Hraniční sítě mezi Azure a vaším místním datovým centremDMZ between Azure and your on-premises datacenter

Tato referenční architektura obsahuje zabezpečenou hybridní síť, která rozšiřuje místní síť do Azure.This reference architecture shows a secure hybrid network that extends an on-premises network to Azure. Tato architektura implementuje hraniční síť mezi místní sítí a virtuální sítí Azure (VNet).The architecture implements a DMZ, also called a perimeter network, between the on-premises network and an Azure virtual network (VNet). DMZ zahrnuje síťová virtuální zařízení (NVA), která implementují funkce zabezpečení, jako jsou brány firewall a kontrolu paketů.The DMZ includes network virtual appliances (NVAs) that implement security functionality such as firewalls and packet inspection. Všechny odchozí přenosy z virtuální sítě prochází do internetu přes místní síť vynuceným tunelovým propojením tak, aby bylo možné auditování.All outgoing traffic from the VNet is force-tunneled to the Internet through the on-premises network, so that it can be audited. Nasaďte toto řešení.Deploy this solution.

00

Stáhněte si soubor aplikace Visio s touto architekturou.Download a Visio file of this architecture.

Tato architektura vyžaduje připojení k místnímu datovému centru s použitím brány VPN nebo připojení ExpressRoute.This architecture requires a connection to your on-premises datacenter, using either a VPN gateway or an ExpressRoute connection. Obvyklá využití pro tuto architekturu:Typical uses for this architecture include:

  • Hybridní aplikace, kde úlohy běží částečně místně a částečně v AzureHybrid applications where workloads run partly on-premises and partly in Azure.
  • Infrastruktura, která vyžaduje důkladnou kontrolu přenosů vstupujících do virtuální sítě Azure z místního datacentra.Infrastructure that requires granular control over traffic entering an Azure VNet from an on-premises datacenter.
  • Aplikace, které musí auditovat odchozí provoz.Applications that must audit outgoing traffic. Často se jedná o zákonný požadavek mnoha komerčních systémů, který může pomoci zabránit zveřejnění soukromých informací.This is often a regulatory requirement of many commercial systems and can help to prevent public disclosure of private information.

ArchitekturaArchitecture

Tato architektura se skládá z následujících součástí.The architecture consists of the following components.

  • Místní síť:On-premises network. Privátní místní síť implementovaná v organizaci.A private local-area network implemented in an organization.

  • Azure Virtual Network (VNet):Azure virtual network (VNet). Virtuální síť je hostitelem aplikace a dalších prostředků, které běží v Azure.The VNet hosts the application and other resources running in Azure.

  • Brána.Gateway. Brána umožňuje připojení mezi směrovači v místní a ve virtuální síti.The gateway provides connectivity between the routers in the on-premises network and the VNet.

  • Síťové virtuální zařízení:Network virtual appliance (NVA). Síťové virtuální zařízení je obecný pojem, který popisuje provádění úloh virtuálními počítači, jako například povolení nebo odepření přístupu formou brány firewall, optimalizace operací sítě WAN (Wide Area Network) (včetně komprese sítě), vlastního směrování nebo dalších síťových funkcí.NVA is a generic term that describes a VM performing tasks such as allowing or denying access as a firewall, optimizing wide area network (WAN) operations (including network compression), custom routing, or other network functionality.

  • Podsítě webové, podnikové a datové vrstvy:Web tier, business tier, and data tier subnets. Podsítě poskytující hostování virtuálním počítačům a službám, které implementují ukázky aplikací, které mají tři vrstvy, spuštěných v cloudu.Subnets hosting the VMs and services that implement an example 3-tier application running in the cloud. Další informace najdete v tématu Spuštění virtuálních počítačů s Windows pro n-vrstvou architekturu v Azure.See Running Windows VMs for an N-tier architecture on Azure for more information.

  • Trasy definované uživatelem:User defined routes (UDR). Trasy definované uživatelem definují tok přenosů IP ve virtuálních sítích Azure.User defined routes define the flow of IP traffic within Azure VNets.

    Poznámka

    V závislosti na požadavcích na připojení k síti VPN můžete k implementaci pravidel předávání, která směrují přenosy zpět prostřednictvím místní sítě, nakonfigurovat trasy protokolu BGP (Border Gateway), a nepoužívat uživatelem definované trasy.Depending on the requirements of your VPN connection, you can configure Border Gateway Protocol (BGP) routes instead of using UDRs to implement the forwarding rules that direct traffic back through the on-premises network.

