Virtuální datové centrum: Perspektiva sítě

Aplikace migrované z místního prostředí budou využívat výhody zabezpečené infrastruktury Azure, a to i s minimálními změnami aplikací. I tak by podniky měly přizpůsobit své architektury, aby vylepšili flexibilitu a využili možností Azure.

Microsoft Azure přináší služby a infrastrukturu škálovatelných a spolehlivých funkcí na podnikové úrovni. Tyto služby a infrastruktura nabízejí spoustu možností hybridního připojení, takže se zákazníci můžou rozhodnout, že k nim mají přístup přes Internet nebo privátní síťové připojení. Partneři Microsoftu můžou taky poskytovat vylepšené funkce, které nabízejí služby zabezpečení a virtuální zařízení optimalizovaná pro spouštění v Azure.

Zákazníci můžou využít Azure k bezproblémovému rozšiřování infrastruktury do cloudu a sestavování architektur s více vrstvami.

Co je virtuální datové centrum?

Cloud začal jako platforma pro hostování veřejných aplikací. Podniky rozpoznaly hodnotu cloudu a začali migrovat interní obchodní aplikace. Tyto aplikace donesly další zabezpečení, spolehlivost, výkon a náklady, které vyžadují větší flexibilitu při doručování cloudových služeb. Nové infrastruktury a síťové služby byly navrženy tak, aby poskytovaly tuto flexibilitu, a nové funkce poskytované pro elastické škálování, zotavení po havárii a další okolnosti.

Cloudová řešení byla zpočátku navržena tak, aby se ve veřejném spektru hostly jedna poměrně izolovaná aplikace. Tento přístup se dobře pracoval v několika letech. Protože výhody cloudových řešení se stala nejasné, bylo na cloudu hostováno několik velkých úloh. Řešení potíží se zabezpečením, spolehlivostí, výkonem a náklady na nasazení v jedné nebo několika oblastech se v celém životním cyklu cloudové služby stalo zásadním.

V níže uvedeném diagramu nasazení cloudu se v červeném poli zvýrazní bezpečnostní mezera. Žluté pole ukazuje možnost optimalizace síťových virtuálních zařízení napříč úlohami.

Virtuální datacentra pomůžou dosáhnout škálování vyžadovaného pro podnikové úlohy. Tato škála musí řešit výzvy, které byly zavedeny při spouštění rozsáhlých aplikací ve veřejném cloudu.

Implementace virtuálního datacentra (VDC) zahrnuje více než aplikační úlohy v cloudu. Poskytuje taky síť, zabezpečení, správu a další infrastrukturu, jako je třeba DNS a Active Directory Services. V případě, že podniky migrují další úlohy do Azure, vezměte v úvahu infrastrukturu a objekty, které tyto úlohy podporují. Pečlivá strukturování vašich prostředků pomáhá zabránit přemnožení stovky samostatně spravovaných "ostrovů", s nezávislými datovými toky, modely zabezpečení a problémy s dodržováním předpisů.

Koncept Virtual datacentra poskytuje doporučení a návrhy na nejvyšší úrovni pro implementaci kolekce samostatných entit, které spolu souvisejí. Tyto entity často obsahují společné podpůrné funkce, funkce a infrastrukturu. Zobrazení vašich úloh jako virtuálního datového centra pomáhá snižovat náklady z ekonomiky, optimalizovaného zabezpečení prostřednictvím součásti a centralizovaného toku dat, a usnadňuje operace, správu a audity dodržování předpisů.

Virtuální datové centrum pomáhá podnikům nasazovat úlohy a aplikace v Azure z následujících scénářů:

• Hostování více souvisejících úloh
• Migrujte úlohy z místního prostředí do Azure.
• Implementujte sdílené nebo centralizované požadavky na zabezpečení a přístup napříč úlohami.
• je vhodné kombinovat DevOps a centrálně pro velký podnik.

Kdo by měl implementovat virtuální datové centrum?

Každý zákazník, který se rozhodl přijmout Azure, může těžit z efektivity konfigurace sady prostředků pro běžné používání všemi aplikacemi. V závislosti na velikosti můžou i jednotlivé aplikace těžit z používání vzorů a komponent, které se používají k vytvoření VDC implementace.

Některé organizace mají centralizované týmy nebo oddělení pro IT, sítě, zabezpečení nebo dodržování předpisů. Implementace VDC může pomáhat vymáhat body zásad, oddělit zodpovědnosti a zajistit konzistenci základních společných komponent. Týmy aplikací můžou zachovat volnost a kontrolu, které jsou vhodné pro jejich požadavky.

organizace s DevOpsm přístupem můžou k poskytování autorizovaných kapes prostředků Azure využít také koncepty VDC. tato metoda může zajistit, aby skupiny DevOps měly celkovou kontrolu v rámci tohoto seskupení, a to buď na úrovni předplatného, nebo ve skupinách prostředků ve společném předplatném. V současné době hranice sítě a zabezpečení zůstávají v souladu s tím, jak jsou definovány centralizovanými zásadami v síti centra a centrálně spravované skupině prostředků.

Předpoklady pro implementaci virtuálního datového centra

Při navrhování virtuálního datového centra zvažte tyto pivotové problémy:

Identita a adresářová služba

Služba identity a adresářové služby jsou klíčové funkce místních i cloudových datových center. Identita se zabývá všemi aspekty přístupu a autorizací ke službám v rámci VDC implementace. Pro zajištění toho, aby přístup k prostředkům Azure používali jenom autorizovaní uživatelé a procesy, Azure pro ověřování používá několik typů přihlašovacích údajů, včetně hesel účtů, šifrovacích klíčů, digitálních podpisů a certifikátů. Azure Multi-Factor Authentication poskytuje další úroveň zabezpečení pro přístup ke službám Azure pomocí silného ověřování s využitím široké škály možností snadného ověření (telefonní hovor, textová zpráva nebo oznámení mobilní aplikace), které zákazníkům umožňují vybrat si metodu, které dáváte přednost.

Každý velký podnik potřebuje definovat proces správy identit, který popisuje správu individuálních identit, jejich ověřování, autorizaci, rolí a oprávnění v rámci svých VDC nebo napříč nimi. Cílem tohoto procesu je zvýšit zabezpečení a produktivitu a zároveň snížit náklady, výpadky a opakované ruční úlohy.

Enterprise organizace mohou vyžadovat náročné kombinace služeb pro různé obchodní účely a zaměstnanci mají často různé role, pokud se účastní různých projektů. VDC vyžaduje dobrou spolupráci mezi různými týmy, z nichž každá má konkrétní definice rolí, k získání systémů se správným dodržováním zásad správného řízení. Matice odpovědností, přístupu a práv může být složitá. správa identit ve službě VDC je implementována prostřednictvím služby Azure Active Directory (azure AD) a řízení přístupu na základě role azure (azure RBAC).

Adresářová služba je sdílená informační infrastruktura, která vyhledává, spravuje, spravuje a uspořádává každodenní položky a síťové prostředky. Tyto prostředky můžou zahrnovat svazky, složky, soubory, tiskárny, uživatele, skupiny, zařízení a další objekty. Každý prostředek v síti je považován za objekt na adresářovém serveru. Informace o prostředku jsou uloženy jako kolekce atributů přidružených k danému prostředku nebo objektu.

všechny online podnikové služby microsoftu využívají Azure Active Directory (Azure AD) k přihlašování a jiným potřebám identity. Azure Active Directory je komplexní a vysoce dostupné cloudové řešení pro správu identit a přístupu, které kombinuje základní adresářové služby, pokročilé řízení identit a správu přístupu k aplikacím. Azure AD můžete integrovat s místní službou Active Directory a povolit tak jednotné přihlašování pro všechny cloudové a místně hostované místní aplikace. Uživatelské atributy místní služby Active Directory je možné automaticky synchronizovat do Azure AD.

