Přehled síťových služeb Azure

Síťové služby v Azure poskytují celou řadu síťových funkcí, které je možné použít společně nebo samostatně. Další informace o nich získáte kliknutím na některou z následujících klíčových funkcí:

  • Služby připojení: Připojte prostředky Azure a místní prostředky pomocí libovolné nebo kombinace těchto síťových služeb v Azure – Virtual Network (VNet), Virtual WAN, ExpressRoute, VPN Gateway, NAT Gateway, Azure DNS, Peering Service a Azure Bastion.
  • Služby ochrany aplikací: Chraňte své aplikace pomocí libovolné nebo kombinace těchto síťových služeb v Azure – Load Balancer, Private Link, ochrana před útoky DDoS, brána firewall, skupiny zabezpečení sítě, firewall webových aplikací a koncové body virtuální sítě.
  • Služby doručování aplikací: Doručujte aplikace v síti Azure pomocí libovolné nebo kombinace těchto síťových služeb v Azure – Content Delivery Network (CDN), Azure Front Door Service, Traffic Manager, Application Gateway, Internet Analyzer a Load Balancer.
  • Monitorování sítě: Monitorování síťových prostředků pomocí libovolné nebo kombinace těchto síťových služeb v Azure – Network Watcher, ExpressRoute Monitor, Azure Monitor nebo VNet Terminal Access Point (TAP).

Služby připojení

Tato část popisuje služby, které poskytují připojení mezi prostředky Azure, připojením z místní sítě k prostředkům Azure a větví pro připojení větví v Azure – virtuální síť, ExpressRoute, VPN Gateway, Virtual WAN, NAT Gateway, Azure DNS, služba Partnerské vztahy Azure a Azure Bastion.

Virtuální síť

Azure Virtual Network (VNet) je základním stavebním blokem vaší privátní sítě v Azure. Virtuální sítě můžete použít k:

  • Komunikace mezi prostředky Azure: Virtuální počítače a několik dalších typů prostředků Azure můžete nasadit do virtuální sítě, jako jsou Azure App Service Environment, Azure Kubernetes Service (AKS) a Azure Virtual Machine Scale Sets. Úplný seznam prostředků Azure, které můžete nasadit do virtuální sítě, najdete v tématu věnovaném integraci virtuální sítě do služeb.
  • Komunikace mezi sebou: Virtuální sítě můžete vzájemně propojit a umožnit tak vzájemné komunikaci prostředků v obou virtuálních sítích pomocí partnerského vztahu virtuálních sítí. Propojené virtuální sítě se můžou nacházet ve stejné oblasti Azure nebo v různých oblastech. Další informace najdete v tématu Partnerské vztahy virtuálních sítí.
  • Komunikace s internetem: Ve výchozím nastavení můžou všechny prostředky ve virtuální síti komunikovat odchozí komunikaci s internetem. Příchozí komunikaci s prostředkem můžete umožnit tím, že prostředku přiřadíte veřejnou IP adresu nebo veřejný Load Balancer. Ke správěodchozích
  • Komunikace s místními sítěmi: Místní počítače a sítě můžete připojit k virtuální síti pomocí služby VPN Gateway nebo ExpressRoute.

Další informace najdete v tématu Co je Azure Virtual Network?

ExpressRoute

ExpressRoute umožňuje rozšířit vaše místní sítě do cloudu Microsoftu přes privátní připojení, které zprostředkovatel připojení usnadňuje. Toto připojení je soukromé. Provoz se nepřenáší přes internet. V ExpressRoute můžete vytvořit připojení ke cloudovým službám, jako je Microsoft Azure, Microsoft 365 a Dynamics 365. Další informace najdete v tématu Co je ExpressRoute?.