  • Podsíť správy:Management subnet. Tato podsíť obsahuje virtuální počítače, které implementují správu a funkce sledování komponent spuštěných ve virtuální síti.This subnet contains VMs that implement management and monitoring capabilities for the components running in the VNet.

DoporučeníRecommendations

Následující doporučení platí pro většinu scénářů.The following recommendations apply for most scenarios. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.Follow these recommendations unless you have a specific requirement that overrides them.

Doporučení pro řízení přístupuAccess control recommendations

Ke správě prostředků ve vaší aplikaci použijte řízení přístupu na základě role.Use Role-Based Access Control (RBAC) to manage the resources in your application. Zvažte možnost vytvoření následujících vlastních rolí:Consider creating the following custom roles:

  • Role DevOps s oprávněními ke správě infrastruktury aplikace, nasazování komponent aplikací a sledování a restartování virtuálních počítačů.A DevOps role with permissions to administer the infrastructure for the application, deploy the application components, and monitor and restart VMs.

  • Role centralizovaného správce IT ke správě a sledování síťových prostředků.A centralized IT administrator role to manage and monitor network resources.

  • Role správce zabezpečení IT ke správě zabezpečených síťových prostředků, jako jsou například síťová virtuální zařízení.A security IT administrator role to manage secure network resources such as the NVAs.

Role DevOps a role správců IT by neměly mít přístup k prostředkům síťových virtuálních zařízení.The DevOps and IT administrator roles should not have access to the NVA resources. Ty by měly být omezené na roli správce zabezpečení IT.This should be restricted to the security IT administrator role.

Doporučení pro skupinu prostředkůResource group recommendations

Prostředky Azure, jako jsou virtuální počítače, virtuální sítě a nástroje pro vyrovnávání zatížení, které se seskupí společně do skupin prostředků, se dají snadno spravovat.Azure resources such as VMs, VNets, and load balancers can be easily managed by grouping them together into resource groups. Přístup omezíte tak, že ke každé skupině prostředků přiřadíte role RBAC.Assign RBAC roles to each resource group to restrict access.

Doporučujeme vytvořit následující skupiny prostředků:We recommend creating the following resource groups:

  • Skupina prostředků obsahující virtuální síť (s výjimkou virtuálních počítačů), skupiny zabezpečení sítě (NSG) a prostředky brány pro připojení k místní síti.A resource group containing the VNet (excluding the VMs), NSGs, and the gateway resources for connecting to the on-premises network. Přiřaďte k této skupině prostředků roli centralizovaného správce IT.Assign the centralized IT administrator role to this resource group.
  • Skupina prostředků obsahující virtuální počítače pro síťová virtuální zařízení (včetně nástroje pro vyrovnávání zatížení), jumpbox a další virtuální počítače pro správu a uživatelem definovaná trasa pro podsíť brány, která vynutí pro veškeré přenosy síťová virtuální zařízení.A resource group containing the VMs for the NVAs (including the load balancer), the jumpbox and other management VMs, and the UDR for the gateway subnet that forces all traffic through the NVAs. Přiřaďte k této skupině prostředků roli správce zabezpečení IT.Assign the security IT administrator role to this resource group.
  • Oddělte skupiny prostředků pro jednotlivé vrstvy aplikace, které obsahují nástroj pro vyrovnávání zatížení a virtuální počítače.Separate resource groups for each application tier that contain the load balancer and VMs. Chtěli bychom upozornit, že by tato skupina prostředků neměla obsahovat podsítě pro jednotlivé úrovně.Note that this resource group shouldn't include the subnets for each tier. Přiřaďte do této skupiny prostředků roli DevOps.Assign the DevOps role to this resource group.

Doporučení k bráně virtuální sítěVirtual network gateway recommendations

Místní přenosy do virtuální sítě procházejí přes bránu virtuální sítě.On-premises traffic passes to the VNet through a virtual network gateway. Doporučujeme bránu Azure VPN nebo bránu Azure ExpressRoute.We recommend an Azure VPN gateway or an Azure ExpressRoute gateway.

