Tillförlitlighet och nätverksanslutning
Nätverksanslutningen innehåller tre Azure-modeller för privat nätverksanslutning:
- VNet-inmatning
- VNet-tjänstslutpunkter
- Private Link
VNet-inmatning gäller för tjänster som distribueras specifikt åt dig, till exempel:
- Azure Kubernetes Service noder (AKS)
- SQL-hanterad instans
- Virtual Machines
Dessa resurser ansluter direkt till ditt virtuella nätverk.
Virtual Network tjänstslutpunkter (VNet) ger säker och direkt anslutning till Azure-tjänster. De här tjänstslutpunkterna använder en optimerad väg över Azure-nätverket. Med tjänstslutpunkter kan privata IP-adresser i det virtuella nätverket få åtkomst till slutpunkten för en Azure-tjänst utan att det behövs någon offentlig IP-adress i det virtuella nätverket.
Private Link ger dedikerad åtkomst med privata IP-adresser till Azure PaaS-instanser eller anpassade tjänster bakom en Azure Load Balancer Standard.
Designöverväganden
Nätverksanslutningen omfattar följande designöverväganden som rör en tillförlitlig arbetsbelastning:
Använd Private Link, där det är tillgängligt, för delade Azure PaaS-tjänster. Private Link är allmänt tillgängligt för flera tjänster och är i offentlig förhandsversion för många.
Få åtkomst till Azure PaaS-tjänster lokalt via privat ExpressRoute-peering .
Använd antingen virtuell nätverksinmatning för dedikerade Azure-tjänster eller Azure Private Link för tillgängliga delade Azure-tjänster. Om du vill komma åt Azure PaaS-tjänster lokalt när inmatning av virtuella nätverk eller Private Link inte är tillgängligt använder du ExpressRoute med Microsoft-peering. Den här metoden undviker överföring via det offentliga Internet.
Använd tjänstslutpunkter för virtuellt nätverk för att skydda åtkomsten till Azure PaaS-tjänster inifrån ditt virtuella nätverk. Använd tjänstslutpunkter för virtuella nätverk endast när Private Link inte är tillgängligt och det inte finns några problem med obehörig förflyttning av data.
Tjänstslutpunkter tillåter inte att en PaaS-tjänst nås från lokala nätverk. Privata slutpunkter gör det.
Om du vill åtgärda problem med obehörig förflyttning av data med tjänstslutpunkter använder du NVA-filtrering (network-virtual appliance). Du kan också använda tjänstslutpunktsprinciper för virtuella nätverk för Azure Storage.
Följande interna nätverkssäkerhetstjänster är fullständigt hanterade tjänster. Kunderna debiteras inte de drifts- och hanteringskostnader som är kopplade till infrastrukturdistributioner, vilket kan bli komplext i stor skala:
- Azure Firewall
- Application Gateway
- Azure Front Door
PaaS-tjänster används vanligtvis via offentliga slutpunkter. Azure-plattformen tillhandahåller funktioner för att skydda dessa slutpunkter eller göra dem helt privata.
Du kan också använda virtuella nätverksinstallationer från tredje part (NVA) om kunden föredrar dem i situationer där interna tjänster inte uppfyller specifika krav.
Checklista
Har du konfigurerat nätverksanslutning med tillförlitlighet i åtanke?
- Implementera inte tvingad tunneltrafik för att aktivera kommunikation från Azure till Azure-resurser.
- Om du inte använder NVA-filtrering (Network Virtual Appliance) ska du inte använda tjänstslutpunkter för virtuella nätverk när det finns problem med obehörig förflyttning av data.
- Aktivera inte tjänstslutpunkter för virtuella nätverk som standard i alla undernät.