Jeden globální správce není potřebný k přiřazení všech oprávnění v VDC implementaci. Místo toho mohou mít každé konkrétní oddělení, skupinu uživatelů nebo služby v adresářové službě oprávnění potřebná ke správě vlastních prostředků v rámci VDC implementace. Oprávnění strukturování vyžadují vyrovnávání. Příliš mnoho oprávnění může mít vliv na efektivitu výkonu a příliš málo nebo volná oprávnění může zvýšit bezpečnostní riziko. Řízení přístupu na základě role Azure (Azure RBAC) pomáhá řešit tento problém tím, že nabízí jemně odstupňovanou správu přístupu k prostředkům v VDC implementaci.

Infrastruktura zabezpečení

Infrastruktura zabezpečení odkazuje na oddělení provozu v konkrétní segmentu virtuální sítě VDC implementace. Tato infrastruktura určuje, jak příchozí a odchozí přenos dat řídí VDC implementace. Azure je založený na víceklientské architektuře, která zabraňuje neoprávněnému a neúmyslnému provozu mezi nasazeními pomocí izolace virtuální sítě, seznamů řízení přístupu, nástrojů pro vyrovnávání zatížení, filtrů IP adres a zásad toku provozu. Překlad síťových adres (NAT) odděluje interní síťový provoz z externího provozu.

Prostředky infrastruktury Azure přidělují prostředky infrastruktury klientským úlohám a spravují komunikaci s virtuálními počítači a z nich. Hypervisor Azure vynutil oddělení paměti a procesů mezi virtuálními počítači a bezpečným směrováním síťového provozu do klientů hostovaného operačního systému.

Připojení ke cloudu

Virtuální datacentrum vyžaduje připojení k externím sítím a nabízí služby zákazníkům, partnerům nebo interním uživatelům. K tomu je potřeba, aby připojení odkazovalo nejen na Internet, ale i na místní sítě a datová centra.

Zákazníci řídí, které služby mají přístup k veřejnému Internetu a jsou k nim přístup. Tento přístup je řízený pomocí Azure firewall nebo jiných typů síťová virtuální zařízení (Virtual Network), vlastních zásad směrování pomocí uživatelem definovaných trasa filtrování sítě pomocí skupin zabezpečení sítě. Doporučujeme, aby všechny internetové prostředky byly také chráněny Azure DDoS Protection standardem.

Podniky můžou potřebovat připojit své virtuální datové centrum k místním datovým centrům nebo jiným prostředkům. Toto připojení mezi Azure a místními sítěmi je zásadním aspektem při navrhování efektivní architektury. Podniky mají dva různé způsoby, jak toto propojení vytvořit: přenos přes Internet nebo prostřednictvím privátních přímých připojení.

Síť VPN typu Site-to-site propojuje místní sítě s vaším virtuálním datacentrem v Azure. Odkaz je vytvořen prostřednictvím zabezpečených šifrovaných připojení (tunely IPsec). Připojení VPN typu Site-to-site jsou flexibilní, rychle se vytvářejí a obvykle nevyžadují další zadávání na hardware. V závislosti na standardních protokolech může většina současných síťových zařízení vytvářet připojení VPN k Azure přes Internet nebo existující cesty k připojení.

ExpressRoute umožňuje privátní připojení mezi vaším virtuálním datacentrem a všemi místními sítěmi. Připojení ExpressRoute nevyužívají veřejný Internet a nabízejí vyšší rychlost zabezpečení, spolehlivosti a vyšší rychlosti (až 100 GB/s) a konzistentní latence. ExpressRoute poskytuje výhody pravidel dodržování předpisů přidružených k soukromým připojením. S ExpressRoute Directse můžete přímo připojit k směrovačům Microsoftu na 10 GB/s nebo 100 GB/s.

Nasazení připojení ExpressRoute obvykle zahrnuje poutavý poskytovatel služeb ExpressRoute (ExpressRoute Direct je výjimkou). Zákazníkům, kteří potřebují rychle začít, je běžné, že k navázání připojení mezi virtuálním datacentrem a místními prostředky nejprve použijete síť VPN site-to-site. Po dokončení fyzického propojení s poskytovatelem služeb migrujte připojení přes připojení ExpressRoute.

U velkého počtu připojení VPN nebo ExpressRoute je Azure Virtual WAN služba, která poskytuje optimalizované a automatizované připojení mezi pobočkami prostřednictvím Azure. Virtual WAN umožňuje připojit se k pobočková zařízení a nakonfigurovat ji tak, aby komunikovali s Azure. Připojení a konfiguraci je možné provést ručně nebo pomocí zařízení preferovaného poskytovatele prostřednictvím Virtual WAN partnera. Použití zařízení preferovaného poskytovatele umožňuje snadné použití, zjednodušení připojení a správu konfigurace. Integrovaný řídicí panel Azure WAN poskytuje okamžité přehledy pro řešení potíží, které vám můžou pomoct ušetřit čas, a poskytuje snadný způsob zobrazení rozsáhlého připojení site-to-site. Virtual WAN také poskytuje služby zabezpečení s volitelným Azure Firewall a Firewall Manager ve Virtual WAN centru.

Připojení v rámci cloudu

Azure Virtual Networks a peering virtuálních sítí jsou základní síťové komponenty ve virtuálním datacentru. Virtuální síť zaručuje oddělovací hranici pro prostředky virtuálního datacentra. Peering umožňuje vzájemnou spolupráci mezi různými virtuálními sítěmi ve stejné oblasti Azure, napříč oblastmi a dokonce i mezi sítěmi v různých předplatných. Toky provozu uvnitř i mezi virtuálními sítěmi je možné řídit pomocí sad pravidel zabezpečení určených pro skupiny zabezpečení sítě,zásady brány firewall (Azure Firewall nebo síťová virtuální zařízení)a vlastní trasy definované uživatelem.

Virtuální sítě jsou také ukotvené body pro integraci produktů Azure PaaS (platforma jako služba), jako jsou Azure Storage, Azure SQLa další integrované veřejné služby s veřejnými koncovými body. Pomocí koncových bodů služby a Azure Private Linkmůžete integrovat veřejné služby s privátní sítí. Veřejné služby můžete dokonce brát jako soukromé, ale stále můžete využívat výhody služeb PaaS spravovaných Azure.

Přehled virtuálního datacentra

Topologie

Virtuální datové centrum je možné vytvořit pomocí jedné z těchto topologií vysoké úrovně na základě vašich potřeb a požadavků na škálování:

V ploché topologii sevšechny prostředky nasadí do jedné virtuální sítě. Podsítě umožňují řízení toku a oddělení.

V topologii Mesh propojujepartnerský vztah virtuálních sítí všechny virtuální sítě přímo mezi sebou.

Centrum partnerského vztahu a topologie paprsku jsou vhodné pro distribuované aplikace a týmy s delegovanou odpovědností.

Topologie Azure Virtual WAN podporuje scénáře velkých poboček a globální služby WAN.

Topologie centra peeringu a paprsku a topologie Azure Virtual WAN používají návrh centra i paprsku, který je optimální pro komunikaci, sdílené prostředky a centralizované zásady zabezpečení. Rozbočovače se sestavují buď pomocí partnerského centra virtuální sítě (označeného v diagramu), nebo centra Virtual WAN sítě (označené jako Hub Virtual Network v Azure Virtual WAN diagramu). Azure Virtual WAN je navržený pro rozsáhlou komunikaci mezi pobočkami a mezi pobočkami v Azure nebo pro zabránění složitosti vytváření všech komponent jednotlivě v centru peeringu virtuálních sítí. V některých případech můžou vaše požadavky ovat návrh centra partnerského vztahu virtuálních sítí, například potřebu síťových virtuálních zařízení v centru.

