Dela via


Översikt över Azures nätverkstjänster

Nätverkstjänsterna i Azure tillhandahåller olika nätverksfunktioner som kan användas tillsammans eller separat. Välj vart och ett av följande nätverksscenarier för att lära dig mer om dem:

Grund för nätverk

I det här avsnittet beskrivs tjänster som tillhandahåller byggstenarna för att utforma och utforma en nätverksmiljö i Azure – Virtuellt nätverk (VNet), Private Link, Azure DNS, Azure Bastion, Route Server, NAT Gateway och Traffic Manager.

Virtuellt nätverk

Azure Virtual Network (VNet) är den grundläggande byggstenen för ditt privata nätverk i Azure. Du kan använda virtuella nätverk för att:

  • Kommunicera mellan Azure-resurser: Du kan distribuera virtuella datorer och flera andra typer av Azure-resurser till ett virtuellt nätverk, till exempel Azure App Service-miljön s, Azure Kubernetes Service (AKS) och Azure Virtual Machine Scale Sets. En fullständig lista över Azure-resurser som du kan distribuera till ett virtuellt nätverk finns i Tjänstintegration för virtuella nätverk.
  • Kommunicera mellan varandra: Du kan ansluta virtuella nätverk till varandra, vilket gör att resurser i antingen virtuella nätverk kan kommunicera med varandra med hjälp av peering för virtuella nätverk eller Azure Virtual Network Manager. De virtuella nätverken du ansluter kan finnas i samma, eller olika, Azure-regioner. Mer information finns i Peering för virtuella nätverk och Azure Virtual Network Manager.
  • Kommunicera till Internet: Alla resurser i ett virtuellt nätverk kan som standard kommunicera utgående till Internet. Du kan kommunicera inkommande trafik till en resurs genom att tilldela en offentlig IP-adress eller en offentlig lastbalanserare. Du kan också använda offentliga IP-adresser eller offentlig lastbalanserare för att hantera dina utgående anslutningar.
  • Kommunicera med lokala nätverk: Du kan ansluta dina lokala datorer och nätverk till ett virtuellt nätverk med hjälp av VPN Gateway eller ExpressRoute.
  • Kryptera trafik mellan resurser: Du kan använda kryptering i virtuellt nätverk för att kryptera trafik mellan resurser i ett virtuellt nätverk.

Nätverkssäkerhetsgrupper

Du kan filtrera nätverkstrafik till och från Azure-resurser i ett virtuellt nätverk i Azure med en nätverkssäkerhetsgrupp. Mer information finns i Nätverkssäkerhetsgrupper.

Tjänstslutpunkter

Tjänstslutpunkter för virtuellt nätverk (VNet) utökar det privata adressutrymmet för det virtuella nätverket och identiteten för ditt virtuella nätverk till Azure-tjänsterna via en direktanslutning. Med slutpunkter kan du skydda dina kritiska Azure-tjänstresurser till endast dina virtuella nätverk. Trafik från ditt virtuella nätverk till Azure-tjänsten finns alltid kvar i Microsoft Azure-stamnätverket.

Diagram över tjänstslutpunkter för virtuella nätverk.

Med Azure Private Link kan du komma åt Azure PaaS Services (till exempel Azure Storage och SQL Database) och Azure-värdbaserade kundägda/partnertjänster via en privat slutpunkt i ditt virtuella nätverk. Trafik mellan ditt virtuella nätverk och tjänsten färdas via Microsofts stamnätverk. Det är inte längre nödvändigt att exponera tjänsten i det offentliga Internet. Du kan skapa en egen privat länktjänst i ditt virtuella nätverk och leverera den till kunderna.

Skärmbild av översikt över privat slutpunkt.

Azure DNS

Azure DNS tillhandahåller DNS-värdtjänster och -matchning med hjälp av Microsoft Azure-infrastrukturen. Azure DNS består av tre tjänster:

  • Azure Public DNS är en värdtjänst för DNS-domäner. Genom att använda Azure som värd för dina domäner kan du hantera dina DNS-poster med hjälp av samma autentiseringsuppgifter, API:er, verktyg och fakturering som för dina andra Azure-tjänster.
  • Azure Privat DNS är en DNS-tjänst för dina virtuella nätverk. Azure Privat DNS hanterar och löser domännamn i det virtuella nätverket utan att behöva konfigurera en anpassad DNS-lösning.
  • Azure DNS Private Resolver är en tjänst som gör att du kan köra frågor mot privata Azure DNS-zoner från en lokal miljö och vice versa utan att distribuera VM-baserade DNS-servrar.

