Spolehlivost a azure Virtual Network
Azure Virtual Network základní stavební blok vaší privátní sítě umožňuje prostředkům Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi.
Mezi klíčové funkce Azure Virtual Network patří:
- Komunikace s prostředky Azure
- Komunikace s internetem
- Komunikace s místními prostředky
- Filtrování síťového provozu
Další informace najdete v tématu Co je Azure Virtual Network?
Informace o tom, jak Azure Virtual Network podporuje spolehlivé úlohy, najdete v následujících tématech:
- Kurz: Přesun virtuálních počítačů Azure mezi oblastmi
- Rychlý start: Vytvoření virtuální sítě pomocí webu Azure Portal
- Virtual Network – Provozní kontinuita
Na co dát pozor při navrhování
Virtual Network (VNet) zahrnuje následující aspekty návrhu pro spolehlivou úlohu Azure:
- Překrývající se adresní prostory IP adres napříč místním prostředím a oblastmi Azure vytvářejí velké kolize.
- I když je možné po vytvoření přidat Virtual Network adresní prostor, tento proces vyžaduje výpadek, pokud je Virtual Network již připojen k jinému Virtual Network prostřednictvím partnerského vztahu. Výpadek je nutný, protože partnerský vztah Virtual Network se odstraní a znovu vytvoří.
- Změna velikosti partnerských virtuálních sítí je ve verzi Public Preview (20. srpna 2021).
- Některé služby Azure vyžadují vyhrazené podsítě, například:
- Brána Azure Firewall
- Azure Bastion
- Brána virtuální sítě
- Podsítě je možné delegovat na určité služby a vytvořit tak instance této služby v rámci podsítě.
- Azure v rámci každé podsítě vyhrazuje pět IP adres, které by se měly zohlednit při nastavování velikosti virtuálních sítí a zahrnutých podsítí.
Kontrolní seznam
Nakonfigurovali jste azure Virtual Network s ohledem na spolehlivost?
- Pomocí plánů Azure DDoS Standard Protection můžete chránit všechny veřejné koncové body hostované ve virtuálních sítích zákazníka.
- Podnikoví zákazníci musí naplánovat přidělování IP adres v Azure, aby zajistili, že se adresní prostor IP adres nepřekrývá mezi místními umístěními a oblastmi Azure.
- Použijte IP adresy z přidělování adres pro privátní internety (RFC (Request for Comment) 1918).
- V prostředích s omezenou dostupností privátních IP adres (RFC 1918) zvažte použití protokolu IPv6.
- Nevytvářejte zbytečně velké virtuální sítě (například :
/16), abyste zajistili, že nebudete zbytečně plýttváte prostorem IP adres. - Nevytvovávejte virtuální sítě bez plánování požadovaného adresního prostoru předem.
- Nepoužívejte veřejné IP adresy pro virtuální sítě, zejména pokud veřejné IP adresy nepatří zákazníkovi.
- Pomocí koncových bodů služeb virtuální sítě můžete zabezpečit přístup ke službám Azure PaaS (Platforma jako služba) z virtuální sítě zákazníka.
- Pokud chcete vyřešit problémy s exfiltrací dat u koncových bodů služby, použijte filtrování síťových virtuálních zařízení (NVA) a zásady koncových bodů služby virtuální sítě pro Azure Storage.
- Neimplementujte vynucené tunelování, které umožňuje komunikaci z Azure do prostředků Azure.
- Přístup ke službám Azure PaaS z místního prostředí prostřednictvím privátního partnerského vztahu ExpressRoute
- Pokud chcete získat přístup ke službám Azure PaaS z místních sítí, když nejsou k dispozici injektáž virtuální sítě nebo Private Link, použijte ExpressRoute s partnerským vztahem Microsoftu, pokud neexistují žádné obavy z exfiltrace dat.
- Do Azure nereplikujte koncepty a architektury místní hraniční sítě (označované také jako DMZ, demilitarizovaná zóna a promítaná podsíť).
- Ujistěte se, že komunikace mezi službami Azure PaaS vloženými do Virtual Network je uzamčená v rámci Virtual Network pomocí tras definovaných uživatelem a skupin zabezpečení sítě (NSG).
- Koncové body služeb virtuální sítě nepoužívejte, pokud se nepoužívá filtrování síťových virtuálních virtuálních zařízení, pokud se nepoužívá exfiltrace dat.
- Ve výchozím nastavení nepovolujte koncové body služeb virtuální sítě ve všech podsítích.
Doporučení ke konfiguraci
Při konfiguraci azure Virtual Network zvažte následující doporučení pro optimalizaci spolehlivosti:
| Doporučení | Description |
|---|---|
| Nevytvovávejte virtuální sítě bez plánování požadovaného adresního prostoru předem. | Přidání adresního prostoru způsobí výpadek, jakmile se Virtual Network připojí prostřednictvím partnerského vztahu Virtual Network. |
| Pomocí koncových bodů služeb virtuální sítě můžete zabezpečit přístup ke službám Azure PaaS (Platforma jako služba) z virtuální sítě zákazníka. | Pouze v případě, že Private Link není k dispozici a pokud nedochází k obavám z exfiltrace dat. |
| Přístup ke službám Azure PaaS z místního prostředí prostřednictvím privátního partnerského vztahu ExpressRoute | Použijte buď injektáž virtuální sítě pro vyhrazené služby Azure, nebo Azure Private Link pro dostupné sdílené služby Azure. |
| Pokud chcete získat přístup ke službám Azure PaaS z místních sítí, když nejsou k dispozici injektáž virtuální sítě nebo Private Link, použijte ExpressRoute s partnerským vztahem Microsoftu, pokud neexistují žádné obavy z exfiltrace dat. | Vyhýbá se průchodu přes veřejný internet. |
| Do Azure nereplikujte koncepty a architektury místní hraniční sítě (označované také jako DMZ, demilitarizovaná zóna a promítaná podsíť). | Zákazníci můžou v Azure získat podobné možnosti zabezpečení jako místní, ale implementaci a architekturu bude potřeba přizpůsobit cloudu. |
| Ujistěte se, že komunikace mezi službami Azure PaaS vloženými do Virtual Network je uzamčená v rámci Virtual Network pomocí tras definovaných uživatelem a skupin zabezpečení sítě (NSG). | Služby Azure PaaS vložené do Virtual Network stále provádět operace roviny správy pomocí veřejných IP adres. |