V obou topologiích centra i paprsku je centrum centrální zóna sítě, která řídí a kontroluje veškerý provoz mezi různými zónami: internetem, místním prostředím a paprsky. Topologie centra a paprsku pomáhá IT oddělení centrálně vynucovat zásady zabezpečení. Také snižuje riziko neoprávněné konfigurace a vystavení hrozbám.

Centrum často obsahuje společné komponenty služby spotřebované paprsky. Mezi běžné centrální služby patří například:

• Infrastruktura Windows Active Directory, která se vyžaduje pro ověřování uživatelů třetích stran, které přistupuje z nedůvěryhodných sítí předtím, než potřebná k získání přístupu k úlohám v paprsku. Včetně související služby Active Directory Federation Services (AD FS).
• Služba DNS (Distributed Name System) pro překlad názvů pro úlohy v paprskech, pro přístup k prostředkům místně a na internetu, pokud Azure DNS se nevyuží.
• Infrastruktura veřejných klíčů (PKI) pro implementaci jednotného přihlašování k úlohám.
• Řízení toku provozu TCP a UDP mezi síťovými zónami v paprscích a internetem.
• Řízení toku mezi paprsky a místní sítí.
• V případě potřeby řízení toku mezi jednotlivými paprsky.

Virtuální datové centrum snižuje celkové náklady pomocí infrastruktury sdíleného centra mezi několika paprsky.

Role jednotlivých paprsků může být hostitelem různých typů úloh. Paprsky také poskytují modulární přístup pro opakovaná nasazení stejných úloh. Mezi příklady patří vývoj/testování, uživatelské akceptační testování, předprodukce a produkce. Paprsky můžou také oddělit a povolit různé skupiny v rámci vaší organizace. Příkladem jsou DevOps skupiny. V rámci paprsku je možné nasadit základní úlohy nebo složité vícevrstvé úlohu s řízením provozu mezi vrstvami.

Omezení předplatného a více center

V Azure je každá komponenta bez ohledu na typ nasazená v předplatném Azure. Izolace komponent Azure v různých předplatných Azure může uspokojit požadavky různých oborů podnikání, jako je například nastavení odlišných úrovní přístupu a autorizace.

Jedna implementace VDC může škálovat až na velký počet paprsků, i když stejně jako u každého IT systému existují omezení platformy. Nasazení centra je vázané na konkrétní předplatné Azure, které má omezení a omezení (například maximální počet partnerských vztahů virtuálních sítí. Podrobnosti najdete v tématu Limity,kvóty a omezení předplatného a služeb Azure. V případech, kdy omezení mohou být problémem, může architektura dále škálovat, a to rozšířením modelu z jednoho centra s paprsky do clusteru s huby a paprsky. Několik center v jedné nebo několika oblastech Azure je možné připojit pomocí peeringu virtuálních sítí, ExpressRoute, Virtual WAN nebo VPN typu site-to-site.

Zavedení několika center zvyšuje náklady a úsilí správy systému. Je to oprávněné pouze z důvodu škálovatelnosti, systémových limitů, redundance, regionální replikace pro výkon koncových uživatelů nebo zotavení po havárii. Ve scénářích, které vyžadují více center, by se všechna centra měla snažit nabídnout stejnou sadu služeb pro usnadnění provozu.

Propojení mezi paprsky

Uvnitř jednoho paprsku nebo ploché sítě je možné implementovat složité vícevrstvé úlohy. Vícevrstvé konfigurace je možné implementovat pomocí podsítí, jedné pro každou vrstvu nebo aplikaci, ve stejné virtuální síti. Řízení provozu a filtrování se provádí pomocí skupin zabezpečení sítě a tras definovaných uživatelem.

Architekt může chtít nasadit vícevrstvé úlohy napříč několika virtuálními sítěmi. Pomocí peeringu virtuálních sítí se paprsky mohou připojit k jiným paprskům ve stejném centru nebo v různých centrech. Typickým příkladem tohoto scénáře je situace, kdy jsou aplikační servery v jednom paprsku nebo virtuální síti. Databáze se nasazovat v jiném paprsku nebo virtuální síti. V takovém případě je snadné propojit paprsky s partnerským vztahem virtuálních sítí a tím se vyhnout průchodu centrem. Je třeba pečlivě zkontrolovat architekturu a zabezpečení, aby se zajistilo, že obejití centra nevychází z důležitých bodů zabezpečení nebo auditování, které mohou existovat pouze v centru.

Paprsky je taky možné propojit s paprskem, který funguje jako centrum. Tento přístup vytvoří hierarchii se dvěma úrovněmi: paprsek na vyšší úrovni (úroveň 0) se změní na centrum pro paprsky nižší úrovně (úroveň 1) v hierarchii. Paprsky implementace služby VDC se musí přeposílání provozu do centrálního centra, aby provoz mohl přechádovat do cíle buď v místní síti, nebo ve veřejném internetu. Architektura se dvěma úrovněmi center zavádí složité směrování, které eliminuje výhody jednoduchého vztahu mezi paprsky.

I když Azure umožňuje komplexní topologie, jedním ze základních principů konceptu služby VDC je opakovatelnost a jednoduchost. Jednoduchý návrh centra s paprsky je referenční architekturou služby VDC, kterou doporučujeme, aby se minimalizovala snaha o správu.

Komponenty

Virtuální datové centrum se nachází ve čtyřech základních typech komponent: Infrastruktura, Hraniční sítě,Úlohya Monitorování.

Každý typ komponenty se skládá z různých funkcí a prostředků Azure. Implementace služby VDC je tvořená instancemi více typů komponent a několika variant stejného typu komponenty. Můžete mít například mnoho různých, logicky oddělených instancí úloh, které představují různé aplikace. Tyto různé typy komponent a instance použijete k vytvoření VDC.

Předchozí základní koncepční architektura služby VDC ukazuje různé typy komponent používané v různých zónách topologie s paprsky rozbočovače. Diagram znázorňuje komponenty infrastruktury v různých částech architektury.

Obecně platí, že přístupová práva a oprávnění by měla být založená na skupině. Práce se skupinami místo jednotlivých uživatelů usnadňuje údržbu zásad přístupu tím, že poskytuje konzistentní způsob, jak je spravovat napříč týmy, a pomáhá minimalizaci chyb konfigurace. Přiřazování a odebírání uživatelů do a z příslušných skupin pomáhá udržovat oprávnění konkrétního uživatele aktuální.

Každá skupina rolí by měla mít ke svým názvům jedinečnou předponu. Tato předpona usnadňuje identifikaci skupiny, která je přidružená ke které úlohu. Například úloha hostující ověřovací službu může mít skupiny s názvem AuthServiceNetOps,AuthServiceSecOps,AuthServiceDevOpsa AuthServiceInfraOps. Centralizované role nebo role, které nesouvisí s konkrétní službou, můžou být s Corp. Příkladem je CorpNetOps.

Mnoho organizací používá variaci následujících skupin, které poskytují hlavní rozpis rolí:

• Centrální tým IT nazvaný Corp má vlastnická práva k řízení komponent infrastruktury. Příklady jsou sítě a zabezpečení. Skupina musí mít roli přispěvatele v předplatném, řízení centra a oprávnění přispěvatele sítě v paprskech. Velké organizace často rozdělují tyto zodpovědnosti správy mezi více týmů. Příklady jsou síťové operace CorpNetOps skupiny se exkluzivním soustředěním na síť a CorpSecOps skupiny operací zabezpečení zodpovědné za bránu firewall a zásady zabezpečení. V tomto konkrétním případě je třeba vytvořit dvě různé skupiny pro přiřazení těchto vlastních rolí.
• Skupina pro vývoj/testování s názvem AppDevOps má za úkol nasazovat úlohy aplikace nebo služby. Tato skupina vezme roli přispěvatele virtuálních počítačů pro nasazení IaaS nebo jednu nebo více rolí přispěvatele PaaS. Další informace najdete v tématu Předdefinované role v Azure. V případě potřeby může tým pro vývoj/testování potřebovat přehled o zásadách zabezpečení (skupiny zabezpečení sítě) a zásadách směrování (uživatelem definované trasy) uvnitř centra nebo konkrétního paprsku. Kromě role přispěvatele pro úlohy bude tato skupina také potřebovat roli čtečky sítě.
• Operace a skupina údržby s názvem CorpInfraOps nebo AppInfraOps mají zodpovědnost za správu úloh v produkčním prostředí. Tato skupina musí být přispěvatelem předplatného pro úlohy v jakémkoli produkčním předplatném. Některé organizace můžou také zhodnotit, jestli potřebují další týmovou skupinu podpory eskalace s rolí přispěvatele předplatného v produkčním prostředí a předplatným centrálního centra. Další skupina opravuje možné problémy s konfigurací v produkčním prostředí.