Doporučení pro síťová virtuální zařízeníNVA recommendations

Síťová virtuální zařízení poskytují různé služby pro správu a sledování provozu v síti.NVAs provide different services for managing and monitoring network traffic. V Azure Marketplace najdete několik dalších dodavatelů síťových virtuálních zařízení, které můžete použít.The Azure Marketplace offers several third-party vendor NVAs that you can use. Pokud žádný z těchto dodavatelů síťových virtuálních zařízení nesplňuje vaše požadavky, můžete s použitím virtuálních počítačů vytvořit vlastní síťové virtuální zařízení.If none of these third-party NVAs meet your requirements, you can create a custom NVA using VMs.

Například nasazení řešení pro tuto referenční architekturu implementuje síťové virtuální zařízení na virtuálním počítači s následujícími funkcemi:For example, the solution deployment for this reference architecture implements an NVA with the following functionality on a VM:

  • Provoz se směruje pomocí předávání IP na rozhraní (NIC) sítě se síťovými virtuálními zařízeními.Traffic is routed using IP forwarding on the NVA network interfaces (NICs).
  • Předávání přenosů přes síťové virtuální zařízení je povolené jenom v případě, že je to vhodné.Traffic is permitted to pass through the NVA only if it is appropriate to do so. Každý virtuální počítač síťového virtuálního zařízení v referenční architektuře je jednoduchý směrovač Linux.Each NVA VM in the reference architecture is a simple Linux router. Příchozí přenos dorazí na síťové rozhraní eth0 a odchozí přenos probíhá v souladu s pravidly definovanými vlastními skripty odeslanými prostřednictvím síťového rozhraní eth1.Inbound traffic arrives on network interface eth0, and outbound traffic matches rules defined by custom scripts dispatched through network interface eth1.
  • Síťová virtuální zařízení je možné nakonfigurovat jenom z podsítě správy.The NVAs can only be configured from the management subnet.
  • Přenosy směrované do podsítě správy neprochází přes síťová virtuální zařízení.Traffic routed to the management subnet does not pass through the NVAs. V opačném případě by v situaci, kdy by došlo k chybě síťového virtuálního zařízení, neexistovala žádná cesta do podsítě pro správu, aby je bylo možné opravit.Otherwise, if the NVAs fail, there would be no route to the management subnet to fix them.
  • Virtuální počítače pro síťové virtuální zařízení jsou umístěné ve skupině dostupnosti za nástrojem pro vyrovnávání zatížení.The VMs for the NVA are placed in an availability set behind a load balancer. Uživatelem definovaná trasa v podsíti brány směruje žádosti síťových virtuálních zařízení do nástroje pro vyrovnávání zatížení.The UDR in the gateway subnet directs NVA requests to the load balancer.

Pokud budete chtít ukončit připojení aplikací na úrovni síťového virtuálního zařízení a zachovat vztahy s vrstvami back-end, zahrňte síťové virtuální zařízení vrstvy 7.Include a layer-7 NVA to terminate application connections at the NVA level and maintain affinity with the backend tiers. Zaručí se tak symetrické připojení, ve kterém se přenosy odpovědí z úrovní back-end vrací přes síťové virtuální zařízení vrstvy.This guarantees symmetric connectivity, in which response traffic from the backend tiers returns through the NVA.

Jako další možnost zvažte sériové připojení více síťových virtuálních zařízení, kdy bude každé síťové virtuální zařízení provádět specializovanou úlohu zabezpečení.Another option to consider is connecting multiple NVAs in series, with each NVA performing a specialized security task. Umožní to spravovat funkce zabezpečení na jednotlivých síťových virtuálních zařízeních.This allows each security function to be managed on a per-NVA basis. Například síťové virtuální zařízení, které implementuje bránu firewall, můžete umístit do série se síťovým virtuálním zařízením, na kterém běží služby identit.For example, an NVA implementing a firewall could be placed in series with an NVA running identity services. Výměnou za jednoduchou správa je ale nutné přidat další segmenty směrování v síti, které můžou zvýšit latenci. Je tedy třeba se ujistit, že to nebude mít vliv na výkon aplikace.The tradeoff for ease of management is the addition of extra network hops that may increase latency, so ensure that this doesn't affect your application's performance.

Doporučení pro NSGNSG recommendations

Brána VPN zveřejňuje veřejnou IP adresu pro připojení k místní síti.The VPN gateway exposes a public IP address for the connection to the on-premises network. Doporučujeme vytvořit skupinu zabezpečení sítě (NSG) pro vstupní podsíť síťových virtuálních zařízení s pravidly pro blokování všech přenosů, které nepocházejí z místní sítě.We recommend creating a network security group (NSG) for the inbound NVA subnet, with rules to block all traffic not originating from the on-premises network.

