Dela via

Azure Virtual Network Manager i Azure-landningszoner

  • Artikel

Den här artikeln beskriver hur du använder Virtual Network Manager för att implementera designprinciper för Azure-landningszoner för att hantera programmigreringar, modernisering och innovation i stor skala. Konceptarkitekturen för Azure-landningszoner rekommenderar en av två nätverkstopologier: en nätverkstopologi som baseras på Azure Virtual WAN eller en nätverkstopologi som baseras på en traditionell hub-and-spoke-arkitektur.

Du kan använda Virtual Network Manager för att expandera och implementera nätverksändringar när dina affärskrav ändras över tid, till exempel om du behöver hybridanslutning för att migrera lokala program till Azure. I många fall kan du expandera och implementera nätverksändringar utan att störa dina distribuerade resurser i Azure.

Du kan använda Virtual Network Manager för att skapa tre typer av topologier i prenumerationer för både befintliga och nya virtuella nätverk:

  • Topologi för nav och eker
  • Mesh-topologi (förhandsversion)
  • Topologi med nav och eker med direkt anslutning mellan ekrar

Diagram som visar topologier för virtuella Azure-nätverk.

Virtual Network Manager stöder Virtual WAN i privat förhandsversion.

En nav-och-eker-topologi med direktanslutning i Virtual Network Manager har ekrar som ansluter direkt till varandra. Funktionen ansluten grupp automatiskt och dubbelriktad möjliggör direkt anslutning mellan virtuella ekernätverk i samma nätverksgrupp. Två anslutna grupper kan ha samma virtuella nätverk.

Du kan använda Virtual Network Manager för att statiskt eller dynamiskt lägga till virtuella nätverk i specifika nätverksgrupper. Lägg till virtuella nätverk i specifika nätverksgrupper för att definiera och skapa önskad topologi baserat på anslutningskonfigurationen i Virtual Network Manager.

Du kan skapa flera nätverksgrupper för att isolera grupper av virtuella nätverk från direktanslutning. Varje nätverksgrupp har samma region och stöd för flera regioner för eker-till-eker-anslutning. Håll dig inom de gränser som definierats av Virtual Network Manager. Mer information finns i Vanliga frågor och svar om Virtual Network Manager.

Från ett säkerhetsperspektiv ger Virtual Network Manager ett effektivt sätt att tillämpa säkerhetsadministratörsregler som nekar eller tillåter trafikflöden centralt, oavsett de definierade reglerna i nätverkssäkerhetsgrupperna (NSG). Med den här funktionen kan nätverkssäkerhetsadministratörer framtvinga åtkomstkontroller och göra det möjligt för programägare att hantera sina egna regler på lägre nivå i NSG:er.

Du kan använda Virtual Network Manager för att gruppera virtuella nätverk. Du kan sedan tillämpa konfigurationer på grupperna i stället för på enskilda virtuella nätverk. Använd den här funktionen för att samtidigt hantera anslutningar, konfiguration och topologi, säkerhetsregler och distribution till en eller flera regioner utan att förlora detaljerad kontroll.

Du kan segmentera nätverk efter miljöer, team, platser, affärslinjer eller någon annan funktion som passar dina behov. Om du vill definiera nätverksgrupper statiskt eller dynamiskt skapar du en uppsättning villkor som styr gruppmedlemskap.

Utformningsbeaktanden

  • I en traditionell hub-and-spoke-distribution skapar och underhåller du peering-anslutningar för virtuella nätverk manuellt. Virtual Network Manager introducerar ett lager av automatisering för peering av virtuella nätverk, vilket gör stora och komplexa nätverkstopologier som mesh enklare att hantera i stor skala. Mer information finns i Översikt över nätverksgrupper.