VDC je navržený tak, aby skupiny vytvořené pro centrálního IT tým, které spravují centrum, měly odpovídající skupiny na úrovni pracovního vytížení. Kromě správy pouze prostředků centra může centrální tým IT řídit pro předplatné externí přístup a oprávnění na nejvyšší úrovni. Skupiny úloh mohou také řídit prostředky a oprávnění k jejich virtuální síti nezávisle na centrálním IT týmu.

Virtuální datové centrum je rozdělené na oddíly, aby bylo možné bezpečně hostovat více projektů v různých řádcích společnosti. Všechny projekty vyžadují různá izolovaná prostředí (vývoj, UAT a produkce). Jednotlivá předplatná Azure pro každé z těchto prostředí můžou poskytovat přirozenou izolaci.

Předchozí diagram znázorňuje vztah mezi projekty organizace, uživateli a skupinami a prostředími, ve kterých jsou nasazené komponenty Azure.

Obvykle je prostředí (nebo vrstva) systémem, ve kterém je nasazeno a spuštěno více aplikací. Velké podniky využívají vývojové prostředí (kde se provádějí změny a testují) a produkční prostředí (které používají koncoví uživatelé). Tato prostředí jsou oddělená, často s několika přípravnými prostředími mezi nimi, aby umožnila postupné nasazení (zavedení), testování a vrácení zpět, pokud dojde k problémům. Architektury nasazení se výrazně liší, ale obvykle se jedná o základní proces od vývoje (DEV) a končí v produkčním prostředí (kat).

společná architektura pro tyto typy prostředí s více vrstvami se skládá z DevOps pro vývoj a testování, UAT pro přípravu a produkční prostředí. Organizace můžou používat jeden nebo víc tenantů Azure AD k definování přístupu a práv k těmto prostředím. předchozí diagram znázorňuje případ, kdy se používají dva různé klienty Azure AD: jeden pro DevOps a UAT a druhý výhradně pro produkční prostředí.

Existence různých tenantů Azure AD vynutila oddělení mezi prostředími. stejnou skupinu uživatelů, jako je centrální tým IT, se musí ověřit pomocí jiného identifikátoru URI pro přístup k jinému klientovi Azure AD, aby bylo možné upravovat role nebo oprávnění DevOps nebo produkčních prostředí projektu. Existence různých ověření uživatelů pro přístup k různým prostředím zkracuje možné výpadky a další problémy způsobené lidskými chybami.

Typ součásti: infrastruktura

Tento typ součásti je místo, kde se nachází většina podpůrné infrastruktury. Je to také tam, kde centralizované týmy IT, zabezpečení a dodržování předpisů tráví většinu času.

Komponenty infrastruktury poskytují propojení pro různé komponenty VDC implementace a jsou přítomna v centru i paprskech. Zodpovědnost za správu a údržbu komponent infrastruktury se obvykle přiřazuje centrálnímu týmu IT nebo bezpečnostnímu týmu.

Jednou z primárních úloh týmu IT infrastruktury je zaručit konzistenci schémat IP adres napříč podnikem. Privátní adresní prostor IP adres přiřazený implementaci VDC musí být konzistentní a nesmí se překrývat s PRIVÁTNÍmi IP adresami přiřazenými v místních sítích.

I když překlad adres (NAT) na místních hraničních směrovačích nebo v prostředích Azure se může vyhnout konfliktům IP adres, přidá komplikace k vašim komponentám infrastruktury. Jednoduchost správy je jedním z klíčových cílů VDC, takže použití překladu adres (NAT) ke zpracování otázek IP, ale platného řešení není doporučeným řešením.

Komponenty infrastruktury mají následující funkce:

