Virtuální datové centrum: Perspektiva sítěThe virtual datacenter: A network perspective

Aplikace migrované z místního prostředí budou využívat výhody zabezpečené infrastruktury Azure, a to i s minimálními změnami aplikací.Applications migrated from on-premises will benefit from Azure's secure cost-efficient infrastructure, even with minimal application changes. I tak by podniky měly přizpůsobit své architektury, aby vylepšili flexibilitu a využili možností Azure.Even so, enterprises should adapt their architectures to improve agility and take advantage of Azure's capabilities.

Microsoft Azure přináší služby a infrastrukturu škálovatelných a spolehlivých funkcí na podnikové úrovni.Microsoft Azure delivers hyperscale services and infrastructure with enterprise-grade capabilities and reliability. Tyto služby a infrastruktura nabízejí spoustu možností hybridního připojení, takže se zákazníci můžou rozhodnout, že k nim mají přístup přes Internet nebo privátní síťové připojení.These services and infrastructure offer many choices in hybrid connectivity, so customers can choose to access them over the internet or a private network connection. Partneři Microsoftu můžou taky poskytovat vylepšené funkce, které nabízejí služby zabezpečení a virtuální zařízení optimalizovaná pro spouštění v Azure.Microsoft partners can also provide enhanced capabilities by offering security services and virtual appliances that are optimized to run in Azure.

Zákazníci můžou využít Azure k bezproblémovému rozšiřování infrastruktury do cloudu a sestavování architektur s více vrstvami.Customers can use Azure to seamlessly extend their infrastructure into the cloud and build multitier architectures.

Co je virtuální datové centrum?What is a virtual datacenter?

Cloud začal jako platforma pro hostování veřejných aplikací.The cloud began as a platform for hosting public-facing applications. Podniky rozpoznaly hodnotu cloudu a začali migrovat interní obchodní aplikace.Enterprises recognized the value of the cloud and began migrating internal line-of-business applications. Tyto aplikace donesly další zabezpečení, spolehlivost, výkon a náklady, které vyžadují větší flexibilitu při doručování cloudových služeb.These applications brought additional security, reliability, performance, and cost considerations that required additional flexibility when delivering cloud services. Nové infrastruktury a síťové služby byly navrženy tak, aby poskytovaly tuto flexibilitu, a nové funkce poskytované pro elastické škálování, zotavení po havárii a další okolnosti.New infrastructure and networking services were designed to provide this flexibility, and new features provided for elastic scale, disaster recovery, and other considerations.

Cloudová řešení byla zpočátku navržena tak, aby se ve veřejném spektru hostly jedna poměrně izolovaná aplikace.Cloud solutions were initially designed to host single, relatively isolated applications in the public spectrum. Tento přístup se dobře pracoval v několika letech.This approach worked well for a few years. Protože výhody cloudových řešení se stala nejasné, bylo na cloudu hostováno několik velkých úloh.As the benefits of cloud solutions became clear, multiple large-scale workloads were hosted on the cloud. Řešení potíží se zabezpečením, spolehlivostí, výkonem a náklady na nasazení v jedné nebo několika oblastech se v celém životním cyklu cloudové služby stalo zásadním.Addressing security, reliability, performance, and cost concerns of deployments in one or more regions became vital throughout the lifecycle of the cloud service.

V níže uvedeném diagramu nasazení cloudu se v červeném poli zvýrazní bezpečnostní mezera.In the example cloud deployment diagram below, the red box highlights a security gap. Žluté pole ukazuje možnost optimalizace síťových virtuálních zařízení napříč úlohami.The yellow box shows an opportunity to optimize network virtual appliances across workloads.

00

Virtuální datacentra pomůžou dosáhnout škálování vyžadovaného pro podnikové úlohy.Virtual datacenters help achieve the scale required for enterprise workloads. Tato škála musí řešit výzvy, které byly zavedeny při spouštění rozsáhlých aplikací ve veřejném cloudu.This scale must address the challenges introduced when running large-scale applications in the public cloud.

Implementace virtuálního datacentra (VDC) zahrnuje více než aplikační úlohy v cloudu.A virtual datacenter (VDC) implementation includes more than the application workloads in the cloud. Poskytuje taky síť, zabezpečení, správu a další infrastrukturu, jako je třeba DNS a Active Directory Services.It also provides the network, security, management, and other infrastructure such as DNS and Active Directory services. V případě, že podniky migrují další úlohy do Azure, vezměte v úvahu infrastrukturu a objekty, které tyto úlohy podporují.As enterprises migrate additional workloads to Azure, consider the infrastructure and objects that support these workloads. Pečlivá strukturování vašich prostředků pomáhá zabránit přemnožení stovky samostatně spravovaných "ostrovů", s nezávislými datovými toky, modely zabezpečení a problémy s dodržováním předpisů.Carefully structuring your resources helps avoid proliferation of hundreds of separately managed "workload islands" with independent data flows, security models, and compliance challenges.

Koncept Virtual datacentra poskytuje doporučení a návrhy na nejvyšší úrovni pro implementaci kolekce samostatných entit, které spolu souvisejí.The virtual datacenter concept provides recommendations and high-level designs for implementing a collection of separate but related entities. Tyto entity často obsahují společné podpůrné funkce, funkce a infrastrukturu.These entities often have common supporting functions, features, and infrastructure. Zobrazení vašich úloh jako virtuálního datového centra pomáhá snižovat náklady z ekonomiky, optimalizovaného zabezpečení prostřednictvím součásti a centralizovaného toku dat, a usnadňuje operace, správu a audity dodržování předpisů.Viewing your workloads as a virtual datacenter helps realize reduced cost from economies of scale, optimized security via component and data flow centralization, and easier operations, management, and compliance audits.

Poznámka

Virtuální datové centrum není konkrétní služba Azure.A virtual datacenter is not a specific Azure service. Místo toho jsou kombinovány různé funkce a možnosti Azure, aby splňovaly vaše požadavky.Rather, various Azure features and capabilities are combined to meet your requirements. Virtuální datacentrum představuje způsob, jak se zamyslet na vaše úlohy a využití Azure a optimalizovat vaše prostředky a možnosti v cloudu.A virtual datacenter is a way of thinking about your workloads and Azure usage to optimize your resources and capabilities in the cloud. Poskytuje modulární přístup k poskytování služeb IT v Azure a přitom respektuje organizační role a zodpovědnosti organizace.It provides a modular approach to providing IT services in Azure while respecting the enterprise's organizational roles and responsibilities.

Virtuální datové centrum pomáhá podnikům nasazovat úlohy a aplikace v Azure z následujících scénářů:A virtual datacenter helps enterprises deploy workloads and applications in Azure for the following scenarios:

  • Hostování více souvisejících úlohHost multiple related workloads.
  • Migrujte úlohy z místního prostředí do Azure.Migrate workloads from an on-premises environment to Azure.
  • Implementujte sdílené nebo centralizované požadavky na zabezpečení a přístup napříč úlohami.Implement shared or centralized security and access requirements across workloads.
  • Zkombinujte DevOps a centralizované IT oddělení pro velký podnik.Mix DevOps and centralized IT appropriately for a large enterprise.

Kdo má implementovat virtuální datové centrum?Who should implement a virtual datacenter?

Každý zákazník, který se rozhodl přijmout Azure, může těžit z efektivity konfigurace sady prostředků pro běžné používání všemi aplikacemi.Any customer that has decided to adopt Azure can benefit from the efficiency of configuring a set of resources for common use by all applications. V závislosti na velikosti můžou i jednotlivé aplikace těžit z používání vzorů a komponent, které se používají k vytvoření VDC implementace.Depending on the size, even single applications can benefit from using the patterns and components used to build a VDC implementation.

Některé organizace mají centralizované týmy nebo oddělení pro IT, sítě, zabezpečení nebo dodržování předpisů.Some organizations have centralized teams or departments for IT, networking, security, or compliance. Implementace VDC může pomáhat vymáhat body zásad, oddělit zodpovědnosti a zajistit konzistenci základních společných komponent.Implementing a VDC can help enforce policy points, separate responsibilities, and ensure the consistency of the underlying common components. Týmy aplikací můžou zachovat volnost a kontrolu, které jsou vhodné pro jejich požadavky.Application teams can retain the freedom and control that is suitable for their requirements.

Organizace s přístupem DevOps můžou k poskytování autorizovaných kapes prostředků Azure využít také koncepty VDC.Organizations with a DevOps approach can also use VDC concepts to provide authorized pockets of Azure resources. Tato metoda může zajistit, aby skupiny DevOps měly celkovou kontrolu v rámci tohoto seskupení, a to buď na úrovni předplatného, nebo ve skupinách prostředků v rámci společného předplatného.This method can ensure the DevOps groups have total control within that grouping, at either the subscription level or within resource groups in a common subscription. V současné době hranice sítě a zabezpečení zůstávají v souladu s tím, jak jsou definovány centralizovanými zásadami v síti centra a centrálně spravované skupině prostředků.At the same time, the network and security boundaries stay compliant as defined by a centralized policy in the hub network and centrally managed resource group.

Předpoklady pro implementaci virtuálního datového centraConsiderations for implementing a virtual datacenter

Při navrhování virtuálního datového centra zvažte tyto pivotové problémy:When designing a virtual datacenter, consider these pivotal issues:

Identita a adresářová službaIdentity and directory service

Služba identity a adresářové služby jsou klíčové funkce místních i cloudových datových center.Identity and directory services are key capabilities of both on-premises and cloud datacenters. Identita se zabývá všemi aspekty přístupu a autorizací ke službám v rámci VDC implementace.Identity covers all aspects of access and authorization to services within a VDC implementation. Pro zajištění toho, aby přístup k prostředkům Azure používali jenom autorizovaní uživatelé a procesy, Azure pro ověřování používá několik typů přihlašovacích údajů, včetně hesel účtů, šifrovacích klíčů, digitálních podpisů a certifikátů.To ensure that only authorized users and processes access your Azure resources, Azure uses several types of credentials for authentication, including account passwords, cryptographic keys, digital signatures, and certificates. Azure Multi-Factor Authentication poskytuje další úroveň zabezpečení pro přístup ke službám Azure pomocí silného ověřování s využitím široké škály možností snadného ověření (telefonní hovor, textová zpráva nebo oznámení mobilní aplikace), které zákazníkům umožňují vybrat si metodu, které dáváte přednost.Azure Multi-Factor Authentication provides an additional layer of security for accessing Azure services using strong authentication with a range of easy verification options (phone call, text message, or mobile app notification) that allow customers to choose the method they prefer.

Každý velký podnik potřebuje definovat proces správy identit, který popisuje správu individuálních identit, jejich ověřování, autorizaci, rolí a oprávnění v rámci svých VDC nebo napříč nimi.Any large enterprise needs to define an identity management process that describes the management of individual identities, their authentication, authorization, roles, and privileges within or across their VDC. Cílem tohoto procesu je zvýšit zabezpečení a produktivitu a zároveň snížit náklady, výpadky a opakované ruční úlohy.The goals of this process should be to increase security and productivity while reducing cost, downtime, and repetitive manual tasks.

Organizace Enterprise mohou vyžadovat náročné kombinace služeb pro různé obchodní oddělení a zaměstnanci mají často různé role, pokud se účastní různých projektů.Enterprise organizations may require a demanding mix of services for different lines of business, and employees often have different roles when involved with different projects. VDC vyžaduje dobrou spolupráci mezi různými týmy, z nichž každá má konkrétní definice rolí, k získání systémů se správným dodržováním zásad správného řízení.The VDC requires good cooperation between different teams, each with specific role definitions, to get systems running with good governance. Matice odpovědností, přístupu a práv může být složitá.The matrix of responsibilities, access, and rights can be complex. Správa identit ve službě VDC je implementována prostřednictvím služby Azure Active Directory (Azure AD) a řízení přístupu na základě role Azure (Azure RBAC).Identity management in the VDC is implemented through Azure Active Directory (Azure AD) and Azure role-based access control (Azure RBAC).

Adresářová služba je sdílená informační infrastruktura, která vyhledává, spravuje, spravuje a uspořádává každodenní položky a síťové prostředky.A directory service is a shared information infrastructure that locates, manages, administers, and organizes everyday items and network resources. Tyto prostředky můžou zahrnovat svazky, složky, soubory, tiskárny, uživatele, skupiny, zařízení a další objekty.These resources can include volumes, folders, files, printers, users, groups, devices, and other objects. Každý prostředek v síti je považován za objekt na adresářovém serveru.Each resource on the network is considered an object by the directory server. Informace o prostředku jsou uloženy jako kolekce atributů přidružených k danému prostředku nebo objektu.Information about a resource is stored as a collection of attributes associated with that resource or object.

Všechny online podnikové služby Microsoftu využívají Azure Active Directory (Azure AD) k přihlašování a jiným potřebám identity.All Microsoft online business services rely on Azure Active Directory (Azure AD) for sign-on and other identity needs. Azure Active Directory je komplexní a vysoce dostupné cloudové řešení pro správu identit a přístupu, které kombinuje základní adresářové služby, pokročilé řízení identit a správu přístupu k aplikacím.Azure Active Directory is a comprehensive, highly available identity and access management cloud solution that combines core directory services, advanced identity governance, and application access management. Azure AD můžete integrovat s místní službou Active Directory a povolit tak jednotné přihlašování pro všechny cloudové a místně hostované místní aplikace.Azure AD can integrate with on-premises Active Directory to enable single sign-on for all cloud-based and locally hosted on-premises applications. Uživatelské atributy místní služby Active Directory je možné automaticky synchronizovat do Azure AD.The user attributes of on-premises Active Directory can be automatically synchronized to Azure AD.