Doporučujeme také, aby skupiny zabezpečení sítě zajistily pro každou podsíť druhou úroveň ochrany, která znemožní u příchozích přenosů obejít nesprávně nakonfigurované nebo zakázané síťové virtuální zařízení.We also recommend NSGs for each subnet to provide a second level of protection against inbound traffic bypassing an incorrectly configured or disabled NVA. Například podsíť webové vrstvy v referenční architektuře implementuje skupinu zabezpečení sítě s pravidlem ignorovat všechny žádosti kromě těch přijatých z místní sítě (192.168.0.0/16) a další pravidlo, které ignoruje všechny žádosti, které nepochází z portu 80.For example, the web tier subnet in the reference architecture implements an NSG with a rule to ignore all requests other than those received from the on-premises network (192.168.0.0/16) or the VNet, and another rule that ignores all requests not made on port 80.

Doporučení pro přístup k internetuInternet access recommendations

S použitím tunelového připojení VPN site-to-site vynuťte tunelové propojení u všech přenosů, které směřují do internetu přes vaši místní síť, a ke směrování do internetu použijte překlad síťových adres (NAT).Force-tunnel all outbound Internet traffic through your on-premises network using the site-to-site VPN tunnel, and route to the Internet using network address translation (NAT). Zabrání to náhodnému úniku jakýchkoli důvěrných informací uložených ve vaší datové vrstvě a umožní kontrolu a auditování veškerých odchozích přenosů.This prevents accidental leakage of any confidential information stored in your data tier and allows inspection and auditing of all outgoing traffic.

Poznámka

Neblokujte úplně přenosy z aplikačních vrstev do internetu, protože by to u těchto vrstev znemožnilo použití služeb Azure PaaS, které jsou závislé na veřejných IP adresách, jako jsou například protokolování diagnostik virtuálních počítačů, stahování rozšíření virtuálních počítačů a další funkce.Don't completely block Internet traffic from the application tiers, as this will prevent these tiers from using Azure PaaS services that rely on public IP addresses, such as VM diagnostics logging, downloading of VM extensions, and other functionality. Diagnostika Azure také vyžaduje, aby mohly komponenty číst účet Azure Storage a zapisovat do něj.Azure diagnostics also requires that components can read and write to an Azure Storage account.

Ověřte, jestli se u odchozích přenosů z internetu správně vynucuje tunelové propojení.Verify that outbound internet traffic is force-tunneled correctly. Pokud používáte na místním serveru připojení VPN se službou směrování a vzdáleného přístupu, použijte nástroj WireShark nebo Microsoft Message Analyzer.If you're using a VPN connection with the routing and remote access service on an on-premises server, use a tool such as WireShark or Microsoft Message Analyzer.

Doporučení k podsíti pro správuManagement subnet recommendations

Podsíť pro správu obsahuje jumpbox, který provádí funkce správy a monitorování.The management subnet contains a jumpbox that performs management and monitoring functionality. Omezte provádění všech úloh zabezpečené správy tak, aby je prováděl jumpbox.Restrict execution of all secure management tasks to the jumpbox.

Nevytvářejte pro jumpbox veřejnou IP adresu.Do not create a public IP address for the jumpbox. Místo toho vytvořte jednu trasu pro přístup k jumpboxu přes bránu příchozích přenosů.Instead, create one route to access the jumpbox through the incoming gateway. Vytvořte pravidla skupiny zabezpečení sítě tak, aby podsíť správy reagovala jenom na žádosti z povolené trasy.Create NSG rules so the management subnet only responds to requests from the allowed route.

Aspekty zabezpečeníScalability considerations

Referenční architektura používá nástroj pro vyrovnávání zatížení ke směrování místních síťových přenosů do fondu síťových virtuálních zařízení, která směrují přenosy.The reference architecture uses a load balancer to direct on-premises network traffic to a pool of NVA devices, which route the traffic. Síťová virtuální zařízení jsou umístěná ve skupině dostupnosti.The NVAs are placed in an availability set. Toto schéma umožňuje sledovat propustnost síťových virtuálních zařízení v čase a přidat tato zařízení v reakci na zvýšení zátěže.This design allows you to monitor the throughput of the NVAs over time and add NVA devices in response to increases in load.

