分享方式:


Azure 網路服務概欟

Azure 中的網路服務提供各種網路功能,可一起或分開使用。 選取下列每個網路案例以深入了解案例:

網路基礎

本節說明在 Azure 中設計及建構網路環境的建置組塊的服務 - 虛擬網絡 (VNet)、Private Link、Azure DNS、Azure Bastion、Route Server、NAT Gateway 和 流量管理員。

虛擬網路

Azure 虛擬網路 (VNet) 是私人網路在 Azure 中的基本建置組塊。 VNet 的用途:

  • 在 Azure 資源之間通訊:您可以將虛擬機器和其他幾種 Azure 資源部署至虛擬網路,例如 Azure App Service 環境、Azure Kubernetes Service (AKS) 和 Azure 虛擬機器擴展集。 若要檢視可部署到虛擬網路中的 Azure 資源的完整清單,請參閱虛擬網路服務整合
  • 彼此通訊:您可以使用虛擬網路對等互連或 Azure Virtual Network Manager 將虛擬網路彼此連線,讓任一虛擬網路中的資源彼此通訊。 您連線的虛擬網路可位於相同或不同的 Azure 區域中。 如需詳細資訊,請參閱虛擬網路對等互連Azure Virtual Network Manager
  • 與網際網路通訊:虛擬網路中的所有資源預設都可以對外與網際網路通訊。 您可以透過指派公用 IP 位址或公用負載平衡器來進行對資源的輸入通訊。 您也可以使用公用 IP 位址或公用負載平衡器來管理輸出連線。
  • 與內部部署網路的通訊:您可以使用 VPN 閘道ExpressRoute 將內部部署電腦和網路連線到虛擬網路。
  • 加密資源之間的流量:您可以使用虛擬網路加密來加密虛擬網路中資源之間的流量。

網路安全性群組

透過網路安全性群組,便可篩選在 Azure 虛擬網路中進出 Azure 資源的網路流量。 如需詳細資訊,請參閱網路安全性群組

服務端點

虛擬網路 (VNet) 服務端點可透過直接連線,將您的虛擬網路私人位址空間和虛擬網路的身分識別延伸至 Azure 服務。 端點讓您能夠保護只屬於您虛擬網路中重要的 Azure 服務資源。 從您虛擬網路到 Azure 服務的流量一定會保留在 Microsoft Azure 骨幹網路上。

Azure 虛擬網路服務端點的圖表。

Azure Private Link 可讓您存取各項 Azure PaaS 服務 (例如 Azure 儲存體與 SQL Database),以及透過虛擬網路中私人端點裝載的 Azure 客戶擁有/合作夥伴服務。 虛擬網路與服務之間的流量會通過 Microsoft 骨幹網路。 您的服務不再需要向公用網際網路公開。 您可以在虛擬網路中建立自己的 Private Link 服務,並提供給客戶。

私人端點概觀的螢幕擷取畫面。

Azure DNS

Azure DNS 採用 Microsoft Azure 基礎結構來提供 DNS 裝載和解析。 Azure DNS 包含三項服務:

  • Azure 公用 DNS 是適用於 DNS 網域的主機服務。 只要將您的網域裝載於 Azure,就可以像管理其他 Azure 服務一樣,使用相同的認證、API、工具和計費方式來管理 DNS 記錄。
  • Azure 私人 DNS 是適用於虛擬網路的 DNS 服務。 Azure 私人 DNS 可管理及解析虛擬網路的網域名稱,而無需設定自訂的 DNS 解決方案。
  • Azure DNS 私人解析器是一項服務,可讓您從內部部署環境查詢 Azure DNS 私人區域 (反之亦然),而且不需要部署以 VM 為基礎的 DNS 伺服器。

您可以使用 Azure DNS 來裝載和解析公用網域、管理虛擬網路中的 DNS 解析,以及啟用 Azure 與內部部署資源之間的名稱解析。

Azure Bastion

Azure Bastion 是可以部署在虛擬網路中的服務,可讓您使用您的瀏覽器和 Azure 入口網站連線到虛擬機器。 您也可以使用本機電腦上已安裝的原生 SSH 或 RDP 用戶端進行連線。 Azure Bastion 服務是您可在虛擬網路內部署的完全平台受控 PaaS 服務。 其可讓您直接從 Azure 入口網站中,經由 TLS 安全順暢地透過 RDP/SSH 連線到虛擬機器。 透過 Azure Bastion 連線時,您的虛擬機器不需要公用 IP 位址、代理程式或特殊用戶端軟體。 Azure Bastion 有各種不同的 SKU/階層可供使用。 您選取的階層會影響可用的功能。 如需詳細資訊,請參閱關於 Bastion 組態設定

顯示 Azure Bastion 架構的圖表。

Azure 路由伺服器

Azure 路由伺服器可以簡化網路虛擬設備 (NVA) 和虛擬網路之間的動態路由。 其可讓您直接透過邊界閘道協定 (BGP) 路由通訊協定,在任何支援 BGP 路由通訊協定的 NVA 與 Azure 虛擬網路 (VNet) 中的 Azure 軟體定義網路 (SDN) 之間交換路由資訊,而不需要手動設定或維護路由表。

圖表顯示 Azure 路由伺服器在虛擬網路中進行設定。

NAT 閘道

NAT 閘道可簡化虛擬網路的輸出專用因特網連線。 在子網路上設定時,所有輸出連線都會使用您指定的靜態公用 IP 位址。 在沒有負載平衡器或直接連結至虛擬機器的公用 IP 位址的情況下,輸出連線是可行的。 如需詳細資訊,請參閱什麼是 Azure NAT 閘道?

