共用方式為


虛擬資料中心:網路觀點

從內部部署移轉的應用程式可能會受益於 Azure 的安全符合成本效益的基礎結構,即使應用程式變更最少也一定。 企業可能想要調整其架構,以改善靈活度,並利用 Azure 的功能。

Microsoft Azure 提供具有企業級功能和可靠性的超大規模服務和基礎結構。 這些服務和基礎結構提供混合式連線的許多選擇,可讓客戶透過因特網或專用網連線加以存取。 Microsoft合作夥伴也可以藉由提供已優化在 Azure 中執行的安全性服務和虛擬設備,來提供增強的功能。

客戶可以使用 Azure 順暢地將其基礎結構擴充至雲端,並建置多層式架構。

什麼是虛擬數據中心?

雲端開始作為裝載公開應用程式的平臺。 企業已辨識雲端的價值,並開始移轉內部企業營運應用程式。 這些應用程式帶來了更多安全性、可靠性、效能和成本考慮,在提供雲端服務時需要更多彈性。 新的基礎結構和網路服務是設計來提供彈性。 新功能提供彈性規模、災害復原和其他考慮。

雲端解決方案最初設計成在公用頻譜中裝載單一相對隔離的應用程式,這些應用程式在幾年內運作良好。 隨著雲端解決方案的優點變得清楚,多個大型工作負載裝載在雲端上。 解決雲端服務部署和生命週期的安全性、可靠性、效能和成本考慮非常重要。

在下方的雲端部署範例圖中,紅色方塊會反白顯示安全性差距。 黃色方塊會顯示優化跨工作負載的網路虛擬設備的機會。

顯示雲端部署和網路虛擬數據中心的圖表。

虛擬數據中心可協助達到企業工作負載所需的規模。 調整必須解決在公用雲端中執行大規模應用程式時所引入的挑戰。

虛擬資料中心實作包含的不僅僅是雲端中的應用程式工作負載。 它也提供網路、安全性、管理、DNS 和 Active Directory 服務。 當企業將更多工作負載遷移至 Azure 時,請考慮支持這些工作負載的基礎結構和物件。 良好的資源管理有助於避免使用獨立數據流、安全性模型和合規性挑戰,個別管理的「工作負載島」增加。

虛擬數據中心概念提供建議和高階設計,可實作個別但相關實體的集合。 這些實體通常具有常見的支援函式、功能和基礎結構。 將工作負載檢視為虛擬數據中心,有助於從規模經濟中降低成本。 它也可透過元件和數據流集中化,以及更容易的作業、管理和合規性稽核,協助優化安全性。

注意

虛擬數據中心不是特定的 Azure 服務。 相反地,各種 Azure 特性和功能會結合以符合您的需求。 虛擬數據中心是思考工作負載和 Azure 使用量的方式,以優化雲端中的資源和功能。 它提供模組化的方法,在 Azure 中提供 IT 服務,同時尊重企業的組織角色和責任。

虛擬資料中心可協助企業針對下列案例在 Azure 中部署工作負載和應用程式:

  • 裝載多個相關的工作負載。
  • 將工作負載從內部部署環境遷移至 Azure。
  • 跨工作負載實作共用或集中式安全性和存取需求。
  • 針對大型企業適當地混合DevOps和集中式IT。

誰應該實作虛擬數據中心?

任何決定採用 Azure 的客戶都可以受益於設定一組資源以供所有應用程式通用的效率。 視大小而定,即使是單一應用程式也可以受益於使用用來建置 VDC 實作的模式和元件。

某些組織具有 IT、網路、安全性或合規性的集中式小組或部門。 實作 VDC 有助於強制執行原則點、個別責任,並確保基礎通用元件的一致性。 應用程式小組可以保留適合其需求的自由和控制。

使用 DevOps 方法的組織也可以使用 VDC 概念來提供授權的 Azure 資源口袋。 這個方法可確保 DevOps 群組在該群組內、訂用帳戶層級或通用訂用帳戶中的資源群組內擁有完全控制權。 同時,網路和安全性界限會保持相容。 合規性是由中樞網路和集中管理資源群組中的集中式原則所定義。

實作虛擬數據中心的考慮

設計虛擬資料中心時,請考慮下列關鍵問題:

身分識別和目錄服務

身分識別和目錄服務是內部部署和雲端數據中心的重要功能。 身分識別涵蓋 VDC 實作內服務存取和授權的所有層面。 為了確保只有授權的使用者和進程存取您的 Azure 資源,Azure 會使用數種類型的認證來進行驗證,包括帳戶密碼、密碼編譯密鑰、數位簽名和憑證。 Microsoft Entra 多重要素驗證 為存取 Azure 服務提供額外的安全性層。 具有一系列簡單驗證選項的強身份驗證(通話、簡訊或行動應用程式通知)可讓客戶選擇他們偏好的方法。

大型企業需要定義身分識別管理程式,以描述個別身分識別的管理、其驗證、授權、角色,以及其 VDC 內或跨其許可權。 此程式的目標可能會提高安全性和生產力,同時降低成本、停機時間和重複的手動工作。

企業組織可能需要針對不同企業營運的需求混合服務。 當涉及不同的專案時,員工通常會有不同的角色。 VDC 需要不同小組之間的良好合作,每個小組都有特定的角色定義,才能讓系統以良好的控管執行。 責任、存取權和許可權的矩陣可能相當複雜。 VDC 中的身分識別管理是透過 Microsoft Entra ID 和 Azure 角色型存取控制 (Azure RBAC) 來實作。

目錄服務是一種共用資訊基礎結構,可找出、管理、管理及組織日常專案和網路資源。 這些資源可以包含磁碟區、資料夾、檔案、印表機、使用者、群組、裝置和其他物件。 網路上的每個資源都會被目錄伺服器視為物件。 有關資源的信息會儲存為與該資源或對象相關聯的屬性集合。

所有Microsoft在線商務服務都依賴Microsoft Entra ID 來進行登入和其他身分識別需求。 Microsoft Entra ID 是一個全面、高可用性的身分識別和存取管理雲端解決方案,結合了核心目錄服務、進階身分識別治理和應用程式存取管理。 Microsoft Entra ID 可以與 內部部署的 Active Directory 整合,為所有雲端式和本機裝載的內部部署應用程式啟用單一登錄。 內部部署的 Active Directory 的使用者屬性可以自動同步至Microsoft Entra標識符。

