Översikt över Azures nätverkstjänster

  • Artikel

Nätverkstjänsterna i Azure tillhandahåller olika nätverksfunktioner som kan användas tillsammans eller separat. Välj någon av följande viktiga funktioner för att lära dig mer om dem:

  • Anslut ivity services: Anslut Azure-resurser och lokala resurser med någon eller en kombination av dessa nätverkstjänster i Azure – Virtuellt nätverk (VNet), Virtual WAN, ExpressRoute, VPN Gateway, NAT Gateway, Azure DNS, Peering-tjänst, Azure Virtual Network Manager, Route Server och Azure Bastion.
  • Programskyddstjänster: Skydda dina program med någon eller en kombination av dessa nätverkstjänster i Azure – Load Balancer, Private Link, DDoS-skydd, brandvägg, nätverkssäkerhetsgrupper, brandvägg för webbprogram och virtuella nätverksslutpunkter.
  • Programleveranstjänster: Leverera program i Azure-nätverket med någon eller en kombination av dessa nätverkstjänster i Azure – Content Delivery Network (CDN), Azure Front Door Service, Traffic Manager, Application Gateway, Internet Analyzer och Load Balancer.
  • Nätverksövervakning: Övervaka dina nätverksresurser med någon eller en kombination av dessa nätverkstjänster i Azure – Network Watcher, ExpressRoute Monitor, Azure Monitor eller VNet Terminal Access Point (TAP).

Anslutningstjänster

I det här avsnittet beskrivs tjänster som tillhandahåller anslutning mellan Azure-resurser, anslutning från ett lokalt nätverk till Azure-resurser och förgrening till grenanslutning i Azure – Virtuellt nätverk (VNet), ExpressRoute, VPN Gateway, Virtual WAN, NAT Gateway för virtuellt nätverk, Azure DNS, peeringtjänst, routningsserver och Azure Bastion.

Virtuellt nätverk

Azure Virtual Network (VNet) är den grundläggande byggstenen för ditt privata nätverk i Azure. Du kan använda virtuella nätverk för att:

  • Kommunicera mellan Azure-resurser: Du kan distribuera virtuella datorer och flera andra typer av Azure-resurser till ett virtuellt nätverk, till exempel Azure App Service-miljön s, Azure Kubernetes Service (AKS) och Azure Virtual Machine Scale Sets. En fullständig lista över Azure-resurser som du kan distribuera till ett virtuellt nätverk finns i Tjänstintegration för virtuella nätverk.
  • Kommunicera mellan varandra: Du kan ansluta virtuella nätverk till varandra, vilket gör att resurser i antingen virtuella nätverk kan kommunicera med varandra med hjälp av peering för virtuella nätverk eller Azure Virtual Network Manager. De virtuella nätverken du ansluter kan finnas i samma, eller olika, Azure-regioner. Mer information finns i Peering för virtuella nätverk och Azure Virtual Network Manager.
  • Kommunicera till Internet: Alla resurser i ett virtuellt nätverk kan som standard kommunicera utgående till Internet. Du kan kommunicera inkommande trafik till en resurs genom att tilldela en offentlig IP-adress eller en offentlig lastbalanserare. Du kan också använda offentliga IP-adresser eller offentlig lastbalanserare för att hantera dina utgående anslutningar.
  • Kommunicera med lokala nätverk: Du kan ansluta dina lokala datorer och nätverk till ett virtuellt nätverk med hjälp av VPN Gateway eller ExpressRoute.
  • Kryptera trafik mellan resurser: Du kan använda kryptering i virtuellt nätverk för att kryptera trafik mellan resurser i ett virtuellt nätverk.

Azure Virtual Network Manager

Azure Virtual Network Manager är en hanteringstjänst som gör att du kan gruppera, konfigurera, distribuera och hantera virtuella nätverk globalt mellan prenumerationer. Med Virtual Network Manager kan du definiera nätverksgrupper för att identifiera och segmentera dina virtuella nätverk logiskt. Sedan kan du bestämma vilka anslutnings- och säkerhetskonfigurationer du vill använda och tillämpa dem på alla valda virtuella nätverk i nätverksgrupper samtidigt.

Diagram över resurser som distribuerats för en nättopologi för virtuella nätverk med Azure Virtual Network Manager.

ExpressRoute

Med ExpressRoute kan du utöka dina lokala nätverk till Microsoft-molnet via en privat anslutning som underlättas av en anslutningsleverantör. Den här anslutningen är privat. Trafiken går inte via Internet. Med ExpressRoute kan du upprätta anslutningar till Microsofts molntjänster som Microsoft Azure, Microsoft 365 och Dynamics 365.

