Обзор сетевых служб Azure

Сетевые службы в Azure предоставляют различные сетевые возможности, которые можно использовать вместе или отдельно. Выберите каждый из следующих сетевых сценариев, чтобы узнать больше о них:

  • Сетевой фонд: службы azure networking foundation обеспечивают основное подключение к ресурсам в Azure — виртуальная сеть (виртуальная сеть), Приватный канал, Azure DNS, Бастион Azure, Сервер маршрутизации, шлюз NAT и Диспетчер трафика.
  • Балансировка нагрузки и доставка содержимого: балансировка нагрузки Azure и службыдоставки содержимого позволяют управлять, распространять и оптимизировать приложения и рабочие нагрузки — Load Balancer, Шлюз приложений и Azure Front Door.
  • Гибридное подключение: служба гибридного подключения Azure обеспечивает безопасный обмен данными с ресурсами в Azure — VPN-шлюз, ExpressRoute, Виртуальная глобальная сеть и пиринговую службу.
  • Безопасность сети: службы безопасности сети Azure защищают веб-приложения и службы IaaS от атак DDoS и вредоносных субъектов — диспетчер брандмауэра, брандмауэр, Брандмауэр веб-приложений и защита от атак DDoS.
  • Управление сетями и мониторинг: службы управления сетями и мониторинга Azure предоставляют средства для управления и мониторинга сетевых ресурсов — Наблюдатель за сетями, Azure Monitor и Диспетчера виртуальная сеть Azure.

Сетевой фонд

В этом разделе описываются службы, которые предоставляют стандартные блоки для проектирования и разработки сетевой среды в Azure — виртуальная сеть (виртуальная сеть), Приватный канал, Azure DNS, Бастиона Azure, сервера маршрутов, шлюза NAT и Диспетчер трафика.

Виртуальная сеть

Виртуальная сеть Azure — это стандартный строительный блок для частной сети в Azure. Виртуальные сети можно использовать для следующих задач.

  • Обмен данными между ресурсами Azure. Вы можете развертывать виртуальные машины и несколько других типов ресурсов Azure в виртуальной сети, например среды приложение Azure служб, Служба Azure Kubernetes (AKS) и Azure Масштабируемые наборы виртуальных машин. Полный список ресурсов Azure, которые можно развернуть в виртуальной сети, см. в статье Интеграция виртуальной сети для служб Azure.
  • Обмен данными между собой. Вы можете подключать виртуальные сети друг к другу, позволяя ресурсам в виртуальной сети взаимодействовать друг с другом с помощью пиринга виртуальной сети или диспетчера виртуальная сеть Azure. Виртуальные сети, которые вы подключаете, могут находиться в одном или в разных регионах Azure. Дополнительные сведения см. в статье об пиринге виртуальных сетей и диспетчере виртуальная сеть Azure.
  • Обмен данными с Интернетом: все ресурсы в виртуальной сети могут передавать исходящие сообщения в Интернет по умолчанию. Можно также установить входящее подключение к ресурсу, присвоив ему общедоступный IP-адрес, или общедоступный экземпляр Load Balancer. Вы также можете использовать Общедоступный IP-адрес или общедоступную Azure Load Balancer для управления исходящими подключениями.
  • Взаимодействие с локальными сетями. Вы можете подключить локальные компьютеры и сети к виртуальной сети с помощью VPN-шлюза или ExpressRoute.
  • Шифрование трафика между ресурсами: можно использовать шифрование виртуальной сети для шифрования трафика между ресурсами в виртуальной сети.

Группы безопасности сети

Отфильтровать трафик, поступающий из ресурсов Azure и обратно, в виртуальной сети можно с помощью группы безопасности сети. Дополнительные сведения см. в разделе Группы безопасности сети.

Конечные точки служб

конечные точки службы виртуальная сеть (виртуальная сеть) расширяют адресное пространство виртуальной сети и удостоверение виртуальной сети к службам Azure через прямое подключение. Конечные точки позволяют защищать критически важные ресурсы служб Azure в пределах отдельных виртуальных сетей. Трафик, поступающий из виртуальной сети в службу Azure, всегда остается в магистральной сети Microsoft Azure.

Схема конечных точек службы виртуальной сети.

Приватный канал Azure обеспечивает доступ к службам Azure PaaS (например, к службе хранилища Microsoft Azure и Базе данных SQL), а также размещенным в Azure службам, которые принадлежат клиенту или партнеру, через частную конечную точку в вашей виртуальной сети. Трафик между виртуальной сетью и службой проходит через магистральную сеть Майкрософт. Предоставление доступа к службе через общедоступный Интернет больше не требуется. Вы можете создать собственную службу приватного канала в виртуальной сети и предоставлять ее клиентам.

Снимок экрана: обзор частной конечной точки.

Azure DNS

Azure DNS предоставляет размещение и разрешение DNS с помощью инфраструктуры Microsoft Azure. Azure DNS состоит из трех служб:

  • Общедоступная служба DNS Azure — это служба размещения для доменов DNS. Размещая домены в Azure, вы можете управлять своими записями DNS с помощью тех же учетных данных, API и инструментов и оплачивать использование, как и другие службы Azure.
  • Azure Частная зона DNS — это служба DNS для виртуальных сетей. Частная зона DNS Azure управляет доменными именами в виртуальной сети и разрешает их, позволяя обойтись без собственного решения для поддержки DNS.
  • Частный сопоставитель Azure DNS — это служба, которая позволяет запрашивать частные зоны Azure DNS из локальной среды и наоборот, не развертывая DNS-серверы на основе виртуальных машин.

С помощью Azure DNS можно размещать и разрешать общедоступные домены, управлять разрешением DNS в виртуальных сетях и включать разрешение имен между Azure и локальными ресурсами.

Бастион Azure

Бастион Azure — это служба, которую можно развернуть в виртуальной сети, чтобы разрешить подключение к виртуальной машине с помощью браузера и портал Azure. Вы также можете подключиться с помощью собственного клиента SSH или RDP, уже установленного на локальном компьютере. Служба Бастиона Azure — это полностью управляемая платформой служба PaaS, развернутая в виртуальной сети. Она обеспечивает безопасное и бесперебойное подключение RDP или SSH к виртуальным машинам непосредственно на портале Azure по протоколу TLS. При подключении с помощью Azure Bastion виртуальным машинам не требуются общедоступные IP-адреса, агенты или специальное клиентское ПО. Для Бастиона Azure доступны различные номера SKU и уровни. Уровень, который вы выбираете, влияет на доступные функции. Дополнительные сведения см. в разделе "О параметрах конфигурации Бастиона".

Схема, демонстрирующая архитектуру Бастиона Azure

Сервер маршрутизации Azure

Azure Route Server упрощает динамическую маршрутизацию между сетевым виртуальным устройством (NVA) и виртуальной сетью. Он обеспечивает прямой обмен сведениями о маршрутизации по протоколу BGP между любыми NVA, которые поддерживают этот протокол, и программно-определяемой сетью (SDN) Azure в виртуальной сети Azure без необходимости вручную настраивать и обслуживать таблицы маршрутов.

Схема, на которой показан сервер маршрутизации Azure, настроенный в виртуальной сети.

Шлюз NAT

Шлюз NAT упрощает исходящее подключение к Интернету для виртуальных сетей. При настройке NAT в подсети все исходящие подключения используют указанные статические общедоступные IP-адреса. Исходящее подключение возможно без подсистемы балансировки нагрузки или общедоступных IP-адресов путем прямого подключения к виртуальным машинам. Дополнительные сведения см. в статье "Что такое шлюз Azure NAT"?

Схема шлюза NAT виртуальной сети.

Диспетчер трафика

Диспетчер трафика Azure — это подсистема балансировки нагрузки трафика на основе DNS, которая позволяет оптимально распределять трафик между службами в глобальных регионах Azure, обеспечивая высокую доступность и скорость реагирования. Диспетчер трафика предоставляет ряд методов маршрутизации трафика для его распределения по таким параметрам, как приоритет, вес, производительность, географические данные, многозначность и подсеть.

На следующей схеме показана маршрутизация на основе приоритета конечных точек с помощью Диспетчера трафика Microsoft Azure.

Схема метода маршрутизации трафика Диспетчер трафика Azure Priority.

Дополнительные сведения о Диспетчер трафика см. в статье "Что такое Диспетчер трафика Azure?".

Балансировка нагрузки и доставка содержимого

В этом разделе описаны сетевые службы в Azure, которые помогают доставлять приложения и рабочие нагрузки — Load Balancer, Шлюз приложений и Службу Azure Front Door.

Load Balancer

Azure Load Balancer обеспечивает высокопроизводительную балансировку нагрузки уровня 4 с низкой задержкой для всех протоколов UDP и TCP. Она управляет и входящими, и исходящими подключениями. Вы можете настроить общедоступные и внутренние конечные точки с балансировкой нагрузки, а также определить правила для сопоставления входящих подключений к внутреннему пулу, используя параметры проверки состояний TCP и HTTP, чтобы управлять доступностью служб.

Azure Load Balancer доступен в ценовых категориях "Стандартный", "Региональный" и "Шлюз".

На схеме ниже показано многоуровневое приложение с доступом к Интернету, использующее внешние и внутренние балансировщики нагрузки:

Снимок экрана: пример Azure Load Balancer.