Med Hjälp av Azure DNS kan du vara värd för och lösa offentliga domäner, hantera DNS-matchning i dina virtuella nätverk och aktivera namnmatchning mellan Azure och dina lokala resurser.

Azure Bastion

Azure Bastion är en tjänst som du kan distribuera i ett virtuellt nätverk så att du kan ansluta till en virtuell dator med hjälp av webbläsaren och Azure Portal. Du kan också ansluta med den interna SSH- eller RDP-klienten som redan är installerad på den lokala datorn. Azure Bastion-tjänsten är en helt plattformshanterad PaaS-tjänst som du distribuerar i ditt virtuella nätverk. Den ger säkra och smidiga RDP/SSH-anslutningar till dina virtuella datorer direkt från Azure-portalen via SSL. När du ansluter via Azure Bastion behöver dina virtuella datorer inte någon offentlig IP-adress, agent eller särskild klientprogramvara. Det finns olika SKU/nivåer tillgängliga för Azure Bastion. Den nivå du väljer påverkar de funktioner som är tillgängliga. Mer information finns i Om Konfigurationsinställningar för Bastion.

Diagram som visar Azure Bastion-arkitektur.

Azure Route Server

Azure Route Server förenklar dynamisk routning mellan din virtuella nätverksinstallation (NVA) och ditt virtuella nätverk. Det gör att du kan utbyta routningsinformation direkt via BGP-routningsprotokollet (Border Gateway Protocol) mellan alla NVA som stöder BGP-routningsprotokollet och Azure Software Defined Network (SDN) i Azure Virtual Network (VNet) utan att behöva konfigurera eller underhålla routningstabeller manuellt.

Diagram som visar Azure Route Server som konfigurerats i ett virtuellt nätverk.

NAT Gateway

NAT Gateway förenklar utgående Internetanslutning för virtuella nätverk. När du konfigurerar i ett undernät använder alla utgående anslutningar dina angivna statiska offentliga IP-adresser. Utgående anslutning är möjlig utan lastbalanserare eller offentliga IP-adresser som är direkt kopplade till virtuella datorer. Mer information finns i Vad är Azure NAT-gateway?

Diagram över NAT-gateway för virtuellt nätverk.

Traffic Manager

Azure Traffic Manager är en DNS-baserad trafiklastbalanserare som gör att du kan distribuera trafik optimalt till tjänster i globala Azure-regioner, samtidigt som du ger hög tillgänglighet och svarstider. Traffic Manager tillhandahåller en rad olika trafikroutningsmetoder för att distribuera trafik, till exempel prioritet, viktad, prestanda, geografisk, flervärdes- eller undernät.

Följande diagram visar slutpunktsprioritetsbaserad routning med Traffic Manager:

Diagram över trafikdirigeringsmetoden Prioritet i Azure Traffic Manager.

Mer information om Traffic Manager finns i Vad är Azure Traffic Manager?.

Belastningsutjämning och innehållsleverans

I det här avsnittet beskrivs nätverkstjänster i Azure som hjälper dig att leverera program och arbetsbelastningar – Load Balancer, Application Gateway och Azure Front Door Service.

Load Balancer

Azure Load Balancer ger hög prestanda och låg latens Layer 4-belastningsutjämning för alla UDP- och TCP-protokoll. Den hanterar inkommande och utgående anslutningar. Du kan konfigurera offentliga och interna belastningsutjämningsslutpunkter. Du kan definiera regler för att mappa inkommande anslutningar till mål för serverdelspooler med hjälp av alternativ för TCP- och HTTP-hälsoavsökning för att hantera tjänsttillgänglighet.

Azure Load Balancer är tillgängligt i SKU:er för Standard, Regional och Gateway.

Följande bild visar ett Internetuppkopplad flernivåprogram som använder både externa och interna lastbalanserare:

Skärmbild av Azure Load Balancer-exempel.

Application Gateway

Azure Application Gateway är en lastbalanserare för webbtrafik som gör det möjligt för dig att hantera trafik till dina webbappar. Det är en ADC (Application Delivery Controller) som en tjänst som erbjuder olika lager 7-belastningsutjämningsfunktioner för dina program.

Följande diagram visar url-sökvägsbaserad routning med Application Gateway.

Bild av Application Gateway-exempel.

