網路拓樸和連線能力

網路拓撲和連線設計區域對於建立雲端網路設計的基礎非常重要。

設計區域檢閱

涉及的角色或功能：此設計區域可能需要來自一或多個雲端平台和卓越雲端中心的支援，才可制定並實作決策。

範圍：網路設計的目標是要讓您的雲端網路設計與整體雲端採用方案保持一致。 如果您的雲端採用方案包含混合式或多重雲端相依性，或如果您基於其他原因，而需要連線能力，則這些連線選項以及預期的流量模式也應納入您的網路設計中。

範圍不足： 此設計區域會建立網路的基礎。 它無法解決合規性相關問題，例如進階網路安全性或自動化強制執行防護。 當您檢閱安全性與治理合規性設計區域時，就會出現該指導方針。 延後安全性和治理討論可讓雲端平臺小組在擴充其物件以取得更複雜的主題之前，先解決初始網路需求。

設計區域概觀

網路拓撲和連線能力是規劃登陸區域設計的組織的基礎。 網路是登陸區域內幾乎所有專案的核心。 它可連線到其他 Azure 服務、外部使用者和內部部署基礎結構。 網路拓撲和連線能力位於 Azure 登陸區域設計區域 的環境群組 中。 此群組是以核心設計和實作決策的重要性為基礎。

在 概念 Azure 登陸區域架構中，有兩個主要的管理群組裝載工作負載：Corp 和 Online。 這些管理群組在組織和控管 Azure 訂用帳戶時提供不同的用途。 各種 Azure 登陸區域管理群組之間的網路關聯性取決於組織的特定需求和網路架構。 接下來的幾節將討論 Corp、 Online和 連線管理群組 之間的網路關聯性，與 Azure 登陸區域加速器所提供的相關。

連線能力、公司與線上管理群組的用途為何？

• 連線管理群組：此管理群組包含連線的專用訂用帳戶，通常是大部分組織的單一訂用帳戶。 這些訂用帳戶會裝載平臺所需的 Azure 網路資源，例如 Azure Virtual WAN、虛擬網路閘道、Azure 防火牆和 Azure DNS 私人區域。 它也可在雲端與內部部署環境之間建立混合式連線，並使用 ExpressRoute 等服務。
• 公司管理群組：公司登陸區域的專用管理群組。 此群組旨在包含裝載工作負載的訂用帳戶，這些工作負載需要透過連線訂用帳戶中的中樞與公司網路進行傳統 IP 路由連線或混合式連線，因此形成相同路由網域的一部分。 內部系統之類的工作負載不會直接公開至網際網路，但可能透過反向 Proxy 等公開，例如應用程式閘道。
• 線上管理群組：線上登陸區域的專用管理群組。 此群組旨在包含用於公開資源的訂用帳戶，例如網站、電子商務應用程式和客戶面向服務。 例如，組織可以使用線上管理群組，將公開資源與 Azure 環境的其餘部分隔離，減少受攻擊面，並確保公開資源安全且可供客戶使用。

為什麼我們會建立 Corp 和 Online 管理群組來分隔工作負載？

概念 Azure 登陸區域架構中 Corp 和 Online 管理群組之間的網路考慮差異在於其預定用途和主要用途。

Corp 管理群組可用來管理和保護內部資源和服務，例如企業營運應用程式、資料庫和使用者管理。 Corp 管理群組的網路考慮著重于在內部資源之間提供安全且有效率的連線，同時強制執行嚴格的安全性原則，以防止未經授權的存取。

概念 Azure 登陸區域架構中的線上管理群組可以視為隔離的環境，用來管理可從網際網路存取的公開資源和服務。 透過使用線上管理群組來管理公開資源，Azure 登陸區域架構提供一種方式來隔離這些資源與內部資源，進而降低未經授權的存取風險，並將受攻擊面降至最低。

在概念 Azure 登陸區域架構中，線上管理群組中的虛擬網路可以選擇性地與 Corp 管理群組中的虛擬網路對等互連，透過中樞和透過Azure 防火牆或 NVA 的關聯路由需求，直接或間接地透過Azure 防火牆或 NVA 與內部資源進行對等互連，讓公開資源以安全且受控制的方式與內部資源通訊。 此拓撲可確保公用資源與內部資源之間的網路流量安全且受限制，同時仍允許資源視需要進行通訊。

提示

在 Azure 登陸區域的每個管理群組上，也請務必瞭解並檢閱指派和繼承的 Azure 原則。 隨著這些說明成形，保護及控管這些管理群組中訂用帳戶內所部署的工作負載。 您可以 在這裡找到 Azure 登陸區域的原則指派。