Azure ExpressRoute

VPN Gateway

VPN Gateway pomáhá vytvářet šifrovaná připojení mezi různými místy k virtuální síti z místních umístění nebo vytvářet šifrovaná připojení mezi virtuálními sítěmi. Pro připojení vpn Gateway jsou k dispozici různé konfigurace, jako jsou připojení typu site-to-site, point-to-site a VNet-to-VNet. Následující diagram znázorňuje více připojení VPN typu site-to-site ke stejné virtuální síti.

Site-to-Site Azure VPN Gateway connections.

Další informace o různých typech připojení VPN najdete v tématu Co je VPN Gateway?

Virtuální síť WAN

Azure Virtual WAN je síťová služba, která poskytuje optimalizované a automatizované připojení větví k Azure a prostřednictvím azure. Oblasti Azure slouží jako rozbočovače, ke kterým se můžete rozhodnout připojit větve. Páteřní síť Azure můžete využít také k propojení větví pro připojení typu branch-to-VNet. Azure Virtual WAN spojuje řadu cloudových služeb Azure, jako jsou VPN typu site-to-site, ExpressRoute a VPN typu point-to-site, do jednoho provozního rozhraní. Připojení k virtuálním sítím Azure se vytváří pomocí připojení virtuální sítě. Další informace najdete v tématu Co je Azure Virtual WAN?

Virtual WAN diagram.

Azure DNS

Azure DNS je hostitelská služba pro domény DNS, která poskytuje překlad názvů na IP adresy pomocí infrastruktury Microsoft Azure. Pokud své domény hostujete v Azure, můžete spravovat záznamy DNS pomocí stejných přihlašovacích údajů, rozhraní API a nástrojů a za stejných fakturačních podmínek jako u ostatních služeb Azure. Další informace najdete v tématu Co je Azure DNS?.

Azure Bastion

Služba Azure Bastion je plně platforma spravovaná služba PaaS, kterou zřídíte ve své virtuální síti. Poskytuje zabezpečené a bezproblémové připojení RDP/SSH k vašim virtuálním počítačům přímo na webu Azure Portal přes protokol TLS. Když se připojíte přes Azure Bastion, virtuální počítače nepotřebují veřejnou IP adresu. Další informace najdete v tématu Co je Azure Bastion?

Azure Bastion architecture.

NaT Gateway virtuální sítě

Překlad adres (NAT) virtuální sítě zjednodušuje odchozí připojení k internetu pro virtuální sítě. Při konfiguraci v podsíti používá všechna odchozí připojení zadané statické veřejné IP adresy. Odchozí připojení je možné bez nástroje pro vyrovnávání zatížení nebo veřejných IP adres přímo připojených k virtuálním počítačům. Další informace najdete v tématu Co je služba NAT Gateway virtuální sítě?

Virtual network NAT gateway

Azure Peering Service

Služba Partnerské vztahy Azure vylepšuje možnosti připojení zákazníků ke cloudovým službám Microsoftu, jako jsou Microsoft 365, Dynamics 365, služby SaaS (software jako služba), Azure nebo jakékoli služby Microsoftu přístupné přes veřejný internet. Další informace najdete v tématu Co je Azure Peering Service?

Služby ochrany aplikací

Tato část popisuje síťové služby v Azure, které pomáhají chránit síťové prostředky – Chraňte své aplikace pomocí jakékoli nebo kombinace těchto síťových služeb v Azure – Ochrana před útoky DDoS, Private Link, brána firewall, firewall webových aplikací, skupiny zabezpečení sítě a koncové body služby virtuální sítě.

DDoS Protection

Azure DDoS Protection poskytuje proti nejdůmyslnějším hrozbám DDoS ochranu proti hrozbám ddoS. Služba poskytuje vylepšené možnosti omezení rizik DDoS pro vaši aplikaci a prostředky nasazené ve virtuálních sítích. Zákazníci, kteří používají Azure DDoS Protection, mají navíc přístup k podpoře rychlé reakce DDoS, aby během aktivního útoku zapojili odborníky na útoky DDoS.