目錄服務中的每個特定部門、使用者群組或服務都必須具備在 VDC 實作中管理自己資源所需的最低許可權。 建構許可權需要平衡。 太多許可權可能會妨礙效能效率,而太少或鬆散的許可權可能會增加安全性風險。 Azure 角色型訪問控制 (Azure RBAC) 可藉由在 VDC 實作中為資源提供更細緻的存取管理,協助解決此問題。

安全性基礎結構

安全性基礎結構是指 VDC 實作特定虛擬網路區段中的流量隔離。 此基礎結構會指定 VDC 實作中的輸入和輸出控制方式。 Azure 是以多租用戶架構為基礎,可防止部署之間未經授權的非預期流量。 這是使用虛擬網路隔離、訪問控制清單、負載平衡器、IP 篩選器和流量流量原則來完成的。 網路位址轉換 (NAT) 會將內部網路流量與外部流量分開。

Azure 網狀架構會將基礎結構資源配置給租使用者工作負載,以及管理與 虛擬機器(VM)之間的通訊。 Azure Hypervisor 會強制執行 VM 之間的記憶體和進程分隔,並安全地將網路流量路由傳送至客體 OS 租使用者。

雲端的連線能力

虛擬資料中心需要連線到外部網路,才能為客戶提供、合作夥伴或內部用戶的服務。 這種連線需求不僅是指因特網,也是指內部部署網路和數據中心。

客戶控制可從公用因特網存取及存取的服務。 此存取是使用 Azure 防火牆 或其他類型的虛擬網路設備(NVA)、使用使用者定義的路由來自定義路由原則,以及使用網路安全組進行網路篩選來控制。 我們建議所有因特網對應資源都受到 Azure DDoS 保護的保護

企業可能需要將其虛擬數據中心連線到內部部署數據中心或其他資源。 在設計有效架構時,Azure 與內部部署網路之間的這種連線是關鍵層面。 企業有兩種不同的方式可建立此互連:透過因特網或透過私人直接連線傳輸。

Azure 站對站 VPN 會將內部部署網路連線到 Azure 中的虛擬數據中心。 連結是透過安全的加密連線建立的(IPsec 通道)。 Azure 站對站 VPN 連線具有彈性、快速建立,而且通常不需要更多硬體採購。 根據業界標準通訊協定,大部分目前的網路裝置都可以透過因特網或現有的連線路徑來建立與 Azure 的 VPN 連線。

ExpressRoute 可讓您的虛擬數據中心與任何內部部署網路之間的私人連線。 ExpressRoute 連線不會經過公用因特網,並提供更高的安全性、可靠性和更高的速度(高達 100 Gbps),以及一致的延遲。 ExpressRoute 提供與私人連線相關聯的合規性規則優點。 透過 ExpressRoute Direct,您可以直接連線到位於 10 Gbps 或 100 Gbps 的Microsoft路由器。

部署 ExpressRoute 連線通常涉及與 ExpressRoute 服務提供者互動(ExpressRoute Direct 為例外)。 對於需要快速啟動的客戶,通常通常會使用站對站 VPN 來建立虛擬數據中心與內部部署資源之間的連線。 與服務提供者的實體互連完成後,請透過 ExpressRoute 連線移轉連線。

對於大量的 VPN 或 ExpressRoute 連線,Azure 虛擬 WAN 是一項網路服務,可透過 Azure 提供優化和自動化的分支對分支連線。 虛擬 WAN 可讓您連線並設定分支裝置以與 Azure 通訊。 您可以手動或使用慣用的提供者裝置,透過虛擬 WAN 合作夥伴進行連線和設定。 使用慣用的提供者裝置不僅方便使用,還可簡化連線和組態管理。 Azure WAN 內建儀錶板提供立即的疑難解答深入解析,可協助您節省時間,並讓您輕鬆檢視大規模的站對站連線能力。 虛擬 WAN 也會在虛擬 WAN 中樞內提供選擇性 Azure 防火牆 和防火牆管理員的安全性服務。

雲端內的連線能力

Azure 虛擬網絡虛擬網路對等互連是虛擬數據中心的基本網路元件。 虛擬網路可保證虛擬數據中心資源的隔離界限。 對等互連可在相同 Azure 區域內的不同虛擬網路、跨區域,甚至是不同訂用帳戶中的網路之間進行通訊。 流量可以透過針對網路安全組、防火牆原則(Azure 防火牆 或網路虛擬設備)和自定義使用者定義路由指定的一組安全性規則,在虛擬網路內部和之間控制流量

虛擬網路是整合平臺即服務 (PaaS) Azure 產品的錨點,例如 Azure 儲存體Azure SQL 和其他具有公用端點的整合式公用服務。 透過 服務端點Azure Private Link,您可以將公用服務與您的專用網整合。 您甚至可以將公共服務私人化,但仍享有 Azure 受控 PaaS 服務的優點。

虛擬數據中心概觀

拓撲

虛擬數據中心可以使用下列其中一個高階拓撲來建置,根據您的需求和規模需求:

在一般 拓撲中,所有資源都會部署在單一虛擬網路中。 子網允許流量控制和隔離。

11

在 Mesh 拓撲中,虛擬網路對等互連會將所有虛擬網路直接連線到彼此。

12

對等互連中樞和輪輻拓撲非常適合具有委派責任的分散式應用程式和小組。

13

Azure 虛擬 WAN 拓撲可支持大規模的分公司案例和全域 WAN 服務。

14

對等互連中樞和輪輻拓撲和 Azure 虛擬 WAN 拓撲都使用中樞和輪輻設計,最適合通訊、共用資源和集中式安全策略。 中樞是使用虛擬網路對等互連中樞建置的( Hub Virtual Network 如圖所示)或虛擬 WAN 中樞( Azure Virtual WAN 如圖表中標示)。 Azure 虛擬 WAN 是專為大規模分支對分支和分支對 Azure 通訊所設計,或避免在虛擬網路對等互連中樞個別建置所有元件的複雜性。 在某些情況下,您的需求可能會要求虛擬網路對等互連中樞設計,例如中樞中網路虛擬設備的需求。

在中樞和輪輻拓撲中,中樞是中央網路區域,可控制及檢查不同區域之間的所有流量,例如因特網、內部部署和輪輻。 中樞和輪輻拓撲可協助 IT 部門集中強制執行安全策略。 它也會降低設定錯誤和暴露的可能性。

