Přehled síťových služeb Azure

  • Článek

Síťové služby v Azure poskytují různé síťové funkce, které je možné používat společně nebo samostatně. Pokud se o nich chcete dozvědět víc, vyberte některou z následujících klíčových funkcí:

  • služby Připojení ivity: Připojení prostředky Azure a místní prostředky pomocí libovolné nebo kombinace těchto síťových služeb v Azure – Virtual Network (VNet), Virtual WAN, ExpressRoute, VPN Gateway, NAT Gateway, Azure DNS, Peering Service, Azure Virtual Network Manager, Route Server a Azure Bastion.
  • Služby ochrany aplikací: Chraňte své aplikace pomocí libovolné nebo kombinace těchto síťových služeb v Azure – Load Balancer, Private Link, ochrana před útoky DDoS, brána firewall, skupiny zabezpečení sítě, firewall webových aplikací a koncové body virtuální sítě.
  • Služby doručování aplikací: Doručování aplikací v síti Azure pomocí libovolné nebo kombinace těchto síťových služeb v Azure – Content Delivery Network (CDN), Azure Front Door Service, Traffic Manager, Application Gateway, Internet Analyzer a Load Balancer.
  • Monitorování sítě: Monitorování síťových prostředků pomocí libovolné nebo kombinace těchto síťových služeb v Azure – Network Watcher, ExpressRoute Monitor, Azure Monitor nebo VNet Terminal Access Point (TAP).

Služby připojení

Tato část popisuje služby, které poskytují připojení mezi prostředky Azure, připojením z místní sítě k prostředkům Azure a větví pro připojení k větvím v Azure – Virtuální síť, ExpressRoute, VPN Gateway, Virtual WAN, NAT Gateway virtuální sítě, Azure DNS, služba Peering Service, Route Server a Azure Bastion.

Virtuální síť

Azure Virtual Network (VNet) je základním stavebním blokem vaší privátní sítě v Azure. Virtuální sítě můžete použít k:

  • Komunikace mezi prostředky Azure: Virtuální počítače a několik dalších typů prostředků Azure můžete nasadit do virtuální sítě, jako jsou prostředí služby Aplikace Azure Service, Azure Kubernetes Service (AKS) a škálovací sady virtuálních počítačů Azure. Úplný seznam prostředků Azure, které můžete nasadit do virtuální sítě, najdete v tématu věnovaném integraci virtuální sítě do služeb.
  • Vzájemně komunikujte: Mezi sebou můžete propojit virtuální sítě a umožnit tak vzájemné komunikaci prostředků v obou virtuálních sítích pomocí partnerského vztahu virtuálních sítí nebo Azure Virtual Network Manageru. Propojené virtuální sítě se můžou nacházet ve stejné oblasti Azure nebo v různých oblastech. Další informace najdete v tématu Partnerské vztahy virtuálních sítí a Azure Virtual Network Manager.
  • Komunikace s internetem: Ve výchozím nastavení můžou všechny prostředky ve virtuální síti komunikovat odchozí s internetem. Příchozí komunikaci s prostředkem můžete umožnit tím, že prostředku přiřadíte veřejnou IP adresu nebo veřejný Load Balancer. Ke správě odchozích připojení můžete použít také veřejné IP adresy nebo veřejný Load Balancer .
  • Komunikace s místními sítěmi: Místní počítače a sítě můžete připojit k virtuální síti pomocí služby VPN Gateway nebo ExpressRoute.
  • Šifrování provozu mezi prostředky: Šifrování virtuální sítě můžete použít k šifrování provozu mezi prostředky ve virtuální síti.

Azure Virtual Network Manager

Azure Virtual Network Manager je služba pro správu, která umožňuje seskupovat, konfigurovat, nasazovat a spravovat virtuální sítě globálně napříč předplatnými. Pomocí nástroje Virtual Network Manager můžete definovat skupiny sítí , které identifikují a logicky segmentuje virtuální sítě. Pak můžete určit požadované možnosti připojení a zabezpečení a použít je ve všech vybraných virtuálních sítích ve skupinách sítě najednou.

Diagram prostředků nasazených pro síťovou topologii virtuální sítě pomocí Azure Virtual Network Manageru

ExpressRoute

ExpressRoute umožňuje rozšířit vaše místní sítě do cloudu Microsoftu přes privátní připojení, které poskytovatel připojení usnadňuje. Toto připojení je soukromé. Provoz neprochází přes internet. V ExpressRoute můžete vytvořit připojení ke cloudovým službám, jako je Microsoft Azure, Microsoft 365 a Dynamics 365.

Azure ExpressRoute

VPN Gateway

Služba VPN Gateway pomáhá vytvářet šifrovaná připojení mezi různými místy k vaší virtuální síti z místních umístění nebo vytvářet šifrovaná připojení mezi virtuálními sítěmi. Pro připojení ke službě VPN Gateway jsou k dispozici různé konfigurace. Mezi hlavní funkce patří:

  • Možnosti připojení site-to-site VPN
  • Připojení VPN typu Point-to-Site
  • Připojení VPN typu VNet-to-VNet

Následující diagram znázorňuje několik připojení VPN typu site-to-site ke stejné virtuální síti. Další diagramy připojení zobrazíte v tématu VPN Gateway – návrh.

Diagram znázorňující několik připojení typu site-to-site ke službě Azure VPN Gateway

Virtuální síť WAN

Azure Virtual WAN je síťová služba, která spojuje řadu funkcí sítě, zabezpečení a směrování, aby poskytovala jedno provozní rozhraní. Připojení vázanost virtuálních sítí Azure se vytváří pomocí připojení virtuální sítě. Mezi hlavní funkce patří:

  • Připojení k větvím (prostřednictvím automatizace připojení z partnerských zařízení virtual WAN, jako je SD-WAN nebo VPN CPE)
  • Možnosti připojení site-to-site VPN
  • Připojení VPN vzdáleného uživatele (point-to-site)
  • Privátní připojení (ExpressRoute)
  • Možnosti připojení uvnitř cloudu (přenositelné pro virtuální sítě)
  • Možnosti připojení ExpressRoute mezi sítěmi VPN
  • Směrování, Azure Firewall a šifrování pro privátní připojení

Diagram virtuální sítě WAN

Azure DNS

Azure DNS poskytuje hostování a překlad DNS pomocí infrastruktury Microsoft Azure. Azure DNS se skládá ze tří služeb:

  • Azure Public DNS je hostitelská služba pro domény DNS. Pokud své domény hostujete v Azure, můžete spravovat záznamy DNS pomocí stejných přihlašovacích údajů, rozhraní API a nástrojů a za stejných fakturačních podmínek jako u ostatních služeb Azure.
  • Azure Privátní DNS je služba DNS pro vaše virtuální sítě. Azure Privátní DNS spravuje a překládá názvy domén ve virtuální síti bez nutnosti konfigurace vlastního řešení DNS.
  • Privátní překladač Azure DNS je služba, která umožňuje dotazovat privátní zóny Azure DNS z místního prostředí a naopak bez nasazení serverů DNS založených na virtuálních počítačích.

Pomocí Azure DNS můžete hostovat a překládat veřejné domény, spravovat překlad DNS ve virtuálních sítích a povolovat překlad názvů mezi Azure a místními prostředky.

Azure Bastion

Azure Bastion je služba, kterou můžete nasadit, abyste se mohli připojit k virtuálnímu počítači pomocí prohlížeče a webu Azure Portal nebo přes nativního klienta SSH nebo RDP, který je už na místním počítači nainstalovaný. Služba Azure Bastion je plně platforma spravovaná služba PaaS, kterou nasadíte ve své virtuální síti. Nabízí možnosti bezpečného a bezproblémového připojení RDP/SSH k virtuálním počítačům přímo na webu Azure Portal přes protokol TLS. Když se připojíte přes Azure Bastion, virtuální počítače nepotřebují veřejnou IP adresu, agenta ani speciální klientský software. Pro Azure Bastion je k dispozici celá řada různých úrovní SKU nebo úrovní. Úroveň, kterou vyberete, ovlivňuje funkce, které jsou k dispozici. Další informace najdete v tématu o nastavení konfigurace Bastionu.

Diagram znázorňující architekturu služby Azure Bastion

NAT Gateway

Překlad adres (NAT) virtuální sítě zjednodušuje odchozí připojení k internetu pouze pro virtuální sítě. Při konfiguraci v podsíti používá všechna odchozí připojení vaše zadané statické veřejné IP adresy. Odchozí připojení je možné bez nástroje pro vyrovnávání zatížení nebo veřejných IP adres přímo připojených k virtuálním počítačům. Další informace najdete v tématu Co je Azure NAT Gateway?

NaT Gateway virtuální sítě

Směrovací server

Azure Route Server zjednodušuje dynamické směrování mezi síťovým virtuálním zařízením (NVA) a vaší virtuální sítí. Umožňuje vyměňovat si informace o směrování přímo prostřednictvím směrovacího protokolu BGP (Border Gateway Protocol) mezi všemi síťovými virtuálními zařízeními, které podporují směrovací protokol BGP a SDN (Azure Software Defined Network) ve virtuální síti Azure bez nutnosti ruční konfigurace nebo údržby směrovacích tabulek.

