Топология сети и подключения

  • Статья

Область проектирования топологии сети и подключения критически важна для создания основы для разработки облачной сети.

Проверка области проектирования

Вовлеченные роли или функции: эта область проектирования, вероятно, требует поддержки от одной или нескольких облачных платформ и функций Cloud Center of Excellence для принятия и реализации решений.

Область действия. Целью проектирования сети является согласование структуры облачной сети с общими планами внедрения облака. Если планы внедрения облака содержат гибридные или облачные зависимости, или если требуется подключение по другим причинам, то в структуре сети должны быть включены эти варианты подключения и ожидаемые шаблоны трафика.

Вне области: эта область проектирования устанавливает основу для сети. Это не касается проблем, связанных с соответствием требованиям, таких как расширенная сетевая безопасность или автоматизированная защита принудительного применения. Эти рекомендации предоставляются при проверке безопасности и системы управления на соответствие областей проектирования. Отложив обсуждения безопасности и управления, команда облачной платформы может решить первоначальные требования к сети, прежде чем расширить аудиторию для более сложных тем.

Обзор зоны проектирования

Топология сети и подключение являются фундаментальными для организаций, которые планируют разработку целевой зоны. Сеть является центральным для почти всего внутри целевой зоны. Он обеспечивает подключение к другим службам Azure, внешним пользователям и локальной инфраструктуре. Топология сети и подключение находятся в экологических группах целевых зон Azure. Эта группировка основана на их важности в основных решениях по проектированию и реализации.

Схема сетевых областей иерархии группы управления ALZ.

В концептуальной архитектуре целевой зоны Azure есть две основные группы управления, в которых размещаются рабочие нагрузки: Corp и Online. Эти группы управления служат отдельным целям в организации и управлении подписками Azure. Связь между различными группами управления целевыми зонами Azure зависит от конкретных требований организации и сетевой архитектуры. В следующих нескольких разделах рассматриваются сетевые связи между Corp, Online и группами управления подключением относительно того, что предоставляет акселератор целевой зоны Azure.

Что такое назначение групп управления подключением, corp и Online Management Groups?

  • Группа управления подключениями: эта группа управления содержит выделенные подписки для подключения, обычно одна подписка для большинства организаций. Эти подписки размещают сетевые ресурсы Azure, необходимые для платформы, такие как Azure Виртуальная глобальная сеть, шлюзы виртуальная сеть, Брандмауэр Azure и частные зоны Azure DNS. Здесь также устанавливается гибридное подключение между облачными и локальными средами, используя такие службы, как ExpressRoute и т. д.
  • Группа управления corp: выделенная группа управления для корпоративных целевых зон. Эта группа предназначена для хранения подписок, в которых размещаются рабочие нагрузки, для которых требуется традиционное подключение к IP-маршрутизации или гибридное подключение с корпоративной сетью через концентратор в подписке на подключение и поэтому входит в тот же домен маршрутизации. Рабочие нагрузки, такие как внутренние системы, не предоставляются непосредственно в Интернете, но могут быть предоставлены через обратные прокси-серверы и т. д., такие как Шлюз приложений.
  • Группа управления в сети: выделенная группа управления для целевых зон в Сети. Эта группа предназначена для хранения подписок, используемых для общедоступных ресурсов, таких как веб-сайты, приложения электронной коммерции и клиентские службы. Например, организации могут использовать группу управления Online, чтобы изолировать общедоступные ресурсы от остальной части среды Azure, уменьшая область атаки и обеспечивая безопасность и доступность общедоступных ресурсов клиентам.

Почему мы создали группы управления Corp и Online для отдельных рабочих нагрузок?

Разница в сетевых рекомендациях между группами управления Corp и Online в концептуальной архитектуре целевой зоны Azure заключается в их предполагаемом использовании и основной цели.

Группа управления Corp используется для управления внутренними ресурсами и службами, такими как бизнес-приложения, базы данных и управление пользователями. Рекомендации по работе с сетями для группы управления Corp ориентированы на обеспечение безопасного и эффективного подключения между внутренними ресурсами, а также применение строгих политик безопасности для защиты от несанкционированного доступа.

Группа управления Online в концептуальной архитектуре целевой зоны Azure может рассматриваться как изолированная среда, используемая для управления общедоступными ресурсами и службами, доступными из Интернета. Используя группу управления Online для управления общедоступными ресурсами, архитектура целевой зоны Azure позволяет изолировать эти ресурсы от внутренних ресурсов, тем самым уменьшая риск несанкционированного доступа и минимизации поверхности атаки.

В концептуальной архитектуре целевой зоны Azure виртуальная сеть в группе управления Online может быть, при необходимости, пиринговой связью с виртуальными сетями в группе управления Corp напрямую или косвенно через концентратор и связанные требования к маршрутизации через Брандмауэр Azure или NVA, позволяя общедоступным ресурсам взаимодействовать с внутренними ресурсами в безопасной и управляемой форме. Эта топология гарантирует, что сетевой трафик между общедоступными ресурсами и внутренними ресурсами является безопасным и ограниченным, а также позволяет ресурсам взаимодействовать по мере необходимости.

Совет

Также важно понимать и просматривать назначенные политики Azure и наследовать их в каждой из групп управления в рамках целевой зоны Azure. Так как они помогают сформировать, защитить и управлять рабочими нагрузками, развернутыми в подписках, находящихся в этих группах управления. Назначения политик для целевых зон Azure можно найти здесь.