Azure ExpressRoute

VPN Gateway

VPN Gateway hjälper dig att skapa krypterade anslutningar mellan platser till ditt virtuella nätverk från lokala platser eller skapa krypterade anslutningar mellan virtuella nätverk. Det finns olika konfigurationer tillgängliga för VPN Gateway-anslutningar. Några av de viktigaste funktionerna är:

  • Plats-till-plats-anslutning via VPN
  • Punkt-till-plats-VPN-anslutning
  • VNet-till-VNet VPN-anslutning

Följande diagram visar flera VPN-anslutningar från plats till plats till samma virtuella nätverk. Mer information om hur du visar fler anslutningsdiagram finns i VPN Gateway – design.

Diagram som visar flera Azure VPN Gateway-anslutningar från plats till plats.

Virtuellt WAN

Azure Virtual WAN är en nätverkstjänst som sammanför många funktioner för nätverk, säkerhet och routning för att tillhandahålla ett enda operativt gränssnitt. Anslut ivitet för virtuella Azure-nätverk upprättas med hjälp av virtuella nätverksanslutningar. Några av de viktigaste funktionerna är:

  • Grenanslutning (via anslutningsautomatisering från Virtual WAN-partnerenheter som SD-WAN eller VPN CPE)
  • Plats-till-plats-anslutning via VPN
  • Vpn-anslutning för fjärranvändare (punkt-till-plats)
  • Privat anslutning (ExpressRoute)
  • Anslutning mellan moln (transitiv anslutning för virtuella nätverk)
  • Anslutning mellan VPN ExpressRoute-instanser
  • Routning, Azure Firewall och kryptering för privat anslutning

Virtual WAN-diagram.

Azure DNS

Azure DNS tillhandahåller DNS-värdtjänster och -matchning med hjälp av Microsoft Azure-infrastrukturen. Azure DNS består av tre tjänster:

  • Azure Public DNS är en värdtjänst för DNS-domäner. Genom att använda Azure som värd för dina domäner kan du hantera dina DNS-poster med hjälp av samma autentiseringsuppgifter, API:er, verktyg och fakturering som för dina andra Azure-tjänster.
  • Azure Privat DNS är en DNS-tjänst för dina virtuella nätverk. Azure Privat DNS hanterar och löser domännamn i det virtuella nätverket utan att behöva konfigurera en anpassad DNS-lösning.
  • Azure DNS Private Resolver är en tjänst som gör att du kan köra frågor mot privata Azure DNS-zoner från en lokal miljö och vice versa utan att distribuera VM-baserade DNS-servrar.

Med Hjälp av Azure DNS kan du vara värd för och lösa offentliga domäner, hantera DNS-matchning i dina virtuella nätverk och aktivera namnmatchning mellan Azure och dina lokala resurser.

Azure Bastion

Azure Bastion är en tjänst som du kan distribuera så att du kan ansluta till en virtuell dator med hjälp av webbläsaren och Azure-portalen, eller via den interna SSH- eller RDP-klienten som redan är installerad på den lokala datorn. Azure Bastion-tjänsten är en helt plattformshanterad PaaS-tjänst som du distribuerar i ditt virtuella nätverk. Den ger säkra och smidiga RDP/SSH-anslutningar till dina virtuella datorer direkt från Azure-portalen via SSL. När du ansluter via Azure Bastion behöver dina virtuella datorer inte någon offentlig IP-adress, agent eller särskild klientprogramvara. Det finns en mängd olika SKU/nivåer tillgängliga för Azure Bastion. Den nivå du väljer påverkar de funktioner som är tillgängliga. Mer information finns i Om Konfigurationsinställningar för Bastion.

Diagram som visar Azure Bastion-arkitektur.

NAT Gateway

Nat för virtuellt nätverk (nätverksadressöversättning) förenklar utgående Internetanslutning för virtuella nätverk. När du konfigurerar i ett undernät använder alla utgående anslutningar dina angivna statiska offentliga IP-adresser. Utgående anslutning är möjlig utan lastbalanserare eller offentliga IP-adresser som är direkt kopplade till virtuella datorer. Mer information finns i Vad är Azure NAT-gateway?