虛擬網路 NAT 閘道的圖表。

流量管理員

Azure 流量管理員是 DNS 型流量負載平衡器,可讓您跨全球的 Azure 區域將流量最佳分散至服務,同時提供高可用性和回應性。 流量管理員提供一系列流量路由方法來散發流量,例如優先順序、加權、效能、地理位置、多重值或子網。

下圖顯示使用流量管理員的端點優先順序型路由:

Azure 流量管理員「優先順序」流量路由方法的圖表。

如需流量管理員的詳細資訊,請參閱什麼是 Azure 流量管理員?

負載平衡和內容傳遞

本章節描述在 Azure 中有助於傳遞應用程式和工作負載的網路服務 - 負載平衡器、應用程式閘道和 Azure Front Door 服務。

Load Balancer

Azure Load Balancer 針對所有 UDP 和 TCP 通訊協定提供高效能、低延遲的第 4 層負載平衡。 此工具可管理輸入和輸出連線。 您可設定公用和內部負載平衡端點。 您可設定使用 TCP 和 HTTP 健全狀況探查選項定義規則,將輸入連線對應至後端集區目的地,以管理服務可用性。

Azure Load Balancer 有標準、地區和閘道 SKU 這三種。

下圖顯示對應網際網路的多層應用程式,同時使用了外部和內部的負載平衡器:

Azure Load Balancer 範例的螢幕擷取畫面。

應用程式閘道

Azure 應用程式閘道是網路流量負載平衡器,可讓您管理 Web 應用程式的流量。 這是服務形式的應用程式傳遞控制器 (ADC),為應用程式提供各種第 7 層負載平衡功能。

下圖顯示以 URL 路徑為基礎的路由搭配應用程式閘道。

應用程式閘道範例的映像。

Azure Front Door

Azure Front Door 可讓您針對最佳效能和立即全域容錯移轉以獲得高可用性最佳化,定義、管理及監視網路流量的全域路由。 使用 Front Door,您可以將您的全域 (多區) 取用者與企業應用程式,轉換成強固高效能的個人化現代化應用程式、API,以及透過 Azure 傳遞給全球受眾的內容。

Azure Front Door 服務與 Web 應用程式防火牆的圖表。

混合式連線

本章節描述在您的內部部署網路和 Azure 之間提供安全通訊的網路連線服務 - VPN 閘道、ExpressRoute、虛擬 WAN 和對等互連服務。

VPN 閘道

VPN 閘道協助您建立從內部部署位置至虛擬機器的加密跨單位連線,或在 VNet 之間建立加密連線。 VPN 閘道連線有不同的組態可用。 其中一些主要功能包括:

  • 站對站 VPN 連線能力
  • 點對站 VPN 連線能力
  • VNet 對 VNet VPN 連線能力

下圖說明相同連至虛擬網路的多個站對站 VPN 連線。 若要檢視更多連線圖表,請參閱 VPN 閘道 - 設計

顯示多個站對站 Azure VPN 閘道連線的圖表。

ExpressRoute

ExpressRoute 可讓您透過連線提供者所提供的私人連線,將內部部署網路延伸至 Microsoft 雲端。 此連線是私人的。 流量不會經過網際網路。 使用 ExpressRoute,即可和 Microsoft 雲端服務建立連線,例如 Microsoft Azure、Microsoft 365 和 Dynamics 365。

Azure ExpressRoute 的螢幕擷取畫面。

虛擬 WAN

Azure 虛擬 WAN 是一種網路服務,可將許多網路功能、安全性和路由功能結合在一起,以提供單一操作介面。 您可以使用虛擬網路連線來建立與 Azure VNet 的連線。 其中一些主要功能包括:

  • 分支連線能力 (透過 SD-WAN 或 VPN CPE 等虛擬 WAN 合作夥伴裝置的連線能力自動化)
  • 站對站 VPN 連線能力
  • 遠端使用者 VPN 連線能力 (點對站)
  • 私人連線能力 (ExpressRoute)
  • 雲端內連線能力 (虛擬網路的可轉移連線能力)
  • VPN ExpressRoute 互連能力
  • 路由、Azure 防火牆和私人連線的加密

虛擬 WAN 圖表。

對等互連服務

Azure 對等互連服務讓客戶更有能力連線至 Microsoft 雲端服務,例如 Microsoft 365、Dynamics 365、軟體即服務 (SaaS) 服務、Azure,或可透過公用網際網路存取的任何 Microsoft 服務。