中樞通常包含輪輻取用的一般服務元件。 下列範例是常見的中央服務:

  • 需要 Windows Active Directory 基礎結構,才能從不受信任的網路存取第三方的用戶驗證,才能存取輪輻中的工作負載。 它包括相關的 Active Directory 同盟服務 (AD FS)
  • 分散式名稱系統 (DNS) 服務可用來解析輪輻中工作負載的命名,並在未使用 Azure DNS存取內部部署和因特網上的資源
  • 公鑰基礎結構 (PKI) 可用來在工作負載上實作單一登錄
  • 輪輻網路區域與因特網之間的 TCP 和 UDP 流量流量控制
  • 輪輻與內部部署之間的流量控制
  • 如有需要,一個輪輻與另一個輪輻之間的流程控制

虛擬數據中心會使用多個輪輻之間的共用中樞基礎結構來降低整體成本。

每個輪輻的角色可以是裝載不同類型的工作負載。 輪輻也會為相同工作負載的可重複部署提供模組化方法。 範例包括開發/測試、使用者驗收測試、生產階段前和生產環境。 輪輻也可以隔離並啟用組織內的不同群組。 DevOps 群組是輪輻可以執行的一個很好的範例。 在輪輻內,可以部署基本工作負載或多層式工作負載,並控制層之間的流量。

訂用帳戶限制和多個中樞

重要

根據 Azure 部署的大小,您可能需要多個中樞策略。 設計中樞和輪輻策略時,詢問「此設計規模是否可以在此區域中使用另一個中樞虛擬網路?」和「此設計規模可以容納多個區域嗎?規劃規模和不需要它的設計,比無法規劃和需要它要好得多。

調整為次要中樞的時機取決於數個因素,通常是根據縮放比例的固有限制。 在設計調整規模時,請務必檢閱訂用帳戶、虛擬網路和虛擬機 限制

在 Azure 中,每個元件,無論類型為何,都會部署在 Azure 訂用帳戶中。 不同 Azure 訂用帳戶中的 Azure 元件隔離可以滿足不同企業營運的需求,例如設定不同的存取和授權層級。

單一 VDC 實作可以相應增加大量的輪輻。 雖然與每個IT系統一樣,也有平臺限制。 中樞部署系結至具有限制和限制的特定 Azure 訂用帳戶(例如虛擬網路對等互連數目上限。如需詳細資訊,請參閱 Azure 訂用帳戶和服務限制、配額和條件約束。 在限制可能是問題的情況下,架構可以藉由將模型從單一中樞支點延伸至中樞和輪輻叢集,進一步相應增加。 一或多個 Azure 區域中的多個中樞可以使用虛擬網路對等互連、ExpressRoute、虛擬 WAN 或站對站 VPN 進行連線。

2

引進多個中樞會增加系統的成本和管理工作。 只有因為延展性、系統限制、備援、使用者效能或災害復原的區域複寫,才有理由。 在需要多個中樞的案例中,所有中樞都應該努力提供相同的服務集,以方便操作。

輪輻之間的相互連線

在單一輪輻或一般網路設計內,可以實作複雜的多維度工作負載。 您可以使用子網來實作多層組態,這是相同虛擬網路中每一層或應用程式的一個。 流量控制和篩選是使用網路安全組和用戶定義的路由來完成。

架構設計人員可能想要跨多個虛擬網路部署多層式工作負載。 透過虛擬網路對等互連,輪輻可以連線到相同中樞或不同中樞中的其他輪輻。 此案例的典型範例是應用程式處理伺服器位於一個輪輻或虛擬網路的情況。 資料庫會在不同的輪輻或虛擬網路中部署。 在此情況下,可以輕鬆地將輪輻與虛擬網路對等互連互連,以避免透過中樞傳輸。 請完成仔細的架構和安全性檢閱,以確保略過中樞不會略過可能只存在於中樞內的重要安全性或稽核點。

3

輪輻也可以與作為中樞的輪輻互連。 此方法會建立兩層階層。 較高層級 (層級 0) 中的輪輻會成為階層中較低輪輻 (層級 1) 的中樞。 需要 VDC 實作的輪輻,才能將流量轉送至中央中樞。 然後,流量就可以在內部部署網路或公用因特網中傳輸至其目的地。 具有兩個中樞層級的架構引進了複雜的路由,可移除簡單中樞輪輻關聯性的優點。

雖然 Azure 允許複雜的拓撲,但 VDC 概念的核心原則之一是可重複性和簡單性。 為了將管理工作降到最低,簡單的中樞輪輻設計是我們建議的 VDC 參考架構。

元件

虛擬資料中心由四種基本元件類型組成:基礎結構、周邊網路、工作負載監視。

每個元件類型都包含各種 Azure 功能和資源。 您的 VDC 實作是由多個元件類型實例和相同元件類型的多個變化所組成。 例如,您可能有許多不同的邏輯分隔工作負載實例,這些實例代表不同的應用程式。 您可以使用這些不同的元件類型和實例來建置 VDC。

4

VDC 先前的高階概念架構會顯示中樞輪輻拓撲不同區域中所使用的不同元件類型。 此圖顯示架構各部分的基礎結構元件。

一般而言,訪問許可權和許可權可以是群組型。 透過提供一致的方式,跨小組管理群組,而不是個別使用者,可簡化存取原則的維護,進而協助將設定錯誤降到最低。 指派和移除適當群組的用戶,有助於讓特定用戶的許可權保持在最新狀態。

每個角色群組在其名稱上都可以有唯一的前置詞。 此前置詞可讓您輕鬆地識別群組相關聯的工作負載。 例如,裝載驗證服務的工作負載可能有名為 AuthServiceNetOps、AuthServiceSecOpsAuthServiceDevOps 和 AuthServiceInfraOps群組。 集中式角色或與特定服務無關的角色可能會以 Corp 開頭。例如 CorpNetOps

許多組織會使用下列群組的變化來提供角色的主要分解:

  • 名為 Corp 的中央 IT 小組擁有控制基礎結構元件的擁有權。 範例包括網路和安全性。 群組必須具有訂用帳戶的參與者角色、中樞的控制權,以及輪輻中的網路參與者許可權。 大型組織經常在多個小組之間分割這些管理責任。 範例是網路作業 CorpNetOps 群組,其著重於網路功能,以及負責防火牆和安全策略的安全性作業 CorpSecOps 群組。 在此特定案例中,必須建立兩個不同的群組,才能指派這些自定義角色。
  • 名為 AppDevOps 的開發/ 測試群組必須負責部署應用程式或服務工作負載。 此群組會擔任 IaaS 部署的虛擬機參與者角色,或一或多個 PaaS 參與者的角色。 如需詳細資訊,請參閱 Azure 內建角色。 或者,開發/測試小組可能需要在中樞或特定輪輻內查看安全策略(網路安全組)和路由原則(使用者定義的路由)。 除了工作負載參與者的角色之外,此群組也需要網路讀取者的角色。
  • 稱為 CorpInfraOps 或 AppInfraOps 的作業和維護群組負責管理生產中的工作負載。 此群組必須是任何生產訂用帳戶中工作負載的訂用帳戶參與者。 有些組織可能也會評估是否需要呈報支援小組群組,且其具有生產環境中訂用帳戶參與者和中央中樞訂用帳戶的角色。 另一個群組會修正生產環境中的潛在設定問題。

VDC 的設計目的是讓管理中樞的中央 IT 小組群組在工作負載層級有對應的群組。 除了管理中樞資源之外,中央IT小組還可以控制訂用帳戶的外部存取權和最上層許可權。 工作負載群組也可以獨立於中央IT小組控制其虛擬網路的資源和許可權。

虛擬數據中心會進行分割,以跨不同企業營運安全地裝載多個專案。 所有專案都需要不同的隔離環境(開發、UAT 和生產環境)。 針對每個環境,個別的 Azure 訂用帳戶可以提供自然隔離。

5

上圖顯示組織專案、使用者、群組,以及部署 Azure 元件的環境之間的關聯性。

一般而言,在IT中,環境(或階層)是部署和執行多個應用程式的系統。 大型企業會使用開發環境(進行變更並進行測試),以及生產環境(使用者所使用的內容)。 這些環境會分開,通常會在兩者之間有數個預備環境,以便在發生問題時允許階段式部署(推出)、測試和復原。 部署架構會有很大的差異,但通常會遵循從開發開始的基本程式(DEV)和結束於生產環境(PROD)。

這些多層環境的常見架構包括開發與測試的 DevOps、適用於預備環境的 UAT,以及生產環境。 組織可以使用單一或多個Microsoft Entra 租用戶來定義這些環境的存取權和許可權。 上圖顯示兩個不同的Microsoft Entra 租使用者使用的情況:一個用於DevOps和UAT,另一個專門用於生產環境。

不同Microsoft Entra 租使用者的存在會強制執行環境之間的分隔。 相同的使用者群組,例如中央 IT 小組,必須使用不同的 URI 來驗證,才能存取不同的Microsoft Entra 租使用者。 這可讓小組修改專案 DevOps 或生產環境的角色或許可權。 不同使用者驗證的存在可存取不同的環境,可減少人為錯誤所造成的可能中斷和其他問題。

元件類型:基礎結構

此元件類型是大部分支援基礎結構所在的位置。 這也是您的集中式 IT、安全性和合規性小組花費大部分時間的地方。

6

基礎結構元件會為 VDC 實作的不同元件提供相互連線,而且同時存在於中樞和輪輻中。 管理和維護基礎結構元件的責任通常會指派給中央 IT 小組或安全性小組。

IT 基礎結構小組的主要工作之一是保證整個企業的IP位址架構一致性。 指派給 VDC 實作的私人 IP 位址空間必須一致,且不會與內部部署網路上指派的私人 IP 位址重疊。

雖然內部部署邊緣路由器或 Azure 環境中的 NAT 可以避免 IP 位址衝突,但它會增加基礎結構元件的複雜性。 管理簡單性是 VDC 的主要目標之一。 使用 NAT 來處理 IP 考慮,雖然有效的解決方案不是建議的解決方案。

基礎結構元件具有下列功能:

  • 身分識別和目錄服務:存取 Azure 中的每個資源類型是由儲存在目錄服務的身分識別所控制。 目錄服務不僅會儲存使用者清單,也會儲存特定 Azure 訂用帳戶中資源的存取權。 這些服務可以存在於雲端中,也可以與儲存在 Active Directory 中的內部部署身分識別進行同步處理。
  • 虛擬網路:虛擬網路是 VDC 的主要元件之一,可讓您在 Azure 平臺上建立流量隔離界限。 虛擬網路是由單一或多個虛擬網路區段所組成,每個區段都有特定的IP網路前綴(子網,IPv4或雙堆棧IPv4/IPv6)。 虛擬網路會定義內部周邊區域,其中 IaaS 虛擬機和 PaaS 服務可以建立私人通訊。 一個虛擬網路中的 VM(和 PaaS 服務)無法直接與不同虛擬網路中的 VM(和 PaaS 服務)通訊。 即使這兩個虛擬網路都是由相同的客戶在相同的訂用帳戶下建立,也是如此。 隔離是很重要的屬性,可確保客戶 VM 和通訊仍然隱蔽於虛擬網路內。 需要跨網路連線的地方,下列功能會說明如何完成。
  • 虛擬網路對等互連:用來建立 VDC 基礎結構的基本功能是虛擬網路對等互連,它會連接相同區域中的兩個虛擬網路。 此聯機會透過 Azure 資料中心網路或使用跨區域的 Azure 全球骨幹進行。
  • 虛擬網絡 服務端點:服務端點會擴充虛擬網路私人位址空間,以包含 PaaS 空間。 端點也會透過直接連線,將虛擬網路的身分識別延伸至 Azure 服務。 端點可讓您將重要的 Azure 服務資源放到您的虛擬網路保護。
  • Private Link:Azure Private Link 可讓您透過虛擬網路中的私人端點存取 Azure PaaS 服務(例如,Azure 儲存體Azure Cosmos DB 和 Azure SQL 資料庫)和 Azure 託管的客戶/合作夥伴服務。 虛擬網路和服務間的流量會在通過 Microsoft 骨幹網路時隨之減少,降低資料在網際網路中公開的風險。 您也可以在虛擬網路中建立自己的 Private Link 服務 ,並將它私下傳遞給您的客戶。 使用 Azure Private Link 的設定和取用體驗在 Azure PaaS、客戶擁有和共用合作夥伴服務之間是一致的。
  • 使用者定義的路由:根據系統路由表,虛擬網路中的流量預設會路由傳送。 使用者定義的路由是自定義路由表,網路管理員可以與一或多個子網建立關聯,以覆寫系統路由表的行為,並在虛擬網路內定義通訊路徑。 用戶定義路由的存在可保證來自輪輻傳輸的流量會透過中樞和輪輻中的特定自定義 VM 或網路虛擬設備與負載平衡器來傳輸。
  • 網路安全組:網路安全組是安全性規則清單,可做為IP來源、IP目的地、通訊協定、IP來源埠和IP目的地埠的流量篩選(也稱為第4層五 Tuple)。 網路安全組可以套用至子網、與 Azure VM 相關聯的虛擬 NIC 或兩者。 網路安全組對於在中樞和輪輻中實作正確的流程控制至關重要。 網路安全組所提供的安全性層級是您開啟的埠功能,以及基於何種目的。 客戶可以使用iptables或 Windows 防火牆等主機型防火牆來套用更多個別 VM 篩選器。
  • DNS:DNS 提供虛擬資料中心資源的名稱解析。 Azure 提供公用私人名稱解析的 DNS 服務。 私人區域提供虛擬網路內和跨虛擬網路的名稱解析。 私人區域可以跨越相同區域中的虛擬網路,以及跨區域和訂用帳戶。 針對公用解析,Azure DNS 提供 DNS 網域的裝載服務,並使用 azure 基礎結構Microsoft提供名稱解析。 在 Azure 中裝載網域,即可使用與其他 Azure 服務相同的認證、API、工具和計費來管理 DNS 記錄。
  • 管理群組用帳戶和資源 群組 管理。 訂用帳戶會定義自然界限,以在 Azure 中建立多個資源群組。 此區隔適用於函式、角色隔離或計費。 訂用帳戶中的資源會組合在稱為資源群組的邏輯容器中。 資源群組代表邏輯群組,以組織虛擬數據中心內的資源。 如果您的組織有許多訂用帳戶,則可能需要有效管理這些訂用帳戶的存取權、原則與合規性方法。 Azure 管理群組可以提供訂用帳戶之上的範圍層級。 您可以將訂用帳戶組織成稱為管理群組的容器,並將治理條件套用至管理群組。 管理群組內的所有訂用帳戶都會自動繼承套用到管理群組的條件。 若要查看階層檢視中的這三項功能,請參閱在 雲端採用架構 中組織您的資源
  • Azure 角色型訪問控制 (Azure RBAC):Azure RBAC 可以將組織角色和許可權對應到存取特定 Azure 資源。 這可讓您將使用者限制為只有特定動作子集。 如果您要將Microsoft Entra ID 與 內部部署的 Active Directory 同步處理,您可以在 Azure 中使用與內部部署相同的 Active Directory 群組。 使用 Azure RBAC,您可以將適當的角色指派給相關範圍內的使用者、群組和應用程式,以授與存取權。 角色指派的範圍可以是 Azure 訂用帳戶、資源群組或單一資源。 Azure RBAC 允許繼承許可權。 在父範圍指派的角色也會授與其內含子系的存取權。 使用 Azure RBAC,您可以隔離職責,並只授與他們執行其工作所需的使用者存取權數量。 例如,一位員工可以管理訂用帳戶中的虛擬機,而另一位員工則可管理相同訂用帳戶中的 SQL Server 資料庫。

元件類型:周邊網路

周邊網路的元件(有時稱為 DMZ 網路)會連線內部部署或實體數據中心網路,以及任何因特網連線。 周邊通常需要從您的網路和安全性小組進行大量時間投資。

連入封包可以流經中樞內的安全性設備,再到達輪輻中的後端伺服器和服務。 範例包括防火牆、IDS 和 IPS。 在離開網路之前,工作負載中的因特網系結封包也可以流經周邊網路中的安全性設備。 此流程可啟用原則強制執行、檢查和稽核。

周邊網路元件包括:

通常,中央IT小組和安全性小組負責周邊網路的需求定義和作業。

7

上圖顯示兩個周邊的強制執行,可存取因特網和內部部署網路,這兩個周邊都位於 DMZ 中樞。 在 DMZ 中樞中,因特網的周邊網路可以相應增加以支援許多企業營運,並使用多個 Web 應用程式防火牆 伺服器陣列(WAF)或 Azure 防火牆。 中樞也允許視需要透過 VPN 或 ExpressRoute 進行內部部署連線。

注意

在上圖中DMZ Hub,下列許多功能可以在 Azure 虛擬 WAN 中樞組合在一起(例如虛擬網路、使用者定義的路由、網路安全組、VPN 閘道、ExpressRoute 閘道、Azure Load Balancer、Azure 防火牆、防火牆管理員和 DDOS)。 使用 Azure 虛擬 WAN 中樞可讓建立中樞虛擬網路和 VDC 變得更容易,因為部署 Azure 虛擬 WAN 中樞時,Azure 會為您處理大部分工程複雜度。

虛擬網路。 中樞通常會建置在具有多個子網的虛擬網路上,這些子網裝載不同類型的服務。 這些服務會透過 Azure 防火牆、NVA、WAF 和 Azure 應用程式閘道 實例來篩選和檢查因特網的流量。

用戶定義的路由。 客戶可以使用使用者定義的路由來部署防火牆、IDS/IPS 和其他虛擬設備。 他們可以透過這些安全性設備路由網路流量,以進行安全性界限原則強制執行、稽核和檢查。 您可以在中樞和輪輻中建立使用者定義的路由,以確保流量會透過 VDC 實作所使用的特定自定義 VM、網路虛擬設備及負載平衡器傳輸。 若要保證從輪輻中虛擬機產生的流量會傳輸至正確的虛擬設備,必須在輪輻的子網中設定使用者定義的路由。 這是藉由將內部負載平衡器的前端IP位址設定為下一個躍點來完成。 內部負載平衡器會將內部流量分散到虛擬設備(負載平衡器後端集區)。

Azure 防火牆 是受控網路安全性服務,可保護您的 Azure 虛擬網絡 資源。 它是具狀態受控防火牆,具有高可用性和雲端延展性。 您可以橫跨訂用帳戶和虛擬網路集中建立、強制執行以及記錄應用程式和網路連線原則。 Azure 防火牆會為您的虛擬網路資源提供靜態公用 IP 位址。 它允許外部防火牆識別源自您虛擬網路的流量。 此服務與 Azure 監視器會完全整合,以進行記錄和分析。

如果您使用 Azure 虛擬 WAN 拓撲,Azure 防火牆 管理員是一項安全性管理服務,可為雲端式安全性周邊提供中央安全策略和路由管理。 其可與 Azure 虛擬 WAN 中樞搭配運作,這是Microsoft受控資源,可讓您輕鬆地建立中樞和輪輻架構。 當安全性和路由原則與中樞相關聯時,稱為安全虛擬中樞。

網路虛擬設備。 在中樞中,具有因特網存取權的周邊網路通常會透過 Azure 防火牆 實例或防火牆伺服器陣列或 Web 應用程式防火牆 (WAF) 來管理。

不同的企業營運通常會使用許多 Web 應用程式,這些應用程式通常會遭受各種弱點和潛在惡意探索。 Web 應用程式防火牆是一種特殊的產品類型,可用來比一般防火牆更有效率地偵測對 Web 應用程式和 HTTP/HTTPS 的攻擊。 相較於傳統防火牆技術,WAF 有一組特定功能來保護內部網頁伺服器免受威脅。

Azure 防火牆 或 NVA 防火牆會使用一般管理平面,並搭配一組安全性規則來保護輪輻中裝載的工作負載,以及控制對內部部署網路的存取。 Azure 防火牆 內建延展性,而 NVA 防火牆可以在負載平衡器後方手動調整。 一般而言,相較於 WAF,防火牆伺服器陣列具有較不特殊的軟體,但具有更廣泛的應用程式範圍來篩選和檢查輸入和輸出中的任何類型的流量。 如果使用 NVA 方法,可以從 Azure Marketplace 找到並部署它們。

建議您針對源自因特網的流量,使用一組 Azure 防火牆 實例或 NVA。 針對源自內部部署的流量使用另一個 。 只針對這兩組防火牆使用一組防火牆是一種安全性風險,因為它在兩組網路流量之間沒有安全性界限。 使用個別的防火牆層可減少檢查安全性規則的複雜度,這可清楚說明哪些規則對應至哪個連入網路要求。

Azure Load Balancer 提供高可用性第 4 層 (TCP/UDP) 服務,可在負載平衡集內定義的服務實例之間散發連入流量。 從前端端點(公用IP端點或私人IP端點)傳送至負載平衡器的流量,可以透過或不使用位址轉譯轉散發至一組後端IP位址池(例如網路虛擬設備或虛擬機)。

Azure Load Balancer 可以探查各種伺服器實例的健康情況。 當實例無法回應探查時,負載平衡器會停止將流量傳送至狀況不良的實例。 在虛擬數據中心,外部負載平衡器會部署到中樞和支點。 在中樞中,負載平衡器可用來有效率地跨防火牆實例路由傳送流量。 在輪輻中,負載平衡器可用來管理應用程式流量。

Azure Front Door (AFD) 是Microsoft高可用性且可調整的 Web 應用程式加速平臺、全域 HTTP 負載平衡器、應用程式保護和內容傳遞網路。 AFD 在 Microsoft 全球網路邊緣的 100 個以上的位置中執行,可讓您建置、操作及擴增動態 Web 應用程式和靜態內容。 AFD 為您的應用程式提供世界級的使用者效能、統一的區域/戳記維護自動化、BCDR 自動化、統一用戶端/使用者資訊、快取和服務深入解析。

平臺提供:

  • 效能、可靠性和支援服務等級協定 (SLA)。
  • 合規性認證。
  • Azure 所開發、操作和原生支援的可稽核安全性做法。

Azure Front Door 也提供 Web 應用程式防火牆 (WAF),可保護 Web 應用程式免於常見的弱點和暴露。

Azure 應用程式閘道 是提供受控應用程式傳遞控制器的專用虛擬設備。 它為您的應用程式提供各種第 7 層負載平衡功能。 它可讓您將 CPU 密集 SSL 終止卸除至應用程式閘道,以將 Web 伺服器數位效能優化。 它也提供其他第 7 層路由功能,例如傳入流量的迴圈配置、以 Cookie 為基礎的會話親和性、URL 路徑型路由,以及在單一應用程式閘道後方裝載多個網站的能力。 Web 應用程式防火牆 (WAF) 也會作為應用程式閘道 WAF SKU 的一部分提供。 此 SKU 可保護 Web 應用程式免於常見的 Web 弱點和惡意探索。 應用程式閘道可以設定為因特網對向閘道、僅限內部閘道或兩者的組合。

公用IP。 透過某些 Azure 功能,您可以將服務端點與公用 IP 位址產生關聯,以便從因特網存取您的資源。 此端點會使用 NAT 將流量路由傳送至 Azure 虛擬網路上的內部位址和埠。 此路徑是外部流量傳入虛擬網路的主要方式。 您可以設定公用IP位址,以判斷傳入的流量,以及其轉譯到虛擬網路的方式和位置。

Azure DDoS 保護透過特別針對 Azure 虛擬網路資源調整的基本服務層級,提供更多的風險降低功能。 DDoS 保護很簡單,不需要變更應用程式。 保護原則是透過專用的流量監視和機器學習演算法進行調整。 原則會套用至與虛擬網路中部署之資源相關聯的公用IP位址。 範例包括 Azure 負載平衡器、Azure 應用程式閘道和 Azure Service Fabric 實例。 近乎即時的系統產生記錄可透過 Azure 監視器檢視在攻擊和歷程記錄期間取得。 應用層保護可透過 Azure 應用程式閘道 Web 應用程式防火牆新增。 針對 IPv4 和 IPv6 Azure 公用 IP 位址提供保護。

中樞和輪輻拓撲會使用虛擬網路對等互連和使用者定義的路由,以正確路由傳送流量。

8

在圖表中,使用者定義的路由可確保流量會先從輪輻流向防火牆,再透過 ExpressRoute 網關傳遞至內部部署(如果防火牆原則允許該流程)。

元件類型:監視

監視元件 提供來自所有其他元件類型的可見度和警示。 所有小組都可以存取其可存取的元件和服務監視。 如果您有集中式技術支援中心或作業小組,則需要對這些元件所提供的數據進行整合式存取。

Azure 提供不同類型的記錄和監視服務,以追蹤 Azure 裝載資源的行為。 Azure 中工作負載的控管和控制不僅以收集記錄數據為基礎,也基於根據特定報告事件觸發動作的能力。

Azure 監視器。 Azure 包括在監視空間中執行特定角色或工作的多個獨立服務。 這些服務一起提供完整的解決方案,可從您的應用程式和支援的 Azure 資源收集、分析及處理系統產生的記錄。 它們也可以監視重要的內部部署資源,以提供混合式監視環境。 瞭解可用的工具和數據,是開發應用程式完整監視策略的第一個步驟。

Azure 監視器中有兩種基本類型的記錄:

  • 計量是數值,可描述系統在特定時間點的某些層面。 其輕量型且能夠支援近乎即時的案例。 針對許多 Azure 資源,您會在 Azure 入口網站 的 [概觀] 頁面中看到 Azure 監視器所收集的數據。 例如,查看任何虛擬機,您會看到數個顯示效能計量的圖表。 在 Azure 入口網站中選取任何圖表,即可在計量瀏覽器中開啟資料,讓您繪製隨時間變化的多個計量值的圖表。 您可以以互動式方式檢視圖表,或將圖表釘選到儀表板,以其他視覺效果檢視圖表。

  • 記錄包含不同種類的資料,以針對每種類型,以不同的屬性集組織成記錄。 事件和追蹤會儲存為記錄,以及效能數據,這些數據全都可以合併以供分析。 您可以使用查詢來分析 Azure 監視器所收集的記錄資料,以快速擷取、合併和分析收集的資料。 記錄會從 記錄分析進行儲存和查詢。 您可以在 Azure 入口網站 中使用記錄分析來建立及測試查詢,並使用這些工具直接分析數據,或儲存查詢以搭配視覺效果或警示規則使用。

9

Azure 監視器可從各種來源收集資料。 您可以將應用程式監視數據到 Azure 平臺本身,從您的應用程式、任何作業系統和其依賴的服務,到階層。 Azure 監視器會從下列各階層收集資料:

  • 應用程式監視資料:您所撰寫程式碼的效能和功能相關資料 (不論其平台為何)。
  • 客體 OS 監視資料:有關應用程式執行所在作業系統的資料。 此作業系統可以在 Azure、其他雲端或內部部署環境中執行。
  • Azure 資源監視資料:有關 Azure 資源作業的資料。
  • Azure 訂用帳戶監視數據: Azure 訂用帳戶作業和管理的相關數據,以及 Azure 本身的健康情況和作業。
  • Azure 租用戶監視資料:有關租用戶層級 Azure 服務 (例如 Microsoft Entra ID) 作業的資料。
  • 自訂來源: 也可以包含從內部部署來源傳送的記錄。 範例包括內部部署伺服器事件或網路裝置 syslog 輸出。

只有當監視資料可以讓您更清楚了解運算環境中的作業時,監視資料才有實用性。 Azure 監視器包含數個功能與工具,可為您的應用程式及其相依的其他資源提供寶貴的見解。 監視應用程式見解和適用於容器的 Azure 監視器等解決方案和功能,可為應用程式和特定 Azure 服務的不同層面提供深入解析。

Azure 監視器中的監視解決方案是封裝的一組邏輯,可提供特定應用程式或服務的見解。 其中包括收集應用程式或服務監視數據的邏輯、分析該數據的查詢,以及視覺效果的檢視。 監視解決方案可從Microsoft和合作夥伴取得,以提供各種 Azure 服務和其他應用程式的監視。

透過這類豐富的數據集合,請務必對環境中發生的事件採取主動式動作,特別是單靠手動查詢就不夠。 Azure 監視器的警示會主動通知您重大狀況,並可能嘗試採取矯正措施。 以計量為基礎的警示規則會根據數值提供近乎即時的警示。 根據記錄的警示規則,允許從多個來源的數據進行複雜的邏輯。 Azure 監視器中的警示規則會使用動作群組,其包含可在多個規則中共用的幾組特定收件者與動作。 根據您的需求,動作群組可以使用 Webhook 來啟動外部動作或與您的 ITSM 工具整合警示。

Azure 監視器也允許建立自定義儀錶板。 Azure 儀錶板可讓您將不同類型的數據,包括計量和記錄合併到 Azure 入口網站 中的單一窗格。 您可以選擇性地與其他 Azure 使用者共用儀表板。 除了任何記錄查詢或計量圖表的輸出之外,還可以將整個 Azure 監視器中的元素新增至 Azure 儀錶板。 例如,您可以建立儀錶板,結合顯示計量圖表、活動記錄數據表、Application Insights 的使用圖表,以及記錄查詢的輸出。

最後,Azure 監視器數據是 Power BI 的原生來源。 Power BI 是一種商務分析服務,其可跨各種資料來源提供互動式視覺效果。 這也是讓組織內外其他人使用數據的有效方法。 您可以將Power BI 設定為從 Azure 監視器自動匯入記錄數據,以利用這些更多視覺效果。

Azure 網路監看員 提供工具來監視、診斷和檢視計量,以及啟用或停用 Azure 虛擬網路中資源的記錄。 這是一項多方面的服務,可讓下列功能及更多功能:

  • 監視虛擬機器與端點之間的通訊。
  • 檢視虛擬網路中的資源及其關聯性。
  • 診斷 VM 的網路流量篩選問題。
  • 診斷來自 VM 的網路路由問題。
  • 診斷 VM 的輸出連線。
  • 從 VM 擷取封包。
  • 診斷虛擬網路閘道和連線的問題。
  • 判斷 Azure 區域與因特網服務提供者之間的相對延遲。
  • 檢視網路介面的安全性規則。
  • 檢視網路計量。
  • 分析網路安全組的流量。
  • 檢視網路資源的診斷記錄。

元件類型:工作負載

工作負載元件是您實際應用程式和服務所在的位置。 您的應用程式開發小組大部分時間都花在了其中。

工作負載的可能性是無休止的。 以下是幾個可能的工作負載類型:

內部應用程式: 企業營運應用程式對於企業營運至關重要。 這些應用程式有一些常見的特性:

  • 互動式: 輸入數據,並傳回結果或報表。
  • 數據驅動: 經常存取資料庫或其他記憶體的數據密集。
  • 整合: 提供與組織內外其他系統的整合。

客戶面向的網站(因特網面向或內部面向): 大部分的因特網應用程式都是網站。 Azure 可以透過 IaaS 虛擬機或 Azure Web Apps 網站 (PaaS) 來執行網站。 Azure Web 應用程式會與虛擬網路整合,以在輪輻網路區域中部署 Web 應用程式。 內部面向的網站不需要公開公用因特網端點,因為資源可透過私人非因特網路由位址從私人虛擬網路存取。

巨量數據分析: 當數據需要相應增加至較大的磁碟區時,關係資料庫可能無法在數據極端負載或非結構化性質下執行良好。 Azure HDInsight 是企業雲端中受控、全方位的開放原始碼分析服務。 您可以使用開放原始碼架構,例如 Hadoop、Apache Spark、Apache Hive、LLAP、Apache Kafka、Apache Storm 和 R。HDInsight。 這支援部署至位置型虛擬網路,其可部署到虛擬數據中心支點中的叢集。

事件和傳訊:Azure 事件中樞 是巨量數據串流平臺和事件擷取服務。 它每秒可接收和處理數百萬個事件。 它提供低延遲和可設定的時間保留,讓您將大量數據內嵌至 Azure,並從多個應用程式讀取數據。 單一數據流可以同時支持即時和批次型管線。

您可以透過 Azure 服務匯流排,在應用程式和服務之間實作高度可靠的雲端傳訊服務。 它提供客戶端與伺服器之間的異步代理傳訊、結構化先出 (FIFO) 傳訊,以及發佈和訂閱功能。

10

這些範例幾乎無法暫存您可以在 Azure 中建立的工作負載類型介面。 您可以從基本 Web 和 SQL 應用程式建立所有專案,到 IoT、巨量數據、機器學習、AI 等等。

高可用性:多個虛擬數據中心

到目前為止,本文著重於單一 VDC 的設計,說明有助於復原的基本元件和架構。 Azure 功能,例如 Azure Load Balancer、NVA、可用性區域、可用性設定組、擴展集,以及其他功能,可協助您將穩固的 SLA 層級納入生產服務。

不過,由於虛擬數據中心通常會在單一區域內實作,因此可能會容易受到影響整個區域的中斷。 需要高可用性的客戶必須在部署至不同區域的兩個或多個 VDC 實作中,透過部署相同專案的部署來保護服務。

除了 SLA 考慮之外,還有數個常見案例受益於執行多個虛擬數據中心:

  • 您的終端使用者或合作夥伴的區域或全球存在。
  • 災害復原需求。
  • 在數據中心之間轉移流量以取得負載或效能的機制。

區域/全球目前狀態

Azure 資料中心存在於全球許多區域中。 選取多個 Azure 資料中心時,請考慮兩個相關因素:地理距離和延遲。 若要優化用戶體驗,請評估每個虛擬數據中心與每個虛擬數據中心與使用者之間的距離。

裝載虛擬數據中心的 Azure 區域必須符合貴組織運作之任何法律管轄範圍的法規需求。

災害復原

災害復原計劃的設計取決於工作負載類型,以及在不同 VDC 實作之間同步處理這些工作負載狀態的能力。 在理想情況下,大部分客戶都需要快速故障轉移機制,而且這項需求可能需要在多個 VDC 實作中執行的部署之間執行的應用程式數據同步處理。 不過,在設計災害復原計劃時,請務必考慮大部分應用程式對於此數據同步處理可能造成的延遲有敏感性。

不同 VDC 實作中應用程式的同步處理和活動訊號監視,需要它們透過網路進行通訊。 不同區域中的多個 VDC 實作可以透過:

  • 內建於 Azure 虛擬 WAN 中樞的中樞對中樞通訊,跨相同虛擬 WAN 中的區域。
  • 虛擬網路對等互連可跨區域連線中樞。
  • 當每個 VDC 實作中的中樞連線到相同的 ExpressRoute 線路時,ExpressRoute 私人對等互連。
  • 透過公司骨幹連線的多個 ExpressRoute 線路,以及連線到 ExpressRoute 線路的多個 VDC 實作。
  • 每個 Azure 區域中 VDC 實作中樞區域之間的站對站 VPN 連線。

一般而言,虛擬 WAN 中樞、虛擬網路對等互連或 ExpressRoute 連線是網路連線的慣用,因為透過Microsoft骨幹時,帶寬較高且延遲層級一致。

執行網路資格測試來驗證這些連線的延遲和頻寬,並根據結果決定同步或異步數據復寫是否適當。 在最佳復原時間目標(RTO)的檢視下,權衡這些結果也很重要。

災害復原:將流量從一個區域轉移到另一個區域

Azure 流量管理員 和 Azure Front Door 都會定期檢查不同 VDC 實作中接聽端點的服務健康情況。 如果這些端點失敗,Azure 流量管理員 和 Azure Front Door 路由會自動路由至下一個最接近的 VDC。 流量管理員 會使用即時用戶測量和 DNS,將使用者路由傳送至最接近的使用者(或在失敗期間下一個最接近)。 Azure Front Door 是超過 100 個Microsoft骨幹邊緣網站的反向 Proxy,使用任何廣播將使用者路由至最接近的接聽端點。

摘要

移轉的虛擬數據中心方法是建立可調整的架構,以優化 Azure 資源使用、降低成本,以及簡化系統控管。 虛擬數據中心通常是以中樞和輪輻網路拓撲為基礎(使用虛擬網路對等互連或虛擬 WAN 中樞)。 中樞中提供的一般共享服務,而特定應用程式和工作負載則會部署在輪輻中。 虛擬數據中心也符合公司角色的結構,其中不同的部門,例如中央IT、DevOps和作業和維護,都會在執行其特定角色時一起運作。 虛擬數據中心支援將現有的內部部署工作負載遷移至 Azure,但也提供雲端原生部署的許多優點。

參考資料

深入瞭解本文件中討論的 Azure 功能。

下一步

  • 深入瞭解 虛擬網路對等互連、中樞和輪輻拓撲的核心技術。
  • 作 Microsoft Entra 識別符 ,以使用 Azure 角色型訪問控制
  • 使用 Azure 角色型存取控制來開發訂用帳戶和資源管理模型,以符合組織的結構、需求和原則。 最重要的活動是規劃。 分析重組、合併、新生產線和其他考慮將如何影響您的初始模型,以確保您可以調整規模以符合未來的需求和成長。