Ağ topolojisi ve bağlantı

Ağ topolojisi ve bağlantı tasarımı alanı, bulut ağı tasarımınız için bir temel oluşturmak için kritik öneme sahiptir.

Tasarım alanı incelemesi

İlgili roller veya işlevler: Bu tasarım alanı, karar almak ve uygulamak için büyük olasılıkla bir veya daha fazla bulut platformundan ve bulut mükemmellik merkezinden destek gerektirir.

Kapsam: Ağ tasarımının amacı, bulut ağı tasarımınızı genel bulut benimseme planlarıyla hizalamaktır. Bulut benimseme planlarınızda karma veya çoklu bulut bağımlılıkları varsa veya başka nedenlerle bağlantıya ihtiyacınız varsa, ağ tasarımınız bu bağlantı seçeneklerini ve beklenen trafik desenlerini de içermelidir.

Kapsam dışı: Bu tasarım alanı, ağ iletişimi için temel oluşturur. Gelişmiş ağ güvenliği veya otomatik zorlama korumaları gibi uyumlulukla ilgili sorunları çözmez. Bu kılavuz, güvenlik ve idare uyumluluğu tasarım alanlarını gözden geçirdiğinizde gelir. Güvenlik ve idare tartışmalarını yayınlamak, bulut platformu ekibinin daha karmaşık konular için hedef kitlesini genişletmeden önce ilk ağ gereksinimlerini karşılamasını sağlar.

Tasarım alanına genel bakış

Ağ topolojisi ve bağlantı, giriş bölgesi tasarımını planlayan kuruluşlar için temeldir. Ağ, giriş bölgesi içindeki neredeyse her şeyin merkezidir. Diğer Azure hizmetlerine, dış kullanıcılara ve şirket içi altyapıya bağlantı sağlar. Ağ topolojisi ve bağlantı, Azure giriş bölgesi tasarım alanlarının çevre grubunda yer alır. Bu gruplandırma, temel tasarım ve uygulama kararlarındaki önemlerini temel alır.

ALZ kavram yönetim grubu hiyerarşisinin ağ alanlarının diyagramı.

Kavramsal Azure giriş bölgesi mimarisinde iş yüklerini barındıran iki ana yönetim grubu vardır: Corp ve Online. Bu yönetim grupları, Azure aboneliklerini düzenleme ve yönetme konusunda farklı amaçlara hizmet eder. Çeşitli Azure giriş bölgeleri yönetim grupları arasındaki ağ ilişkisi, kuruluşun özel gereksinimlerine ve ağ mimarisine bağlıdır. Sonraki birkaç bölümde Corp, Online ve Bağlantı yönetim grupları arasındaki ağ ilişkisi, Azure giriş bölgesi hızlandırıcısının sağladığı bilgilerle ilişkili olarak ele alınıyor.

Bağlantı, Kuruluş ve Çevrimiçi Yönetim Gruplarının amacı nedir?

  • Bağlantı yönetim grubu: Bu yönetim grubu, çoğu kuruluş için genellikle tek bir abonelik olan bağlantı için ayrılmış abonelikler içerir. Bu abonelikler Azure Sanal WAN, Sanal Ağ Ağ Geçitleri, Azure Güvenlik Duvarı ve Azure DNS özel bölgeleri gibi platform için gereken Azure ağ kaynaklarını barındırmaktadır. Ayrıca ExpressRoute gibi hizmetler kullanılarak bulut ve şirket içi ortamlar arasında karma bağlantı kurulur.
  • Şirket yönetim grubu: Kurumsal giriş bölgeleri için ayrılmış yönetim grubu. Bu grup, bağlantı aboneliğindeki hub üzerinden geleneksel IP yönlendirme bağlantısı veya şirket ağıyla karma bağlantı gerektiren iş yüklerini barındıran ve dolayısıyla aynı yönlendirme etki alanının bir parçasını oluşturan abonelikler içermesi amaçlanmıştır. İç sistemler gibi iş yükleri doğrudan İnternet'e sunulmaz, ancak Application Gateway'ler gibi ters proxy'ler vb. aracılığıyla kullanıma sunulur.
  • Çevrimiçi yönetim grubu: Çevrimiçi giriş bölgeleri için ayrılmış yönetim grubu. Bu grubun web siteleri, e-ticaret uygulamaları ve müşteriye yönelik hizmetler gibi genel kullanıma yönelik kaynaklar için kullanılan abonelikleri içermesi amaçlanmıştır. Örneğin kuruluşlar, genel kullanıma yönelik kaynakları Azure ortamının geri kalanından yalıtmak için Çevrimiçi yönetim grubunu kullanarak saldırı yüzeyini azaltabilir ve genel kullanıma yönelik kaynakların güvenli ve müşterilerin kullanımına açık olmasını sağlayabilir.

İş yüklerini ayırmak için neden Corp ve Online yönetim grupları oluşturduk?

Kavramsal Azure giriş bölgesi mimarisinde Corp ve Online yönetim grupları arasındaki ağ konusunda dikkat edilmesi gerekenler arasındaki fark, amaçlanan kullanım ve birincil amaçtadır.

Corp yönetim grubu, iş kolu uygulamaları, veritabanları ve kullanıcı yönetimi gibi iç kaynakları ve hizmetleri yönetmek ve güvenliğini sağlamak için kullanılır. Şirket yönetim grubu için ağ konusunda dikkat edilmesi gerekenler, iç kaynaklar arasında güvenli ve verimli bağlantı sağlamaya odaklanırken, yetkisiz erişime karşı koruma sağlamak için katı güvenlik ilkeleri zorunlu kılmaya odaklanmıştır.

Kavramsal Azure giriş bölgesi mimarisindeki Çevrimiçi yönetim grubu, İnternet'ten erişilebilen genel kullanıma yönelik kaynakları ve hizmetleri yönetmek için kullanılan yalıtılmış bir ortam olarak kabul edilebilir. Genel kullanıma yönelik kaynakları yönetmek için Çevrimiçi yönetim grubunu kullanarak Azure giriş bölgesi mimarisi, bu kaynakları iç kaynaklardan yalıtmak için bir yol sağlar, böylece yetkisiz erişim riskini azaltır ve saldırı yüzeyini en aza indirir.

Kavramsal Azure giriş bölgesi mimarisinde, Çevrimiçi yönetim grubundaki sanal ağ isteğe bağlı olarak, şirket yönetim grubundaki sanal ağlarla eşlenebilir; doğrudan veya dolaylı olarak merkez üzerinden ve ilişkili yönlendirme gereksinimleri bir Azure Güvenlik Duvarı veya NVA aracılığıyla eşlenebilir ve genel kullanıma yönelik kaynakların iç kaynaklarla güvenli ve denetimli bir şekilde iletişim kurmasına olanak tanır. Bu topoloji, genel kullanıma yönelik kaynaklarla iç kaynaklar arasındaki ağ trafiğinin güvenli ve kısıtlanmış olmasını sağlarken, kaynakların gerektiği şekilde iletişim kurmasına izin verir.

İpucu

Ayrıca, Azure giriş bölgesinin bir parçası olarak Yönetim Gruplarının her birinde atanan ve devralınan Azure İlkelerini anlamak ve gözden geçirmek de önemlidir. Bunlar yardım olarak, bu Yönetim Gruplarında yer alan abonelikler içinde dağıtılan iş yüklerini koruyun ve idare edin. Azure giriş bölgeleri için ilke atamaları burada bulunabilir.