Jeden globální správce není potřebný k přiřazení všech oprávnění v VDC implementaci.A single global administrator isn't required to assign all permissions in a VDC implementation. Místo toho mohou mít každé konkrétní oddělení, skupinu uživatelů nebo služby v adresářové službě oprávnění potřebná ke správě vlastních prostředků v rámci VDC implementace.Instead, each specific department, group of users, or services in the Directory Service can have the permissions required to manage their own resources within a VDC implementation. Oprávnění strukturování vyžadují vyrovnávání.Structuring permissions requires balancing. Příliš mnoho oprávnění může mít vliv na efektivitu výkonu a příliš málo nebo volná oprávnění může zvýšit bezpečnostní riziko.Too many permissions can impede performance efficiency, and too few or loose permissions can increase security risks. Řízení přístupu na základě role Azure (Azure RBAC) pomáhá řešit tento problém tím, že nabízí jemně odstupňovanou správu přístupu k prostředkům v VDC implementaci.Azure role-based access control (Azure RBAC) helps to address this problem, by offering fine-grained access management for resources in a VDC implementation.

Infrastruktura zabezpečeníSecurity infrastructure

Infrastruktura zabezpečení odkazuje na oddělení provozu v konkrétní segmentu virtuální sítě VDC implementace.Security infrastructure refers to the segregation of traffic in a VDC implementation's specific virtual network segment. Tato infrastruktura určuje, jak příchozí a odchozí přenos dat řídí VDC implementace.This infrastructure specifies how ingress and egress are controlled in a VDC implementation. Azure je založený na víceklientské architektuře, která zabraňuje neoprávněnému a neúmyslnému provozu mezi nasazeními pomocí izolace virtuální sítě, seznamů řízení přístupu, nástrojů pro vyrovnávání zatížení, filtrů IP adres a zásad toku provozu.Azure is based on a multitenant architecture that prevents unauthorized and unintentional traffic between deployments by using virtual network isolation, access control lists, load balancers, IP filters, and traffic flow policies. Překlad síťových adres (NAT) odděluje interní síťový provoz z externího provozu.Network address translation (NAT) separates internal network traffic from external traffic.

Prostředky infrastruktury Azure přidělují prostředky infrastruktury klientským úlohám a spravují komunikaci s virtuálními počítači a z nich.The Azure fabric allocates infrastructure resources to tenant workloads and manages communications to and from virtual machines (VMs). Hypervisor Azure vynutil oddělení paměti a procesů mezi virtuálními počítači a bezpečným směrováním síťového provozu do klientů hostovaného operačního systému.The Azure hypervisor enforces memory and process separation between VMs and securely routes network traffic to guest OS tenants.

Připojení ke clouduConnectivity to the cloud

Virtuální datacentrum vyžaduje připojení k externím sítím a nabízí služby zákazníkům, partnerům nebo interním uživatelům.A virtual datacenter requires connectivity to external networks to offer services to customers, partners, or internal users. K tomu je potřeba, aby připojení odkazovalo nejen na Internet, ale i na místní sítě a datová centra.This need for connectivity refers not only to the Internet, but also to on-premises networks and datacenters.

Zákazníci řídí, které služby mají přístup k veřejnému Internetu a jsou k nim přístup.Customers control which services can access and be accessed from the public internet. Tento přístup je řízený pomocí Azure firewall nebo jiných typů síťová virtuální zařízení (Virtual Network), vlastních zásad směrování pomocí uživatelem definovaných trasa filtrování sítě pomocí skupin zabezpečení sítě.This access is controlled by using Azure Firewall or other types of virtual network appliances (NVAs), custom routing policies by using user-defined routes, and network filtering by using network security groups. Doporučujeme, aby všechny internetové prostředky byly také chráněny Azure DDoS Protection standardem.We recommend that all internet-facing resources also be protected by the Azure DDoS Protection Standard.

Podniky můžou potřebovat připojit své virtuální datové centrum k místním datovým centrům nebo jiným prostředkům.Enterprises may need to connect their virtual datacenter to on-premises datacenters or other resources. Toto připojení mezi Azure a místními sítěmi je zásadním aspektem při navrhování efektivní architektury.This connectivity between Azure and on-premises networks is a crucial aspect when designing an effective architecture. Podniky mají dva různé způsoby, jak toto propojení vytvořit: přenos přes Internet nebo prostřednictvím privátních přímých připojení.Enterprises have two different ways to create this interconnection: transit over the Internet or via private direct connections.

Síť VPN typu Site-to-site propojuje místní sítě s vaším virtuálním datacentrem v Azure.An Azure Site-to-Site VPN connects on-premises networks to your virtual datacenter in Azure. Odkaz je vytvořen prostřednictvím zabezpečených šifrovaných připojení (tunely IPsec).The link is established through secure encrypted connections (IPsec tunnels). Připojení VPN typu Site-to-site jsou flexibilní, rychle se vytvářejí a obvykle nevyžadují další zadávání na hardware.Azure Site-to-Site VPN connections are flexible, quick to create, and typically don't require any additional hardware procurement. V závislosti na standardních protokolech může většina současných síťových zařízení vytvářet připojení VPN k Azure přes Internet nebo existující cesty k připojení.Based on industry standard protocols, most current network devices can create VPN connections to Azure over the internet or existing connectivity paths.

ExpressRoute umožňuje privátní připojení mezi vaším virtuálním datacentrem a všemi místními sítěmi.ExpressRoute enables private connections between your virtual datacenter and any on-premises networks. Připojení ExpressRoute nevyužívají veřejný Internet a nabízejí vyšší rychlost zabezpečení, spolehlivosti a vyšší rychlosti (až 100 GB/s) a konzistentní latence.ExpressRoute connections don't go over the public Internet, and offer higher security, reliability, and higher speeds (up to 100 Gbps) along with consistent latency. ExpressRoute poskytuje výhody pravidel dodržování předpisů přidružených k soukromým připojením.ExpressRoute provides the benefits of compliance rules associated with private connections. S ExpressRoute Directse můžete přímo připojit k směrovačům Microsoftu na 10 GB/s nebo 100 GB/s.With ExpressRoute Direct, you can connect directly to Microsoft routers at either 10 Gbps or 100 Gbps.

Nasazení připojení ExpressRoute obvykle zahrnuje poutavý poskytovatel služeb ExpressRoute (ExpressRoute Direct je výjimkou).Deploying ExpressRoute connections usually involves engaging with an ExpressRoute service provider (ExpressRoute Direct being the exception). Pro zákazníky, kteří potřebují začít rychle, je běžné používat síť Site-to-Site VPN k navázání připojení mezi virtuálním datacentrem a místními prostředky.For customers that need to start quickly, it's common to initially use Site-to-Site VPN to establish connectivity between a virtual datacenter and on-premises resources. Až se vaše fyzické propojení s vaším poskytovatelem služeb dokončí, migrujte připojení přes připojení ExpressRoute.Once your physical interconnection with your service provider is complete, then migrate connectivity over your ExpressRoute connection.

V případě velkého počtu připojení VPN nebo ExpressRoute je Azure Virtual WAN síťová služba, která poskytuje optimalizované a automatizované připojení mezi větvemi prostřednictvím Azure.For large numbers of VPN or ExpressRoute connections, Azure Virtual WAN is a networking service that provides optimized and automated branch-to-branch connectivity through Azure. Virtual WAN umožňuje připojit a nakonfigurovat Pobočková zařízení ke komunikaci s Azure.Virtual WAN lets you connect to and configure branch devices to communicate with Azure. Připojení a konfigurace se dá provést ručně nebo pomocí zařízení preferovaného poskytovatele prostřednictvím virtuálního partnera WAN.Connecting and configuring can be done either manually or by using preferred provider devices through a Virtual WAN partner. Použití preferovaných zařízení poskytovatele umožňuje snadné použití, zjednodušení připojení a správu konfigurace.Using preferred provider devices allows ease of use, simplification of connectivity, and configuration management. Integrovaný řídicí panel Azure WAN nabízí rychlé řešení problémů, které vám může ušetřit čas a poskytuje snadný způsob, jak zobrazit rozsáhlé připojení typu Site-to-site.The Azure WAN built-in dashboard provides instant troubleshooting insights that can help save you time, and gives you an easy way to view large-scale site-to-site connectivity. Virtuální síť WAN taky poskytuje služby zabezpečení s volitelným Azure Firewall a správcem brány firewall ve vašem virtuálním centru WAN.Virtual WAN also provides security services with an optional Azure Firewall and Firewall Manager in your Virtual WAN hub.

Konektivita v clouduConnectivity within the cloud

Virtuální sítě Azure a partnerské vztahy virtuálních sítí jsou základní síťové součásti ve virtuálním datovém centru.Azure Virtual Networks and virtual network peering are the basic networking components in a virtual datacenter. Virtuální síť garantuje izolaci hranice pro virtuální datové centrum.A virtual network guarantees an isolation boundary for virtual datacenter resources. Partnerský vztah umožňuje vzájemnou komunikaci mezi různými virtuálními sítěmi v rámci stejné oblasti Azure, napříč různými oblastmi, a dokonce i mezi sítěmi v různých předplatných.Peering allows intercommunication between different virtual networks within the same Azure region, across regions, and even between networks in different subscriptions. V rámci i mezi virtuálními sítěmi se můžou provozně řídit sady pravidel zabezpečení, která jsou určená pro skupiny zabezpečení sítě, zásady brány firewall (Azure firewall nebo Síťová virtuální zařízení) a vlastní trasy definované uživatelem.Both inside and between virtual networks, traffic flows can be controlled by sets of security rules specified for network security groups, firewall policies (Azure Firewall or network virtual appliances), and custom user-defined routes.

Virtuální sítě jsou také kotvicí body pro integraci platforem jako služby (PaaS) Azure, jako je Azure Storage, Azure SQLa dalších integrovaných veřejných služeb, které mají veřejné koncové body.Virtual networks are also anchor points for integrating platform as a service (PaaS) Azure products like Azure Storage, Azure SQL, and other integrated public services that have public endpoints. Pomocí koncových bodů služby a privátního odkazu Azuremůžete integrovat veřejné služby s vaší privátní sítí.With service endpoints and Azure Private Link, you can integrate your public services with your private network. Vaše veřejné služby můžete dokonce používat jako soukromé, ale i nadále využívat výhody služeb PaaS spravovaných Azure.You can even take your public services private, but still enjoy the benefits of Azure-managed PaaS services.

Přehled virtuálního datacentraVirtual datacenter overview

TopologieTopologies

Virtuální datové centrum se dá pomocí jedné z těchto topologií vysoké úrovně sestavit podle vašich potřeb a požadavků na škálování:A virtual datacenter can be built using one of these high-level topologies, based on your needs and scale requirements:

V ploché topologii jsou všechny prostředky nasazené v jedné virtuální síti.In a Flat topology, all resources are deployed in a single virtual network. Podsítě umožňují řízení toku a oddělení.Subnets allow for flow control and segregation.

1111

V topologii sítě se partnerský vztah virtuálních sítí připojuje všechny virtuální sítě přímo k sobě navzájem.In a Mesh topology, virtual network peering connects all virtual networks directly to each other.

1212

Partnerský rozbočovač a topologie paprsků jsou vhodné pro distribuované aplikace a týmy s delegovanými zodpovědnostmi.A Peering hub and spoke topology is well suited for distributed applications and teams with delegated responsibilities.

1313

Topologie Azure Virtual WAN může podporovat rozsáhlé podnikové scénáře a globální služby WAN.An Azure Virtual WAN topology can support large-scale branch office scenarios and global WAN services.

1414

Rozbočovač partnerského vztahu a topologie paprsků a topologie Azure Virtual WAN používají návrh hub a paprsk, který je optimální pro komunikaci, sdílené prostředky a centralizované zásady zabezpečení.The peering hub and spoke topology and the Azure Virtual WAN topology both use a hub and spoke design, which is optimal for communication, shared resources, and centralized security policy. Rozbočovače se vytvářejí buď pomocí rozbočovače partnerského vztahu virtuální sítě (označeného jako Hub Virtual Network v diagramu), nebo virtuálního centra sítě WAN (označeného jako Azure Virtual WAN v diagramu).Hubs are built using either a virtual network peering hub (labeled as Hub Virtual Network in the diagram) or a Virtual WAN hub (labeled as Azure Virtual WAN in the diagram). Azure Virtual WAN je navržená pro velkou škálu komunikací mezi větvemi a mezi jednotlivými platformami Azure nebo pro zamezení složitých sestavování všech komponent v rámci rozbočovače partnerského vztahu virtuálních sítí.Azure Virtual WAN is designed for large-scale branch-to-branch and branch-to-Azure communications, or for avoiding the complexities of building all the components individually in a virtual networking peering hub. V některých případech mohou vaše požadavky vyžadovat návrh rozbočovače partnerského vztahu virtuální sítě, například nutnost síťových virtuálních zařízení v centru.In some cases, your requirements might mandate a virtual network peering hub design, such as the need for network virtual appliances in the hub.

