Topologia e conectividade de rede
A topologia de rede e a área de design de conectividade são essenciais para estabelecer uma base para o seu projeto de rede em nuvem.
Revisão da área de design
Funções ou funções envolvidas: Esta área de design provavelmente requer suporte de uma ou mais funções de plataforma de nuvem e centro de excelência em nuvem para tomar e implementar decisões.
Escopo: O objetivo do design de rede é alinhar seu projeto de rede de nuvem com os planos gerais de adoção de nuvem. Se seus planos de adoção de nuvem incluírem dependências híbridas ou multicloud, ou se você precisar de conectividade por outros motivos, seu design de rede também deverá incorporar essas opções de conectividade e padrões de tráfego esperados.
Fora do escopo: Esta área de design estabelece a base para o networking. Ele não aborda problemas relacionados à conformidade, como segurança de rede avançada ou guardrails de aplicação automatizados. Essa orientação vem quando você analisa as áreas de design de conformidade de segurança e governança . Adiar as discussões sobre segurança e governança permite que a equipe da plataforma de nuvem atenda aos requisitos iniciais de rede antes de expandir seu público para tópicos mais complexos.
Visão geral da área de design
A topologia de rede e a conectividade são fundamentais para as organizações que estão planejando seu projeto de zona de aterrissagem. A rede é fundamental para quase tudo dentro de uma zona de pouso. Ele permite a conectividade com outros serviços do Azure, usuários externos e infraestrutura local. A topologia de rede e a conectividade estão no grupo ambiental das áreas de design da zona de aterrissagem do Azure. Este agrupamento baseia-se na sua importância nas principais decisões de conceção e implementação.
Na arquitetura conceitual da zona de aterrissagem do Azure, há dois grupos de gerenciamento principais que hospedam cargas de trabalho: Corp e Online. Esses grupos de gerenciamento têm finalidades distintas na organização e administração de assinaturas do Azure. A relação de rede entre os vários grupos de gerenciamento de zonas de aterrissagem do Azure depende dos requisitos específicos da organização e da arquitetura de rede. As próximas seções discutem a relação de rede entre Corp, Online e os grupos de gerenciamento de conectividade em relação ao que o acelerador de zona de aterrissagem do Azure fornece.
Qual é o objetivo dos Grupos de Gestão de Conectividade, Corp e Online?
- Grupo de gerenciamento de conectividade: esse grupo de gerenciamento contém assinaturas dedicadas para conectividade, geralmente uma única assinatura para a maioria das organizações. Essas assinaturas hospedam os recursos de rede do Azure necessários para a plataforma, como WAN Virtual do Azure, Gateways de Rede Virtual, Firewall do Azure e zonas privadas do DNS do Azure. É também onde a conectividade híbrida é estabelecida entre a nuvem e os ambientes locais, usando serviços como ExpressRoute, etc.
- Corp management group: O grupo de gestão dedicado às zonas de desembarque corporativo. Esse grupo destina-se a conter assinaturas que hospedam cargas de trabalho que exigem conectividade de roteamento IP tradicional ou conectividade híbrida com a rede corporativa por meio do hub na assinatura de conectividade e, portanto, fazem parte do mesmo domínio de roteamento. Cargas de trabalho, como sistemas internos, não são expostas diretamente à Internet, mas podem ser expostas por meio de proxies reversos, etc., como gateways de aplicativos.
- Grupo de gerenciamento on-line: O grupo de gerenciamento dedicado para zonas de pouso on-line. Esse grupo destina-se a conter assinaturas usadas para recursos voltados para o público, como sites, aplicativos de comércio eletrônico e serviços voltados para o cliente. Por exemplo, as organizações podem usar o grupo de gerenciamento Online para isolar recursos voltados para o público do restante do ambiente do Azure, reduzindo a superfície de ataque e garantindo que os recursos voltados para o público estejam seguros e disponíveis para os clientes.
Por que criamos grupos de gerenciamento Corp e Online para separar cargas de trabalho?
A diferença nas considerações de rede entre os grupos de gerenciamento Corp e Online na arquitetura conceitual da zona de aterrissagem do Azure está em seu uso pretendido e finalidade principal.
O grupo de gestão Corp é utilizado para gerir e proteger recursos e serviços internos, tais como aplicações de linha de negócio, bases de dados e gestão de utilizadores. As considerações de rede para o grupo de gerenciamento da Corp estão focadas em fornecer conectividade segura e eficiente entre recursos internos, ao mesmo tempo em que impõem políticas de segurança rígidas para proteger contra acesso não autorizado.
O grupo de gerenciamento Online na arquitetura conceitual da zona de aterrissagem do Azure pode ser considerado como um ambiente isolado usado para gerenciar recursos e serviços voltados para o público acessíveis pela Internet. Usando o grupo de gerenciamento Online para gerenciar recursos voltados para o público, a arquitetura da zona de aterrissagem do Azure fornece uma maneira de isolar esses recursos dos recursos internos, reduzindo assim o risco de acesso não autorizado e minimizando a superfície de ataque.
Na arquitetura conceitual da zona de aterrissagem do Azure, a rede virtual no grupo de gerenciamento Online pode ser, opcionalmente, emparelhada com redes virtuais no grupo de gerenciamento Corp, direta ou indiretamente por meio do hub e dos requisitos de roteamento associados por meio de um Firewall do Azure ou NVA, permitindo que recursos voltados para o público se comuniquem com recursos internos de forma segura e controlada. Essa topologia garante que o tráfego de rede entre recursos públicos e recursos internos seja seguro e restrito, ao mesmo tempo em que permite que os recursos se comuniquem conforme necessário.
Gorjeta
Também é importante entender e revisar as Políticas do Azure que são atribuídas e herdadas em cada um dos Grupos de Gerenciamento como parte da zona de aterrissagem do Azure. Como eles ajudam a moldar, proteger e controlar as cargas de trabalho que são implantadas nas assinaturas que estão nesses Grupos de Gerenciamento. As atribuições de política para zonas de aterrissagem do Azure podem ser encontradas aqui.