Шлюз приложений

Шлюз приложений Azure — это подсистема балансировки нагрузки веб-трафика, предназначенная для управления трафиком веб-приложений. Это контроллер доставки приложений (ADC) как услуга, предлагающий различные возможности балансировки нагрузки уровня 7 для приложений.

На схеме ниже показана маршрутизация трафика на основе URL-адресов с помощью Шлюза приложений Azure.

Изображение примера Шлюз приложений.

Azure Front Door

Azure Front Door позволяет определять, управлять и отслеживать глобальную маршрутизацию для веб-трафика, оптимизированную для повышения производительности и мгновенной глобальной отработки отказа для обеспечения высокой доступности. С помощью службы Front Door вы можете преобразовать глобальные (с поддержкой нескольких регионов) пользовательские и корпоративные приложения в современные, надежные, высокопроизводительные и персонализированные приложения, интерфейсы API и содержимое, которые охватывают глобальную аудиторию с помощью Azure.

Схема службы Azure Front Door с Брандмауэр веб-приложений.

Гибридное подключение

В этом разделе описаны службы сетевого подключения, обеспечивающие безопасное взаимодействие между локальной сетью и Azure — VPN-шлюз, ExpressRoute, Виртуальная глобальная сеть и службой пиринга.

VPN-шлюз

VPN-шлюз помогает создавать зашифрованные кросс-локальные подключения к виртуальной сети из локальных расположений или создавать зашифрованные подключения между виртуальными сетями. Существуют различные конфигурации для VPN-шлюз подключений. Среди основных функций:

  • VPN-подключение "сеть — сеть"
  • Подключение VPN типа "точка — сеть"
  • VPN-подключение между виртуальными сетями

На следующей схеме показано несколько VPN-подключений типа "сеть — сеть" к одной виртуальной сети. Дополнительные схемы подключений см. в разделе VPN-шлюз - конструктор.

Схема с несколькими подключениями Azure типа

ExpressRoute

ExpressRoute позволяет расширить локальные сети в облако Майкрософт через частное подключение, облегчаемое поставщиком подключений. Это подключение является закрытым. Трафик не проходит через Интернет. ExpressRoute позволяет устанавливать подключения к облачным службам Майкрософт, таким как Microsoft Azure, Microsoft 365 и Dynamics 365.

Снимок экрана: Azure ExpressRoute.

Виртуальная глобальная сеть

Azure Виртуальная глобальная сеть — это сетевая служба, которая объединяет множество функций сети, безопасности и маршрутизации для обеспечения единого рабочего интерфейса. Подключение к виртуальным сетям Azure устанавливается с помощью подключения по виртуальной сети. Среди основных функций:

  • Подключение филиала (с помощью автоматизации подключения с Виртуальная глобальная сеть партнерских устройств, таких как SD-WAN или VPN CPE)
  • VPN-подключение "сеть — сеть"
  • Подключение VPN удаленного пользователя (точка — сеть)
  • Частное подключение (ExpressRoute)
  • Внутриоблачное подключение (транзитное подключение для виртуальных сетей)
  • Межсоединение ExpressRoute по VPN-сети
  • Маршрутизация, Брандмауэр Azure и шифрование для частного подключения

Схема виртуальной глобальной сети.

Служба пиринга

Служба пиринга Azure улучшает подключение клиентов к облачным службам Майкрософт, таким как Microsoft 365, Dynamics 365, программное обеспечение как услуга (SaaS), Azure или любые службы Майкрософт доступные через общедоступный Интернет.

Безопасность сети

В этом разделе описаны сетевые службы в Azure, которые защищают и отслеживают сетевые ресурсы — диспетчер брандмауэра, брандмауэр, Брандмауэр веб-приложений и защита от атак DDoS.

Диспетчер брандмауэра

Брандмауэр Azure Manager — это служба управления безопасностью, которая предоставляет централизованную политику безопасности и управление маршрутизацией для периметров безопасности на основе облака. Диспетчер брандмауэров может предоставлять управление безопасностью для двух различных типов сетевой архитектуры: безопасного виртуального концентратора и виртуальной сети концентратора. С помощью диспетчера Брандмауэр Azure можно развертывать несколько экземпляров Брандмауэр Azure в регионах и подписках Azure, реализовывать планы защиты от атак DDoS, управлять политиками брандмауэра веб-приложения и интегрировать с партнером безопасность как услуга для повышения безопасности.

Схема нескольких Брандмауэр Azure в защищенном виртуальном концентраторе и виртуальной сети концентратора.

Брандмауэр Azure

Брандмауэр Azure — это управляемая облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети Azure. Используя Брандмауэр Azure, можно централизованно создавать, применять и регистрировать политики приложений и сетевых подключений в подписках и виртуальных сетях. Брандмауэр Azure использует статический общедоступный IP-адрес для виртуальных сетевых ресурсов, позволяя внешним брандмауэрам идентифицировать трафик, исходящий из виртуальной сети.