Azure Front Door

Med Azure Front Door kan du definiera, hantera och övervaka den globala routningen för din webbtrafik genom att optimera för bästa prestanda och omedelbar global redundans för hög tillgänglighet. Med Front Door kan du transformera dina globala (för flera regioner) konsument- och företagsprogram till robusta, högpresterande och anpassade moderna program, API:er och innehåll som når en global publik med Azure.

Diagram över Azure Front Door-tjänsten med brandväggen för webbprogram.

Hybridanslutning

I det här avsnittet beskrivs nätverksanslutningstjänster som ger en säker kommunikation mellan ditt lokala nätverk och Azure – VPN Gateway, ExpressRoute, Virtual WAN och Peering Service.

VPN Gateway

VPN Gateway hjälper dig att skapa krypterade anslutningar mellan platser till ditt virtuella nätverk från lokala platser eller skapa krypterade anslutningar mellan virtuella nätverk. Det finns olika konfigurationer tillgängliga för VPN Gateway-anslutningar. Några av de viktigaste funktionerna är:

  • Plats-till-plats-anslutning via VPN
  • Punkt-till-plats-VPN-anslutning
  • VNet-till-VNet VPN-anslutning

Följande diagram visar flera VPN-anslutningar från plats till plats till samma virtuella nätverk. Mer information om hur du visar fler anslutningsdiagram finns i VPN Gateway – design.

Diagram som visar flera Azure VPN Gateway-anslutningar från plats till plats.

ExpressRoute

Med ExpressRoute kan du utöka dina lokala nätverk till Microsoft-molnet via en privat anslutning som underlättas av en anslutningsleverantör. Den här anslutningen är privat. Trafiken går inte via Internet. Med ExpressRoute kan du upprätta anslutningar till Microsofts molntjänster som Microsoft Azure, Microsoft 365 och Dynamics 365.

Skärmbild av Azure ExpressRoute.

Virtuellt WAN

Azure Virtual WAN är en nätverkstjänst som sammanför många funktioner för nätverk, säkerhet och routning för att tillhandahålla ett enda operativt gränssnitt. Anslutning till virtuella Azure-nätverk upprättas med hjälp av virtuella nätverksanslutningar. Några av de viktigaste funktionerna är:

  • Grenanslutning (via anslutningsautomatisering från Virtual WAN-partnerenheter som SD-WAN eller VPN CPE)
  • Plats-till-plats-anslutning via VPN
  • Vpn-anslutning för fjärranvändare (punkt-till-plats)
  • Privat anslutning (ExpressRoute)
  • Anslutning mellan moln (transitiv anslutning för virtuella nätverk)
  • Anslutning mellan VPN ExpressRoute-instanser
  • Routning, Azure Firewall och kryptering för privat anslutning

Virtual WAN-diagram.

Peering Service

Azure Peering Service förbättrar kundanslutningen till Microsofts molntjänster som Microsoft 365, Dynamics 365, SaaS-tjänster (programvara som en tjänst), Azure eller alla Microsoft-tjänster som är tillgängliga via det offentliga Internet.

Nätverkssäkerhet

I det här avsnittet beskrivs nätverkstjänster i Azure som skyddar och övervakar dina nätverksresurser – Firewall Manager, Firewall, Web Application Firewall och DDoS Protection.

Firewall Manager

Azure Firewall Manager är en säkerhetshanteringstjänst som tillhandahåller central säkerhetsprincip och routningshantering för molnbaserade säkerhetsperimeter. Brandväggshanteraren kan tillhandahålla säkerhetshantering för två olika typer av nätverksarkitektur: säker virtuell hubb och virtuellt hubbnätverk. Med Azure Firewall Manager kan du distribuera flera Azure Firewall-instanser i Azure-regioner och prenumerationer, implementera DDoS-skyddsplaner, hantera brandväggsprinciper för webbprogram och integrera med partnersäkerhet som en tjänst för förbättrad säkerhet.

Diagram över flera Azure-brandväggar i ett säkert virtuellt nav och ett virtuellt navnätverk.

Azure Firewall

Azure Firewall är en hanterad, molnbaserad nätverkssäkerhetstjänst som skyddar dina Azure Virtual Network-resurser. Med Azure Firewall kan du centralt skapa, tillämpa och logga principer för program- och nätverksanslutningar mellan prenumerationer och virtuella nätverk. Azure Firewall använder en statisk offentlig IP-adress för din virtuella nätverksresurser som tillåter att externa brandväggar identifierar trafik som kommer från ditt virtuella nätverk.