NAT-gateway för virtuellt nätverk

Routningsserver

Azure Route Server förenklar dynamisk routning mellan din virtuella nätverksinstallation (NVA) och ditt virtuella nätverk. Det gör att du kan utbyta routningsinformation direkt via BGP-routningsprotokollet (Border Gateway Protocol) mellan alla NVA som stöder BGP-routningsprotokollet och Azure Software Defined Network (SDN) i Azure Virtual Network (VNet) utan att behöva konfigurera eller underhålla routningstabeller manuellt.

Peering Service

Azure Peering Service förbättrar kundanslutningen till Microsofts molntjänster som Microsoft 365, Dynamics 365, SaaS-tjänster (programvara som en tjänst), Azure eller alla Microsoft-tjänster som är tillgängliga via det offentliga Internet.

Programskyddstjänster

I det här avsnittet beskrivs nätverkstjänster i Azure som hjälper dig att skydda dina nätverksresurser – Skydda dina program med någon eller en kombination av dessa nätverkstjänster i Azure – DDoS-skydd, Private Link, brandvägg, brandvägg för webbprogram, nätverkssäkerhetsgrupper och tjänstslutpunkter för virtuella nätverk.

DDoS Protection

Azure DDoS Protection ger motåtgärder mot de mest avancerade DDoS-hoten. Tjänsten tillhandahåller förbättrade DDoS-minskningsfunktioner för ditt program och resurser som distribueras i dina virtuella nätverk. Dessutom har kunder som använder Azure DDoS Protection åtkomst till DDoS Rapid Response-stöd för att engagera DDoS-experter under en aktiv attack.

Azure DDoS Protection består av två nivåer:

  • DDoS Network Protection, kombinerat med metodtips för programdesign, ger förbättrade DDoS-åtgärdsfunktioner som skyddar mot DDoS-attacker. Den finjusteras automatiskt för att skydda dina specifika Azure-resurser i ett virtuellt nätverk.
  • DDoS IP Protection är en betala per skyddad IP-modell. DDoS IP Protection innehåller samma grundläggande tekniska funktioner som DDoS Network Protection, men skiljer sig åt i följande mervärdestjänster: DDoS snabbsvarssupport, kostnadsskydd och rabatter på WAF.

Diagram över referensarkitekturen för ett DDoS-skyddat PaaS-webbprogram.

Med Azure Private Link kan du komma åt Azure PaaS Services (till exempel Azure Storage och SQL Database) och Azure-värdbaserade kundägda/partnertjänster via en privat slutpunkt i ditt virtuella nätverk. Trafik mellan ditt virtuella nätverk och tjänsten färdas via Microsofts stamnätverk. Det är inte längre nödvändigt att exponera tjänsten i det offentliga Internet. Du kan skapa en egen privat länktjänst i ditt virtuella nätverk och leverera den till kunderna.

Översikt över privata slutpunkter

Azure Firewall

Azure Firewall är en hanterad, molnbaserad nätverkssäkerhetstjänst som skyddar dina Azure Virtual Network-resurser. Med Azure Firewall kan du centralt skapa, tillämpa och logga principer för program- och nätverksanslutningar mellan prenumerationer och virtuella nätverk. Azure Firewall använder en statisk offentlig IP-adress för din virtuella nätverksresurser som tillåter att externa brandväggar identifierar trafik som kommer från ditt virtuella nätverk.

Översikt över brandväggar

Brandvägg för webbaserade program

Azure Web Application Firewall (WAF) skyddar dina webbprogram mot vanliga webbexploateringar och sårbarheter som SQL-inmatning och skript mellan webbplatser. Azure WAF tillhandahåller out of box-skydd mot OWASP:s 10 främsta sårbarheter via hanterade regler. Dessutom kan kunder också konfigurera anpassade regler, som är kundhanterade regler för att ge extra skydd baserat på källans IP-intervall, och begära attribut som rubriker, cookies, formulärdatafält eller frågesträngsparametrar.

Kunder kan välja att distribuera Azure WAF med Application Gateway, vilket ger regionalt skydd för entiteter i offentligt och privat adressutrymme. Kunder kan också välja att distribuera Azure WAF med Front Door som ger skydd vid nätverksgränsen till offentliga slutpunkter.

Brandvägg för webbaserade program

Nätverkssäkerhetsgrupper

Du kan filtrera nätverkstrafik till och från Azure-resurser i ett virtuellt nätverk i Azure med en nätverkssäkerhetsgrupp. Mer information finns i Nätverkssäkerhetsgrupper.

