你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

网络拓扑和连接

网络拓扑和连接设计领域对于为云网络设计奠定基础至关重要。

设计领域回顾

涉及的角色或功能：此设计领域可能需要一个或多个云平台和云卓越中心功能的支持来制定和实现决策。

范围：网络设计的目的是使云网络设计与整体云采用计划保持一致。 如果云采用计划包括混合或多云依赖项，或者出于其他原因需要连接，则网络设计还应包含这些连接选项和预期的流量模式。

超出范围：此设计领域为网络建立了基础。 它不会解决与合规性相关的问题，例如高级网络安全或自动强制护栏。 查看安全和治理合规性设计领域时，可获得该指南。 推迟安全和治理的讨论，可以让云平台团队在扩大受众范围以囊括更复杂的主题之前先解决初始网络要求。

设计领域概述

网络拓扑和连接是组织规划其登陆区域设计的基础。 网络是登陆区域内几乎所有内容的核心。 它支持与其他 Azure 服务、外部用户和本地基础结构的连接。 网络拓扑和连接属于 Azure 登陆区域设计领域的环境组。 此分组基于它们在核心设计和实现决策中的重要性。

在概念 Azure 登陆区域体系结构中，有两个托管工作负载的main管理组：Corp 和 Online。 这些管理组在组织和治理 Azure 订阅方面具有不同的用途。 各个 Azure 登陆区域管理组之间的网络关系取决于组织的特定要求和网络体系结构。 接下来的几节将讨论 Corp、 Online 和 连接 管理组与 Azure 登陆区域加速器提供的内容之间的网络关系。

连接、公司和联机管理组的用途是什么？

• 连接管理组：此管理组包含用于连接的专用订阅，通常是大多数组织的单个订阅。 这些订阅托管平台所需的 Azure 网络资源，例如 Azure 虚拟 WAN、虚拟网络网关、Azure 防火墙和 Azure DNS 专用区域。 它也是使用 ExpressRoute 等服务在云和本地环境之间建立混合连接的地方。
• 公司管理组：公司登陆区域的专用管理组。 此组旨在包含托管需要传统 IP 路由连接或通过连接订阅中的中心与企业网络建立混合连接的工作负荷的订阅，因此这些订阅构成了同一路由域的一部分。 工作负载（如内部系统）不会直接向 Internet 公开，但可以通过反向代理等方式（例如应用程序网关）公开。
• 联机管理组：联机登陆区域的专用管理组。 此组旨在包含用于面向公众的资源（如网站、电子商务应用程序和面向客户的服务）的订阅。 例如，组织可以使用联机管理组将面向公众的资源与 Azure 环境的其余部分隔离开来，减少攻击面，并确保面向公众的资源安全且可供客户使用。

为何要创建 Corp 和 Online 管理组来分离工作负载？

概念 Azure 登陆区域体系结构中 Corp 和 Online 管理组在网络注意事项方面的区别在于其预期用途和主要用途。

Corp 管理组用于管理和保护内部资源与服务，例如业务线应用程序、数据库和用户管理。 Corp 管理组的网络注意事项侧重于在内部资源之间提供安全高效的连接，同时强制实施严格的安全策略以防止未经授权的访问。

概念 Azure 登陆区域体系结构中的联机管理组可以视为一个隔离环境，用于管理可从 Internet 访问的面向公众的资源和服务。 通过使用联机管理组来管理面向公众的资源，Azure 登陆区域体系结构提供了一种将这些资源与内部资源隔离的方法，从而降低未经授权的访问风险，并最大程度地减少攻击面。

在概念性 Azure 登陆区域体系结构中，联机管理组中的虚拟网络可以选择性地与公司管理组中的虚拟网络对等互连，通过中心直接或间接地通过Azure 防火墙或 NVA 关联路由要求，从而允许面向公众的资源以安全和受控的方式与内部资源通信。 此拓扑可确保面向公众的资源与内部资源之间的网络流量安全且受限，同时仍允许资源根据需要进行通信。

提示

了解和查看作为 Azure 登陆区域一部分的每个管理组上分配和继承的 Azure 策略也很重要。 随着这些帮助的形成，保护和治理这些管理组中的订阅中部署的工作负载。 可 在此处找到 Azure 登陆区域的策略分配。