V obou topologiích rozbočovače i paprsků je centrum centrální síťovou zónou, která řídí a kontroluje veškerý provoz mezi různými zónami: Internet, místní a paprsky.In both of the hub and spoke topologies, the hub is the central network zone that controls and inspects all traffic between different zones: internet, on-premises, and the spokes. Topologie centra a paprsků pomáhá IT oddělení centrálně vymáhat zásady zabezpečení.The hub and spoke topology helps the IT department centrally enforce security policies. Také snižuje riziko neoprávněné konfigurace a vystavení hrozbám.It also reduces the potential for misconfiguration and exposure.

Centrum často obsahuje společné komponenty služeb spotřebované paprsky.The hub often contains the common service components consumed by the spokes. Mezi běžné centrální služby patří například:The following examples are common central services:

  • Infrastruktura služby Windows Active Directory, která se vyžaduje pro ověřování uživatelů třetích stran, kteří mají přístup k nedůvěryhodným sítím předtím, než získají přístup k úlohám v paprsku.The Windows Active Directory infrastructure, required for user authentication of third parties that access from untrusted networks before they get access to the workloads in the spoke. Včetně související služby Active Directory Federation Services (AD FS).It includes the related Active Directory Federation Services (AD FS).
  • Služba DNS (Distributed Name System) pro překlad názvů pro úlohy v paprskech, pro přístup k prostředkům v místním prostředí a na internetu, pokud se Azure DNS nepoužívá.A Distributed Name System (DNS) service to resolve naming for the workload in the spokes, to access resources on-premises and on the internet if Azure DNS isn't used.
  • Infrastruktura veřejných klíčů (PKI) pro implementaci jednotného přihlašování k úlohám.A public key infrastructure (PKI), to implement single sign-on on workloads.
  • Řízení toku provozu TCP a UDP mezi síťovými zónami v paprscích a internetem.Flow control of TCP and UDP traffic between the spoke network zones and the internet.
  • Řízení toku mezi paprsky a místní sítí.Flow control between the spokes and on-premises.
  • V případě potřeby řízení toku mezi jednotlivými paprsky.If needed, flow control between one spoke and another.

Virtuální datové centrum snižuje celkové náklady pomocí infrastruktury sdíleného centra mezi několika paprsky.A virtual datacenter reduces overall cost by using the shared hub infrastructure between multiple spokes.

Role jednotlivých paprsků může být hostitelem různých typů úloh.The role of each spoke can be to host different types of workloads. Paprsky také poskytují modulární přístup pro opakovaná nasazení stejných úloh.The spokes also provide a modular approach for repeatable deployments of the same workloads. Mezi příklady patří vývoj a testování, testování přijetím uživatelů, předprodukce a produkce.Examples include dev/test, user acceptance testing, preproduction, and production. Paprsky můžou také oddělit a povolit různé skupiny v rámci vaší organizace.The spokes can also segregate and enable different groups within your organization. Příkladem jsou DevOps skupiny.An example is DevOps groups. V rámci paprsku je možné nasadit základní úlohy nebo složité vícevrstvé úlohu s řízením provozu mezi vrstvami.Inside a spoke, it's possible to deploy a basic workload or complex multitier workloads with traffic control between the tiers.

Omezení předplatného a více centerSubscription limits and multiple hubs

Důležité

Na základě velikosti nasazení Azure může být potřeba vytvořit strategii s několika rozbočovači.Based on the size of your Azure deployments, a multiple hub strategy may be needed. Pokud navrhujete strategii rozbočovače a paprsků, požádejte o změnu v tomto měřítku, aby bylo možné použít jinou virtuální síť centra v této oblasti? ", také" může tato škála navrhovat pro přizpůsobení více oblastí? "When designing your hub and spoke strategy, ask "can this design scale to use another hub virtual network in this region?", also, "can this design scale to accommodate multiple regions?" Je mnohem lepší naplánovat návrh, který se škáluje a nepotřebuje, než ho naplánujete a nepotřebujete.It's far better to plan for a design that scales and not need it, than to fail to plan and need it.

Kdy škálování na sekundární (nebo další) centrum bude záviset na nesčetnýchch faktorech, obvykle na základě omezení škálování.When to scale to a secondary (or more) hub will depend on myriad factors, usually based on inherent limits on scale. Při navrhování škálování nezapomeňte zkontrolovat předplatné, virtuální síť a omezení virtuálních počítačů.Be sure to review the subscription, virtual network, and virtual machine limits when designing for scale.

V Azure je každá komponenta bez ohledu na typ nasazená v předplatném Azure.In Azure, every component, whatever the type, is deployed in an Azure subscription. Izolace komponent Azure v různých předplatných Azure může uspokojit požadavky různých oborů podnikání, jako je například nastavení odlišných úrovní přístupu a autorizace.The isolation of Azure components in different Azure subscriptions can satisfy the requirements of different lines of business, such as setting up differentiated levels of access and authorization.

Jedna implementace VDC se může škálovat až na velký počet paprsků, i když jako u každého systému IT jsou k dispozici omezení platformy.A single VDC implementation can scale up to large number of spokes, although, as with every IT system, there are platform limits. Nasazení centra je vázáno na konkrétní předplatné Azure, které má omezení a omezení (například maximální počet partnerských vztahů virtuálních sítí.The hub deployment is bound to a specific Azure subscription, which has restrictions and limits (for example, a maximum number of virtual network peerings. Podrobnosti najdete v tématu limity, kvóty a omezení předplatného a služeb Azure.For details, see Azure subscription and service limits, quotas, and constraints). V případech, kdy omezení můžou být problémem, se může architektura lépe škálovat tím, že se model rozšíří z jednoho centra na paprsky do clusteru hub a paprsků.In cases where limits may be an issue, the architecture can scale up further by extending the model from a single hub-spokes to a cluster of hub and spokes. Více rozbočovačů v jedné nebo několika oblastech Azure se dá propojit pomocí sítě VPN pro partnerský vztah virtuálních sítí, ExpressRoute, virtuální sítě WAN nebo VPN typu Site-to-site.Multiple hubs in one or more Azure regions can be connected using virtual network peering, ExpressRoute, Virtual WAN, or Site-to-Site VPN.

22

Zavedení více rozbočovačů zvyšuje náklady a intenzitu řízení systému.The introduction of multiple hubs increases the cost and management effort of the system. Je odůvodněná jenom kvůli škálovatelnosti, omezením systému, redundanci, regionální replikaci pro výkon koncového uživatele nebo zotavení po havárii.It is only justified due to scalability, system limits, redundancy, regional replication for end-user performance, or disaster recovery. V případě scénářů vyžadujících více rozbočovačů by všechna centra měla usilovat, aby nabízela stejnou sadu služeb pro provozní snadné zprovoznění.In scenarios requiring multiple hubs, all the hubs should strive to offer the same set of services for operational ease.

Propojení mezi paprskyInterconnection between spokes

V jednom paprsku nebo v rámci struktury ploché sítě je možné implementovat složité úlohy s více vrstvami.Inside a single spoke, or a flat network design, it's possible to implement complex multitier workloads. Konfigurace s více vrstvami se dají implementovat pomocí podsítí, jednu pro každou vrstvu nebo aplikaci ve stejné virtuální síti.Multitier configurations can be implemented using subnets, one for every tier or application, in the same virtual network. Řízení a filtrování přenosů se provádí pomocí skupin zabezpečení sítě a uživatelem definovaných tras.Traffic control and filtering are done using network security groups and user-defined routes.

Architekt může chtít nasadit vícevrstvé úlohy napříč několika virtuálními sítěmi.An architect might want to deploy a multitier workload across multiple virtual networks. S partnerským vztahem virtuální sítě se paprsky můžou připojit k ostatním paprskům ve stejném nebo jiném rozbočovači.With virtual network peering, spokes can connect to other spokes in the same hub or different hubs. Typickým příkladem tohoto scénáře je případ, kdy se servery pro zpracování aplikací nacházejí v jednom paprsku nebo ve virtuální síti.A typical example of this scenario is the case where application processing servers are in one spoke, or virtual network. Databáze je nasazena v jiném paprsku nebo ve virtuální síti.The database deploys in a different spoke, or virtual network. V takovém případě je snadné propojit paprsky s virtuálním partnerským vztahem virtuální sítě a tímto způsobem vyhnout přenosu přes centrum.In this case, it's easy to interconnect the spokes with virtual network peering and, by doing that, avoid transiting through the hub. Měla by se provést pečlivou architekturu a kontrolu zabezpečení, aby se zajistilo, že při obnechání centra nebude obcházet důležité body zabezpečení nebo auditování, které můžou existovat jenom v centru.A careful architecture and security review should be done to ensure that bypassing the hub doesn't bypass important security or auditing points that might exist only in the hub.

33

Paprsky je taky možné propojit s paprskem, který funguje jako centrum.Spokes can also be interconnected to a spoke that acts as a hub. Tento přístup vytvoří hierarchii se dvěma úrovněmi: paprsek na vyšší úrovni (úroveň 0) se změní na centrum pro paprsky nižší úrovně (úroveň 1) v hierarchii.This approach creates a two-level hierarchy: the spoke in the higher level (level 0) becomes the hub of lower spokes (level 1) of the hierarchy. Po VDC implementace se vyžaduje, aby se přenosy přenesly do centrálního centra, aby se přenosy mohly směrovat do svého cíle v místní síti nebo veřejném Internetu.The spokes of a VDC implementation are required to forward the traffic to the central hub so that the traffic can transit to its destination in either the on-premises network or the public internet. Architektura se dvěma úrovněmi centrálního centra zavádí složité směrování, které odebírá výhody jednoduchého vztahu mezi rozbočovači a paprsky.An architecture with two levels of hubs introduces complex routing that removes the benefits of a simple hub-spoke relationship.

I když Azure umožňuje komplexní topologie, jedno ze základních principů konceptu VDC je opakovatelnost a jednoduchost.Although Azure allows complex topologies, one of the core principles of the VDC concept is repeatability and simplicity. V zájmu minimalizace úsilí správy je jednoduchý návrh hvězdicové architektury VDC referenční architekturou, kterou doporučujeme.To minimize management effort, the simple hub-spoke design is the VDC reference architecture that we recommend.

KomponentyComponents

Virtuální datové centrum se skládá ze čtyř typů základních komponent: infrastruktura, hraniční sítě, úlohy a monitorování.The virtual datacenter is made up of four basic component types: Infrastructure, Perimeter Networks, Workloads, and Monitoring.

Každý typ součásti se skládá z nejrůznějších funkcí a prostředků Azure.Each component type consists of various Azure features and resources. Vaše implementace VDC je tvořena instancemi více typů komponent a více variant stejného typu komponenty.Your VDC implementation is made up of instances of multiple components types and multiple variations of the same component type. Například můžete mít mnoho různých logicky oddělených instancí úloh, které reprezentují různé aplikace.For instance, you may have many different, logically separated workload instances that represent different applications. Pomocí těchto různých typů komponent a instancí nakonec sestavíte VDC.You use these different component types and instances to ultimately build the VDC.

44

Předchozí koncepční architektura VDC ukazuje různé typy komponent používané v různých zónách topologie hub-paprsky.The preceding high-level conceptual architecture of the VDC shows different component types used in different zones of the hub-spokes topology. Diagram zobrazuje komponenty infrastruktury v různých částech architektury.The diagram shows infrastructure components in various parts of the architecture.

Obecně platí, že přístupová práva a oprávnění by měly být v souladu s dobrým zvykem na základě skupin.As good practice in general, access rights and privileges should be group-based. Díky tomu, že se skupiny rozhodnou spíše než jednotliví uživatelé, usnadňují údržbu zásad přístupu tím, že poskytují konzistentní způsob jejich správy napříč týmy a pomáhá minimalizovat chyby konfigurace.Dealing with groups rather than individual users eases maintenance of access policies, by providing a consistent way to manage it across teams, and aids in minimizing configuration errors. Přiřazení a odebrání uživatelů do a z příslušných skupin pomáhá udržovat oprávnění konkrétního uživatele v aktuálním stavu.Assigning and removing users to and from appropriate groups helps keeping the privileges of a specific user up to date.

Každá skupina rolí by měla mít pro své názvy jedinečnou předponu.Each role group should have a unique prefix on their names. Tato předpona usnadňuje identifikaci, která skupina je přidružená k jakému zatížení.This prefix makes it easy to identify which group is associated with which workload. Například úlohy hostující službu ověřování mohou mít skupiny s názvem AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps a AuthServiceInfraOps.For example, a workload hosting an authentication service might have groups named AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps, and AuthServiceInfraOps. Centralizované role nebo role, které nesouvisí s konkrétní službou, můžou být s Corp. Příkladem je CorpNetOps.Centralized roles, or roles not related to a specific service, might be prefaced with Corp. An example is CorpNetOps.

