Síťová topologie a možnosti připojení

  • Článek

Oblast návrhu síťové topologie a připojení jsou zásadní pro vytvoření základu návrhu cloudové sítě.

Kontrola oblasti návrhu

Zahrnuté role nebo funkce: Tato oblast návrhu pravděpodobně vyžaduje podporu jedné nebo více cloudových platforem a funkcí v cloudovém centru pro špičkové funkce, aby mohla provádět a implementovat rozhodnutí.

Rozsah: Cílem návrhu sítě je sladění návrhu cloudové sítě s celkovými plány přechodu na cloud. Pokud plány přechodu na cloud zahrnují hybridní nebo multicloudové závislosti nebo pokud potřebujete připojení z jiných důvodů, měl by návrh sítě zahrnovat také tyto možnosti připojení a očekávané vzory provozu.

Mimo rozsah: Tato oblast návrhu vytváří základ pro sítě. Neřeší problémy související s dodržováním předpisů, jako jsou pokročilé zabezpečení sítě nebo automatizované mantinely vynucení. Při kontrole oblastí návrhu dodržování předpisů v oblasti zabezpečení a zásad správného řízení se tato příručka týká. Odložení diskuzí o zabezpečení a zásadách správného řízení umožňuje týmu cloudové platformy řešit počáteční síťové požadavky, než rozšíří cílovou skupinu pro složitější témata.

Přehled oblasti návrhu

Topologie sítě a možnosti připojení jsou zásadní pro organizace, které plánují návrh cílové zóny. Sítě jsou centrální pro téměř všechno uvnitř cílové zóny. Umožňuje připojení k dalším službám Azure, externím uživatelům a místní infrastruktuře. Topologie sítě a možnosti připojení jsou v oblasti návrhu cílových zón Azure ve skupině prostředí. Toto seskupení je založeno na jejich důležitosti v základních rozhodnutích o návrhu a implementaci.

Diagram síťových oblastí konceptuální hierarchie skupin pro správu ALZ

V koncepční architektuře cílové zóny Azure existují dvě hlavní skupiny pro správu hostující úlohy: Corp a Online. Tyto skupiny pro správu slouží k uspořádání a řízení předplatných Azure jedinečným účelům. Síťový vztah mezi různými skupinami pro správu cílových zón Azure závisí na konkrétních požadavcích organizace a architektuře sítě. V následujících několika částech najdete informace o síťovém vztahu mezi skupinami pro správu Corp, Online a Connectivity ve vztahu k tomu, co poskytuje akcelerátor cílové zóny Azure.

Jaký je účel skupin pro správu připojení, corp a online?

  • Skupina pro správu připojení: Tato skupina pro správu obsahuje vyhrazená předplatná pro připojení, obvykle jedno předplatné pro většinu organizací. Tato předplatná hostují síťové prostředky Azure vyžadované pro platformu, jako jsou Azure Virtual WAN, brány virtuální sítě, azure firewall a privátní zóny Azure DNS. Je také místem, kde se vytváří hybridní připojení mezi cloudem a místním prostředím, pomocí služeb, jako je ExpressRoute atd.
  • Skupina pro správu Corp: Vyhrazená skupina pro správu pro podnikové cílové zóny. Tato skupina má obsahovat předplatná, která hostují úlohy, které vyžadují tradiční připojení směrování IP nebo hybridní připojení k podnikové síti prostřednictvím centra v předplatném připojení, a proto tvoří součást stejné domény směrování. Úlohy, jako jsou interní systémy, nejsou vystavené přímo na internetu, ale můžou být vystavené prostřednictvím reverzních proxy serverů atd., jako jsou služby Application Gateway.
  • Online skupina pro správu: Vyhrazená skupina pro správu pro online cílové zóny. Tato skupina má obsahovat předplatná používaná pro veřejně přístupné prostředky, jako jsou weby, aplikace elektronického obchodování a služby přístupné zákazníkům. Organizace můžou například pomocí skupiny pro správu Online izolovat veřejně přístupné prostředky od zbytku prostředí Azure, snížit prostor pro útoky a zajistit, aby veřejné prostředky byly zabezpečené a dostupné zákazníkům.

Proč jsme vytvořili skupiny pro správu Corp a Online pro oddělení úloh?

Rozdíl v aspektech sítí mezi skupinami pro správu Corp a Online v koncepční architektuře cílové zóny Azure spočívá v jejich zamýšleném použití a primárním účelu.

Skupina pro správu Corp slouží ke správě a zabezpečení interních prostředků a služeb, jako jsou obchodní aplikace, databáze a správa uživatelů. Aspekty sítí pro skupinu pro správu Corp se zaměřují na poskytování zabezpečeného a efektivního připojení mezi interními prostředky a při vynucování striktních zásad zabezpečení pro ochranu před neoprávněným přístupem.

Skupinu pro správu Online v koncepční architektuře cílové zóny Azure je možné považovat za izolované prostředí, které slouží ke správě veřejných prostředků a služeb, které jsou přístupné z internetu. Díky použití skupiny pro správu Online ke správě veřejných prostředků poskytuje architektura cílové zóny Azure způsob, jak tyto prostředky izolovat od interních prostředků, čímž snižuje riziko neoprávněného přístupu a minimalizuje prostor pro útoky.

V koncepční architektuře cílové zóny Azure může být virtuální síť ve skupině pro správu Online volitelně propojená s virtuálními sítěmi ve skupině pro správu Corp, ať už přímo nebo nepřímo prostřednictvím centra a přidružených požadavků na směrování prostřednictvím brány Azure Firewall nebo síťového virtuálního zařízení, což umožňuje veřejně přístupné prostředky komunikovat s interními prostředky zabezpečeným a řízeným způsobem. Tato topologie zajišťuje, že síťový provoz mezi veřejnými prostředky a interními prostředky je zabezpečený a omezený a zároveň umožňuje prostředkům komunikovat podle potřeby.

Tip

Je také důležité pochopit a zkontrolovat zásady Azure, které jsou přiřazené a zděděné, v každé skupině pro správu v rámci cílové zóny Azure. S tím, jak tyto úlohy pomáhají tvarovat, chránit a řídit úlohy nasazené v rámci předplatných, která jsou v těchto skupinách pro správu. Přiřazení zásad pro cílové zóny Azure najdete tady.