此參考結構顯示擴充內部部署網路至 Azure 的安全混合式網路。 此架構會實作 內部部署網路與 Azure 虛擬網路之間的周邊網路 ,也稱為 DMZ 。 所有輸入與輸出流量均通過 Azure 防火牆。
架構
元件
架構包含下列層面:
內部部署網路。 在組織中實作的私人區域網路。
Azure 虛擬網路 。 虛擬網路會裝載在 Azure 中執行的解決方案元件和其他資源。
虛擬網路路由 會定義 Azure 虛擬網路內的 IP 流量流程。 在圖表中,有兩個使用者定義的路由表。
在閘道子網中,流量會透過 Azure 防火牆 實例路由傳送。
注意
視 VPN 連線的需求而定,您可以設定邊界閘道通訊協定 (BGP) 路由,以實作轉送規則,以透過內部部署網路將流量導向回來。
閘道。 閘道可在內部部署網路和虛擬網路中的路由器之間提供連線能力。 閘道會放在自己的子網中。
Azure 防火牆。 Azure 防火牆 是受控防火牆即服務。 防火牆實例會放在自己的子網中。
網路安全性群組。 使用 安全性群組 來限制虛擬網路內的網路流量。
Azure Bastion 。 Azure Bastion 可讓您透過 SSH 或遠端桌面通訊協定 (RDP) 登入虛擬網路中的虛擬機器(VM),而不需要將 VM 直接公開至網際網路。 使用 Bastion 來管理虛擬網路中的 VM。
Bastion 需要名為 AzureBastionSubnet 的專用子網。
潛在的使用案例
此架構需要使用 VPN 閘道 或 ExpressRoute 連線,連線到您的內部部署資料中心 。 此結構的一般用法包括:
- 工作負載部分在內部部署和 Azure 中執行的混合式應用程式。
- 需要對從內部部署資料中心進入 Azure 虛擬網路的流量進行細微控制的基礎結構。
- 必須稽核連出流量的應用程式。 稽核通常是許多商業系統的法規要求,有助於防止公開披露私人資訊。
建議
下列建議適用于大部分案例。 除非您有覆寫建議的特定需求,否則請遵循這些建議。
存取控制建議
使用 Azure 角色型存取控制 (Azure RBAC) 來管理應用程式中的資源。 請考慮建立下列 自訂角色 :
具有管理應用程式基礎結構、部署應用程式元件,以及監視和重新開機 VM 之許可權的 DevOps 角色。
用來管理和監視網路資源的集中式 IT 系統管理員角色。
管理防火牆等安全網路資源的安全性 IT 系統管理員角色。
IT 系統管理員角色不應該具有防火牆資源的存取權。 存取權應限制為安全性 IT 系統管理員角色。
資源群組建議
您可以將 VM、虛擬網路和負載平衡器等 Azure 資源分組在一起,以輕鬆管理它們。 將 Azure 角色指派給每個資源群組以限制存取。
建議您建立下列資源群組:
- 包含虛擬網路的資源群組(不包括 VM)、NSG,以及連線到內部部署網路的閘道資源。 將集中式 IT 系統管理員角色指派給此資源群組。
- 資源群組,其中包含Azure 防火牆實例的 VM,以及閘道子網的使用者定義路由。 將安全性 IT 系統管理員角色指派給此資源群組。
- 針對包含負載平衡器和 VM 的每個輪輻虛擬網路,分隔資源群組。
網路功能的建議
若要接受來自網際網路的輸入流量,請新增 目的地網路位址轉譯 (DNAT) 規則以Azure 防火牆。
- 目的地位址 = 防火牆實例的公用 IP 位址。
- 翻譯的位址 = 虛擬網路內的私人 IP 位址。
使用站對站 VPN 通道透過內部部署網路強制通道 傳送所有輸出網際網路流量,並使用網路位址轉譯路由傳送至網際網路。 此設計可防止意外洩漏任何機密資訊,並允許檢查和稽核所有傳出流量。
請勿完全封鎖來自輪輻網路子網中資源的網際網路流量。 封鎖流量會防止這些資源使用依賴公用 IP 位址的 Azure PaaS 服務,例如 VM 診斷記錄、下載 VM 擴充功能和其他功能。 Azure 診斷也需要元件可以讀取和寫入Azure 儲存體帳戶。