Mnoho organizací používá variaci následujících skupin, které poskytují hlavní rozpis rolí:Many organizations use a variation of the following groups to provide a major breakdown of roles:

  • Centrální tým IT nazvaný Corp má vlastnická práva k řízení komponent infrastruktury.The central IT team named Corp has the ownership rights to control infrastructure components. Příklady jsou sítě a zabezpečení.Examples are networking and security. Skupina musí mít roli přispěvatele v předplatném, řízení centra a oprávnění přispěvatele sítě v paprskech.The group needs to have the role of contributor on the subscription, control of the hub, and network contributor rights in the spokes. Velké organizace často rozdělují tyto zodpovědnosti správy mezi více týmů.Large organizations frequently split up these management responsibilities between multiple teams. Příklady jsou síťové operace CorpNetOps skupiny se exkluzivním soustředěním na síť a CorpSecOps skupiny operací zabezpečení zodpovědné za bránu firewall a zásady zabezpečení.Examples are a network operations CorpNetOps group with exclusive focus on networking and a security operations CorpSecOps group responsible for the firewall and security policy. V tomto konkrétním případě je třeba vytvořit dvě různé skupiny pro přiřazení těchto vlastních rolí.In this specific case, two different groups need to be created for assignment of these custom roles.
  • Skupina pro vývoj/testování s názvem AppDevOps má za úkol nasazovat úlohy aplikace nebo služby.The dev/test group named AppDevOps has the responsibility to deploy app or service workloads. Tato skupina vezme roli přispěvatele virtuálních počítačů pro nasazení IaaS nebo jednu nebo více rolí přispěvatele PaaS.This group takes the role of virtual machine contributor for IaaS deployments or one or more PaaS contributor's roles. Další informace najdete v tématu Předdefinované role v Azure.For more information, see Azure built-in roles. V případě potřeby může tým pro vývoj/testování potřebovat přehled o zásadách zabezpečení (skupiny zabezpečení sítě) a zásadách směrování (uživatelem definované trasy) uvnitř centra nebo konkrétního paprsku.Optionally, the dev/test team might need visibility on security policies (network security groups) and routing policies (user-defined routes) inside the hub or a specific spoke. Kromě role přispěvatele pro úlohy bude tato skupina také potřebovat roli čtečky sítě.In addition to the role of contributor for workloads, this group would also need the role of network reader.
  • Operace a skupina údržby s názvem CorpInfraOps nebo AppInfraOps mají zodpovědnost za správu úloh v produkčním prostředí.The operation and maintenance group called CorpInfraOps or AppInfraOps has the responsibility of managing workloads in production. Tato skupina musí být přispěvatelem předplatného pro úlohy v jakémkoli produkčním předplatném.This group needs to be a subscription contributor on workloads in any production subscriptions. Některé organizace můžou také zhodnotit, jestli potřebují další týmovou skupinu podpory eskalace s rolí přispěvatele předplatného v produkčním prostředí a předplatným centrálního centra.Some organizations might also evaluate if they need an additional escalation support team group with the role of subscription contributor in production and the central hub subscription. Další skupina opravuje možné problémy s konfigurací v produkčním prostředí.The additional group fixes potential configuration issues in the production environment.

VDC je navržený tak, aby skupiny vytvořené pro centrálního IT tým, které spravují centrum, měly odpovídající skupiny na úrovni pracovního vytížení.The VDC is designed so that groups created for the central IT team, managing the hub, have corresponding groups at the workload level. Kromě správy pouze prostředků centra může centrální tým IT řídit pro předplatné externí přístup a oprávnění na nejvyšší úrovni.In addition to managing hub resources only, the central IT team can control external access and top-level permissions on the subscription. Skupiny úloh mohou také řídit prostředky a oprávnění k jejich virtuální síti nezávisle na centrálním IT týmu.Workload groups can also control resources and permissions of their virtual network independently from the central IT team.

Virtuální datové centrum je rozdělené na oddíly, aby bylo možné bezpečně hostovat více projektů v různých řádcích společnosti.The virtual datacenter is partitioned to securely host multiple projects across different lines of business. Všechny projekty vyžadují různá izolovaná prostředí (vývoj, UAT a produkce).All projects require different isolated environments (dev, UAT, and production). Jednotlivá předplatná Azure pro každé z těchto prostředí můžou poskytovat přirozenou izolaci.Separate Azure subscriptions for each of these environments can provide natural isolation.

55

Předchozí diagram znázorňuje vztah mezi projekty organizace, uživateli a skupinami a prostředími, ve kterých jsou nasazené komponenty Azure.The preceding diagram shows the relationship between an organization's projects, users, and groups and the environments where the Azure components are deployed.

Obvykle je prostředí (nebo vrstva) systémem, ve kterém je nasazeno a spuštěno více aplikací.Typically in IT, an environment (or tier) is a system in which multiple applications are deployed and executed. Velké podniky využívají vývojové prostředí (kde se provádějí změny a testují) a produkční prostředí (které používají koncoví uživatelé).Large enterprises use a development environment (where changes are made and tested) and a production environment (what end-users use). Tato prostředí jsou oddělená, často s několika přípravnými prostředími mezi nimi, aby umožnila postupné nasazení (zavedení), testování a vrácení zpět, pokud dojde k problémům.Those environments are separated, often with several staging environments in between them to allow phased deployment (rollout), testing, and rollback if problems arise. Architektury nasazení se výrazně liší, ale obvykle se jedná o základní proces od vývoje (DEV) a končí v produkčním prostředí (kat).Deployment architectures vary significantly, but usually the basic process of starting at development (DEV) and ending at production (PROD) is still followed.

Společná architektura pro tyto typy prostředí s více vrstvami se skládá z DevOps pro vývoj a testování, UAT pro přípravu a produkční prostředí.A common architecture for these types of multitier environments consists of DevOps for development and testing, UAT for staging, and production environments. Organizace můžou používat jeden nebo víc tenantů Azure AD k definování přístupu a práv k těmto prostředím.Organizations can use single or multiple Azure AD tenants to define access and rights to these environments. Předchozí diagram znázorňuje případ, kdy se používají dva různé klienty Azure AD: jeden pro DevOps a UAT a druhý výhradně pro produkční prostředí.The previous diagram shows a case where two different Azure AD tenants are used: one for DevOps and UAT, and the other exclusively for production.

Existence různých tenantů Azure AD vynutila oddělení mezi prostředími.The presence of different Azure AD tenants enforces the separation between environments. Stejnou skupinu uživatelů, jako je centrální tým IT, se musí ověřit pomocí jiného identifikátoru URI pro přístup k jinému klientovi Azure AD, aby bylo možné upravovat role nebo oprávnění DevOps nebo produkčních prostředí projektu.The same group of users, such as the central IT team, need to authenticate by using a different URI to access a different Azure AD tenant to modify the roles or permissions of either the DevOps or production environments of a project. Existence různých ověření uživatelů pro přístup k různým prostředím zkracuje možné výpadky a další problémy způsobené lidskými chybami.The presence of different user authentications to access different environments reduces possible outages and other issues caused by human errors.

Typ součásti: infrastrukturaComponent type: Infrastructure

Tento typ součásti je místo, kde se nachází většina podpůrné infrastruktury.This component type is where most of the supporting infrastructure resides. Je to také tam, kde centralizované týmy IT, zabezpečení a dodržování předpisů tráví většinu času.It's also where your centralized IT, security, and compliance teams spend most of their time.

66

Komponenty infrastruktury poskytují propojení pro různé komponenty VDC implementace a jsou přítomna v centru i paprskech.Infrastructure components provide an interconnection for the different components of a VDC implementation, and are present in both the hub and the spokes. Zodpovědnost za správu a údržbu komponent infrastruktury se obvykle přiřazuje centrálnímu týmu IT nebo bezpečnostnímu týmu.The responsibility for managing and maintaining the infrastructure components is typically assigned to the central IT team or security team.

Jednou z primárních úloh týmu IT infrastruktury je zaručit konzistenci schémat IP adres napříč podnikem.One of the primary tasks of the IT infrastructure team is to guarantee the consistency of IP address schemas across the enterprise. Privátní adresní prostor IP adres přiřazený implementaci VDC musí být konzistentní a nesmí se překrývat s PRIVÁTNÍmi IP adresami přiřazenými v místních sítích.The private IP address space assigned to a VDC implementation must be consistent and not overlapping with private IP addresses assigned on your on-premises networks.

I když překlad adres (NAT) na místních hraničních směrovačích nebo v prostředích Azure se může vyhnout konfliktům IP adres, přidá komplikace k vašim komponentám infrastruktury.While NAT on the on-premises edge routers or in Azure environments can avoid IP address conflicts, it adds complications to your infrastructure components. Jednoduchost správy je jedním z klíčových cílů VDC, takže použití překladu adres (NAT) ke zpracování otázek IP, ale platného řešení není doporučeným řešením.Simplicity of management is one of the key goals of the VDC, so using NAT to handle IP concerns, while a valid solution, is not a recommended solution.

Komponenty infrastruktury mají následující funkce:Infrastructure components have the following functionality:

  • Identity a adresářové služby.Identity and directory services. Přístup ke všem typům prostředků v Azure se řídí identitou uloženou v adresářové službě.Access to every resource type in Azure is controlled by an identity stored in a directory service. Adresářová služba ukládá nejen seznam uživatelů, ale také přístupová práva k prostředkům v konkrétním předplatném Azure.The directory service stores not only the list of users, but also the access rights to resources in a specific Azure subscription. Tyto služby můžou existovat jenom pro Cloud, nebo se můžou synchronizovat s místní identitou uloženou ve službě Active Directory.These services can exist cloud-only, or they can be synchronized with on-premises identity stored in Active Directory.
  • Virtual Network.Virtual Network. Virtuální sítě jsou jednou z hlavních součástí VDC a umožňují vytvořit hranici izolace provozu na platformě Azure.Virtual networks are one of main components of the VDC, and enable you to create a traffic isolation boundary on the Azure platform. Virtuální síť se skládá z jednoho nebo několika segmentů virtuální sítě, z nichž každá má konkrétní předponu sítě IP (podsíť, buď IPv4 nebo duální zásobník IPv4/IPv6).A virtual network is composed of a single or multiple virtual network segments, each with a specific IP network prefix (a subnet, either IPv4 or dual stack IPv4/IPv6). Virtuální síť definuje interní nárazníkovou oblast, kde IaaS virtuální počítače a PaaS služby můžou vytvořit soukromou komunikaci.The virtual network defines an internal perimeter area where IaaS virtual machines and PaaS services can establish private communications. Virtuální počítače (a služby PaaS) v jedné virtuální síti nemůžou přímo komunikovat s virtuálními počítači (a PaaS službami) v jiné virtuální síti, a to i v případě, že oba virtuální sítě vytvoří stejný zákazník v rámci stejného předplatného.VMs (and PaaS services) in one virtual network can't communicate directly to VMs (and PaaS services) in a different virtual network, even if both virtual networks are created by the same customer, under the same subscription. Izolace je kritická vlastnost, která zajišťuje, že virtuální počítače a komunikace zákazníků zůstávají privátní v rámci virtuální sítě.Isolation is a critical property that ensures customer VMs and communication remains private within a virtual network. Kde je žádoucí připojení mezi sítěmi, následující funkce popisují, jak to lze provést.Where cross-network connectivity is desired, the following features describe how that can be accomplished.
  • Partnerský vztah virtuální sítě.Virtual network peering. Základní funkce používaná k vytvoření infrastruktury VDC je partnerský vztah virtuálních sítí, který spojuje dvě virtuální sítě ve stejné oblasti, a to buď prostřednictvím sítě Azure datacentra, nebo s využitím páteřní sítě Azure po celém světě napříč oblastmi.The fundamental feature used to create the infrastructure of a VDC is virtual network peering, which connects two virtual networks in the same region, either through the Azure datacenter network or using the Azure worldwide backbone across regions.
  • Virtual Network koncové body služby.Virtual Network service endpoints. Koncové body služby prodlužují privátní adresní prostor virtuální sítě tak, aby zahrnovaly PaaS prostor.Service endpoints extend your virtual network private address space to include your PaaS space. Koncové body také šíří identitu vaší virtuální sítě do služeb Azure přes přímé připojení.The endpoints also extend the identity of your virtual network to the Azure services over a direct connection. Koncové body umožňují svázat vaše důležité prostředky služeb Azure pouze s vašimi virtuálními sítěmi.Endpoints allow you to secure your critical Azure service resources to only your virtual networks.
  • Privátní odkaz.Private Link. Privátní odkaz Azure vám umožní přístup ke službám Azure PaaS (například Azure Storage, Azure Cosmos DBa Azure SQL Database) a hostovaným zákazníkům a partnerským službám Azure prostřednictvím privátního koncového bodu ve vaší virtuální síti.Azure Private Link enables you to access Azure PaaS Services (for example, Azure Storage, Azure Cosmos DB, and Azure SQL Database) and Azure hosted customer/partner services over a Private Endpoint in your virtual network. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje rizika vystavení na veřejném internetu.Traffic between your virtual network and the service traverses over the Microsoft backbone network, eliminating exposure from the public Internet. Ve své virtuální síti můžete také vytvořit vlastní službu privátního propojení a poskytnout ji soukromým uživatelům.You can also create your own Private Link Service in your virtual network and deliver it privately to your customers. Prostředí pro nastavení a spotřebu pomocí privátního propojení Azure je konzistentní v rámci služeb Azure PaaS, Customer a Shared partnered.The setup and consumption experience using Azure Private Link is consistent across Azure PaaS, customer-owned, and shared partner services.
  • Trasy definované uživatelem.User-defined routes. Provoz ve virtuální síti je ve výchozím nastavení směrován v závislosti na tabulce směrování systému.Traffic in a virtual network is routed by default based on the system routing table. Uživatelem definovaná trasa je vlastní směrovací tabulka, kterou můžou správci sítě přidružit k jedné nebo více podsítím, aby potlačili chování systémové tabulky směrování a definovali cestu komunikace v rámci virtuální sítě.A user-defined route is a custom routing table that network administrators can associate to one or more subnets to override the behavior of the system routing table and define a communication path within a virtual network. Existence uživatelem definovaných tras garantuje, že odchozí přenosy z přenosu paprsků prostřednictvím konkrétních vlastních virtuálních počítačů nebo síťových virtuálních zařízení a nástrojů pro vyrovnávání zatížení jsou přítomny v centru i paprskech.The presence of user-defined routes guarantees that egress traffic from the spoke transit through specific custom VMs or network virtual appliances and load balancers present in both the hub and the spokes.
  • Skupiny zabezpečení sítě.Network security groups. Skupina zabezpečení sítě je seznam pravidel zabezpečení, která se chovají jako filtrování provozu u zdrojů IP adres, cílů IP adres, protokolů, portů zdrojů IP a cílových IP adres (označovaných také jako vrstva 4 5 – řazená kolekce členů).A network security group is a list of security rules that act as traffic filtering on IP sources, IP destinations, protocols, IP source ports, and IP destination ports (also called a Layer 4 five-tuple). Skupinu zabezpečení sítě je možné použít pro podsíť, virtuální síťovou kartu přidruženou k virtuálnímu počítači Azure nebo obojí.The network security group can be applied to a subnet, a Virtual NIC associated with an Azure VM, or both. Skupiny zabezpečení sítě jsou nezbytné k implementaci správného řízení toku v centru a paprskech.The network security groups are essential to implement a correct flow control in the hub and in the spokes. Úroveň zabezpečení poskytovaná skupinou zabezpečení sítě je funkce, které porty otevřete a za jaký účel.The level of security afforded by the network security group is a function of which ports you open, and for what purpose. Zákazníci by měli použít další filtry pro jednotlivé virtuální počítače s bránami firewall na hostitele, jako je softwaru iptables nebo brána Windows Firewall.Customers should apply additional per-VM filters with host-based firewalls such as iptables or the Windows Firewall.
  • DNS.DNS. DNS zajišťuje překlad názvů pro prostředky ve virtuálním datacentru.DNS provides name resolution for resources in a virtual datacenter. Azure poskytuje služby DNS pro účely překladu veřejného i privátního názvu.Azure provides DNS services for both public and private name resolution. Privátní zóny poskytují překlad názvů v rámci virtuální sítě i napříč virtuálními sítěmi.Private zones provide name resolution both within a virtual network and across virtual networks. Privátní zóny můžete mít nejen mezi virtuálními sítěmi ve stejné oblasti, ale i v různých oblastech a předplatných.You can have private zones not only span across virtual networks in the same region, but also across regions and subscriptions. V případě veřejného řešení Azure DNS poskytuje hostitelskou službu pro domény DNS a zajišťuje překlad názvů pomocí Microsoft Azure infrastruktury.For public resolution, Azure DNS provides a hosting service for DNS domains, providing name resolution using Microsoft Azure infrastructure. Pokud svoje domény hostujete v Azure, můžete spravovat svoje DNS záznamy pomocí stejných přihlašovacích údajů, rozhraní API a nástrojů a za stejných fakturačních podmínek jako u ostatních služeb Azure.By hosting your domains in Azure, you can manage your DNS records using the same credentials, APIs, tools, and billing as your other Azure services.
  • Skupina pro správu, předplatnéa Správa skupin prostředků .Management group, subscription, and resource group management. Předplatné definuje přirozenou hranici pro vytváření více skupin prostředků v Azure.A subscription defines a natural boundary to create multiple groups of resources in Azure. Toto oddělení může být pro funkci, oddělení rolí nebo fakturaci.This separation can be for function, role segregation, or billing. Prostředky v předplatném se společně seskupují do logických kontejnerů označovaných jako skupiny prostředků.Resources in a subscription are assembled together in logical containers known as resource groups. Skupina prostředků představuje logickou skupinu pro uspořádání prostředků ve virtuálním datacentru.The resource group represents a logical group to organize the resources in a virtual datacenter. Pokud má vaše organizace mnoho předplatných, možná budete potřebovat způsob, jak efektivně spravovat přístup, zásady a dodržování předpisů pro tato předplatná.If your organization has many subscriptions, you may need a way to efficiently manage access, policies, and compliance for those subscriptions. Skupiny pro správu Azure poskytují úroveň oboru nad předplatnými.Azure management groups provide a level of scope above subscriptions. Předplatná uspořádáte do kontejnerů označovaných jako skupiny pro správu a podmínky zásad správného řízení se aplikují na skupiny pro správu.You organize subscriptions into containers known as management groups and apply your governance conditions to the management groups. Všechna předplatná v rámci skupiny pro správu automaticky dědí podmínky, které se na příslušnou skupinu pro správu vztahují.All subscriptions within a management group automatically inherit the conditions applied to the management group. Chcete-li zobrazit tyto tři funkce v hierarchickém zobrazení, přečtěte si téma uspořádání prostředků v rozhraní pro přijetí do cloudu.To see these three features in a hierarchy view, see Organizing your resources in the Cloud Adoption Framework.
  • Řízení přístupu na základě role Azure (Azure RBAC).Azure role-based access control (Azure RBAC). Azure RBAC může mapovat role a práva organizace pro přístup ke konkrétním prostředkům Azure, což vám umožní omezit uživatele jenom na určitou podmnožinu akcí.Azure RBAC can map organizational roles and rights to access specific Azure resources, allowing you to restrict users to only a certain subset of actions. Pokud synchronizujete Azure Active Directory s místní službou Active Directory, můžete použít stejné skupiny služby Active Directory v Azure, které používáte místně.If you're synchronizing Azure Active Directory with an on-premises Active Directory, you can use the same Active Directory groups in Azure that you use on-premises. Pomocí Azure RBAC můžete udělit přístup přidělením příslušné role uživatelům, skupinám a aplikacím v rámci příslušného oboru.With Azure RBAC, you can grant access by assigning the appropriate role to users, groups, and applications within the relevant scope. Oborem přiřazení role může být předplatné Azure, skupina prostředků nebo jeden prostředek.The scope of a role assignment can be an Azure subscription, a resource group, or a single resource. Azure RBAC umožňuje dědění oprávnění.Azure RBAC allows inheritance of permissions. Role přiřazená v nadřazeném oboru také uděluje přístup k podřízeným objektům, které jsou v ní obsažené.A role assigned at a parent scope also grants access to the children contained within it. Pomocí Azure RBAC můžete oddělit povinnosti a udělit jenom přístup uživatelům, kteří potřebují k provádění svých úloh.Using Azure RBAC, you can segregate duties and grant only the amount of access to users that they need to perform their jobs. Například jeden zaměstnanec může spravovat virtuální počítače v rámci předplatného, zatímco jiný může spravovat SQL Server databáze ve stejném předplatném.For example, one employee can manage virtual machines in a subscription, while another can manage SQL Server databases in the same subscription.

Typ součásti: hraniční sítěComponent Type: Perimeter Networks

Komponenty hraniční sítě (někdy označované jako DMZ Network) spojují místní nebo fyzické sítě Datacenter spolu s jakýmkoli připojením k Internetu.Components of a perimeter network (sometimes called a DMZ network) connect your on-premises or physical datacenter networks, along with any internet connectivity. Hraniční oddělení obvykle vyžaduje významnou investici ze sítě a týmů zabezpečení.The perimeter typically requires a significant time investment from your network and security teams.

Příchozí pakety by měly projít přes bezpečnostní zařízení v centru před tím, než se dokončí servery a služby back-endu v paprskech.Incoming packets should flow through the security appliances in the hub before reaching the back-end servers and services in the spokes. Mezi příklady patří brána firewall, ID a IP adresy.Examples include the firewall, IDS, and IPS. Předtím, než síť opustí, by se měly směrovat pakety vázané na Internet z zatížení, a to i přes bezpečnostní zařízení v hraniční síti.Before they leave the network, internet-bound packets from the workloads should also flow through the security appliances in the perimeter network. Tento tok umožňuje vynucování, kontrolu a auditování zásad.This flow enables policy enforcement, inspection, and auditing.

Mezi součásti hraniční sítě patří:Perimeter network components include:

Většinou má centrální tým IT a týmy zabezpečení zodpovědnost za definování požadavků a provoz hraničních sítí.Usually, the central IT team and security teams have responsibility for requirement definition and operation of the perimeter networks.

77

Předchozí diagram znázorňuje vynucování dvou hraničních zařízení s přístupem k Internetu a místní sítí, a to v centru DMZ.The preceding diagram shows the enforcement of two perimeters with access to the internet and an on-premises network, both resident in the DMZ hub. V centru DMZ se hraniční síť pro Internet může škálovat až na podporu řady obchodních aplikací, a to pomocí několika Farm firewallů webových aplikací (WAF) nebo Azure firewallů.In the DMZ hub, the perimeter network to internet can scale up to support many lines of business, using multiple farms of Web Application Firewalls (WAFs) or Azure Firewalls. Centrum taky umožňuje místní připojení přes VPN nebo ExpressRoute podle potřeby.The hub also allows for on-premises connectivity via VPN or ExpressRoute as needed.

Poznámka

V předchozím diagramu se dá v centru DMZ seskupit celá řada následujících funkcí (například virtuální sítě, trasy definované uživatelem, skupiny zabezpečení sítě, brány sítě VPN, brány ExpressRoute, služby Vyrovnávání zatížení Azure, brány firewall Azure, Správce brány firewall a DDOS).In the preceding diagram, in the "DMZ Hub", many of the following features can be bundled together in an Azure Virtual WAN hub (such as virtual networks, user-defined routes, network security groups, VPN gateways, ExpressRoute gateways, Azure load balancers, Azure Firewalls, Firewall Manager, and DDOS). Pomocí rozbočovačů Azure Virtual WAN se dá vytvořit centrální virtuální síť, takže VDC mnohem jednodušší, protože většina technického složitosti se za vás při nasazení služby Azure Virtual WAN na Azure zaznamená.Using Azure Virtual WAN hubs can make the creation of the hub virtual network, and thus the VDC, much easier, since most of the engineering complexity is handled for you by Azure when you deploy an Azure Virtual WAN hub.

Virtuální sítě.Virtual networks. Rozbočovač je typicky sestavený ve virtuální síti s více podsítěmi, aby bylo možné hostovat různé typy služeb, které filtrují a kontrolují provoz do Internetu prostřednictvím instancí Azure Firewall, síťová virtuální zařízení, WAF a Azure Application Gateway.The hub is typically built on a virtual network with multiple subnets to host the different types of services that filter and inspect traffic to or from the internet via Azure Firewall, NVAs, WAF, and Azure Application Gateway instances.

Trasy definované uživatelem.User-defined routes. Pomocí uživatelem definovaných tras můžou zákazníci nasazovat brány firewall, ID/IP adresy a další virtuální zařízení a směrovat síťový provoz přes tato bezpečnostní zařízení pro vynucování zásad zabezpečení, auditování a kontrolu.Using user-defined routes, customers can deploy firewalls, IDS/IPS, and other virtual appliances, and route network traffic through these security appliances for security boundary policy enforcement, auditing, and inspection. Uživatelsky definované trasy lze vytvořit v centru i paprskech, aby bylo zajištěno, že přenos dat probíhá přes konkrétní vlastní virtuální počítače, síťová virtuální zařízení a nástroje pro vyrovnávání zatížení používané implementací VDC.User-defined routes can be created in both the hub and the spokes to guarantee that traffic transits through the specific custom VMs, Network Virtual Appliances, and load balancers used by a VDC implementation. Aby bylo zaručeno, že provoz vygenerovaný z virtuálních počítačů umístěných v přenosech paprsků do správných virtuálních zařízení, musí být v podsítích s koncovým rozhraním nastavená IP adresa pro interní nástroj pro vyrovnávání zatížení jako další segment směrování nastavena uživatelsky definovaná trasa.To guarantee that traffic generated from virtual machines residing in the spoke transits to the correct virtual appliances, a user-defined route needs to be set in the subnets of the spoke by setting the front-end IP address of the internal load balancer as the next hop. Interní nástroj pro vyrovnávání zatížení distribuuje interní provoz na virtuální zařízení (back-endový fond nástroje pro vyrovnávání zatížení).The internal load balancer distributes the internal traffic to the virtual appliances (load balancer back-end pool).

