть позволяет ресурсам Azure безопасно обмениваться данными друг с другом, с Интернетом и локальными сетями.
Основные функции Azure виртуальная сеть:
- Взаимодействие с ресурсами Azure
- Обмен данными с Интернетом
- Взаимодействие с локальными ресурсами
- Фильтрация сетевого трафика
Дополнительные сведения см. в статье Что такое azure виртуальная сеть?
Чтобы понять, как Azure виртуальная сеть поддерживает надежную рабочую нагрузку, ознакомьтесь со следующими статьями:
- Руководство по перемещению виртуальных машин Azure между регионами
- Краткое руководство. Создание виртуальной сети с помощью портала Azure
- Виртуальная сеть: непрерывность бизнес-процессов
Рекомендации по проектированию
Виртуальная сеть (виртуальная сеть) включает следующие рекомендации по проектированию для надежной рабочей нагрузки Azure.
- Перекрывающиеся диапазоны IP-адресов в локальной среде и регионах Azure создают серьезные проблемы с состязанием.
- Хотя виртуальная сеть адресное пространство можно добавить после создания, для этого процесса требуется сбой, если виртуальная сеть уже подключен к другому виртуальная сеть через пиринг. Сбой необходим, так как виртуальная сеть пиринга удаляется и создается повторно.
- Изменение размера одноранговых виртуальных сетей доступно в общедоступной предварительной версии (20 августа 2021 г.).
- Для некоторых служб Azure требуются выделенные подсети, например:
- Брандмауэр Azure
- Бастион Azure
- Шлюз виртуальной сети
- Подсети можно делегировать определенным службам для создания экземпляров этой службы в подсети.
- Azure резервирует пять IP-адресов в каждой подсети, которые должны учитываться при определении размера виртуальных сетей и охватываемых подсетей.
Контрольный список
Вы настроили виртуальная сеть Azure с учетом надежности?
- Используйте стандартные планы защиты от атак DDoS Azure для защиты всех общедоступных конечных точек, размещенных в виртуальных сетях клиента.
- Корпоративные клиенты должны запланировать IP-адресацию в Azure, чтобы обеспечить отсутствие перекрывающегося пространства IP-адресов в рассматриваемых локальных расположениях и регионах Azure.
- Используйте IP-адреса из выделения адресов для частных интернетов (запрос на комментарий (RFC) 1918).
- Для сред с ограниченной доступностью частных IP-адресов (RFC 1918) рекомендуется использовать IPv6.
- Не создавайте неоправданно большие виртуальные сети (например,
/16), чтобы предотвратить ненужные траты пространства IP-адресов. - Не создавайте виртуальные сети без предварительного планирования требуемого адресного пространства.
- Не используйте общедоступные IP-адреса для виртуальных сетей, особенно если общедоступные IP-адреса не принадлежат клиенту.
- Используйте конечные точки службы виртуальной сети для защиты доступа к службам Платформы как услуги Azure (PaaS) из клиентской виртуальной сети.
- Для решения проблем с кражей данных в конечных точках службы используйте фильтрацию сетевого виртуального модуля (NVA) и политики конечных точек службы виртуальной сети для службы хранилища Azure.
- Не реализуйте принудительное туннелирование, чтобы обеспечить обмен данными из Azure с ресурсами Azure.
- Доступ к службам Azure PaaS из локальной среды через частный пиринг ExpressRoute.
- Чтобы получить доступ к службам Azure PaaS из локальных сетей, когда внедрение виртуальной сети или Приватный канал недоступны, используйте ExpressRoute с пирингом Майкрософт, если нет проблем с кражей данных.
- Не реплицируйте концепции и архитектуры локальной сети периметра (также известной как dmz, демилитаризованная зона и экранированная подсеть) в Azure.
- Убедитесь, что обмен данными между службами Azure PaaS, внедренными в виртуальная сеть, заблокирован в виртуальная сеть с помощью определяемых пользователем маршрутов (UDR) и групп безопасности сети (NSG).
- Не используйте конечные точки службы виртуальной сети при возникновении проблем с кражей данных, если не используется фильтрация NVA.
- Не включайте конечные точки службы виртуальной сети по умолчанию во всех подсетях.
Рекомендации по настройке
При настройке виртуальная сеть Azure учитывайте следующие рекомендации по оптимизации надежности.
| Рекомендация | Описание |
|---|---|
| Не создавайте виртуальные сети без предварительного планирования требуемого адресного пространства. | Добавление адресного пространства приведет к сбою после подключения виртуальная сеть через пиринг виртуальная сеть. |
| Используйте конечные точки службы виртуальной сети для защиты доступа к службам Платформы как услуги Azure (PaaS) из клиентской виртуальной сети. | Только в том случае, если Приватный канал недоступна и если нет проблем с кражей данных. |
| Доступ к службам Azure PaaS из локальной среды через частный пиринг ExpressRoute. | Используйте внедрение виртуальной сети для выделенных служб Azure или Приватный канал Azure для доступных общих служб Azure. |
| Чтобы получить доступ к службам Azure PaaS из локальных сетей, когда внедрение виртуальной сети или Приватный канал недоступны, используйте ExpressRoute с пирингом Майкрософт, если нет проблем с кражей данных. | Избегает транзита через общедоступный Интернет. |
| Не реплицируйте концепции и архитектуры локальной сети периметра (также известной как dmz, демилитаризованная зона и экранированная подсеть) в Azure. | Клиенты могут получить такие же возможности безопасности в Azure, как и локальные, но реализация и архитектура должны быть адаптированы к облаку. |
| Убедитесь, что обмен данными между службами Azure PaaS, внедренными в виртуальная сеть, заблокирован в виртуальная сеть с помощью определяемых пользователем маршрутов (UDR) и групп безопасности сети (NSG). | Службы PaaS Azure, внедренные в виртуальная сеть по-прежнему выполняют операции плоскости управления с использованием общедоступных IP-адресов. |