DDoS Protection

Azure Private Link umožňuje přístup ke službám Azure PaaS (například Azure Storage a SQL Database) a službám hostovaným zákazníkům nebo partnerům Azure přes privátní koncový bod ve vaší virtuální síti. Provoz mezi vaší virtuální sítí a službou prochází páteřní sítí Microsoftu. Zveřejnění vaší služby na veřejný internet už není nutné. Ve své virtuální síti můžete vytvořit vlastní službu privátního propojení a doručit ji zákazníkům.

Private endpoint overview

Brána Azure Firewall

Azure Firewall je spravovaná cloudová služba síťového zabezpečení, která chrání vaše prostředky ve virtuálních sítích Azure. Pomocí služby Azure Firewall můžete centrálně vytvářet, vynucovat a protokolovat zásady připojení aplikací a sítí napříč předplatnými a virtuálními sítěmi. Brána Azure Firewall používá statickou veřejnou IP adresu pro prostředky virtuální sítě a díky tomu umožňuje venkovním bránám firewall identifikovat provoz pocházející z vaší virtuální sítě.

Další informace o službě Azure Firewall najdete v dokumentaci ke službě Azure Firewall.

Firewall overview

Firewall webových aplikací

Firewall webových aplikací Azure (WAF) poskytuje ochranu webových aplikací před běžnými webovými zneužitími a ohroženími zabezpečení, jako je injektáž SQL a skriptování mezi weby. Azure WAF poskytuje ochranu před OWASP 10 nejčastějšími ohroženími zabezpečení prostřednictvím spravovaných pravidel. Zákazníci můžou také nakonfigurovat vlastní pravidla, což jsou pravidla spravovaná zákazníkem, která poskytují další ochranu na základě rozsahu zdrojových IP adres, a atributy požadavků, jako jsou hlavičky, soubory cookie, datová pole formuláře nebo parametry řetězce dotazu.

Zákazníci se můžou rozhodnout nasadit Azure WAF se službou Application Gateway , která poskytuje místní ochranu entit ve veřejném a privátním adresním prostoru. Zákazníci se také můžou rozhodnout nasadit Azure WAF se službou Front Door , která poskytuje ochranu na hraničních zařízeních sítě pro veřejné koncové body.

Web Application Firewall

Skupiny zabezpečení sítě

Pomocí skupiny zabezpečení sítě můžete filtrovat síťový provoz do a z prostředků Azure ve virtuální síti Azure. Další informace naleznete v tématu Skupiny zabezpečení sítě.

Koncové body služby

Koncové body služby virtuální sítě rozšiřují privátní adresní prostor vaší virtuální sítě a její identitu do služeb Azure přes přímé připojení. Koncové body umožňují svázat vaše důležité prostředky služeb Azure pouze s vašimi virtuálními sítěmi. Provoz z vaší virtuální sítě do služby Azure vždy zůstává v páteřní síti Microsoft Azure. Další informace najdete v tématu Koncové body služby virtuální sítě.

Virtual network service endpoints

Služby doručování aplikací

Tato část popisuje síťové služby v Azure, které pomáhají dodávat aplikace – Content Delivery Network, Azure Front Door Service, Traffic Manager, Load Balancer a Application Gateway.

Content Delivery Network

Azure Content Delivery Network (CDN) nabízí vývojářům globální řešení pro rychlé doručování širokopásmového obsahu uživatelům díky ukládání obsahu do mezipaměti na fyzických uzlech strategicky umístěných po celém světě. Další informace o Azure CDN najdete v tématu Azure Content Delivery Network.

Azure CDN

Azure Front Door Service

Služba Azure Front Door vám umožňuje definovat, spravovat a monitorovat globální směrování webového provozu tím, že provádí optimalizaci pro nejlepší výkon a poskytuje okamžité globální převzetí služeb při selhání, aby byla zajištěna vysoká dostupnost. Se službou Front Door můžete transformovat svoje globální (zahrnující více oblastí) spotřebitelské a podnikové aplikace do robustních a vysoce výkonných přizpůsobených moderních aplikací, rozhraní API a obsahu, kterými s pomocí Azure oslovíte globální cílovou skupinu. Další informace najdete v tématu Azure Front Door.