Azure firewall je spravovaná služba zabezpečení sítě, která chrání vaše prostředky Azure Virtual Network.Azure Firewall is a managed network security service that protects your Azure Virtual Network resources. Jedná se o stavovou spravovanou bránu firewall s vysokou dostupností a škálovatelností cloudu.It's a stateful managed firewall with high availability and cloud scalability. Můžete centrálně vytvářet, vynucovat a protokolovat zásady připojení k aplikacím a sítím napříč různými předplatnými a virtuálními sítěmi.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Azure Firewall používá pro prostředky virtuální sítě statickou veřejnou IP adresu.Azure Firewall uses a static public IP address for your virtual network resources. Externí brány firewall díky tomu můžou identifikovat provoz pocházející z vaší virtuální sítě.It allows outside firewalls to identify traffic that originates from your virtual network. Služba je plně integrovaná se službou Azure Monitor zajišťující protokolování a analýzy.The service is fully integrated with Azure Monitor for logging and analytics.

Pokud používáte topologii Azure Virtual WAN, Azure firewall Manager je služba pro správu zabezpečení, která poskytuje centrální zásady zabezpečení a správu směrování pro hraniční zabezpečení na základě cloudu.If you use the Azure Virtual WAN topology, the Azure Firewall Manager is a security management service that provides central security policy and route management for cloud-based security perimeters. Funguje s Azure Virtual WAN hub, což je prostředek spravovaný Microsoftem, který umožňuje snadno vytvářet architektury hub a paprsků.It works with Azure Virtual WAN hub, a Microsoft-managed resource that lets you easily create hub and spoke architectures. Pokud jsou zásady zabezpečení a směrování přidruženy k takovému centru, označuje se jako zabezpečené virtuální rozbočovač.When security and routing policies are associated with such a hub, it's referred to as a secured virtual hub.

Síťová virtuální zařízení.Network virtual appliances. V centru se hraniční síť s přístupem k Internetu obvykle spravuje prostřednictvím Azure Firewall instance nebo farmy bran firewall nebo brány firewall webových aplikací (WAF).In the hub, the perimeter network with access to the internet is normally managed through an Azure Firewall instance or a farm of firewalls or web application firewall (WAF).

Různé řádky firmy běžně využívají mnoho webových aplikací, které jsou v některých případech postižené z nejrůznějších ohrožení zabezpečení a potenciálních zneužití.Different lines of business commonly use many web applications, which tend to suffer from various vulnerabilities and potential exploits. Firewall webových aplikací jsou speciálním typem produktu, který slouží k detekci útoků proti webovým aplikacím, HTTP/HTTPS ve větší hloubkě než k obecné bráně firewall.Web application firewalls are a special type of product used to detect attacks against web applications, HTTP/HTTPS, in more depth than a generic firewall. V porovnání s technologií brány firewall pro WAF mají sada specifických funkcí, které chrání interní webové servery před hrozbami.Compared with tradition firewall technology, WAFs have a set of specific features to protect internal web servers from threats.

Brána firewall Azure Firewall nebo síťové virtuální zařízení používá společnou rovinu pro správu se sadou pravidel zabezpečení pro ochranu zatížení hostovaných v paprskech a řízení přístupu k místním sítím.An Azure Firewall or NVA firewall both use a common administration plane, with a set of security rules to protect the workloads hosted in the spokes, and control access to on-premises networks. Azure Firewall má vestavěnou škálovatelnost, zatímco brány firewall síťové virtuální zařízení se dají ručně škálovat za nástroj pro vyrovnávání zatížení.The Azure Firewall has scalability built in, whereas NVA firewalls can be manually scaled behind a load balancer. Obecně platí, že farma brány firewall má méně specializovaný software v porovnání s WAF, ale má širší obor aplikace k filtrování a kontrole libovolného typu provozu v odchozích a příchozích přenosech.Generally, a firewall farm has less specialized software compared with a WAF, but has a broader application scope to filter and inspect any type of traffic in egress and ingress. Pokud se použije přístup síťové virtuální zařízení, dají se najít a nasadit z Azure Marketplace.If an NVA approach is used, they can be found and deployed from Azure Marketplace.

Pro provoz pocházející z Internetu doporučujeme použít jednu sadu instancí Azure Firewall nebo síťová virtuální zařízení.We recommend that you use one set of Azure Firewall instances, or NVAs, for traffic originating on the internet. Pro provoz pocházející z místního prostředí použijte jiný.Use another for traffic originating on-premises. Použití jenom jedné sady bran firewall pro obojí představuje bezpečnostní riziko, protože neposkytuje bezpečnostní okruh mezi dvěma sadami síťových přenosů.Using only one set of firewalls for both is a security risk as it provides no security perimeter between the two sets of network traffic. Použití samostatných vrstev brány firewall snižuje složitost kontroly pravidel zabezpečení a umožňuje vymazat, která pravidla odpovídají konkrétní příchozí žádosti o síť.Using separate firewall layers reduces the complexity of checking security rules and makes it clear which rules correspond to which incoming network request.

Azure Load Balancer nabízí službu TCP/UDP s vysokou dostupností, která může distribuovat příchozí provoz mezi instancemi služby definované v sadě s vyrovnáváním zatížení.Azure Load Balancer offers a high availability Layer 4 (TCP/UDP) service, which can distribute incoming traffic among service instances defined in a load-balanced set. Provoz odeslaný do nástroje pro vyrovnávání zatížení z front-endové koncových bodů (koncové body veřejných IP adres nebo koncových bodů privátních IP adres) se dá znovu distribuovat pomocí nebo bez překladu adres do sady fondů back-end IP adres (třeba síťových virtuálních zařízení nebo virtuálních počítačů).Traffic sent to the load balancer from front-end endpoints (public IP endpoints or private IP endpoints) can be redistributed with or without address translation to a set of back-end IP address pool (such as network virtual appliances or virtual machines).

Azure Load Balancer může zjistit stav různých instancí serveru i když instance nereaguje na sondu, nástroj pro vyrovnávání zatížení zastaví odesílání provozu do poškozené instance.Azure Load Balancer can probe the health of the various server instances as well, and when an instance fails to respond to a probe, the load balancer stops sending traffic to the unhealthy instance. Ve virtuálním datovém centru se externí nástroj pro vyrovnávání zatížení nasadí do centra a paprsků.In a virtual datacenter, an external load balancer is deployed to the hub and the spokes. V centru se nástroj pro vyrovnávání zatížení používá k efektivnímu směrování provozu mezi instancemi brány firewall a paprsky vyrovnávání zatížení, které slouží ke správě provozu aplikací.In the hub, the load balancer is used to efficiently route traffic across firewall instances, and in the spokes, load balancers are used to manage application traffic.

Přední dvířka Azure (AFD) jsou vysoce dostupná a škálovatelná platforma pro akceleraci webových aplikací, globální protokol HTTP Load Balancer, ochranu aplikací a Content Delivery Network.Azure Front Door (AFD) is Microsoft's highly available and scalable Web Application Acceleration Platform, Global HTTP Load Balancer, Application Protection, and Content Delivery Network. AFD běží ve více než 100 místech na hranici globální sítě Microsoftu a umožňuje sestavovat, provozovat a škálovat dynamickou webovou aplikaci a statický obsah.Running in more than 100 locations at the edge of Microsoft's Global Network, AFD enables you to build, operate, and scale out your dynamic web application and static content. AFD poskytuje vaši aplikaci s výkonem koncových uživatelů, sjednocené oblasti údržby regionálního a razítka, automatizace BCDR, sjednocené informace o klientech a uživatelích, ukládání do mezipaměti a přehledy služeb.AFD provides your application with world-class end-user performance, unified regional/stamp maintenance automation, BCDR automation, unified client/user information, caching, and service insights. Nabídky platformy:The platform offers:

  • Výkon, spolehlivost a podpora smluv o úrovni služeb (SLA).Performance, reliability, and support service-level agreements (SLAs).
  • Certifikace dodržování předpisů.Compliance certifications.
  • Auditovány postupy zabezpečení, které jsou vyvíjeny, provozovány a nativně podporovány službou Azure.Auditable security practices that are developed, operated, and natively supported by Azure.

Přední dvířka Azure taky nabízí Firewall webových aplikací (WAF), která chrání webové aplikace před běžnými chybami zabezpečení a zneužitím.Azure Front Door also provides a web application firewall (WAF), which protects web applications from common vulnerabilities and exploits.

Azure Application Gateway je vyhrazené virtuální zařízení, které poskytuje spravovaný kontroler doručování aplikací.Azure Application Gateway is a dedicated virtual appliance providing a managed application delivery controller. Nabízí různé možnosti vyrovnávání zatížení vrstvy 7 pro vaši aplikaci.It offers various Layer 7 load-balancing capabilities for your application. Umožňuje optimalizovat výkon webové farmy tím, že se v aplikační bráně převede ukončení protokolu SSL náročné na procesor.It allows you to optimize web farm performance by offloading CPU-intensive SSL termination to the application gateway. Poskytuje taky další možnosti směrování vrstvy 7, jako je kruhové dotazování na příchozí provoz, spřažení relací na základě souborů cookie, směrování založené na cestách URL a možnost hostování několika webů za jedinou aplikační bránou.It also provides other Layer 7 routing capabilities, such as round-robin distribution of incoming traffic, cookie-based session affinity, URL-path-based routing, and the ability to host multiple websites behind a single application gateway. Firewall webových aplikací (WAF) je také součástí skladové položky WAF služby Application Gateway.A web application firewall (WAF) is also provided as part of the application gateway WAF SKU. Tato SKU poskytuje ochranu webových aplikací před běžnými ohroženími zabezpečení webu a zneužitím.This SKU provides protection to web applications from common web vulnerabilities and exploits. Application Gateway lze nakonfigurovat jako bránu internetovou bránu, pouze pro interní bránu nebo kombinaci obou.Application Gateway can be configured as internet-facing gateway, internal-only gateway, or a combination of both.

Veřejné IP adresy.Public IPs. S některými funkcemi Azure můžete přidružit koncové body služby k veřejné IP adrese, aby byl prostředek přístupný z Internetu.With some Azure features, you can associate service endpoints to a public IP address so that your resource is accessible from the internet. Tento koncový bod používá překlad adres (NAT) ke směrování provozu do interní adresy a portu ve virtuální síti v Azure.This endpoint uses NAT to route traffic to the internal address and port on the virtual network in Azure. Tato cesta je primárním způsobem, jak externí provoz předat do virtuální sítě.This path is the primary way for external traffic to pass into the virtual network. Veřejné IP adresy můžete nakonfigurovat, abyste zjistili, jaký provoz se předává, a jak a kde se přeloží do virtuální sítě.You can configure public IP addresses to determine which traffic is passed in and how and where it's translated onto the virtual network.

Azure DDoS Protection Standard poskytuje další funkce pro zmírnění rizik oproti základní úrovni služeb , které jsou vyladěné konkrétně na prostředky Azure Virtual Network.Azure DDoS Protection Standard provides additional mitigation capabilities over the Basic service tier that are tuned specifically to Azure Virtual Network resources. Aktivace služby DDoS Protection úrovně Standard je jednoduchá a nevyžaduje žádné změny aplikace.DDoS Protection Standard is simple to enable and requires no application changes. K ladění zásad ochrany slouží vyhrazené monitorování provozu a algoritmy strojového učení.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms. Zásady se aplikují na veřejné IP adresy přidružené k prostředkům nasazeným ve virtuálních sítích.Policies are applied to public IP addresses associated to resources deployed in virtual networks. Mezi příklady patří Azure Load Balancer, Azure Application Gateway a instance služby Azure Service Fabric.Examples include Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances. Protokoly generované systémem jsou k dispozici téměř v reálném čase prostřednictvím Azure Monitor zobrazení během útoku a historie.Near real-time, system-generated logs are available through Azure Monitor views during an attack and for history. Ochranu aplikační vrstvy lze přidat prostřednictvím brány firewall webových aplikací Azure Application Gateway.Application layer protection can be added through the Azure Application Gateway web application firewall. Ochrana je k dispozici pro veřejné IP adresy IPv4 a IPv6.Protection is provided for IPv4 and IPv6 Azure public IP addresses.

Topologie centra a paprsků používá ke správnému směrování provozu virtuální síťové vztahy a trasy definované uživatelem.The hub and spoke topology uses virtual network peering and user-defined routes to route traffic properly.

88

V diagramu uživatelem definovaná trasa zajišťuje, aby přenos dat z paprsku do brány firewall předtím, než se přesměruje do místního prostředí prostřednictvím brány ExpressRoute (Pokud zásada brány firewall to umožňuje).In the diagram, the user-defined route ensures that traffic flows from the spoke to the firewall before passing to on-premises through the ExpressRoute gateway (if the firewall policy allows that flow).

Typ součásti: monitorováníComponent type: Monitoring

Monitorovací komponenty poskytují přehled a výstrahy ze všech ostatních typů součástí.Monitoring components provide visibility and alerting from all the other component types. Všechny týmy by měly mít přístup k monitorování pro součásti a služby, ke kterým mají přístup.All teams should have access to monitoring for the components and services they have access to. Pokud máte centralizovanou desku technické podpory nebo provozní týmy, vyžadují integrovaný přístup k datům poskytovaným těmito součástmi.If you have a centralized help desk or operations teams, they require integrated access to the data provided by these components.

