Dela via


Tillförlitlighet och nätverksanslutning

Nätverksanslutningen innehåller tre Azure-modeller för privat nätverksanslutning:

VNet-inmatning gäller för tjänster som distribueras specifikt åt dig, till exempel:

  • Azure Kubernetes Service noder (AKS)
  • SQL-hanterad instans
  • Virtual Machines

Dessa resurser ansluter direkt till ditt virtuella nätverk.

Virtual Network tjänstslutpunkter (VNet) ger säker och direkt anslutning till Azure-tjänster. De här tjänstslutpunkterna använder en optimerad väg över Azure-nätverket. Med tjänstslutpunkter kan privata IP-adresser i det virtuella nätverket få åtkomst till slutpunkten för en Azure-tjänst utan att det behövs någon offentlig IP-adress i det virtuella nätverket.

Private Link ger dedikerad åtkomst med privata IP-adresser till Azure PaaS-instanser eller anpassade tjänster bakom en Azure Load Balancer Standard.

Designöverväganden

Nätverksanslutningen omfattar följande designöverväganden som rör en tillförlitlig arbetsbelastning:

  • Använd Private Link, där det är tillgängligt, för delade Azure PaaS-tjänster. Private Link är allmänt tillgängligt för flera tjänster och är i offentlig förhandsversion för många.

  • Få åtkomst till Azure PaaS-tjänster lokalt via privat ExpressRoute-peering .

  • Använd antingen virtuell nätverksinmatning för dedikerade Azure-tjänster eller Azure Private Link för tillgängliga delade Azure-tjänster. Om du vill komma åt Azure PaaS-tjänster lokalt när inmatning av virtuella nätverk eller Private Link inte är tillgängligt använder du ExpressRoute med Microsoft-peering. Den här metoden undviker överföring via det offentliga Internet.

  • Använd tjänstslutpunkter för virtuellt nätverk för att skydda åtkomsten till Azure PaaS-tjänster inifrån ditt virtuella nätverk. Använd tjänstslutpunkter för virtuella nätverk endast när Private Link inte är tillgängligt och det inte finns några problem med obehörig förflyttning av data.

  • Tjänstslutpunkter tillåter inte att en PaaS-tjänst nås från lokala nätverk. Privata slutpunkter gör det.

  • Om du vill åtgärda problem med obehörig förflyttning av data med tjänstslutpunkter använder du NVA-filtrering (network-virtual appliance). Du kan också använda tjänstslutpunktsprinciper för virtuella nätverk för Azure Storage.

  • Följande interna nätverkssäkerhetstjänster är fullständigt hanterade tjänster. Kunderna debiteras inte de drifts- och hanteringskostnader som är kopplade till infrastrukturdistributioner, vilket kan bli komplext i stor skala:

    • Azure Firewall
    • Application Gateway
    • Azure Front Door
  • PaaS-tjänster används vanligtvis via offentliga slutpunkter. Azure-plattformen tillhandahåller funktioner för att skydda dessa slutpunkter eller göra dem helt privata.

  • Du kan också använda virtuella nätverksinstallationer från tredje part (NVA) om kunden föredrar dem i situationer där interna tjänster inte uppfyller specifika krav.

Checklista

Har du konfigurerat nätverksanslutning med tillförlitlighet i åtanke?

  • Implementera inte tvingad tunneltrafik för att aktivera kommunikation från Azure till Azure-resurser.
  • Om du inte använder NVA-filtrering (Network Virtual Appliance) ska du inte använda tjänstslutpunkter för virtuella nätverk när det finns problem med obehörig förflyttning av data.
  • Aktivera inte tjänstslutpunkter för virtuella nätverk som standard i alla undernät.

Nästa steg