Standardní skladová položka brána VPN podporuje stabilně propustnost až 100 Mb/s.The standard SKU VPN gateway supports sustained throughput of up to 100 Mbps. Skladová jednotka s vysokým výkonem zajišťuje propustnost až 200 Mb/s.The High Performance SKU provides up to 200 Mbps. Pro širší pásma zvažte vhodnost upgradu na bránu ExpressRoute.For higher bandwidths, consider upgrading to an ExpressRoute gateway. ExpressRoute poskytuje šířku pásma až 10 Gb/s s nižší latencí než připojení VPN.ExpressRoute provides up to 10 Gbps bandwidth with lower latency than a VPN connection.

Další informace o škálovatelnosti bran Azure najdete v části s informacemi týkajícími se škálovatelnosti v tématu Implementace hybridní síťové architektury s Azure a místní VPN a Implementace hybridní síťové architektury s Azure ExpressRoute.For more information about the scalability of Azure gateways, see the scalability consideration section in Implementing a hybrid network architecture with Azure and on-premises VPN and Implementing a hybrid network architecture with Azure ExpressRoute.

Aspekty dostupnostiAvailability considerations

Jak jsme už zmínili, používá referenční architektura fond síťových virtuálních zařízení za nástrojem pro vyrovnávání zatížení.As mentioned, the reference architecture uses a pool of NVA devices behind a load balancer. Nástroj pro vyrovnávání zatížení používá test stavu ke sledování jednotlivých síťových virtuálních zařízení a odebírá z fondu veškerá síťová virtuální zařízení, která nereagují.The load balancer uses a health probe to monitor each NVA and will remove any unresponsive NVAs from the pool.

Pokud používáte k připojení mezi virtuální sítí a místní sítí Azure ExpressRoute, nakonfigurujte bránu VPN, která zajistí převzetí služeb při selhání, když nebude dostupné připojení ExpressRoute.If you're using Azure ExpressRoute to provide connectivity between the VNet and on-premises network, configure a VPN gateway to provide failover if the ExpressRoute connection becomes unavailable.

Podrobnější informace o zachování dostupnosti připojení virtuální privátní sítě a ExpressRoute najdete v části s informacemi k dostupnosti v tématu Implementace hybridní síťové architektury s Azure a místní VPN a Implementace hybridní síťové architektury s Azure ExpressRoute.For specific information on maintaining availability for VPN and ExpressRoute connections, see the availability considerations in Implementing a hybrid network architecture with Azure and on-premises VPN and Implementing a hybrid network architecture with Azure ExpressRoute.

Aspekty správyManageability considerations

Veškeré sledování aplikací a prostředků by měl provádět jumpbox v podsíti správy.All application and resource monitoring should be performed by the jumpbox in the management subnet. V závislosti na požadavcích vaší aplikace může být nutné mít v podsíti správy další prostředky pro sledování.Depending on your application requirements, you may need additional monitoring resources in the management subnet. V takovém případě by měly být tyto prostředky dostupné prostřednictvím jumpboxu.If so, these resources should be accessed through the jumpbox.

Pokud nefunguje připojení brány z vaší místní sítě do Azure, můžete stále použít jumpbox tak, že nasadíte veřejnou IP adresu, přidáte ji k jumpboxu a použijete vzdálený přístup z internetu.If gateway connectivity from your on-premises network to Azure is down, you can still reach the jumpbox by deploying a public IP address, adding it to the jumpbox, and remoting in from the internet.

Podsítě jednotlivých úrovní v referenční architektuře jsou chráněné pravidly skupiny zabezpečení sítě.Each tier's subnet in the reference architecture is protected by NSG rules. Pravděpodobně bude potřeba vytvořit pravidlo pro otevření portu 3389 pro přístup přes protokol RDP (Remote Desktop Protocol) na virtuálních počítačích s Windows nebo portu 22 pro přístup přes SSH (Secure shell) na virtuálních počítačích s Linuxem.You may need to create a rule to open port 3389 for remote desktop protocol (RDP) access on Windows VMs or port 22 for secure shell (SSH) access on Linux VMs. U dalších nástrojů správy a sledování se můžou vyžadovat pravidla pro otevření dalších portů.Other management and monitoring tools may require rules to open additional ports.

Pokud používáte ExpressRoute pro připojení mezi místním datovým centrem a Azure, použijte ke sledování a řešení potíží s připojením Azure připojení Toolkit (AzureCT).If you're using ExpressRoute to provide the connectivity between your on-premises datacenter and Azure, use the Azure Connectivity Toolkit (AzureCT) to monitor and troubleshoot connection issues.