網路安全性

本章節描述在 Azure 中用於保護和監視您網路資源的網路服務 - 防火牆管理員、防火牆、Web 應用程式防火牆和 DDoS 保護。

防火牆管理員

Azure 防火牆管理員是一種安全性管理服務,能為雲端式安全界限提供集中的安全性原則及路由管理。 防火牆管理員可以為兩種不同類型的網路架構提供安全性管理:安全虛擬中樞和中樞虛擬網路。 利用 Azure 防火牆管理員,你可以跨 Azure 區域和訂用帳戶部署多個 Azure 防火牆執行個體、實作 DDoS 保護方案、管理 Web 應用程式防火牆原則,並與合作夥伴安全即服務整合以增強安全性。

安全虛擬中樞和中樞虛擬網路中的多個 Azure 防火牆圖表。

Azure 防火牆

Azure 防火牆是受控的雲端式網路安全性服務,可保護您的 Azure 虛擬網路資源。 您可以橫跨訂閱與虛擬網路集中建立、實施及記錄應用程式與網路連線原則。 Azure 防火牆會針對虛擬網路資源使用靜態公用 IP 位址,允許外部防火牆識別來自您虛擬網路的流量。

Azure 防火牆概觀的圖表。

Web 應用程式防火牆

Azure Web 應用程式防火牆 (WAF) 可保護您的 Web 應用程式,避免常見的 Web 惡意探索與弱點,例如 SQL 插入與跨網站指令碼。 Azure WAF 透過受控規則提供來自 OWASP 前 10 個弱點的現成保護。 此外,客戶也可以設定自訂規則,這些是客戶自控規則,可根據來源 IP 範圍和要求屬性 (例如標頭、Cookie、表單資料欄位或查詢字串參數),提供額外的保護。

客戶可以選擇部署 Azure WAF with Application Gateway,對公用和私人位址空間中的實體提供區域保護。 客戶也可以選擇部署 Azure WAF with Front Door,在網路邊緣對公用端點提供保護。

Web 應用程式防火牆的螢幕擷取畫面。

DDoS 保護

Azure DDoS 保護會針對最複雜的 DDoS 威脅提供對策。 此服務為應用程式與部署在虛擬網路中的資源提供增強型 DDoS 風險降低功能。 此外,使用 Azure DDoS 保護的客戶可以存取 DDoS Rapid Response 支援,以在主動攻擊期間與 DDoS 專家連絡。

Azure DDoS 保護包含兩層:

  • DDoS 網路保護 (與應用程式設計最佳做法結合) 可提供增強的 DDoS 風險降低功能,以防禦 DDoS 攻擊。 可自動調整以保護虛擬網路中的特定 Azure 資源。
  • DDoS IP 保護是依每個保護的 IP 模型付費。 「DDoS IP 保護」包含與「DDoS 網路保護」相同的核心工程功能,但與下列加值服務不同:DDoS 快速回應支援、成本保護和 WAF 折扣。

具有抵禦 DDoS 之保護的 PaaS Web 應用程式的參考架構圖表。

容器網路安全性

容器網路安全性是進階容器網路服務 (ACNS) 的一部分。 它提供 AKS 網路安全性的增強控制。 使用完整功能變數名稱 (FQDN) 篩選等功能,使用由 Cilium 提供的 Azure CNI 叢集可以實作 FQDN 型網路原則,以在 AKS 中達成 零信任 安全性架構。

網路管理和監視

本節說明 Azure 中的網路管理和監視服務 - 網路監看員、Azure 監視器和 Azure 虛擬網絡 管理員。

Azure 網路監看員

Azure 網路監看員提供了相關工具,可對 Azure 虛擬網路中的資源進行監視、診斷、檢視計量,以及啟用或停用記錄。

顯示 Azure 網路監看員功能的圖表。

Azure 監視器

「Azure 監視器」可藉由提供全方位的解決方案,來收集、分析及因應來自雲端和內部部署環境的遙測資料,將應用程式的可用性和效能最大化。 它可協助您了解您的應用程式表現如何,並主動識別影響它們的問題以及它們所依賴的資源。

Azure Virtual Network Manager

Azure Virtual Network Manager 是管理服務,可讓您跨訂用帳戶全域分組、設定、部署及管理虛擬網路。 使用 Virtual Network Manager,您可以定義網路群組,以識別並邏輯分割虛擬網路。 然後,您可以決定想要的連線能力安全性設定,並同時套用至網路群組中所有選取的虛擬網路。

使用 Azure Virtual Network Manager 針對網格虛擬網路拓撲部署的資源圖表。

容器網路可觀察性

容器網路可觀察性是進階容器網路服務 (ACNS)一部分。 ACNS 使用 Hubble 的控制平面來提供 AKS 網路和效能的完整可見度。 其提供跨節點層級、Pod 層級、TCP 和 DNS 計量的即時、詳細深入解析,確保徹底監視您的網路基礎結構。

容器網路可觀察性的圖表。

下一步