  • Säkerhetskrav för olika affärsfunktioner avgör behovet av att skapa nätverksgrupper. En nätverksgrupp är en uppsättning virtuella nätverk som du väljer manuellt eller via villkorssatser. När du skapar en nätverksgrupp måste du ange en princip, eller så kan Virtual Network Manager skapa en princip om du uttryckligen tillåter det. Den här principen gör att Virtual Network Manager kan meddelas om ändringar. Om du vill uppdatera befintliga Azure-principinitiativ måste du distribuera ändringar till nätverksgruppen i Virtual Network Manager-resursen.

  • Om du vill utforma lämpliga nätverksgrupper bör du utvärdera vilka delar av nätverket som har gemensamma säkerhetsegenskaper. Du kan till exempel skapa nätverksgrupper för Företag och Online för att hantera deras anslutnings- och säkerhetsregler i stor skala.

  • När flera virtuella nätverk i organisationens prenumerationer delar samma säkerhetsattribut kan du använda Virtual Network Manager för att tillämpa dem effektivt. Du bör till exempel placera alla system som en affärsenhet som HR eller ekonomi använder i en separat nätverksgrupp eftersom du behöver tillämpa olika administratörsregler på dem.

  • Virtual Network Manager kan centralt tillämpa säkerhetsadministratörsregler som har högre prioritet än NSG-regler som tillämpas på undernätsnivå. (Den här funktionen är i förhandsversion.) Med den här funktionen kan nätverks- och säkerhetsteam effektivt tillämpa företagsprinciper och skapa skyddsräcken i stor skala. Det gör det också möjligt för produktteam att samtidigt behålla kontrollen över NSG:er i sina prenumerationer i landningszonen.

  • Du kan använda funktionen Säkerhetsadministratörsregler för Virtual Network Manager för att uttryckligen tillåta eller neka specifika nätverksflöden oavsett NSG-konfigurationer på undernäts- eller nätverksgränssnittsnivå. Du kan till exempel använda den här funktionen för att alltid tillåta nätverksflöden för hanteringstjänster. NSG:er som programteam kontrollerar kan inte åsidosätta dessa regler.

Designrekommendationer

  • Definiera omfånget för Virtual Network Manager. Tillämpa säkerhetsadministratörsregler som tillämpar regler på organisationsnivå i rothanteringsgruppen eller klientorganisationen. Den här strategin tillämpar hierarkiskt regler automatiskt på befintliga resurser, nya resurser och för alla associerade hanteringsgrupper.

  • Skapa en Virtual Network Manager-instans i prenumerationen Anslut ivity med en omfång för den mellanliggande rothanteringsgruppen, till exempel Contoso. Aktivera säkerhetsadministratörsfunktionen i den här instansen. Med den här konfigurationen kan du definiera säkerhetsadministratörsregler som gäller för alla virtuella nätverk och undernät i din Azure-landningszonhierarki och hjälper dig att demokratisera NSG:er för ägare och team för programlandningszoner.

  • Segmentera nätverk genom att gruppera virtuella nätverk statiskt, vilket är en manuell process eller dynamiskt, vilket är en principbaserad process.

  • Aktivera direkt anslutning mellan ekrar när valda ekrar behöver kommunicera ofta, med låg svarstid och högt dataflöde, och med varandra, och när ekrar behöver komma åt vanliga tjänster eller virtuella nätverksinstallationer (NVA) i hubben.

  • Aktivera globalt nät när alla virtuella nätverk mellan regioner behöver kommunicera med varandra.

  • Tilldela ett prioritetsvärde till varje säkerhetsadministratörsregel i dina regelsamlingar. Desto lägre värde, desto högre prioritet för regeln.

  • Använd säkerhetsadministratörsregler för att uttryckligen tillåta eller neka nätverksflöden, oavsett NSG-konfigurationer som programteamen kontrollerar. Använd säkerhetsadministratörsregler för att fullständigt delegera kontrollen över NSG:er och deras regler till programteam.

Gå vidare

Automatisera hanteringen av användardefinierade vägar (UDR)