確認輸出網際網路流量已正確進行強制通道。 如果您使用 VPN 連線搭配 內部部署伺服器上的路由和遠端存取服務 ,請使用 WireShark 之類的 工具。
請考慮使用 應用程式閘道 或 Azure Front Door 進行 SSL 終止。
考量
這些考慮會實作 Azure Well-Architected Framework 的支柱,這是一組指導原則,可用來改善工作負載的品質。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework 。
效能效益
效能效率是工作負載調整的能力,以符合使用者以有效率的方式滿足其需求。 如需詳細資訊,請參閱 效能效率要素概觀 。
如需VPN 閘道頻寬限制的詳細資訊,請參閱 閘道 SKU 。 如需較高的頻寬,請考慮升級至 ExpressRoute 閘道。 ExpressRoute 提供最多 10 Gbps 頻寬,延遲低於 VPN 連線。
如需 Azure 閘道延展性的詳細資訊,請參閱下列各節的延展性考慮:
如需大規模管理虛擬網路和 NSG 的詳細資料,請參閱 Azure 虛擬網絡 管理員(AVNM):建立安全的中樞和輪輻網路 ,以建立新的(並上線現有)中樞和輪輻虛擬網路拓撲,以集中管理連線和 NSG 規則。
可靠性
可靠性可確保您的應用程式可以符合您對客戶的承諾。 如需詳細資訊,請參閱 可靠性要素 概觀。
如果您使用 Azure ExpressRoute 來提供虛擬網路與內部部署網路之間的連線, 請設定 VPN 閘道,以在 ExpressRoute 連線變成無法使用時提供容錯移轉 。
如需維護 VPN 和 ExpressRoute 連線可用性的相關資訊,請參閱下列專案的可用性考慮:
卓越營運
卓越營運涵蓋部署應用程式的作業程式,並讓它在生產環境中執行。 如需詳細資訊,請參閱 營運卓越支柱 概觀。
如果從內部部署網路到 Azure 的閘道連線已關閉,您仍然可以透過 Azure Bastion 連線到 Azure 虛擬網路中的 VM。
參考架構中的每個層子網都會受到 NSG 規則的保護。 您可能需要建立規則,以在 Windows VM 上開啟遠端桌面通訊協定 (RDP) 存取的埠 3389,或針對 Linux VM 上的安全殼層 (SSH) 存取的埠 22 開啟埠 22。 其他管理和監視工具可能需要規則才能開啟其他埠。
如果您使用 ExpressRoute 來提供內部部署資料中心與 Azure 之間的連線能力,請使用 Azure 連線ivity Toolkit (AzureCT) 來監視和疑難排解連線問題。
您可以在使用 Azure 和內部部署 VPN 實作混合式網路架構一文 中找到監視和管理 VPN 和 ExpressRoute 連線的其他資訊。
安全性
安全性可提供針對蓄意攻擊和濫用寶貴資料和系統的保證。 如需詳細資訊,請參閱 安全性要素 概觀。
此參考架構會實作多個層級的安全性。
透過 Azure 防火牆 路由傳送所有內部部署使用者要求
閘道子網中的使用者定義路由會封鎖從內部部署接收以外的所有使用者要求。 路由會將允許的要求傳遞至防火牆。 如果防火牆規則允許這些要求,這些要求會傳遞至輪輻虛擬網路中的資源。 您可以新增其他路由,但請確定它們不會不小心略過防火牆,或封鎖用於管理子網的系統管理流量。
使用 NSG 封鎖/傳遞流量至輪輻虛擬網路子網
輪輻虛擬網路中資源子網的流量受限於使用 NSG。 如果您有擴充 NSG 規則以允許更廣泛存取這些資源的需求,請根據安全性風險來權衡這些需求。 每個新的輸入路徑都代表意外或有目的資料外泄或應用程式損毀的機會。
DDoS 保護
Azure DDoS 保護 (結合應用程式設計最佳做法) 可提供增強的 DDoS 風險降低功能,以針對 DDoS 攻擊提供更多的防禦。 您應該在任何周邊虛擬網路上啟用 Azure DDOS 保護。