Tjänstslutpunkter

Med tjänstslutpunkter för Virtual Network (VNet) får du ett utökat privat adressutrymme för det virtuella nätverket och identiteten för ditt VNet till Azure-tjänsterna, via en direktanslutning. Med slutpunkter kan du skydda dina kritiska Azure-tjänstresurser till endast dina virtuella nätverk. Trafik från ditt VNet till Azure-tjänsten förblir alltid på Microsoft Azure-stamnätverket.

Tjänstslutpunkter för virtuellt nätverk

Tjänster för programleverans

I det här avsnittet beskrivs nätverkstjänster i Azure som hjälper dig att leverera program – Content Delivery Network, Azure Front Door Service, Traffic Manager, Load Balancer och Application Gateway.

Azure Front Door

Med Azure Front Door kan du definiera, hantera och övervaka den globala routningen för din webbtrafik genom att optimera för bästa prestanda och omedelbar global redundans för hög tillgänglighet. Med Front Door kan du transformera dina globala (för flera regioner) konsument- och företagsprogram till robusta, högpresterande och anpassade moderna program, API:er och innehåll som når en global publik med Azure.

Diagram över Azure Front Door-tjänsten med brandväggen för webbprogram.

Traffic Manager

Azure Traffic Manager. är en DNS-baserad trafiklastbalanserare som gör att du kan distribuera trafik optimalt till tjänster i globala Azure-regioner, samtidigt som du ger hög tillgänglighet och svarstider. Traffic Manager tillhandahåller en rad olika trafikroutningsmetoder för att distribuera trafik, till exempel prioritet, viktad, prestanda, geografisk, flervärdes- eller undernät.

Följande diagram visar slutpunktsprioritetsbaserad routning med Traffic Manager:

Trafikdirigeringsmetod för Azure Traffic Manager

Mer information om Traffic Manager finns i Vad är Azure Traffic Manager?

Load Balancer

Azure Load Balancer ger hög prestanda och låg latens Layer 4-belastningsutjämning för alla UDP- och TCP-protokoll. Den hanterar inkommande och utgående anslutningar. Du kan konfigurera offentliga och interna belastningsutjämningsslutpunkter. Du kan definiera regler för att mappa inkommande anslutningar till mål för serverdelspooler med hjälp av alternativ för TCP- och HTTP-hälsoavsökning för att hantera tjänsttillgänglighet.

Azure Load Balancer är tillgängligt i SKU:er för Standard, Regional och Gateway.

Följande bild visar ett Internetuppkopplad flernivåprogram som använder både externa och interna lastbalanserare:

Exempel på Azure Load Balancer

Application Gateway

Azure Application Gateway är en lastbalanserare för webbtrafik som gör det möjligt för dig att hantera trafik till dina webbappar. Det är en ADC (Application Delivery Controller) som en tjänst som erbjuder olika lager 7-belastningsutjämningsfunktioner för dina program.

Följande diagram visar url-sökvägsbaserad routning med Application Gateway.

Exempel på Application Gateway

Content Delivery Network

Azure Content Delivery Network (CDN). erbjuder utvecklare en global lösning för att snabbt leverera innehåll med hög bandbredd till användare genom att cachelagra deras innehåll på strategiskt placerade fysiska noder över hela världen.

Azure CDN

Nätverksövervakningstjänster

I det här avsnittet beskrivs nätverkstjänster i Azure som hjälper dig att övervaka dina nätverksresurser – Azure Network Watcher, Azure Monitor Network Insights, Azure Monitor och ExpressRoute Monitor.

Azure Network Watcher

I Azure Network Watcher finns verktyg för att övervaka, diagnostisera, visa mått samt aktivera och inaktivera loggar för resurser i ett virtuellt Azure-nätverk. Mer information finns i [Vad är Network Watcher?

Azure Monitor

Azure Monitor maximerar tillgängligheten och prestanda för dina program genom att tillhandahålla en heltäckande lösning som samlar in, analyserar och hanterar telemetri från molnet och lokala miljöer. Det hjälper dig att förstå hur dina program fungerar och identifierar proaktivt problem som påverkar dem och de resurser som de är beroende av. Mer information finns i [Översikt över Azure Monitor

ExpressRoute-övervakare

Mer information om hur du visar ExpressRoute-kretsmått, resursloggar och aviseringar finns i ExpressRoute-övervakning, mått och aviseringar.

Nätverksinsikter

Azure Monitor för nätverk (Network Insights). ger en omfattande vy över hälsa och mått för alla distribuerade nätverksresurser, utan att det krävs någon konfiguration.

Nästa steg