Peering Service

Azure Peering Service vylepšuje možnosti připojení zákazníků ke cloudovým službám Microsoftu, jako jsou Microsoft 365, Dynamics 365, služby saaS (software jako služba), Azure nebo jakékoli služby Microsoft přístupné přes veřejný internet.

Služby ochrany aplikací

Tato část popisuje síťové služby v Azure, které pomáhají chránit síťové prostředky – Chraňte své aplikace pomocí jakékoli nebo kombinace těchto síťových služeb v Azure – Ochrana před útoky DDoS, Private Link, brána firewall, firewall webových aplikací, skupiny zabezpečení sítě a koncové body služby virtuální sítě.

DDoS Protection

Azure DDoS Protection poskytuje proti nejobsáhodnějším hrozbám DDoS proti hrozbám proti útokům DDoS. Služba poskytuje rozšířené možnosti omezení rizik útoků DDoS pro vaši aplikaci a prostředky nasazené ve vašich virtuálních sítích. Zákazníci, kteří používají Azure DDoS Protection, mají navíc přístup k podpoře DDoS Rapid Response, aby mohli během aktivního útoku zapojit odborníky na DDoS.

Azure DDoS Protection se skládá ze dvou úrovní:

  • DDoS Network Protection v kombinaci s osvědčenými postupy návrhu aplikací poskytuje vylepšené funkce omezení rizik DDoS pro ochranu před útoky DDoS. Automaticky je vyladěná tak, aby chránila vaše konkrétní prostředky Azure ve virtuální síti.
  • DDoS IP Protection je model IP adres s platbami za chráněné IP adresy. Ochrana IP adres DDoS obsahuje stejné základní technické funkce jako DDoS Network Protection, ale bude se lišit v následujících službách s přidanou hodnotou: podpora rychlých odpovědí DDoS, ochrana nákladů a slevy na WAF.

Diagram referenční architektury pro webovou aplikaci PaaS chráněnou službou DDoS

Azure Private Link umožňuje přístup ke službám Azure PaaS (například Azure Storage a SQL Database) a službám Hostovaným zákazníkem nebo partnerským službám Azure přes privátní koncový bod ve vaší virtuální síti. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu. Vystavení služby veřejnému internetu už není nutné. Můžete si vytvořit vlastní službu privátního propojení ve své virtuální síti a doručovat ji vašim zákazníkům.

Přehled privátních koncových bodů

Azure Firewall

Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která chrání vaše prostředky služby Azure Virtual Network. Pomocí služby Azure Firewall můžete centrálně vytvářet, vynucovat a protokolovat zásady připojení aplikací a sítí napříč předplatnými a virtuálními sítěmi. Brána Azure Firewall používá statickou veřejnou IP adresu pro prostředky virtuální sítě a díky tomu umožňuje venkovním bránám firewall identifikovat provoz pocházející z vaší virtuální sítě.

Přehled brány firewall

Firewall webových aplikací

Azure Web Application Firewall (WAF) poskytuje ochranu webových aplikací před běžnými webovými zneužitími a ohroženími zabezpečení, jako je injektáž SQL a skriptování mezi weby. Azure WAF poskytuje ochranu před 10 hlavními ohroženími zabezpečení OWASP prostřednictvím spravovaných pravidel. Zákazníci také můžou nakonfigurovat vlastní pravidla, což jsou pravidla spravovaná zákazníkem, která poskytují dodatečnou ochranu na základě rozsahu zdrojových IP adres, a atributy požadavků, jako jsou hlavičky, soubory cookie, datová pole formuláře nebo parametry řetězce dotazu.

Zákazníci se můžou rozhodnout nasadit Azure WAF se službou Application Gateway, která poskytuje místní ochranu entitm ve veřejném a privátním adresním prostoru. Zákazníci se také můžou rozhodnout nasadit Azure WAF se službou Front Door , která poskytuje ochranu na hraničních zařízeních sítě do veřejných koncových bodů.

Firewall webových aplikací

Skupiny zabezpečení sítě

Pomocí skupiny zabezpečení sítě můžete filtrovat síťový provoz do a z prostředků Azure ve virtuální síti Azure. Další informace najdete v tématu Skupiny zabezpečení sítě.

Koncové body služby

Koncové body služby virtuální sítě rozšiřují privátní adresní prostor virtuální sítě a identitu vaší virtuální sítě do služeb Azure přes přímé připojení. Koncové body umožňují svázat vaše důležité prostředky služeb Azure pouze s vašimi virtuálními sítěmi. Provoz z vaší virtuální sítě do služby Azure vždy zůstává v páteřní síti Microsoft Azure.