Front Door Service overview

Traffic Manager

Azure Traffic Manager je nástroj pro vyrovnávání zatížení provozu na základě DNS, který umožňuje optimálně distribuovat provoz do služeb napříč globálními oblastmi Azure při zajištění vysoké dostupnosti a rychlosti odezvy. Traffic Manager poskytuje řadu metod směrování provozu, které distribuují provoz, jako je priorita, vážený výkon, geografická, vícehodnotová nebo podsíť. Další informace o metodách směrování provozu najdete v tématu Metody směrování Traffic Manageru.

Následující diagram znázorňuje směrování na základě priority koncového bodu pomocí Traffic Manageru:

Azure Traffic Manager 'Priority' traffic-routing method

Další informace o Traffic Manageru najdete v tématu Co je Azure Traffic Manager?

Load Balancer

Azure Load Balancer poskytuje vysoce výkonné vyrovnávání zatížení vrstvy 4 s nízkou latencí pro všechny protokoly UDP a TCP. Spravuje příchozí a odchozí připojení. Můžete nakonfigurovat veřejné a interní koncové body s vyrovnáváním zatížení. Pravidla pro mapování příchozích připojení k cílům back-endového fondu můžete definovat pomocí možností monitorování stavu PROTOKOLU TCP a HTTP pro správu dostupnosti služeb. Další informace o Load Balanceru najdete v článku s přehledem Load Balanceru .

Azure Load Balancer je k dispozici ve skladových úrovních Standard, Regional a Gateway.

Následující obrázek znázorňuje internetovou vícevrstvou aplikaci, která využívá externí i interní nástroje pro vyrovnávání zatížení:

Azure Load Balancer example

Application Gateway

Azure Application Gateway je nástroj pro vyrovnávání zatížení webových přenosů, který vám umožní spravovat provoz do webových aplikací. Jedná se o nástroj Application Delivery Controller (ADC) jako službu, který nabízí různé možnosti vyrovnávání zatížení vrstvy 7 pro vaše aplikace. Další informace najdete v tématu Co je Azure Application Gateway?.

Následující diagram znázorňuje směrování založené na cestě url se službou Application Gateway.

Application Gateway example

Služby monitorování sítě

Tato část popisuje síťové služby v Azure, které pomáhají monitorovat síťové prostředky – Network Watcher, Azure Monitor Network Insights, Azure Monitor, ExpressRoute Monitor a TAP virtuální sítě.

Network Watcher

Azure Network Watcher poskytuje nástroje pro monitorování, diagnostiku, zobrazení metrik a povolení nebo zakázání protokolů pro prostředky ve virtuální síti Azure. Další informace najdete v tématu Co je Network Watcher?.

Přehledy sítě služby Azure Monitor

Azure Monitor for Networks poskytuje komplexní přehled o stavu a metrikách pro všechny nasazené síťové prostředky bez nutnosti jakékoli konfigurace. Poskytuje také přístup k možnostem monitorování sítě, jako je Monitorování připojení, protokolování toku pro skupiny zabezpečení sítě a Analýza provozu. Další informace najdete v tématu Azure Monitor Network Insights.

Monitorování ExpressRoute

Informace o zobrazení metrik okruhu ExpressRoute, protokolů prostředků a upozornění najdete v tématu Monitorování, metriky a výstrahy ExpressRoute.

Azure Monitor

Azure Monitor maximalizuje dostupnost a výkon vašich aplikací tím, že poskytuje ucelené řešení pro shromažďování, analýzu a telemetrii z vašich cloudových a místních prostředí. Pomůže vám při zjišťování stavu vašich aplikací a proaktivně identifikuje problémy, které je ovlivňují, a prostředky, na kterých jsou závislé. Další informace najdete v tématu Přehled služby Azure Monitor.

Další kroky