Azure nabízí různé typy služeb protokolování a monitorování, které sledují chování prostředků hostovaných v Azure.Azure offers different types of logging and monitoring services to track the behavior of Azure-hosted resources. Řízení a řízení úloh v Azure se nepoužívá jenom na shromažďování dat protokolů, ale také na možnosti aktivace akcí na základě konkrétních hlášených událostí.Governance and control of workloads in Azure is based not just on collecting log data but also on the ability to trigger actions based on specific reported events.

Azure monitor.Azure Monitor. Azure obsahuje více služeb, které v prostoru monitorování samostatně provádějí určité role nebo úlohy.Azure includes multiple services that individually perform a specific role or task in the monitoring space. Tyto služby společně poskytují komplexní řešení pro shromažďování, analýzu a zpracování protokolů generovaných systémem z vašich aplikací a prostředků Azure, které je podporují.Together, these services deliver a comprehensive solution for collecting, analyzing, and acting on system-generated logs from your applications and the Azure resources that support them. Můžou také provádět monitorování důležitých místních prostředků s cílem poskytovat prostředí hybridního monitorování.They can also work to monitor critical on-premises resources in order to provide a hybrid monitoring environment. Základní informace o dostupných nástrojích a datech najdete v prvním kroku při vývoji kompletní strategie monitorování pro vaše aplikace.Understanding the tools and data that are available is the first step in developing a complete monitoring strategy for your applications.

Existují dva základní typy protokolů v Azure Monitor:There are two fundamental types of logs in Azure Monitor:

  • Metriky jsou číselné hodnoty, které popisují určitý aspekt systému v určitém časovém okamžiku.Metrics are numerical values that describe some aspect of a system at a particular point in time. Jsou odlehčené a schopné podporovat scénáře téměř v reálném čase.They are lightweight and capable of supporting near real-time scenarios. V případě mnoha prostředků Azure uvidíte data shromážděná Azure Monitor přímo na stránce s přehledem v Azure Portal.For many Azure resources, you'll see data collected by Azure Monitor right in their Overview page in the Azure portal. Podívejte se například na libovolný virtuální počítač a zobrazí se několik grafů znázorňujících metriky výkonu.As an example, look at any virtual machine and you'll see several charts displaying performance metrics. Vyberte libovolné grafy a otevřete tak data v Průzkumníkovi metrik v Azure Portal, což umožňuje v průběhu času seřadí hodnoty více metrik.Select any of the graphs to open the data in metrics explorer in the Azure portal, which allows you to chart the values of multiple metrics over time. Grafy můžete interaktivně zobrazit nebo připnout na řídicí panel, abyste je viděli s ostatními vizualizacemi.You can view the charts interactively or pin them to a dashboard to view them with other visualizations.

  • Protokoly obsahují různé druhy dat uspořádané do záznamů s různými sadami vlastností pro každý typ.Logs contain different kinds of data organized into records with different sets of properties for each type. Události a trasování jsou uloženy jako protokoly spolu s daty o výkonu, které lze kombinovat pro účely analýzy.Events and traces are stored as logs along with performance data, which can all be combined for analysis. Data protokolu shromážděná pomocí Azure Monitor lze analyzovat pomocí dotazů pro rychlé načítání, konsolidaci a analýzu shromážděných dat.Log data collected by Azure Monitor can be analyzed with queries to quickly retrieve, consolidate, and analyze collected data. Protokoly se ukládají a dotazují se z Log Analytics.Logs are stored and queried from Log Analytics. Můžete vytvářet a testovat dotazy pomocí Log Analytics v Azure Portal a potom buď přímo analyzovat data pomocí těchto nástrojů, nebo ukládat dotazy pro použití s vizualizacemi nebo pravidly výstrah.You can create and test queries using Log Analytics in the Azure portal and then either directly analyze the data using these tools or save queries for use with visualizations or alert rules.

99

Azure Monitor může shromažďovat data z různých zdrojů.Azure Monitor can collect data from a variety of sources. Data monitorování vašich aplikací si můžete představit ve vrstvách od vaší aplikace, libovolného operačního systému a služeb, na kterých se spoléhá, na platformě Azure samotné.You can think of monitoring data for your applications in tiers ranging from your application, any operating system, and the services it relies on, down to the Azure platform itself. Azure Monitor shromažďuje data z každé z následujících vrstev:Azure Monitor collects data from each of the following tiers:

  • Data monitorování aplikací: Údaje o výkonu a funkcích kódu, který jste napsali, bez ohledu na jeho platformu.Application monitoring data: Data about the performance and functionality of the code you have written, regardless of its platform.
  • Data monitorování hostovaného operačního systému: Data o operačním systému, na kterém je aplikace spuštěná.Guest OS monitoring data: Data about the operating system on which your application is running. Tento operační systém může běžet v Azure, jiném cloudu nebo v místním prostředí.This OS could be running in Azure, another cloud, or on-premises.
  • Data monitorování prostředků Azure: Data o provozu prostředku Azure.Azure resource monitoring data: Data about the operation of an Azure resource.
  • Data monitorování předplatného Azure: Data o provozu a správě předplatného Azure, jakož i údaje o stavu a provozu samotného Azure.Azure subscription monitoring data: Data about the operation and management of an Azure subscription, as well as data about the health and operation of Azure itself.
  • Data monitorování tenanta Azure: Data o provozu služeb Azure na úrovni tenanta, jako je například Azure Active Directory.Azure tenant monitoring data: Data about the operation of tenant-level Azure services, such as Azure Active Directory.
  • Vlastní zdroje: Mohou být zahrnuty i protokoly odeslané z místních zdrojů.Custom sources: Logs sent from on-premises sources can be included as well. Mezi příklady patří místní události serveru nebo výstup protokolu syslog síťového zařízení.Examples include on-premises server events or network device syslog output.

Data monitorování jsou užitečná jenom v případě, že může zvýšit vaši viditelnost provozu výpočetního prostředí.Monitoring data is only useful if it can increase your visibility into the operation of your computing environment. Azure Monitor obsahuje několik funkcí a nástrojů, které poskytují cenné přehledy o aplikacích a dalších prostředcích, na kterých jsou závislé.Azure Monitor includes several features and tools that provide valuable insights into your applications and other resources that they depend on. Monitorování řešení a funkcí, jako jsou Application Insights a Azure Monitor pro kontejnery, poskytují podrobné přehledy o různých aspektech aplikace a konkrétních služeb Azure.Monitoring solutions and features such as Application Insights and Azure Monitor for containers provide deep insights into different aspects of your application and specific Azure services.

Řešení monitorování v Azure Monitor jsou zabalené sady logiky, které poskytují přehledy pro konkrétní aplikaci nebo službu.Monitoring solutions in Azure Monitor are packaged sets of logic that provide insights for a particular application or service. Obsahují logiku pro shromažďování dat monitorování pro aplikaci nebo službu, dotazy k analýze těchto dat a zobrazení pro vizualizaci.They include logic for collecting monitoring data for the application or service, queries to analyze that data, and views for visualization. Řešení pro monitorování jsou dostupná od Microsoftu a partnerů, aby poskytovaly monitorování pro různé služby Azure a další aplikace.Monitoring solutions are available from Microsoft and partners to provide monitoring for various Azure services and other applications.

Se všemi shromažďovanými bohatými daty je důležité proniknout proaktivní akce s událostmi, které probíhají ve vašem prostředí, kde nestačí jenom ruční dotazy.With all of this rich data collected, it's important to take proactive action on events happening in your environment where manual queries alone won't suffice. Výstrahy v Azure Monitor proaktivně upozorňují na kritické podmínky a potenciálně se snaží provést nápravná opatření.Alerts in Azure Monitor proactively notify you of critical conditions and potentially attempt to take corrective action. Pravidla výstrah založená na metrikách poskytují výstrahy téměř v reálném čase na základě číselných hodnot, zatímco pravidla založená na protokolech umožňují složitou logiku napříč daty z více zdrojů.Alert rules based on metrics provide near real-time alerting based on numeric values, while rules based on logs allow for complex logic across data from multiple sources. Pravidla výstrah v Azure Monitor používají skupiny akcí, které obsahují jedinečné sady příjemců a akcí, které je možné sdílet v rámci více pravidel.Alert rules in Azure Monitor use action groups, which contain unique sets of recipients and actions that can be shared across multiple rules. V závislosti na vašich požadavcích můžou skupiny akcí provádět takové akce jako pomocí webhooků, které způsobují, že výstrahy spustí externí akce nebo se budou integrovat s nástroji ITSM.Based on your requirements, action groups can perform such actions as using webhooks that cause alerts to start external actions or to integrate with your ITSM tools.

Azure Monitor také umožňuje vytváření vlastních řídicích panelů.Azure Monitor also allows the creation of custom dashboards. Řídicí panely Azure umožňují kombinovat různé druhy dat, včetně obou metrik a protokolů, do jednoho podokna v Azure Portal.Azure dashboards allow you to combine different kinds of data, including both metrics and logs, into a single pane in the Azure portal. Volitelně můžete řídicí panel sdílet s dalšími uživateli Azure.You can optionally share the dashboard with other Azure users. Prvky v rámci Azure Monitor lze přidat do řídicího panelu Azure kromě výstupu jakýchkoli dotazů protokolu nebo grafu metrik.Elements throughout Azure Monitor can be added to an Azure dashboard in addition to the output of any log query or metrics chart. Můžete například vytvořit řídicí panel, který kombinuje dlaždice, které zobrazují graf metrik, tabulku protokolů aktivit, graf využití z Application Insights a výstup dotazu protokolu.For example, you could create a dashboard that combines tiles that show a graph of metrics, a table of activity logs, a usage chart from Application Insights, and the output of a log query.

Nakonec Azure Monitor data jsou nativním zdrojem pro Power BI.Finally, Azure Monitor data is a native source for Power BI. Power BI je služba obchodní analýzy, která poskytuje interaktivní vizualizace napříč různými zdroji dat a je účinným prostředkem k zpřístupnění dat ostatním v rámci vaší organizace i mimo ni.Power BI is a business analytics service that provides interactive visualizations across a variety of data sources and is an effective means of making data available to others within and outside your organization. Power BI můžete nakonfigurovat tak, aby automaticky importovala data protokolu z Azure Monitor a využila tyto další vizualizace.You can configure Power BI to automatically import log data from Azure Monitor to take advantage of these additional visualizations.

Azure Network Watcher poskytuje nástroje pro monitorování, diagnostiku a zobrazení metrik a povolení nebo zakázání protokolů pro prostředky ve virtuální síti v Azure.Azure Network Watcher provides tools to monitor, diagnose, and view metrics and enable or disable logs for resources in a virtual network in Azure. Jedná se o službu mnohotvárnou, která umožňuje následující funkce a další funkce:It's a multifaceted service that allows the following functionalities and more:

  • Monitoruje komunikaci mezi virtuálním počítačem a koncovým bodem.Monitor communication between a virtual machine and an endpoint.
  • Zobrazit prostředky ve virtuální síti a jejich vztazích.View resources in a virtual network and their relationships.
  • Diagnostikujte problémy s filtrováním síťového provozu do nebo z virtuálního počítače.Diagnose network traffic filtering problems to or from a VM.
  • Diagnostikujte problémy se síťovým směrováním z virtuálního počítače.Diagnose network routing problems from a VM.
  • Diagnostikujte odchozí připojení z virtuálního počítače.Diagnose outbound connections from a VM.
  • Zachytávání paketů do a z virtuálního počítače.Capture packets to and from a VM.
  • Diagnostikujte problémy s bránou virtuální sítě a připojením.Diagnose problems with an virtual network gateway and connections.
  • Určete relativní latence mezi oblastmi Azure a poskytovateli internetových služeb.Determine relative latencies between Azure regions and internet service providers.
  • Zobrazení pravidel zabezpečení pro síťové rozhraní.View security rules for a network interface.
  • Zobrazit metriky sítě.View network metrics.
  • Analýza provozu do nebo ze skupiny zabezpečení sítě.Analyze traffic to or from a network security group.
  • Zobrazení diagnostických protokolů pro síťové prostředky.View diagnostic logs for network resources.

Typ součásti: úlohyComponent type: Workloads

Komponenty úloh se nacházejí v místě, kde jsou umístěny vaše skutečné aplikace a služby.Workload components are where your actual applications and services reside. Je tam, kde týmy vývoje vaší aplikace tráví většinu času.It's where your application development teams spend most of their time.

Možnosti úlohy jsou nekonečné.The workload possibilities are endless. Níže jsou uvedené jenom některé z možných typů úloh:The following are just a few of the possible workload types:

Interní aplikace: Obchodní aplikace jsou pro podnikové operace zásadní.Internal applications: Line-of-business applications are critical to enterprise operations. Tyto aplikace mají některé běžné charakteristiky:These applications have some common characteristics:

  • Interaktivní: Data se zadávají a výsledky nebo sestavy se vrátí.Interactive: Data is entered, and results or reports are returned.
  • Řízená daty: Náročné na data s častým přístupem k databázím nebo jiným úložištěm.Data-driven: Data intensive with frequent access to databases or other storage.
  • Integrováno: Nabízí integraci s dalšími systémy v rámci organizace nebo mimo ni.Integrated: Offer integration with other systems within or outside the organization.