Koncové body služby pro virtuální síť

Služby doručování aplikací

Tato část popisuje síťové služby v Azure, které pomáhají dodávat aplikace – Content Delivery Network, Azure Front Door Service, Traffic Manager, Load Balancer a Application Gateway.

Azure Front Door

Azure Front Door umožňuje definovat, spravovat a monitorovat globální směrování webového provozu optimalizací nejlepšího výkonu a okamžitého globálního převzetí služeb při selhání pro zajištění vysoké dostupnosti. Se službou Front Door můžete transformovat svoje globální (zahrnující více oblastí) spotřebitelské a podnikové aplikace do robustních a vysoce výkonných přizpůsobených moderních aplikací, rozhraní API a obsahu, kterými s pomocí Azure oslovíte globální cílovou skupinu.

Diagram služby Azure Front Door s firewallem webových aplikací

Traffic Manager

Azure Traffic Manager. je nástroj pro vyrovnávání zatížení provozu založený na DNS, který umožňuje optimálně distribuovat provoz do služeb napříč globálními oblastmi Azure a zároveň poskytuje vysokou dostupnost a rychlost odezvy. Traffic Manager poskytuje řadu metod směrování provozu pro distribuci provozu, jako je priorita, vážený výkon, geografická, vícehodnotová nebo podsíť.

Následující diagram znázorňuje směrování na základě priority koncového bodu pomocí Traffic Manageru:

Metoda směrování provozu v Azure Traffic Manageru podle priority

Další informace o Traffic Manageru najdete v tématu Co je Azure Traffic Manager?

Load Balancer

Azure Load Balancer poskytuje vysoce výkonné vyrovnávání zatížení vrstvy 4 s nízkou latencí pro všechny protokoly UDP a TCP. Spravuje příchozí a odchozí připojení. Můžete nakonfigurovat veřejné a interní koncové body s vyrovnáváním zatížení. Pravidla pro mapování příchozích připojení k cílům back-endového fondu můžete definovat pomocí možností monitorování stavu PROTOKOLU TCP a HTTP pro správu dostupnosti služeb.

Azure Load Balancer je k dispozici ve skladových poplatcích Standard, Regional a Gateway.

Následující obrázek znázorňuje vícevrstvou aplikaci s internetem, která využívá externí i interní nástroje pro vyrovnávání zatížení:

Příklad Azure Load Balanceru

Application Gateway

Azure Application Gateway je nástroj pro vyrovnávání zatížení webových přenosů, který vám umožní spravovat provoz do webových aplikací. Jedná se o službu ADC (Application Delivery Controller) jako službu, která nabízí pro vaše aplikace různé možnosti vyrovnávání zatížení vrstvy 7.

Následující diagram znázorňuje směrování na základě cest url se službou Application Gateway.

Příklad služby Application Gateway

Content Delivery Network

Azure Content Delivery Network (CDN) nabízí vývojářům globální řešení pro rychlé doručování obsahu s velkou šířkou pásma uživatelům tím, že obsah uloží do mezipaměti na strategicky umístěných fyzických uzlech po celém světě.

Azure CDN

Služby monitorování sítě

Tato část popisuje síťové služby v Azure, které pomáhají monitorovat síťové prostředky – Azure Network Watcher, Azure Monitor Network Přehledy, Azure Monitor a ExpressRoute Monitor.

Azure Network Watcher

Azure Network Watcher poskytuje nástroje pro monitorování, diagnostiku, zobrazení metrik a povolení nebo zakázání protokolů pro prostředky ve virtuální síti Azure. Další informace najdete v tématu [Co je Network Watcher?

Azure Monitor

Azure Monitor maximalizuje dostupnost a výkon aplikací tím, že vám dává komplexní řešení pro shromažďování, analýzy a akce na základě telemetrie z cloudového i místního prostředí. Pomůže vám při zjišťování stavu vašich aplikací a proaktivně identifikuje problémy, které je ovlivňují, a prostředky, na kterých jsou závislé. Další informace najdete v tématu [Přehled služby Azure Monitor

Monitorování ExpressRoute

Další informace o zobrazení metrik okruhu ExpressRoute, protokolů prostředků a upozornění najdete v tématu Monitorování, metriky a upozornění ExpressRoute.

Přehledy sítě

Azure Monitor for Networks (Network Přehledy) poskytuje komplexní přehled o stavu a metrikách pro všechny nasazené síťové prostředky bez nutnosti jakékoli konfigurace.

Další kroky