使用 AVNM 建立基準安全性管理員規則
AVNM 可讓您建立安全性規則的基準,以優先于網路安全性群組規則。 安全性管理員規則會在 NSG 規則 之前進行評估,且具有 NSG 的相同本質,且支援優先順序、服務標籤和 L3-L4 通訊協定。 AVNM 可讓中央 IT 強制執行安全性規則的基準,同時允許輪輻虛擬網路擁有者對其他 NSG 規則的附加。 為了方便控制的安全性規則變更推出,AVNM 的 部署 功能可讓您安全地釋放這些設定對中樞和輪輻環境的重大變更。
DevOps 存取
使用 Azure RBAC 來限制 DevOps 可在每一層上執行的作業。 授與許可權時,請使用 最低許可權 原則。 記錄所有系統管理作業並執行定期稽核,以確保已規劃任何設定變更。
成本最佳化
成本優化是考慮如何減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱 成本優化要素 概觀。
使用 Azure 定價計算機 來預估成本。 Microsoft Azure 架構良好架構 中的 成本優化一節會說明其他考慮。
以下是此架構中使用的服務成本考慮。
Azure 防火牆
在此架構中,Azure 防火牆會部署在虛擬網路中,以控制閘道子網與輪輻虛擬網路中資源之間的流量。 如此一來,Azure 防火牆會符合成本效益,因為它會作為多個工作負載所取用的共用解決方案。 以下是Azure 防火牆定價模式:
- 固定的每小時部署速率。
- 每個 GB 處理的資料,以支援自動調整。
相較于網路虛擬裝置 (NVA),Azure 防火牆最多可節省 30-50%。 如需詳細資訊,請參閱 Azure 防火牆 與 NVA 。
Azure Bastion
Azure Bastion 會透過 RDP 和 SSH 安全地連線到虛擬機器,而不需要在虛擬機器上設定公用 IP。
Bastion 計費相當於設定為跳板的基本低階虛擬機器。 Bastion 比跳板更有成本效益,因為它具有內建的安全性功能,而且不會對儲存體和管理個別伺服器產生額外費用。
Azure 虛擬網路
Azure 虛擬網絡是免費的。 每個訂用帳戶可跨所有區域建立最多 50 個虛擬網路。 虛擬網路界限內發生的所有流量都是免費的。 例如,相同虛擬網路中彼此通訊的 VM 不會產生網路流量費用。
內部負載平衡器
位於相同虛擬網路中的虛擬機器之間的基本負載平衡是免費的。
在此架構中,內部負載平衡器可用來對虛擬網路內的流量進行負載平衡。
部署此案例
此部署會建立兩個資源群組:第一個會保存模擬的內部部署網路,第二個是一組中樞和輪輻網路。 模擬內部部署網路和中樞網路會使用 Azure 虛擬網絡 閘道來連線,以形成站對站連線。 此設定非常類似于您將內部部署資料中心連線至 Azure 的方式。
此部署最多可能需要 45 分鐘才能完成。 建議的部署方法是使用以下找到的入口網站選項。
使用下列按鈕,使用 Azure 入口網站來部署參考。
部署完成後,查看新建立的連線資源來確認站對站連線能力。 在Azure 入口網站中,搜尋「連線」,並記下每個連線的狀態。
您可以在輪輻網路中找到的 IIS 實例,從位於模擬內部部署網路的虛擬機器存取。 使用包含的 Azure Bastion 主機建立虛擬機器的連線、開啟網頁瀏覽器,然後流覽至應用程式網路負載平衡器的位址。
如需詳細資訊和其他部署選項,請參閱用來部署此解決方案的 Azure Resource Manager 範本(ARM 範本: 安全混合式網路 )。
下一步
相關資源
- 使用 ExpressRoute 將內部部署網路連線至 Azure。
- 使用 PowerShell 設定 ExpressRoute 和站對站並存連線
- 使用 ExpressRoute 擴充內部部署網路。