Další informace týkající se přímo sledování a správy připojení virtuální privátní sítě a ExpressRoute najdete v článcích Implementace hybridní síťové architektury s Azure a místní VPN a Implementace hybridní síťové architektury s Azure ExpressRoute.You can find additional information specifically aimed at monitoring and managing VPN and ExpressRoute connections in the articles Implementing a hybrid network architecture with Azure and on-premises VPN and Implementing a hybrid network architecture with Azure ExpressRoute.

Aspekty zabezpečeníSecurity considerations

Tato referenční architektura implementuje více úrovní zabezpečení.This reference architecture implements multiple levels of security.

Směrování všech žádostí místních uživatelů prostřednictvím síťových virtuálních zařízeníRouting all on-premises user requests through the NVA

Uživatelem definovaná trasa v podsíti brány blokuje všechny žádosti uživatelů jiné než ty, které byly přijaté místně.The UDR in the gateway subnet blocks all user requests other than those received from on-premises. Uživatelem definovaná trasa předává povolené žádosti síťovým virtuálním zařízením v privátní hraniční podsíti a tyto žádosti se, pokud je pravidla síťových virtuálních zařízení povolí, předávají do aplikace.The UDR passes allowed requests to the NVAs in the private DMZ subnet, and these requests are passed on to the application if they are allowed by the NVA rules. Do uživatelem definované trasy je možné přidat další trasy, ale je potřeba zajistit, aby neúmyslně neobcházely síťová virtuální zařízení nebo neblokovaly přenosy správy určené ke správě podsítě.You can add other routes to the UDR, but make sure they don't inadvertently bypass the NVAs or block administrative traffic intended for the management subnet.

Nástroj pro vyrovnávání zatížení před síťovými virtuálními zařízeními funguje také jako zařízení zabezpečení, které ignoruje přenosy na portech, které nejsou otevřené v pravidlech vyrovnávání zatížení.The load balancer in front of the NVAs also acts as a security device by ignoring traffic on ports that are not open in the load balancing rules. Nástroje pro vyrovnávání zatížení v referenční architektuře naslouchají pouze žádostem protokolu HTTP na portu 80 a žádostem protokolu HTTPS na portu 443.The load balancers in the reference architecture only listen for HTTP requests on port 80 and HTTPS requests on port 443. Zdokumentujte veškerá další pravidla, která přidáte k nástrojům pro vyrovnávání zatížení, a sledujte provoz, abyste měli jistotu, že nedochází k potížím se zabezpečením.Document any additional rules that you add to the load balancers, and monitor traffic to ensure there are no security issues.

Použití skupin zabezpečení sítě k blokování/povolení přenosů mezi aplikačními vrstvamiUsing NSGs to block/pass traffic between application tiers

Přenosy mezi vrstvami se omezují pomocí skupin zabezpečení sítě.Traffic between tiers is restricted by using NSGs. Podniková vrstva blokuje veškeré přenosy, které nepochází z webové vrstvy, a datová vrstva blokuje veškeré přenosy, které nepochází z podnikové vrstvy.The business tier blocks all traffic that doesn't originate in the web tier, and the data tier blocks all traffic that doesn't originate in the business tier. Pokud máte požadavek na rozšíření pravidel skupin zabezpečení sítě, aby byl možný k těmto vrstvám širší přístup, je nutné vzít v úvahu bezpečnostní rizika.If you have a requirement to expand the NSG rules to allow broader access to these tiers, weigh these requirements against the security risks. Každá nová cesta příchozího přenosu představuje příležitost k náhodnému nebo záměrnému úniku dat nebo poškození aplikace.Each new inbound pathway represents an opportunity for accidental or purposeful data leakage or application damage.

Přístup DevOpsDevOps access

K omezení operací, které můžou provádět role DevOps na jednotlivých úrovních, použijte RBAC.Use RBAC to restrict the operations that DevOps can perform on each tier. Při udělování oprávnění postupujte podle principu nejnižší úrovně nutných oprávnění.When granting permissions, use the principle of least privilege. Protokolujte všechny operace správy a provádějte pravidelné audity, abyste měli jistotu, že byly všechny změny konfigurace plánované.Log all administrative operations and perform regular audits to ensure any configuration changes were planned.