Diagram över brandväggsöversikt.

Brandvägg för webbaserade program

Azure Web Application Firewall (WAF) skyddar dina webbprogram mot vanliga webbexploateringar och sårbarheter som SQL-inmatning och skript mellan webbplatser. Azure WAF tillhandahåller out of box-skydd mot OWASP:s 10 främsta sårbarheter via hanterade regler. Dessutom kan kunder också konfigurera anpassade regler, som är kundhanterade regler för att ge extra skydd baserat på källans IP-intervall och begärandeattribut som rubriker, cookies, formulärdatafält eller frågesträngsparametrar.

Kunder kan välja att distribuera Azure WAF med Application Gateway, vilket ger regionalt skydd för entiteter i offentligt och privat adressutrymme. Kunder kan också välja att distribuera Azure WAF med Front Door som ger skydd vid nätverksgränsen till offentliga slutpunkter.

Skärmbild av brandväggen för webbprogram.

DDoS Protection

Azure DDoS Protection ger motåtgärder mot de mest avancerade DDoS-hoten. Tjänsten tillhandahåller förbättrade DDoS-minskningsfunktioner för ditt program och resurser som distribueras i dina virtuella nätverk. Dessutom har kunder som använder Azure DDoS Protection åtkomst till DDoS Rapid Response-stöd för att engagera DDoS-experter under en aktiv attack.

Azure DDoS Protection består av två nivåer:

  • DDoS Network Protection, kombinerat med metodtips för programdesign, ger förbättrade DDoS-åtgärdsfunktioner som skyddar mot DDoS-attacker. Den finjusteras automatiskt för att skydda dina specifika Azure-resurser i ett virtuellt nätverk.
  • DDoS IP Protection är en betala per skyddad IP-modell. DDoS IP Protection innehåller samma grundläggande tekniska funktioner som DDoS Network Protection, men skiljer sig åt i följande mervärdestjänster: DDoS snabbsvarssupport, kostnadsskydd och rabatter på WAF.

Diagram över referensarkitekturen för ett DDoS-skyddat PaaS-webbprogram.

Säkerhet för containernätverk

Säkerhet för containernätverk är en del av ACNS (Advanced Container Networking Services). Det ger förbättrad kontroll över AKS-nätverkssäkerhet. Med funktioner som fullständigt kvalificerade domännamnsfiltrering (FQDN) kan kluster som använder Azure CNI Powered by Cilium implementera FQDN-baserade nätverksprinciper för att uppnå en Nolltillit säkerhetsarkitektur i AKS.

Nätverkshantering och övervakning

I det här avsnittet beskrivs nätverkshanterings- och övervakningstjänster i Azure – Network Watcher, Azure Monitor och Azure Virtual Network Manager.

Azure Network Watcher

I Azure Network Watcher finns verktyg för att övervaka, diagnostisera, visa mått samt aktivera och inaktivera loggar för resurser i ett virtuellt Azure-nätverk.

Diagram som visar Funktionerna i Azure Network Watcher.

Azure Monitor

Azure Monitor maximerar tillgängligheten och prestanda för dina program genom att tillhandahålla en heltäckande lösning som samlar in, analyserar och hanterar telemetri från molnet och lokala miljöer. Det hjälper dig att förstå hur dina program fungerar och identifierar proaktivt problem som påverkar dem och de resurser som de är beroende av.

Azure Virtual Network Manager

Azure Virtual Network Manager är en hanteringstjänst som gör att du kan gruppera, konfigurera, distribuera och hantera virtuella nätverk globalt mellan prenumerationer. Med Virtual Network Manager kan du definiera nätverksgrupper för att identifiera och segmentera dina virtuella nätverk logiskt. Sedan kan du bestämma vilka anslutnings- och säkerhetskonfigurationer du vill använda och tillämpa dem på alla valda virtuella nätverk i nätverksgrupper samtidigt.

Diagram över resurser som distribuerats för en nättopologi för virtuella nätverk med Azure Virtual Network Manager.

Observerbarhet för containernätverk

Observerbarhet för containernätverk är en del av ACNS (Advanced Container Networking Services). ACNS använder Hubbles kontrollplan för att ge omfattande insyn i AKS-nätverk och prestanda. Det ger detaljerade insikter i realtid på nodnivå, poddnivå, TCP och DNS-mått, vilket säkerställer noggrann övervakning av nätverksinfrastrukturen.

Diagram över containernätverksobservabilitet.

Nästa steg