• Identity a adresářové služby. Přístup ke všem typům prostředků v Azure se řídí identitou uloženou v adresářové službě. Adresářová služba ukládá nejen seznam uživatelů, ale také přístupová práva k prostředkům v konkrétním předplatném Azure. Tyto služby můžou existovat jenom pro Cloud, nebo se můžou synchronizovat s místní identitou uloženou ve službě Active Directory.
• Virtual Network. Virtuální sítě jsou jednou z hlavních součástí VDC a umožňují vytvořit hranici izolace provozu na platformě Azure. Virtuální síť se skládá z jednoho nebo několika segmentů virtuální sítě, z nichž každá má konkrétní předponu sítě IP (podsíť, buď IPv4 nebo duální zásobník IPv4/IPv6). Virtuální síť definuje interní nárazníkovou oblast, kde IaaS virtuální počítače a PaaS služby můžou vytvořit soukromou komunikaci. Virtuální počítače (a služby PaaS) v jedné virtuální síti nemůžou přímo komunikovat s virtuálními počítači (a PaaS službami) v jiné virtuální síti, a to i v případě, že oba virtuální sítě vytvoří stejný zákazník v rámci stejného předplatného. Izolace je kritická vlastnost, která zajišťuje, že virtuální počítače a komunikace zákazníků zůstávají privátní v rámci virtuální sítě. Kde je žádoucí připojení mezi sítěmi, následující funkce popisují, jak to lze provést.
• Partnerský vztah virtuální sítě. Základní funkce používaná k vytvoření infrastruktury VDC je partnerský vztah virtuálních sítí, který spojuje dvě virtuální sítě ve stejné oblasti, a to buď prostřednictvím sítě Azure datacentra, nebo s využitím páteřní sítě Azure po celém světě napříč oblastmi.
• Virtual Network koncové body služby. Koncové body služby prodlužují privátní adresní prostor virtuální sítě tak, aby zahrnovaly PaaS prostor. Koncové body také šíří identitu vaší virtuální sítě do služeb Azure přes přímé připojení. Koncové body umožňují svázat vaše důležité prostředky služeb Azure pouze s vašimi virtuálními sítěmi.
• Privátní odkaz. privátní odkaz azure vám umožní přístup ke službám azure PaaS (například Azure Storage, Azure Cosmos DBa Azure SQL Database) a hostovaným zákazníkům a partnerským službám azure prostřednictvím privátního koncového bodu ve vaší virtuální síti. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje rizika vystavení na veřejném internetu. Ve své virtuální síti můžete také vytvořit vlastní službu privátního propojení a poskytnout ji soukromým uživatelům. Prostředí pro nastavení a spotřebu pomocí privátního propojení Azure je konzistentní v rámci služeb Azure PaaS, Customer a Shared partnered.
• Trasy definované uživatelem. Provoz ve virtuální síti je ve výchozím nastavení směrován v závislosti na tabulce směrování systému. Uživatelem definovaná trasa je vlastní směrovací tabulka, kterou můžou správci sítě přidružit k jedné nebo více podsítím, aby potlačili chování systémové tabulky směrování a definovali cestu komunikace v rámci virtuální sítě. Existence uživatelem definovaných tras garantuje, že odchozí přenosy z přenosu paprsků prostřednictvím konkrétních vlastních virtuálních počítačů nebo síťových virtuálních zařízení a nástrojů pro vyrovnávání zatížení jsou přítomny v centru i paprskech.
• Skupiny zabezpečení sítě. Skupina zabezpečení sítě je seznam pravidel zabezpečení, která se chovají jako filtrování provozu u zdrojů IP adres, cílů IP adres, protokolů, portů zdrojů IP a cílových IP adres (označovaných také jako vrstva 4 5 – řazená kolekce členů). Skupinu zabezpečení sítě je možné použít pro podsíť, virtuální síťovou kartu přidruženou k virtuálnímu počítači Azure nebo obojí. Skupiny zabezpečení sítě jsou nezbytné k implementaci správného řízení toku v centru a paprskech. Úroveň zabezpečení poskytovaná skupinou zabezpečení sítě je funkce, které porty otevřete a za jaký účel. zákazníci by měli použít další filtry pro jednotlivé virtuální počítače s bránami firewall na hostitele, jako je softwaru iptables nebo brána firewall Windows.
• DNS. DNS zajišťuje překlad názvů pro prostředky ve virtuálním datacentru. Azure poskytuje služby DNS pro účely překladu veřejného i privátního názvu. Privátní zóny poskytují překlad názvů v rámci virtuální sítě i napříč virtuálními sítěmi. Privátní zóny můžete mít nejen mezi virtuálními sítěmi ve stejné oblasti, ale i v různých oblastech a předplatných. v případě veřejného řešení Azure DNS poskytuje hostitelskou službu pro domény DNS a zajišťuje překlad názvů pomocí Microsoft Azure infrastruktury. Pokud svoje domény hostujete v Azure, můžete spravovat svoje DNS záznamy pomocí stejných přihlašovacích údajů, rozhraní API a nástrojů a za stejných fakturačních podmínek jako u ostatních služeb Azure.
• Skupina pro správu, předplatnéa Správa skupin prostředků . Předplatné definuje přirozenou hranici pro vytváření více skupin prostředků v Azure. Toto oddělení může být pro funkci, oddělení rolí nebo fakturaci. Prostředky v předplatném se společně seskupují do logických kontejnerů označovaných jako skupiny prostředků. Skupina prostředků představuje logickou skupinu pro uspořádání prostředků ve virtuálním datacentru. Pokud má vaše organizace mnoho předplatných, možná budete potřebovat způsob, jak efektivně spravovat přístup, zásady a dodržování předpisů pro tato předplatná. Skupiny pro správu Azure poskytují úroveň oboru nad předplatnými. Předplatná uspořádáte do kontejnerů označovaných jako skupiny pro správu a podmínky zásad správného řízení se aplikují na skupiny pro správu. Všechna předplatná v rámci skupiny pro správu automaticky dědí podmínky, které se na příslušnou skupinu pro správu vztahují. Chcete-li zobrazit tyto tři funkce v hierarchickém zobrazení, přečtěte si téma uspořádání prostředků v rozhraní pro přijetí do cloudu.
• Řízení přístupu na základě role Azure (Azure RBAC). Azure RBAC může mapovat role a práva organizace pro přístup ke konkrétním prostředkům Azure, což vám umožní omezit uživatele jenom na určitou podmnožinu akcí. pokud synchronizujete Azure Active Directory s místní službou active directory, můžete použít stejné skupiny služby active directory v Azure, které používáte místně. Pomocí Azure RBAC můžete udělit přístup přidělením příslušné role uživatelům, skupinám a aplikacím v rámci příslušného oboru. Oborem přiřazení role může být předplatné Azure, skupina prostředků nebo jeden prostředek. Azure RBAC umožňuje dědičnost oprávnění. Role přiřazená v nadřazeném oboru také uděluje přístup k podřízeným elementům, které jsou v něm obsažené. Pomocí Azure RBAC můžete povinnosti oddělovat a uživatelům udělit pouze přístup, který potřebují k výkonu své práce. Jeden zaměstnanec může například spravovat virtuální počítače v předplatném, zatímco jiný může spravovat SQL Server databáze ve stejném předplatném.

Typ komponenty: Hraniční sítě

Komponenty hraniční sítě (někdy nazývané síť DMZ) propojují místní nebo fyzické sítě datacentra spolu s internetovým připojením. Hraniční síť obvykle vyžaduje značné časové investice od týmů pro zabezpečení a sítě.

Příchozí pakety by měly před přístupem k back-end serverům a službám v paprskech procházet bezpečnostními zařízeními v centru. Mezi příklady patří brána firewall, ID A IPS. Než opustí síť, měly by pakety z úloh svázané s internetem procházet také bezpečnostními zařízeními v hraniční síti. Tento tok umožňuje vynucování, kontrolu a auditování zásad.

Mezi komponenty hraniční sítě patří:

• Virtuální sítě, trasy definované uživatelem a skupiny zabezpečení sítě
• Síťová virtuální zařízení
• Azure Load Balancer
• Azure Application Gateway s Firewallem webových aplikací (WAF)
• Veřejné IP adresy
• Azure Front Doorfirewallem webových aplikací (WAF)
• Azure Firewalla Azure Firewall Manager
• Standardní DDoS Protection

Centrální IT tým a bezpečnostní týmy obvykle zodpovídá za definici požadavků a provoz hraničních sítí.

Předchozí diagram znázorňuje vynucování dvou hraničních sítí s přístupem k internetu a místní síti, které jsou obě v centru DMZ. V centru DMZ se hraniční síť k internetu může škálovat tak, aby podporovala mnoho obchodních řešení, a to pomocí několika farem firewallů webových aplikací (WAF) nebo služby Azure Firewalls. Centrum také umožňuje podle potřeby místní připojení přes VPN nebo ExpressRoute.

Virtuální sítě. Centrum je obvykle postavené na virtuální síti s několika podsítěmi pro hostování různých typů služeb, které filtruje a kontroluly provoz do a z internetu prostřednictvím Azure Firewall, síťových virtuálních zařízení, WAF a Azure Application Gateway instancí.

Trasy definované uživatelem. Pomocí uživatelsky definovaných tras mohou zákazníci nasazovat brány firewall, IDS/IPS a další virtuální zařízení a směrovat síťový provoz přes tato bezpečnostní zařízení pro vynucení, auditování a kontrolu zásad hranic zabezpečení. Trasy definované uživatelem je možné vytvořit v centru i v paprskech, aby bylo zaručeno, že provoz prochází konkrétními vlastními virtuálními počítači, síťovými virtuálními zařízeními a nástroji pro vyrovnávání zatížení používanými implementací služby VDC. Aby se zaručil, že provoz generovaný z virtuálních počítačů umístěných v paprskových přenosech do správných virtuálních zařízení, musí být v podsítích paprsku nastavena trasa definovaná uživatelem tak, že se jako další segment směrování nastaví front-endová IP adresa interního nástroje pro vyrovnávání zatížení. Interní nástroj pro vyrovnávání zatížení distribuuje interní provoz na virtuální zařízení (back-endový fond nástroje pro vyrovnávání zatížení).

Azure Firewall je spravovaná služba zabezpečení sítě, která chrání vaše prostředky Virtual Network Azure. Jedná se o stavovou spravovanou bránu firewall s vysokou dostupností a cloudovou škálovatelností. Můžete centrálně vytvářet, vynucovat a protokolovat zásady připojení k aplikacím a sítím napříč různými předplatnými a virtuálními sítěmi. Azure Firewall používá pro prostředky virtuální sítě statickou veřejnou IP adresu. Externí brány firewall díky tomu můžou identifikovat provoz pocházející z vaší virtuální sítě. Služba je plně integrovaná se službou Azure Monitor zajišťující protokolování a analýzy.

