共用方式為

Azure 登陸區域中的 Azure 虛擬網絡 管理員

  • 發行項

本文說明如何使用 虛擬網絡 Manager 來實作 Azure 登陸區域設計原則,以配合應用程式大規模移轉、現代化和創新。 Azure 登陸區域概念架構建議兩個網路拓撲之一:以 Azure 虛擬 WAN 為基礎的網路拓撲,或以傳統中樞和輪輻架構為基礎的網路拓撲。

您可以使用 虛擬網絡 Manager 擴充和實作網路變更,因為您的商務需求隨著時間而變更,例如如果您需要混合式連線,才能將內部部署應用程式遷移至 Azure。 在許多情況下,您可以擴充和實作網路變更,而不會中斷 Azure 中已部署的資源。

您可以使用 虛擬網絡 Manager,針對現有和新的虛擬網路,跨訂用帳戶建立三種類型的拓撲

  • 中樞和輪輻拓撲
  • 格線拓撲 (預覽)
  • 輪輻與輪輻之間具有直接連線功能的中樞與輪輻拓撲

顯示 Azure 虛擬網路拓撲的圖表。

虛擬網絡 管理員支援私人預覽版中的虛擬 WAN。

虛擬網絡 Manager 中具有直接連線功能的中樞和輪輻拓撲,具有直接連線到彼此的輪輻。 線上的群組功能會自動和雙向啟用相同網路群組中輪輻虛擬網路之間的直接連線。 兩個連線的群組可以有相同的虛擬網路。

您可以使用 虛擬網絡 管理員,以靜態方式或動態將虛擬網路新增至特定網路群組。 將虛擬網路新增至特定網路群組,以根據 虛擬網絡 Manager 中的連線設定來定義和建立所需的拓撲。

您可以建立多個網路群組,以隔離虛擬網路群組與直接連線。 每個網路群組都提供輪輻對輪輻連線的相同區域和多重區域支援。 留在 虛擬網絡 管理員定義的限制內。 如需詳細資訊,請參閱 虛擬網絡 管理員常見問題

從安全性觀點來看,無論網路安全組 (NSG) 中定義的規則為何,虛擬網絡 管理員提供有效率的方式套用安全性系統管理員規則,以集中拒絕或允許流量流動。 這項功能可讓網路安全系統管理員強制執行訪問控制,並讓應用程式擁有者在 NSG 中管理自己的較低層級規則。

您可以使用 虛擬網絡 Manager 將虛擬網路分組。 接著,您可以將組態套用至群組,而不是套用至個別虛擬網路。 使用這項功能可同時管理連線、組態和拓撲、安全性規則,以及部署至一或多個區域,而不會遺失精細的控制。

您可以依環境、小組、位置、企業營運,或符合您需求的一些其他功能來分割網路。 若要以靜態或動態方式定義網路群組,請建立一組管理群組成員資格的條件。

設計考量

  • 在傳統的中樞與輪輻部署中,您可以手動建立和維護虛擬網路對等互連連線。 虛擬網絡 Manager 引進虛擬網路對等互連的自動化層,讓大型且複雜的網路拓撲,例如網格更容易大規模管理。 如需詳細資訊,請參閱 網路群組概觀

  • 各種商務功能的安全性需求會決定建立網路群組的需求。 網路群組是您手動或透過條件語句選取的一組虛擬網路。 當您建立網路群組時,您必須指定原則,或 虛擬網絡 管理員可以建立原則,如果您明確允許該原則。 此原則可讓 虛擬網絡 管理員收到變更的通知。 若要更新現有的 Azure 原則計劃,您必須將變更部署至 虛擬網絡 Manager 資源內的網路群組。

  • 若要設計適當的網路群組,您應該評估網路的各個部分共用常見的安全性特性。 例如,您可以建立公司與在線的網路群組,以大規模管理其連線和安全性規則。

  • 當組織訂用帳戶中的多個虛擬網路共用相同的安全性屬性時,您可以使用 虛擬網絡 Manager 有效率地套用它們。 例如,您應該將所有像 HR 或財務等業務單位所使用的系統放在不同的網路群組中,因為您需要將不同的系統管理員規則套用至它們。

  • 虛擬網絡 管理員可以集中套用安全性系統管理員規則,其優先順序高於子網層級所套用的 NSG 規則。 (這項功能處於預覽狀態。這項功能可讓網路和安全性小組有效地強制執行公司原則,並大規模建立安全性防護。 它也可讓產品小組同時控制其登陸區域訂用帳戶內的NSG。

  • 您可以使用 虛擬網絡 Manager 安全性系統管理員規則功能,明確允許或拒絕特定網路流程,而不論子網或網路介面層級上的 NSG 設定為何。 例如,您可以使用這項功能,一律允許管理服務網路流程。 應用程式小組控制的 NSG 無法覆寫這些規則。

設計建議

  • 定義 虛擬網絡 管理員的範圍。 套用安全性系統管理員規則,以在根管理群組或租用戶上強制執行組織層級規則。 此策略會以階層方式自動將規則套用至現有的資源、新資源,以及所有相關聯的管理群組。

  • 使用中繼根管理群組的範圍,在 連線ivity訂用帳戶中建立 虛擬網絡 Manager 實例,例如 Contoso。 在此實例上啟用安全性系統管理員功能。 此設定可讓您定義安全性系統管理員規則,以套用至 Azure 登陸區域階層中的所有虛擬網路和子網,並協助您將 NSG 大眾化為應用程式登陸區域擁有者和小組。

  • 以靜態方式將虛擬網路分組來分割網路,也就是手動程式,或以動態方式分割網路,也就是以原則為基礎的進程。

  • 當選取的輪輻需要頻繁通訊、低延遲和高輸送量,以及輪輻需要存取中樞中的一般服務或網路虛擬設備時,啟用輪輻之間的直接連線。

  • 當跨區域的所有虛擬網路需要彼此通訊時,啟用全域網格。

  • 將優先順序值指派給規則集合中的每個安全性系統管理員規則。 值越低,規則的優先順序就越高。

  • 無論應用程式小組控制的 NSG 設定為何,使用 安全性系統管理員規則 來明確允許或拒絕網路流程。 使用安全性系統管理員規則,將 NSG 及其規則的控制完全委派給應用程式小組。

後續步驟

自動管理使用者定義的路由 (UDR)