Weby směřující na zákazníky (s přístupem k Internetu nebo interně): Většina internetových aplikací je Web Sites.Customer-facing web sites (internet-facing or internally facing): Most internet applications are web sites. Azure může spustit web pomocí virtuálního počítače s IaaS nebo webu Azure Web Apps (PaaS).Azure can run a web site via either an IaaS virtual machine or an Azure Web Apps site (PaaS). Azure Web Apps se integruje s virtuálními sítěmi, aby se nasadily webové aplikace v síťové zóně paprsků.Azure Web Apps integrates with virtual networks to deploy web apps in a spoke network zone. Interní weby nepotřebují vystavit veřejný internetový koncový bod, protože prostředky jsou přístupné prostřednictvím privátních IP adres, které nejsou směrovatelné z privátní virtuální sítě.Internally facing web sites don't need to expose a public internet endpoint because the resources are accessible via private non-internet routable addresses from the private virtual network.

Analýzy velkých objemů dat: Když data potřebují škálovat až na větší objem, relační databáze nemusí správně fungovat pod extrémní zátěží nebo nestrukturovaným charakterem dat.Big data analytics: When data needs to scale up to larger volumes, relational databases may not perform well under the extreme load or unstructured nature of the data. Azure HDInsight je spravovaná, plně spektrum Open Source služby pro analýzu v cloudu pro podniky.Azure HDInsight is a managed, full-spectrum, open-source analytics service in the cloud for enterprises. Můžete použít Open Source architektury, jako jsou Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm a R. HDInsight podporuje nasazování do virtuální sítě založené na umístěních, která se dají nasadit do clusteru v paprskech virtuálního datacentra.You can use open-source frameworks such as Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm, and R. HDInsight supports deploying into a location-based virtual network, can be deployed to a cluster in a spoke of the virtual datacenter.

Události a zasílání zpráv: Azure Event Hubs je platforma pro streamování velkých objemů dat a služba pro příjem událostí.Events and Messaging: Azure Event Hubs is a big data streaming platform and event ingestion service. Dokáže přijímat a zpracovávat miliony událostí za sekundu.It can receive and process millions of events per second. Poskytuje nízkou latenci a konfigurovatelné časové uchovávání, což vám umožní ingestovat obrovské objemy dat do Azure a číst je z více aplikací.It provides low latency and configurable time retention, enabling you to ingest massive amounts of data into Azure and read it from multiple applications. Jeden datový proud může podporovat kanály založené na reálném čase i v dávce.A single stream can support both real-time and batch-based pipelines.

Pomocí Azure Service Busmůžete implementovat vysoce spolehlivou cloudovou službu pro zasílání zpráv mezi aplikacemi a službami.You can implement a highly reliable cloud messaging service between applications and services through Azure Service Bus. Nabízí asynchronní zprostředkované zasílání zpráv mezi klientem a serverem, strukturovaným zasíláním zpráv FIFO (First-in-first-out-First-Out) a funkcemi publikování a odběru.It offers asynchronous brokered messaging between client and server, structured first-in-first-out (FIFO) messaging, and publishes and subscribe capabilities.

1010

V těchto příkladech se Zlomeka plocha typů úloh, které můžete vytvořit v Azure — vše od základní webové a SQL aplikace až po nejnovější verzi v IoT, velkých objemech dat, strojovém učení, AI a mnohem víc.These examples barely scratch the surface of the types of workloads you can create in Azure—everything from a basic Web and SQL app to the latest in IoT, big data, machine learning, AI, and so much more.

Vysoká dostupnost: více virtuálních datových centerHighly availability: multiple virtual datacenters

V tomto článku se zatím zaměřuje na návrh jediného VDCu, který popisuje základní komponenty a architektury, které přispívají k odolnosti.So far, this article has focused on the design of a single VDC, describing the basic components and architectures that contribute to resiliency. Funkce Azure, jako je Azure Load Balancer, síťová virtuální zařízení, zóny dostupnosti, skupiny dostupnosti, sady škálování a další funkce, které vám pomůžou zahrnout do provozních služeb plné úrovně SLA.Azure features such as Azure load balancer, NVAs, availability zones, availability sets, scale sets, and other capabilities that help you include solid SLA levels into your production services.

Protože je ale virtuální datacentrum obvykle implementované v rámci jedné oblasti, může být zranitelné výpadky, které mají vliv na celou oblast.However, because a virtual datacenter is typically implemented within a single region, it might be vulnerable to outages that affect the entire region. Zákazníci, kteří vyžadují vysokou dostupnost, musí chránit služby prostřednictvím nasazení stejného projektu ve dvou nebo více implementacích VDC nasazených do různých oblastí.Customers that require high availability must protect the services through deployments of the same project in two or more VDC implementations deployed to different regions.

Kromě otázek SLA je několik běžných scénářů výhodou používání více virtuálních datových Center:In addition to SLA concerns, several common scenarios benefit from running multiple virtual datacenters:

  • Oblastní nebo globální přítomnost vašich koncových uživatelů nebo partnerů.Regional or global presence of your end users or partners.
  • Požadavky na zotavení po havárii.Disaster recovery requirements.
  • Mechanismus pro přesměrování provozu mezi datovými centry pro zatížení nebo výkon.A mechanism to divert traffic between datacenters for load or performance.

Regionální/globální přítomnostRegional/global presence

Datacentra Azure existují v mnoha oblastech po celém světě.Azure datacenters exist in many regions worldwide. Při výběru více datových center Azure Vezměte v úvahu dva související faktory: geografické vzdálenosti a latence.When selecting multiple Azure datacenters, consider two related factors: geographical distances and latency. Chcete-li optimalizovat uživatelské prostředí, vyhodnoťte vzdálenost mezi jednotlivými virtuálními datovými centrem a vzdáleností od každého virtuálního datového centra k koncovým uživatelům.To optimize user experience, evaluate the distance between each virtual datacenter as well as the distance from each virtual datacenter to the end users.

Oblast Azure, která je hostitelem vašeho virtuálního datacentra, musí vyhovovat zákonným požadavkům každé právní pravomoci, na jejímž základě vaše organizace pracuje.An Azure region that hosts your virtual datacenter must conform with regulatory requirements of any legal jurisdiction under which your organization operates.

Zotavení po haváriiDisaster recovery

Návrh plánu zotavení po havárii závisí na typech úloh a možnosti Synchronizovat stav úloh mezi různými implementacemi VDC.The design of a disaster recovery plan depends on the types of workloads and the ability to synchronize state of those workloads between different VDC implementations. V ideálním případě většina zákazníků vyžaduje rychlý mechanismus pro převzetí služeb při selhání a tento požadavek může vyžadovat synchronizaci dat aplikace mezi nasazeními spuštěnými v několika implementacích VDC.Ideally, most customers desire a fast fail-over mechanism, and this requirement may need application data synchronization between deployments running in multiple VDC implementations. Při návrhu plánů zotavení po havárii je ale důležité vzít v úvahu, že většina aplikací je citlivá na latenci, kterou může tato synchronizace dat způsobovat.However, when designing disaster recovery plans, it's important to consider that most applications are sensitive to the latency that can be caused by this data synchronization.

Synchronizace a monitorování prezenčního signálu aplikací v různých implementacích VDC vyžaduje, aby je komunikovaly přes síť.Synchronization and heartbeat monitoring of applications in different VDC implementations requires them to communicate over the network. Pomocí několika VDC implementací v různých oblastech se dá propojit prostřednictvím:Multiple VDC implementations in different regions can be connected through:

  • Komunikace mezi rozbočovači, která je integrovaná do Azure Virtual WAN v oblastech ve stejné virtuální síti WAN.Hub-to-hub communication built into Azure Virtual WAN hubs across regions in the same Virtual WAN.
  • Partnerský vztah virtuální sítě pro připojení Center mezi oblastmi.Virtual network peering to connect hubs across regions.
  • ExpressRoute soukromý partnerský vztah, pokud jsou rozbočovače v každé implementaci VDC připojené ke stejnému okruhu ExpressRoute.ExpressRoute private peering, when the hubs in each VDC implementation are connected to the same ExpressRoute circuit.
  • Několik okruhů ExpressRoute je připojeno prostřednictvím páteřní sítě a vaše vícenásobné VDC implementace se připojují k okruhům ExpressRoute.Multiple ExpressRoute circuits connected via your corporate backbone, and your multiple VDC implementations connected to the ExpressRoute circuits.
  • Připojení VPN typu Site-to-site mezi zónou centra VDC implementací v každé oblasti Azure.Site-to-Site VPN connections between the hub zone of your VDC implementations in each Azure region.

Virtuální rozbočovače WAN, partnerské vztahy virtuálních sítí nebo připojení ExpressRoute jsou obvykle upřednostňovány pro připojení k síti, a to kvůli vyšší šířce pásma a konzistentním úrovním latence při předávání přes páteřní síť Microsoftu.Typically, Virtual WAN hubs, virtual network peering, or ExpressRoute connections are preferred for network connectivity, due to the higher bandwidth and consistent latency levels when passing through the Microsoft backbone.

Spuštěním testu kvalifikace sítě ověřte latenci a šířku pásma těchto připojení a rozhodněte se, jestli je na základě výsledku vhodná synchronní nebo asynchronní replikace dat.Run network qualification tests to verify the latency and bandwidth of these connections, and decide whether synchronous or asynchronous data replication is appropriate based on the result. Je také důležité zvážit tyto výsledky v zobrazení optimálního cíle doby obnovení (RTO).It's also important to weigh these results in view of the optimal recovery time objective (RTO).

Zotavení po havárii: přesměrování provozu z jedné oblasti do druhéDisaster recovery: diverting traffic from one region to another

Služba azure Traffic Manager i přední dvířka Azure pravidelně kontrolovaly stav služby naslouchajících koncových bodů v různých implementacích VDC a pokud tyto koncové body selžou, automaticky se SMĚRUJÍ k nejbližší nejbližší VDC.Both Azure Traffic Manager and Azure Front Door periodically check the service health of listening endpoints in different VDC implementations and, if those endpoints fail, route automatically to the next closest VDC. Traffic Manager používá ke směrování uživatelů do nejbližšího (nebo nejbližšího) k nejbližšímu uživatele měření uživatelů a DNS v reálném čase.Traffic Manager uses real-time user measurements and DNS to route users to the closest (or next closest during failure). Přední dvířka Azure je reverzní proxy server ve více než 100 sítích s páteřní hraniční sítí Microsoftu, které využívají ke směrování uživatelů do nejbližšího koncového bodu.Azure Front Door is a reverse proxy at over 100 Microsoft backbone edge sites, using anycast to route users to the closest listening endpoint.

SouhrnSummary

Virtuální datacentrum – přístup k migraci Datacenter vytvoří škálovatelnou architekturu, která optimalizuje využití prostředků Azure, snižuje náklady a zjednodušuje řízení systému.A virtual datacenter approach to datacenter migration creates a scalable architecture that optimizes Azure resource use, lowers costs, and simplifies system governance. Virtuální datové centrum je typické v závislosti na topologiích sítě rozbočovače a paprsku (pomocí partnerského vztahu virtuálních sítí nebo virtuálních sítí WAN).The virtual datacenter is typical based on hub and spoke network topologies (using either virtual network peering or Virtual WAN hubs). Společné sdílené služby poskytované v centru a konkrétní aplikace a úlohy se nasazují v paprskech.Common shared services provided in the hub, and specific applications and workloads are deployed in the spokes. Virtuální datové centrum také odpovídá struktuře rolí společnosti, kde různá oddělení, jako je centrální IT, DevOps a provoz a údržba, fungují společně a provádějí jejich konkrétní role.The virtual datacenter also matches the structure of company roles, where different departments such as Central IT, DevOps, and Operations and Maintenance all work together while performing their specific roles. Virtuální datové centrum podporuje migraci stávajících místních úloh do Azure, ale také poskytuje spoustu výhod nasazení cloudových nativních prostředí.The virtual datacenter supports migrating existing on-premises workloads to Azure, but also provides many advantages to cloud-native deployments.

ReferenceReferences

Přečtěte si další informace o možnostech Azure popsaných v tomto dokumentu.Learn more about the Azure capabilities discussed in this document.

Další krokyNext steps

  • Přečtěte si další informace o partnerském vztahu virtuálních sítí, základní technologii topologií rozbočovače a paprsků.Learn more about virtual network peering, the core technology of hub and spoke topologies.
  • Implementujte Azure Active Directory pro použití řízení přístupu na základě role Azure.Implement Azure Active Directory to use Azure role-based access control.
  • Vývoj předplatných a modelu správy prostředků pomocí řízení přístupu na základě role Azure, které odpovídá struktuře, požadavkům a zásadám vaší organizace.Develop a subscription and resource management model using Azure role-based access control that fits the structure, requirements, and policies of your organization. Nejdůležitější aktivitou je plánování.The most important activity is planning. Analyzujte, jak reorganizace, fúze, nové produktové řádky a další požadavky ovlivní vaše počáteční modely, abyste se ujistili, že můžete škálovat tak, aby vyhovovaly budoucím potřebám a růstu.Analyze how reorganizations, mergers, new product lines, and other considerations will affect your initial models to ensure you can scale to meet future needs and growth.