Pokud používáte topologii Azure Virtual WAN, je Azure Firewall Manager služba pro správu zabezpečení, která poskytuje centrální zásady zabezpečení a správu tras pro cloudové hraniční sítě zabezpečení. Funguje s Azure Virtual WAN, prostředek spravovaný Microsoftem, který umožňuje snadno vytvářet architektury centra a paprsků. Když jsou k takovému centru přidružené zásady zabezpečení a směrování, označují se jako zabezpečené virtuální centrum.

Síťová virtuální zařízení. V centru se hraniční síť s přístupem k internetu obvykle spravuje prostřednictvím instance Azure Firewall nebo farmy bran firewall nebo Firewallu webových aplikací (WAF).

Různé obory podnikání běžně používají mnoho webových aplikací, které mívají tendenci mít různá ohrožení zabezpečení a potenciální zneužití. Firewally webových aplikací jsou speciálním typem produktu, který se používá k detekci útoků na webové aplikace, HTTP/HTTPS, do větší hloubky než obecná brána firewall. V porovnání s tradiční technologií brány firewall mají wafy sadu specifických funkcí pro ochranu interních webových serverů před hrozbami.

Brána firewall Azure Firewall nebo síťového virtuálního zařízení používá společnou rovinu správy se sadu pravidel zabezpečení k ochraně úloh hostovaných v paprskech a k řízení přístupu k místním sítím. Virtuální Azure Firewall integrovaná škálovatelnost, zatímco brány firewall síťového virtuálního zařízení je možné ručně škálovat za nástroj pro vyrovnávání zatížení. Obecně platí, že farma brány firewall má v porovnání s WAF méně specializovaný software, ale má širší obor aplikace pro filtrování a kontrolu jakéhokoli typu provozu v výchozím a příchozím přenosu dat. Pokud se používá přístup k síťovému virtuálnímu zařízení, najdete ho a nasadíte Azure Marketplace.

Pro provoz pocházející z internetu Azure Firewall jednu sadu virtuálních instancí nebo síťových virtuálních zařízení. Pro provoz pocházející z místního prostředí použijte jiný. Použití pouze jedné sady bran firewall pro obě služby představuje bezpečnostní riziko, protože mezi těmito dvěma sadami síťových přenosů neexistuje žádná bezpečnostní hranice. Použití samostatných vrstev brány firewall snižuje složitost kontroly pravidel zabezpečení a ujasňuje, která pravidla odpovídají příchozím síťovým požadavkům.

Azure Load Balancer nabízí službu vrstvy 4 (TCP/UDP), která může distribuovat příchozí provoz mezi instance služby definované v sadě s vyrovnáváním zatížení. Provoz odeslaný do nástroje pro vyrovnávání zatížení z front-endových koncových bodů (koncové body veřejných IP adres nebo koncových bodů privátních IP adres) je možné distribuovat s překladem adres nebo bez něj do sady back-endového fondu IP adres (například síťových virtuálních zařízení nebo virtuálních počítačů).

Azure Load Balancer testovat také stav různých instancí serveru, a když instance na sondu nereaguje, nástroj pro vyrovnávání zatížení přestane odesílat provoz do instance, která není v pořádku. Ve virtuálním datacentru se externí nástroj pro vyrovnávání zatížení nasadí do centra a paprsků. V centru se nástroj pro vyrovnávání zatížení používá k efektivnímu směrování provozu mezi instancemi brány firewall a v paprskech se nástroje pro vyrovnávání zatížení používají ke správě provozu aplikací.

Azure Front Door (AFD) je vysoce dostupná a škálovatelná platforma Microsoftu pro zrychlení webových aplikací, globální protokol HTTP Load Balancer, ochrana aplikací a Content Delivery Network. Afd běží na více než 100 umístěních na hranici globální sítě Microsoftu a umožňuje sestavovat, provozovat a škálovat dynamickou webovou aplikaci a statický obsah. AFD poskytuje vaší aplikaci prvotřídní výkon koncových uživatelů, jednotnou automatizaci údržby místních razítek nebo kolků, automatizaci BCDR, jednotné informace o klientech a uživatelích, ukládání do mezipaměti a přehledy služeb. Platforma nabízí:

• Smlouvy o úrovni služeb (SLA) pro výkon, spolehlivost a podporu.
• Certifikace dodržování předpisů.
• Auditovatelné postupy zabezpečení, které Azure vyvíjí, provozuje a nativně podporuje.

Azure Front Door také firewall webových aplikací (WAF), který chrání webové aplikace před běžnými ohroženími zabezpečení a ohrožením.

Azure Application Gateway je vyhrazené virtuální zařízení poskytující spravovaný kontroler doručování aplikací. Nabízí pro vaši aplikaci různé možnosti vyrovnávání zatížení vrstvy 7. Umožňuje optimalizovat výkon webové farmy přesměrováním ukončení protokolu SSL náročného na procesor do aplikační brány. Poskytuje také další možnosti směrování vrstvy 7, jako je kruhové dotazování na distribuci příchozích přenosů, spřažení relací na základě souborů cookie, směrování na základě cest URL a možnost hostování více webů za jedinou aplikační bránou. Firewall webových aplikací (WAF) je také součástí skladové položky WAF služby Application Gateway. Tato SKU poskytuje ochranu webových aplikací před běžnými ohroženími zabezpečení webu a zneužitím. Application Gateway můžete nakonfigurovat jako internetovou bránu, bránu pouze pro interní nebo kombinaci obojího.

Veřejné IP adresy. Pomocí některých funkcí Azure můžete koncové body služby přidružit k veřejné IP adrese, aby byl váš prostředek přístupný z internetu. Tento koncový bod používá NAT ke směrování provozu na interní adresu a port ve virtuální síti v Azure. Tato cesta je primárním způsobem, jak externí provoz předat do virtuální sítě. Veřejné IP adresy můžete nakonfigurovat tak, aby určily, jaký provoz se předává a jak a kde se překládá do virtuální sítě.

Azure DDoS Protection Standard poskytuje další možnosti omezení rizik nad úrovní služby Basic, které jsou vyladěné speciálně pro prostředky Azure Virtual Network prostředky. Aktivace služby DDoS Protection úrovně Standard je jednoduchá a nevyžaduje žádné změny aplikace. K ladění zásad ochrany slouží vyhrazené monitorování provozu a algoritmy strojového učení. Zásady se aplikují na veřejné IP adresy přidružené k prostředkům nasazeným ve virtuálních sítích. Mezi příklady Azure Load Balancer, Azure Application Gateway a azure Service Fabric instance. Systémem generované protokoly jsou v reálném čase dostupné prostřednictvím Azure Monitor zobrazení během útoku a historie. Ochranu aplikační vrstvy je možné přidat prostřednictvím Azure Application Gateway firewallu webových aplikací. Ochrana je poskytována pro veřejné IP adresy Azure IPv4 a IPv6.

Topologie centra a paprsku používá partnerský vztah virtuálních sítí a trasy definované uživatelem ke správnému směrování provozu.

V diagramu trasa definovaná uživatelem zajišťuje, že provoz proudí z paprsku do brány firewall před předáním do místního prostředí prostřednictvím brány ExpressRoute (pokud zásady brány firewall tento tok umožňují).

Typ komponenty: Monitorování

Monitorovací komponenty poskytují viditelnost a výstrahy ze všech ostatních typů komponent. Všechny týmy by měly mít přístup k monitorování komponent a služeb, ke které mají přístup. Pokud máte centralizovanou help desku nebo provozní tým, vyžadují integrovaný přístup k datům poskytovaným těmito komponentami.

Azure nabízí různé typy služeb protokolování a monitorování ke sledování chování prostředků hostovaných v Azure. Zásady správného řízení a řízení úloh v Azure jsou založené nejen na shromažďování dat protokolu, ale také na schopnosti aktivovat akce na základě konkrétních ohlášených událostí.

