Ağ topolojisi ve bağlantı
Ağ topolojisi ve bağlantı tasarımı alanı, bulut ağı tasarımınız için bir temel oluşturmak için kritik öneme sahiptir.
Tasarım alanı incelemesi
Dahil olan roller veya işlevler: Bu tasarım alanı, karar almak ve uygulamak için büyük olasılıkla bir veya daha fazla bulut platformundan ve bulut mükemmellik merkezi işlevinden destek gerektirir.
Kapsam: Ağ tasarımının amacı, bulut ağı tasarımınızı genel bulut benimseme planlarıyla hizalamaktır. Bulut benimseme planlarınızda karma veya çoklu bulut bağımlılıkları varsa veya başka nedenlerle bağlantıya ihtiyacınız varsa, ağ tasarımınız bu bağlantı seçeneklerini ve beklenen trafik desenlerini de içermelidir.
Kapsam dışı: Bu tasarım alanı, ağ iletişimi için temel oluşturur. Gelişmiş ağ güvenliği veya otomatik zorlama korumaları gibi uyumlulukla ilgili sorunları çözmez. Bu kılavuz , güvenlik ve idare uyumluluğu tasarım alanlarını gözden geçirdiğinizde gelir. Güvenlik ve idare tartışmalarını ertelemek, bulut platformu ekibinin daha karmaşık konular için hedef kitlesini genişletmeden önce ilk ağ gereksinimlerini karşılamasını sağlar.
Tasarım alanına genel bakış
Ağ topolojisi ve bağlantı, giriş bölgesi tasarımını planlayan kuruluşlar için temeldir. Ağ, giriş bölgesi içindeki neredeyse her şeyin merkezidir. Diğer Azure hizmetlerine, dış kullanıcılara ve şirket içi altyapıya bağlantı sağlar. Ağ topolojisi ve bağlantı, Azure giriş bölgesi tasarım alanlarının çevre grubunda yer alır. Bu gruplandırma, temel tasarım ve uygulama kararlarındaki önemine dayanır.
Kavramsal Azure giriş bölgesi mimarisinde iş yüklerini barındıran iki ana yönetim grubu vardır: Corp ve Online. Bu yönetim grupları, Azure aboneliklerini düzenleme ve yönetme konusunda farklı amaçlara hizmet eder. Çeşitli Azure giriş bölgeleri yönetim grupları arasındaki ağ ilişkisi, kuruluşun özel gereksinimlerine ve ağ mimarisine bağlıdır. Sonraki birkaç bölümde , Azure giriş bölgesi hızlandırıcısının sağladığıyla ilgili olarak Corp, Online ve Bağlantı yönetim grupları arasındaki ağ ilişkisi ele alınıyor.
Bağlantı, Kuruluş ve Çevrimiçi Yönetim Gruplarının amacı nedir?
- Bağlantı yönetim grubu: Bu yönetim grubu, genellikle çoğu kuruluş için tek bir abonelik olan bağlantı için ayrılmış abonelikler içerir. Bu abonelikler Azure Sanal WAN, Sanal Ağ Ağ Geçitleri, Azure Güvenlik Duvarı ve Azure DNS özel bölgeleri gibi platform için gereken Azure ağ kaynaklarını barındırıyor. Ayrıca Bulut ve şirket içi ortamlar arasında ExpressRoute gibi hizmetler kullanılarak karma bağlantı kurulur.
- Şirket yönetim grubu: Kurumsal giriş bölgeleri için ayrılmış yönetim grubu. Bu grup, bağlantı aboneliğindeki hub üzerinden kurumsal ağ ile geleneksel IP yönlendirme bağlantısı veya karma bağlantı gerektiren iş yüklerini barındıran ve dolayısıyla aynı yönlendirme etki alanının bir parçasını oluşturan abonelikler içermesi amaçlanmıştır. İç sistemler gibi iş yükleri doğrudan İnternet'e sunulmaz, ancak Application Gateway'ler gibi ters proxy'ler vb. aracılığıyla kullanıma sunulur.
- Çevrimiçi yönetim grubu: Çevrimiçi giriş bölgeleri için ayrılmış yönetim grubu. Bu grubun web siteleri, e-ticaret uygulamaları ve müşteriye yönelik hizmetler gibi genel kullanıma yönelik kaynaklar için kullanılan abonelikleri içermesi amaçlanmıştır. Örneğin, kuruluşlar Genel kullanıma yönelik kaynakları Azure ortamının geri kalanından yalıtmak, saldırı yüzeyini azaltmak ve genel kullanıma yönelik kaynakların güvenli ve müşterilere açık olmasını sağlamak için Çevrimiçi yönetim grubunu kullanabilir.
İş yüklerini ayırmak için neden Corp ve Online yönetim grupları oluşturduk?
Kavramsal Azure giriş bölgesi mimarisinde Corp ve Online yönetim grupları arasındaki ağ konusunda dikkat edilmesi gerekenler arasındaki fark, amaçlanan kullanım ve birincil amaçtadır.
Corp yönetim grubu, iş kolu uygulamaları, veritabanları ve kullanıcı yönetimi gibi iç kaynakları ve hizmetleri yönetmek ve güvenliğini sağlamak için kullanılır. Şirket yönetim grubu için ağ konusunda dikkat edilmesi gereken noktalar, iç kaynaklar arasında güvenli ve verimli bağlantı sağlamaya odaklanırken, yetkisiz erişime karşı koruma sağlamak için katı güvenlik ilkeleri zorunlu kılmaya odaklanmıştır.
Kavramsal Azure giriş bölgesi mimarisindeki Çevrimiçi yönetim grubu, İnternet'ten erişilebilen genel kullanıma yönelik kaynakları ve hizmetleri yönetmek için kullanılan yalıtılmış bir ortam olarak değerlendirilebilir. Genel kullanıma yönelik kaynakları yönetmek için Çevrimiçi yönetim grubunu kullanarak Azure giriş bölgesi mimarisi, bu kaynakları iç kaynaklardan yalıtmak için bir yol sağlayarak yetkisiz erişim riskini azaltır ve saldırı yüzeyini en aza indirir.
Kavramsal Azure giriş bölgesi mimarisinde, Çevrimiçi yönetim grubundaki sanal ağ isteğe bağlı olarak, şirket yönetim grubundaki sanal ağlarla doğrudan veya dolaylı olarak hub üzerinden eşlenebilir ve bir Azure Güvenlik Duvarı veya NVA aracılığıyla ilişkili yönlendirme gereksinimleri, genel kullanıma yönelik kaynakların iç kaynaklarla güvenli ve denetimli bir şekilde iletişim kurmasına olanak tanır. Bu topoloji, genel kullanıma yönelik kaynaklarla iç kaynaklar arasındaki ağ trafiğinin güvenli ve kısıtlı olmasını sağlarken, kaynakların gerektiğinde iletişim kurmasına da izin verir.
İpucu
Azure giriş bölgesinin bir parçası olarak Yönetim Gruplarının her birinde atanan ve devralınan Azure İlkelerini anlamak ve gözden geçirmek de önemlidir. Bu yardımlar, bu Yönetim Gruplarındaki aboneliklerde dağıtılan iş yüklerini şekillendirmeye, korumaya ve yönetmeye yardımcı olur. Azure giriş bölgeleri için ilke atamaları burada bulunabilir.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin