طبولوجيا الشبكة والاتصال

  • مقالة

تعد طوبولوجيا الشبكة ومنطقة تصميم الاتصال أمرا بالغ الأهمية لإنشاء أساس لتصميم شبكة السحابة.

مراجعة منطقة التصميم

الأدوار أو الوظائف المعنية: ربما تتطلب منطقة التصميم هذه دعما من نظام أساسي سحابي واحد أو أكثر ومركز التميز السحابي لاتخاذ القرارات وتنفيذها.

نطاق: الهدف من تصميم الشبكة هو مواءمة تصميم شبكة السحابة مع خطط اعتماد السحابة الشاملة. إذا كانت خطط اعتماد السحابة تتضمن تبعيات مختلطة أو متعددة السحابات، أو إذا كنت بحاجة إلى الاتصال لأسباب أخرى، يجب أن يتضمن تصميم الشبكة أيضا خيارات الاتصال هذه وأنماط نسبة استخدام الشبكة المتوقعة.

خارج النطاق: تؤسس منطقة التصميم هذه الأساس للشبكات. لا يعالج المشكلات المتعلقة بالتوافق مثل أمان الشبكة المتقدم أو حواجز حماية الإنفاذ التلقائية. تأتي هذه الإرشادات عند مراجعة مجالات تصميم التوافق مع الأمانوالحوكمة . يتيح تأجيل مناقشات الأمان والحوكمة لفريق النظام الأساسي السحابي معالجة متطلبات الشبكات الأولية قبل توسيع جمهورهم لمواضيع أكثر تعقيدا.

نظرة عامة على منطقة التصميم

تخطيط الشبكة والاتصال أساسيان للمؤسسات التي تخطط لتصميم المنطقة المنتقل إليها. تعد الشبكات مركزية لكل شيء تقريبا داخل المنطقة المنتقل إليها. فهو يتيح الاتصال بخدمات Azure الأخرى والمستخدمين الخارجيين والبنية الأساسية المحلية. توجد طوبولوجيا الشبكة والاتصال في المجموعة البيئية لمناطق تصميم منطقة Azure المنتقل إليها. ويستند هذا التجميع إلى أهميتها في قرارات التصميم والتنفيذ الأساسية.

رسم تخطيطي لمناطق الشبكات في التسلسل الهرمي لمجموعة الإدارة الحملية ALZ.

في بنية منطقة هبوط Azure المفاهيمية، هناك مجموعتان رئيسيتان للإدارة تستضيفان أحمال العمل: Corp و Online. تخدم مجموعات الإدارة هذه أغراضا مميزة في تنظيم اشتراكات Azure والتحكم فيها. تعتمد علاقة الشبكات بين مجموعات إدارة مناطق هبوط Azure المختلفة على المتطلبات المحددة للمؤسسة وبنية الشبكة. تناقش الأقسام القليلة التالية علاقة الشبكات بين Corp و Online ومجموعات إدارة الاتصال فيما يتعلق بما يوفره مسرع منطقة هبوط Azure.

ما الغرض من مجموعات الاتصال، وCorp، والإدارة عبر الإنترنت؟

  • مجموعة إدارة الاتصال: تحتوي مجموعة الإدارة هذه على اشتراكات مخصصة للاتصال، وهي عادة اشتراك واحد لمعظم المؤسسات. تستضيف هذه الاشتراكات موارد شبكة Azure المطلوبة للنظام الأساسي، مثل Azure Virtual WAN وبوابات الشبكة الظاهرية وجدار حماية Azure ومناطق Azure DNS الخاصة. إنه أيضا المكان الذي يتم فيه إنشاء اتصال مختلط بين السحابة والبيئات المحلية، باستخدام خدمات مثل ExpressRoute وما إلى ذلك.
  • مجموعة إدارة Corp: مجموعة الإدارة المخصصة للمناطق المنتقل إليها للشركات. تهدف هذه المجموعة إلى احتواء الاشتراكات التي تستضيف أحمال العمل التي تتطلب اتصال توجيه IP تقليدي أو اتصالا مختلطا مع شبكة الشركة عبر المركز في اشتراك الاتصال وبالتالي تشكل جزءا من نفس مجال التوجيه. لا يتم عرض أحمال العمل مثل الأنظمة الداخلية مباشرة على الإنترنت، ولكن قد يتم عرضها عبر وكلاء عكسيين وما إلى ذلك، مثل Application Gateways.
  • مجموعة الإدارة عبر الإنترنت: مجموعة الإدارة المخصصة للمناطق المنتقل إليها عبر الإنترنت. تهدف هذه المجموعة إلى احتواء الاشتراكات المستخدمة للموارد العامة، مثل مواقع الويب وتطبيقات التجارة الإلكترونية والخدمات التي تواجه العملاء. على سبيل المثال، يمكن للمؤسسات استخدام مجموعة الإدارة عبر الإنترنت لعزل الموارد العامة عن بقية بيئة Azure، وتقليل سطح الهجوم والتأكد من أن الموارد العامة آمنة ومتاحة للعملاء.

لماذا قمنا بإنشاء مجموعات إدارة Corp و Online لفصل أحمال العمل؟

يكمن الفرق في اعتبارات الشبكات بين مجموعات الإدارة Corp و Online في بنية منطقة هبوط Azure المفاهيمية في استخدامها المقصود والغرض الأساسي منها.

يتم استخدام مجموعة إدارة Corp لإدارة وتأمين الموارد والخدمات الداخلية، مثل تطبيقات خط الأعمال وقواعد البيانات وإدارة المستخدم. تركز اعتبارات الشبكات لمجموعة إدارة Corp على توفير اتصال آمن وفعال بين الموارد الداخلية، مع فرض سياسات أمنية صارمة للحماية من الوصول غير المصرح به.

يمكن اعتبار مجموعة الإدارة عبر الإنترنت في بنية منطقة Azure المنتقل إليها المفاهيمية كبيئة معزولة تستخدم لإدارة الموارد والخدمات العامة التي يمكن الوصول إليها من الإنترنت. باستخدام مجموعة الإدارة عبر الإنترنت لإدارة الموارد العامة، توفر بنية منطقة هبوط Azure طريقة لعزل هذه الموارد عن الموارد الداخلية، وبالتالي تقليل مخاطر الوصول غير المصرح به وتقليل سطح الهجوم.

في بنية منطقة Azure المنتقل إليها المفاهيمية، يمكن أن تكون الشبكة الظاهرية في مجموعة الإدارة عبر الإنترنت، اختياريا، نظيرة مع الشبكات الظاهرية في مجموعة إدارة Corp، إما بشكل مباشر أو غير مباشر عبر المركز ومتطلبات التوجيه المقترنة عبر جدار حماية Azure أو NVA، ما يسمح للموارد العامة بالاتصال بالموارد الداخلية بطريقة آمنة ومتحكم فيها. يضمن هذا المخطط أن نسبة استخدام الشبكة بين الموارد العامة والموارد الداخلية آمنة ومقيدة، مع السماح للموارد بالاتصال حسب الحاجة.

تلميح

من المهم أيضا فهم ومراجعة نهج Azure التي تم تعيينها وموروثتها على كل مجموعة من مجموعات الإدارة كجزء من منطقة Azure المنتقل إليها. أثناء تشكيل هذه التعليمات، قم بحماية أحمال العمل التي يتم نشرها داخل الاشتراكات الموجودة في مجموعات الإدارة هذه والتحكم فيها. يمكن العثور على تعيينات النهج لمناطق هبوط Azure هنا.