Azure Monitor Azure obsahuje více služeb, které v prostoru monitorování samostatně provádějí určité role nebo úlohy. Tyto služby společně poskytují komplexní řešení pro shromažďování, analýzu a zpracování protokolů generovaných systémem z vašich aplikací a prostředků Azure, které je podporují. Můžou také provádět monitorování důležitých místních prostředků s cílem poskytovat prostředí hybridního monitorování. Základní informace o dostupných nástrojích a datech najdete v prvním kroku při vývoji kompletní strategie monitorování pro vaše aplikace.

Existují dva základní typy protokolů v Azure Monitor:

• Metriky jsou číselné hodnoty, které popisují určitý aspekt systému v určitém časovém okamžiku. Jsou odlehčené a schopné podporovat scénáře téměř v reálném čase. V případě mnoha prostředků Azure uvidíte data shromážděná Azure Monitor přímo na stránce s přehledem v Azure Portal. Podívejte se například na libovolný virtuální počítač a zobrazí se několik grafů znázorňujících metriky výkonu. Vyberte libovolné grafy a otevřete tak data v Průzkumníkovi metrik v Azure Portal, což umožňuje v průběhu času seřadí hodnoty více metrik. Grafy můžete interaktivně zobrazit nebo připnout na řídicí panel, abyste je viděli s ostatními vizualizacemi.

• Protokoly obsahují různé druhy dat uspořádané do záznamů s různými sadami vlastností pro každý typ. Události a trasování jsou uloženy jako protokoly spolu s daty o výkonu, které lze kombinovat pro účely analýzy. Data protokolu shromážděná pomocí Azure Monitor lze analyzovat pomocí dotazů pro rychlé načítání, konsolidaci a analýzu shromážděných dat. Protokoly se ukládají a dotazují se z Log Analytics. Můžete vytvářet a testovat dotazy pomocí Log Analytics v Azure Portal a potom buď přímo analyzovat data pomocí těchto nástrojů, nebo ukládat dotazy pro použití s vizualizacemi nebo pravidly výstrah.

Azure Monitor může shromažďovat data z různých zdrojů. Data monitorování vašich aplikací si můžete představit ve vrstvách od vaší aplikace, libovolného operačního systému a služeb, na kterých se spoléhá, na platformě Azure samotné. Azure Monitor shromažďuje data z každé z následujících vrstev:

• Data monitorování aplikací: Údaje o výkonu a funkcích kódu, který jste napsali, bez ohledu na jeho platformu.
• Data monitorování hostovaného operačního systému: Data o operačním systému, na kterém je aplikace spuštěná. Tento operační systém může běžet v Azure, jiném cloudu nebo v místním prostředí.
• Data monitorování prostředků Azure: Data o provozu prostředku Azure.
• Data monitorování předplatného Azure: Data o provozu a správě předplatného Azure, jakož i údaje o stavu a provozu samotného Azure.
• Data monitorování tenanta Azure: Data o provozu služeb Azure na úrovni tenanta, jako je například Azure Active Directory.
• Vlastní zdroje: Mohou být zahrnuty i protokoly odeslané z místních zdrojů. Mezi příklady patří místní události serveru nebo výstup protokolu syslog síťového zařízení.

Data monitorování jsou užitečná jenom v případě, že může zvýšit vaši viditelnost provozu výpočetního prostředí. Azure Monitor obsahuje několik funkcí a nástrojů, které poskytují cenné přehledy o aplikacích a dalších prostředcích, na kterých jsou závislé. monitorování řešení a funkcí, jako jsou Application Insights a Azure Monitor pro kontejnery, poskytují podrobné přehledy o různých aspektech aplikace a konkrétních služeb Azure.

Řešení monitorování v Azure Monitor jsou zabalené sady logiky, které poskytují přehledy pro konkrétní aplikaci nebo službu. Obsahují logiku pro shromažďování dat monitorování pro aplikaci nebo službu, dotazy k analýze těchto dat a zobrazení pro vizualizaci. Řešení pro monitorování jsou dostupná od Microsoftu a partnerů, aby poskytovaly monitorování pro různé služby Azure a další aplikace.

Se všemi shromažďovanými bohatými daty je důležité proniknout proaktivní akce s událostmi, které probíhají ve vašem prostředí, kde nestačí jenom ruční dotazy. Výstrahy v Azure Monitor proaktivně upozorňují na kritické podmínky a potenciálně se snaží provést nápravná opatření. Pravidla výstrah založená na metrikách poskytují výstrahy téměř v reálném čase na základě číselných hodnot, zatímco pravidla založená na protokolech umožňují složitou logiku napříč daty z více zdrojů. Pravidla výstrah v Azure Monitor používají skupiny akcí, které obsahují jedinečné sady příjemců a akcí, které je možné sdílet v rámci více pravidel. V závislosti na vašich požadavcích můžou skupiny akcí provádět takové akce jako pomocí webhooků, které způsobují, že výstrahy spustí externí akce nebo se budou integrovat s nástroji ITSM.

Azure Monitor také umožňuje vytváření vlastních řídicích panelů. Řídicí panely Azure umožňují kombinovat různé druhy dat, včetně obou metrik a protokolů, do jednoho podokna v Azure Portal. Volitelně můžete řídicí panel sdílet s dalšími uživateli Azure. Prvky v rámci Azure Monitor lze přidat do řídicího panelu Azure kromě výstupu jakýchkoli dotazů protokolu nebo grafu metrik. můžete například vytvořit řídicí panel, který kombinuje dlaždice, které zobrazují graf metrik, tabulku protokolů aktivit, graf využití z Application Insights a výstup dotazu protokolu.

Nakonec Azure Monitor data jsou nativním zdrojem pro Power BI. Power BI je služba obchodní analýzy, která poskytuje interaktivní vizualizace napříč různými zdroji dat a je účinným prostředkem k zpřístupnění dat ostatním v rámci vaší organizace i mimo ni. Power BI můžete nakonfigurovat tak, aby automaticky importovala data protokolu z Azure Monitor a využila tyto další vizualizace.

Azure Network Watcher poskytuje nástroje pro monitorování, diagnostiku a zobrazení metrik a povolení nebo zakázání protokolů pro prostředky ve virtuální síti v Azure. Jedná se o službu mnohotvárnou, která umožňuje následující funkce a další funkce:

• Monitoruje komunikaci mezi virtuálním počítačem a koncovým bodem.
• Zobrazit prostředky ve virtuální síti a jejich vztazích.
• Diagnostikujte problémy s filtrováním síťového provozu do nebo z virtuálního počítače.
• Diagnostikujte problémy se síťovým směrováním z virtuálního počítače.
• Diagnostikujte odchozí připojení z virtuálního počítače.
• Zachytávání paketů do a z virtuálního počítače.
• Diagnostikujte problémy s bránou virtuální sítě a připojením.
• Určete relativní latence mezi oblastmi Azure a poskytovateli internetových služeb.
• Zobrazení pravidel zabezpečení pro síťové rozhraní.
• Zobrazit metriky sítě.
• Analýza provozu do nebo ze skupiny zabezpečení sítě.
• Zobrazení diagnostických protokolů pro síťové prostředky.

Typ součásti: úlohy

Komponenty úloh se nacházejí v místě, kde jsou umístěny vaše skutečné aplikace a služby. Je tam, kde týmy vývoje vaší aplikace tráví většinu času.

Možnosti úlohy jsou nekonečné. Níže jsou uvedené jenom některé z možných typů úloh:

Interní aplikace: Obchodní aplikace jsou pro podnikové operace zásadní. Tyto aplikace mají některé běžné charakteristiky:

• Interaktivní: Data se zadávají a výsledky nebo sestavy se vrátí.
• Řízená daty: Náročné na data s častým přístupem k databázím nebo jiným úložištěm.
• Integrováno: Nabízí integraci s dalšími systémy v rámci organizace nebo mimo ni.