Nasazení řešeníDeploy the solution

Nasazení pro referenční architekturu implementující tato doporučení je k dispozici na GitHubu.A deployment for a reference architecture that implements these recommendations is available on GitHub.

PožadavkyPrerequisites

  1. Klonování, rozvětvit nebo stáhněte soubor zip pro referenční architektury úložiště GitHub.Clone, fork, or download the zip file for the reference architectures GitHub repository.

  2. Nainstalujte Azure CLI 2.0.Install Azure CLI 2.0.

  3. Nainstalujte stavební bloky Azure balíčku npm.Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  4. Z příkazového řádku bash řádku nebo řádku Powershellu se přihlaste ke svému účtu Azure následujícím způsobem:From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

Nasazení prostředkůDeploy resources

  1. Přejděte /dmz/secure-vnet-hybrid složky úložiště GitHub referenční architektury.Navigate to the /dmz/secure-vnet-hybrid folder of the reference architectures GitHub repository.

  2. Spusťte následující příkaz:Run the following command:

    azbb -s <subscription_id> -g <resource_group_name> -l <region> -p onprem.json --deploy
    
  3. Spusťte následující příkaz:Run the following command:

    azbb -s <subscription_id> -g <resource_group_name> -l <region> -p secure-vnet-hybrid.json --deploy
    

Propojení místních a bran AzureConnect the on-premises and Azure gateways

V tomto kroku připojíte dvě brány místní sítě.In this step, you will connect the two local network gateways.

  1. Na webu Azure Portal přejděte do skupiny prostředků, kterou jste vytvořili.In the Azure Portal, navigate to the resource group that you created.

  2. Najít prostředek s názvem ra-vpn-vgw-pip a IP adresou uvedenou v kopírování přehled okno.Find the resource named ra-vpn-vgw-pip and copy the IP address shown in the Overview blade.

  3. Najít prostředek s názvem onprem-vpn-lgw.Find the resource named onprem-vpn-lgw.

  4. Klikněte na tlačítko konfigurace okno.Click the Configuration blade. V části IP adresu, vložte na IP adresu z kroku 2.Under IP address, paste in the IP address from step 2.

  5. Klikněte na tlačítko Uložit a počkejte na dokončení operace.Click Save and wait for the operation to complete. Může trvat přibližně 5 minut.It can take about 5 minutes.

  6. Najít prostředek s názvem onprem-vpn-gateway1-pip.Find the resource named onprem-vpn-gateway1-pip. Zkopírujte IP adresou uvedenou v přehled okno.Copy the IP address shown in the Overview blade.

  7. Najít prostředek s názvem ra-vpn-lgw.Find the resource named ra-vpn-lgw.

  8. Klikněte na tlačítko konfigurace okno.Click the Configuration blade. V části IP adresu, vložte na IP adresu z kroku 6.Under IP address, paste in the IP address from step 6.

  9. Klikněte na tlačítko Uložit a počkejte na dokončení operace.Click Save and wait for the operation to complete.

  10. Chcete-li ověřit připojení, přejděte připojení okno pro každou bránu.To verify the connection, go to the Connections blade for each gateway. Stav by měl být připojeno.The status should be Connected.

Ověřte, že síťové přenosy přicházejí webové vrstvyVerify that network traffic reaches the web tier

  1. Na webu Azure Portal přejděte do skupiny prostředků, kterou jste vytvořili.In the Azure Portal, navigate to the resource group that you created.

  2. Najít prostředek s názvem int-dmz-lb, což je nástroj pro vyrovnávání zatížení před privátní zónu DMZ.Find the resource named int-dmz-lb, which is the load balancer in front of the private DMZ. Zkopírujte privátní IP adresu z přehled okno.Copy the private IP address from the Overview blade.

  3. Vyhledejte virtuální počítač s názvem jb-vm1.Find the VM named jb-vm1. Klikněte na tlačítko připojit a použijte vzdálenou plochu pro připojení k virtuálnímu počítači.Click Connect and use Remote Desktop to connect to the VM. Uživatelské jméno a heslo jsou uvedeny v souboru onprem.json.The user name and password are specified in the onprem.json file.

  4. Z relace vzdálené plochy otevřete webový prohlížeč a přejděte na IP adresu z kroku 2.From the Remote Desktop Session, open a web browser and navigate to the IP address from step 2. Zobrazí výchozí Apache2 server domovskou stránku.You should see the default Apache2 server home page.

Další postupNext steps