你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

网络拓扑和连接

网络拓扑和连接设计区域对于建立云网络设计的基础至关重要。

设计领域回顾

涉及的角色或功能：此设计领域可能需要一项或多项云平台和云卓越中心功能的支持来制定和实现决策。

范围：网络设计的目的是使云网络设计与整体云采用计划保持一致。 如果云采用计划包括混合或多云依赖项，或者出于其他原因需要连接，则网络设计还应包含这些连接选项和预期的流量模式。

超出范围：此设计领域为网络建立了基础。 它不会解决与合规性相关的问题，例如高级网络安全或自动强制护栏。 查看安全和治理合规性设计领域时，可获得该指南。 推迟安全和治理的讨论，可以让云平台团队在扩大受众范围以囊括更复杂的主题之前先解决初始网络要求。

设计领域概述

网络拓扑和连接是组织规划其登陆区域设计的基础。 网络是登陆区域内几乎所有内容的核心。 它支持与其他 Azure 服务、外部用户和本地基础结构的连接。 网络拓扑和连接属于 Azure 登陆区域设计领域的环境组。 此分组基于它们在核心设计和实现决策中的重要性。

在 概念 Azure 登陆区域体系结构中，有两个主要管理组托管工作负荷：Corp 和 Online。 这些管理组在组织和治理 Azure 订阅方面具有不同的用途。 各种 Azure 登陆区域管理组之间的网络关系取决于组织的特定要求和网络体系结构。 接下来的几个部分讨论了 Corp、Online 与连接管理组之间的网络关系，以及 Azure 登陆区域加速器提供的内容。

连接、公司和联机管理组的用途是什么？

• 连接管理组：此管理组包含用于连接的专用订阅，通常是大多数组织的单个订阅。 这些订阅托管平台所需的 Azure 网络资源，例如 Azure 虚拟 WAN、虚拟网络 网关、Azure 防火墙和 Azure DNS 专用区域。 此外，还可以使用 ExpressRoute 等服务在云和本地环境之间建立混合连接。
• 公司管理组：企业登陆区域的专用管理组。 此组旨在包含托管工作负载的订阅，这些工作负载需要通过连接订阅中的中心与企业网络建立传统的 IP 路由连接或混合连接，因此构成了同一路由域的一部分。 内部系统等工作负载不会直接向 Internet 公开，但可能通过反向代理等公开，例如应用程序网关。
• 联机管理组：联机登陆区域的专用管理组。 此组旨在包含用于面向公众的资源的订阅，例如网站、电子商务应用程序和面向客户的服务。 例如，组织可以使用联机管理组将面向公众的资源与 Azure 环境的其余部分隔离，减少攻击面并确保面向公众的资源安全且可供客户使用。

为什么创建 Corp 和 Online 管理组来分隔工作负荷？

概念 Azure 登陆区域体系结构中 Corp 和 Online 管理组之间的网络注意事项的区别在于其预期用途和主要用途。

公司管理组用于管理和保护内部资源和服务，例如业务线应用程序、数据库和用户管理。 公司管理组的网络注意事项侧重于在内部资源之间提供安全高效的连接，同时强制实施严格的安全策略，以防止未经授权的访问。

概念 Azure 登陆区域体系结构中的联机管理组可被视为用于管理可从 Internet 访问的面向公众的资源和服务的独立环境。 通过使用联机管理组来管理面向公众的资源，Azure 登陆区域体系结构提供了一种方法来隔离这些资源与内部资源，从而降低未经授权的访问风险，并最大限度地减少攻击面。

在概念 Azure 登陆区域体系结构中，联机管理组中的虚拟网络可以选择与 Corp 管理组中的虚拟网络对等互连，通过中心直接或间接地通过Azure 防火墙或 NVA 关联路由要求，允许面向公众的资源以安全且受控的方式与内部资源通信。 此拓扑可确保面向公众的资源与内部资源之间的网络流量是安全的和受限的，同时仍允许资源根据需要进行通信。

提示

此外，请务必了解和查看在 Azure 登陆区域的每个管理组上分配和继承的 Azure 策略。 随着这些帮助的形成，保护和控制在这些管理组中的订阅中部署的工作负荷。 可在此处找到 Azure 登陆区域的策略分配。