Weby směřující na zákazníky (s přístupem k Internetu nebo interně): Většina internetových aplikací je Web Sites. Azure může spustit web pomocí virtuálního počítače s IaaS nebo webu Azure Web Apps (PaaS). Azure Web Apps se integruje s virtuálními sítěmi, aby se nasadily webové aplikace v síťové zóně paprsků. Interní weby nepotřebují vystavit veřejný internetový koncový bod, protože prostředky jsou přístupné prostřednictvím privátních IP adres, které nejsou směrovatelné z privátní virtuální sítě.

Analýzy velkých objemů dat: Když data potřebují škálovat až na větší objem, relační databáze nemusí správně fungovat pod extrémní zátěží nebo nestrukturovaným charakterem dat. Azure HDInsight je spravovaná, plně spektrum Open Source služby pro analýzu v cloudu pro podniky. Můžete použít Open Source architektury, jako jsou Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm a R. HDInsight podporuje nasazování do virtuální sítě založené na umístěních, která se dají nasadit do clusteru v paprskech virtuálního datacentra.

Události a zasílání zpráv:Azure Event Hubs je platforma pro streamování velkých objemů dat a služba pro příjem událostí. Dokáže přijímat a zpracovávat miliony událostí za sekundu. Poskytuje nízkou latenci a konfigurovatelné časové uchovávání, což vám umožní ingestovat obrovské objemy dat do Azure a číst je z více aplikací. Jeden datový proud může podporovat kanály založené na reálném čase i v dávce.

Můžete implementovat vysoce spolehlivou cloudovou službu pro zasílání zpráv mezi aplikacemi a službami prostřednictvím Azure Service Bus. Nabízí asynchronní zprostředkované zasílání zpráv mezi klientem a serverem, strukturovaným zasíláním zpráv FIFO (First-in-first-out-First-Out) a funkcemi publikování a odběru.

v těchto příkladech se zlomeka plocha typů úloh, které můžete vytvořit v Azure – vše od základní webové a SQLové aplikace až po nejnovější verzi v IoT, velkém množství dat, strojové učení, AI a mnohem víc.

Vysoká dostupnost: více virtuálních datových center

V tomto článku se zatím zaměřuje na návrh jediného VDCu, který popisuje základní komponenty a architektury, které přispívají k odolnosti. Funkce Azure, jako je Azure Load Balancer, síťová virtuální zařízení, zóny dostupnosti, skupiny dostupnosti, sady škálování a další funkce, které vám pomůžou zahrnout do provozních služeb plné úrovně SLA.

Protože je ale virtuální datacentrum obvykle implementované v rámci jedné oblasti, může být zranitelné výpadky, které mají vliv na celou oblast. Zákazníci, kteří vyžadují vysokou dostupnost, musí chránit služby prostřednictvím nasazení stejného projektu ve dvou nebo více implementacích VDC nasazených do různých oblastí.

Kromě otázek SLA je několik běžných scénářů výhodou používání více virtuálních datových Center:

• Oblastní nebo globální přítomnost vašich koncových uživatelů nebo partnerů.
• Požadavky na zotavení po havárii.
• Mechanismus pro přesměrování provozu mezi datovými centry pro zatížení nebo výkon.

Regionální/globální přítomnost

Datacentra Azure existují v mnoha oblastech po celém světě. Při výběru více datových center Azure Vezměte v úvahu dva související faktory: geografické vzdálenosti a latence. Chcete-li optimalizovat uživatelské prostředí, vyhodnoťte vzdálenost mezi jednotlivými virtuálními datovými centrem a vzdáleností od každého virtuálního datového centra k koncovým uživatelům.

Oblast Azure, která je hostitelem vašeho virtuálního datacentra, musí vyhovovat zákonným požadavkům každé právní pravomoci, na jejímž základě vaše organizace pracuje.

Zotavení po havárii

Návrh plánu zotavení po havárii závisí na typech úloh a schopnosti synchronizovat stav těchto úloh mezi různými implementacemi služby VDC. V ideálním případě většina zákazníků potřebuje rychlý mechanismus převzetí služeb při selhání a tento požadavek může potřebovat synchronizaci dat aplikací mezi nasazeními spuštěných v několika implementacích služby VDC. Při navrhování plánů zotavení po havárii je ale důležité vzít v úvahu, že většina aplikací je citlivá na latenci, kterou může tato synchronizace dat způsobit.

Synchronizace a monitorování heartbeatu aplikací v různých implementacích služby VDC vyžaduje, aby komunikovaly přes síť. Několik implementací služby VDC v různých oblastech je možné připojit prostřednictvím:

• Komunikace mezi centrem integrovaná do Azure Virtual WAN center napříč oblastmi ve stejné Virtual WAN.
• Partnerský vztah virtuálních sítí pro propojení center napříč oblastmi
• Privátní partnerský vztah ExpressRoute, když jsou rozbočovače v každé implementaci VDC připojené ke stejnému okruhu ExpressRoute.
• Několik okruhů ExpressRoute připojených přes podnikovou páteřní síť a několik implementací VDC připojených k okruhům ExpressRoute
• Připojení VPN site-to-site mezi zónou centra implementací služby VDC v každé oblasti Azure.

Pro připojení k Virtual WAN se obvykle upřednostní rozbočovače, peering virtuálních sítí nebo připojení ExpressRoute, a to kvůli větší šířce pásma a konzistentním úrovním latence při průchodu páteřní sítí Microsoftu.

Spusťte testy kvalifikace sítě, abyste ověřili latenci a šířku pásma těchto připojení a na základě výsledku se rozhodli, jestli je synchronní nebo asynchronní replikace dat vhodná. Je také důležité zvážit tyto výsledky s ohledem na optimální cíl doby obnovení (RTO).

Zotavení po havárii: Přesměrování provozu z jedné oblasti do jiné

Jak Azure Traffic Manager,tak Azure Front Door pravidelně kontrolovat stav služby naslouchajících koncových bodů v různých implementacích služby VDC, a pokud tyto koncové body selžou, automaticky se směrují na další nejbližší virtuální řadič domény. Traffic Manager používá měření uživatelů v reálném čase a DNS ke směrování uživatelů na nejbližší (nebo nejbližší během selhání). Azure Front Door je reverzní proxy server na více než 100 hraničních webech Microsoftu, který pomocí anycastu směruje uživatele na nejbližší naslouchající koncový bod.

Souhrn

Přístup k migraci do virtuálního datacentra vytváří škálovatelnou architekturu, která optimalizuje využití prostředků Azure, snižuje náklady a zjednodušuje zásady správného řízení systému. Virtuální datacentrum je typické na základě topologií sítě s rozbočovači a paprsky (s využitím partnerského vztahu virtuálních sítí nebo Virtual WAN center). Běžné sdílené služby poskytované v centru a konkrétní aplikace a úlohy se nasadí v paprskech. Virtuální datové centrum také odpovídá struktuře rolí společnosti, kde různá oddělení, jako je centrální IT, DevOps a provoz a údržba, spolupracují při plnění svých konkrétních rolí. Virtuální datové centrum podporuje migraci stávajících místních úloh do Azure, ale také poskytuje řadu výhod nasazení nativních pro cloud.

Reference

Přečtěte si další informace o možnostech Azure probíraných v tomto dokumentu.

Další kroky

• Přečtěte si další informace o peeringu virtuálníchsítí , základní technologii centrálních a paprskových topologií.
• Implementujte Azure Active Directory pro použití řízení přístupu na základě role v Azure.
• Vytvořte model správy předplatných a prostředků pomocí řízení přístupu na základě role v Azure, které odpovídá struktuře, požadavkům a zásadám vaší organizace. Nejdůležitější aktivitou je plánování. Analyzujte, jak reorganizace, fúze, nové produktové řady a další aspekty ovlivní vaše počáteční modely, abyste zajistili, že budete moci škálovat podle budoucích potřeb a růstu.