Схема брандмауэра.

Брандмауэр веб-приложения

Брандмауэр веб-приложений Azure (WAF) обеспечивает защиту веб-приложений от распространенных веб-эксплойтов и уязвимостей, таких как внедрение кода SQL и межсайтовые сценарии. Azure WAF обеспечивает стандартную защиту от 10 самых распространенных уязвимостей по версии OWASP через управляемые правила. Кроме того, клиенты могут настроить пользовательские правила, которые являются правилами, управляемыми клиентом, для обеспечения дополнительной защиты на основе диапазона исходных IP-адресов и атрибутов запроса, таких как заголовки, файлы cookie, поля данных формы или параметры строки запроса.

Клиенты могут развернуть Azure WAF с Шлюз приложений, которая обеспечивает региональную защиту сущностей в общедоступном и частном адресном пространстве. Клиенты также могут развернуть WAF Azure с Front Door, которая обеспечивает защиту на границе сети для общедоступных конечных точек.

Снимок экрана: Брандмауэр веб-приложений.

Защита от атак DDos

Защита от атак DDoS Azure предоставляет меры противодействия самым сложным атакам DDoS. Эта служба предоставляет расширенные возможности по устранению рисков атак DDoS для ваших приложений и ресурсов, развернутых в виртуальных сетях. Кроме того, клиенты, использующие службу защиты от атак DDoS Azure, имеют доступ к поддержке быстрого реагирования на атаки DDoS, благодаря чему могут получать помощь от экспертов по атакам DDoS во время активной атаки.

Защита от атак DDoS Azure состоит из двух уровней:

  • Защита сети DDoS в сочетании с рекомендациями по проектированию приложений предоставляет расширенные функции защиты от атак DDoS. Она автоматически настраивается для помощи в защите конкретных ресурсов Azure в виртуальной сети.
  • Защита IP-адресов DDoS — это модель ip-адресов, защищенная за оплату. Защита IP-адресов DDoS содержит те же основные функции проектирования, что и защита сети DDoS, но отличается в следующих службах: поддержка быстрого реагирования DDoS, защита затрат и скидки на WAF.

Схема эталонной архитектуры для защищенного веб-приложения PaaS DDoS.

Безопасность сети контейнеров

Безопасность сети контейнеров является частью расширенных сетевых служб контейнеров (ACNS). Он обеспечивает расширенный контроль над безопасностью сети AKS. С такими функциями, как фильтрация полного доменного имени (FQDN), кластеры с помощью Azure CNI Powered by Cilium могут реализовать политики сети на основе полного доменного имени для достижения архитектуры безопасности нулевого доверия в AKS.

Управление сетями и мониторинг

В этом разделе описаны службы управления сетями и мониторинга в Azure — Наблюдатель за сетями, Azure Monitor и Диспетчер виртуальная сеть Azure.

Наблюдатель за сетями Azure

Наблюдатель за сетями Azure предоставляет инструменты для мониторинга, диагностики, просмотра метрик и включения или отключения журналов для ресурсов в виртуальной сети Azure.

Схема возможностей Azure Наблюдатель за сетями.

Azure Monitor

Служба Azure Monitor обеспечивает максимальную доступность и производительность приложений, предоставляя полноценное решение для сбора, анализа и обработки данных телеметрии из облачных и локальных сред. Она поможет вам понять, как выполняются приложения, а также заранее определить проблемы, влияющие на них, и ресурсы, от которых они зависят.

Диспетчер виртуальных сетей Azure

Диспетчер виртуальная сеть Azure — это служба управления, которая позволяет группировать, настраивать, развертывать и управлять виртуальными сетями глобально в разных подписках. С помощью диспетчера виртуальная сеть можно определить сетевые группы для определения и логического сегментирования виртуальных сетей. Затем можно определить нужные конфигурации подключения и безопасности и применить их ко всем выбранным виртуальным сетям в группах сети одновременно.

Схема ресурсов, развернутых для топологии виртуальной сети сетки с помощью диспетчера виртуальных сетей Azure.

Наблюдаемость сети контейнеров

Наблюдаемость сети контейнеров входит в состав расширенных сетевых служб контейнеров (ACNS). ACNS использует плоскость управления Hubble для обеспечения комплексной видимости сети и производительности AKS. Он предоставляет аналитические сведения в режиме реального времени на уровне узла, уровне pod, TCP и DNS-метрики, обеспечивая тщательный мониторинг сетевой инфраструктуры.

Схема наблюдаемости сети контейнеров.

Следующие шаги