Netzwerktopologie und -konnektivität

  • Artikel

Die Netzwerktopologie und der Entwurfsbereich für Konnektivität sind wichtig, um eine Grundlage für Ihren Cloudnetzwerkentwurf zu schaffen.

Informationen zum Entwurfsbereich

Beteiligte Rollen oder Funktionen: Dieser Entwurfsbereich muss wahrscheinlich von einer oder mehreren Cloudplattform- und CCoE-Funktionen (Cloud Center of Excellence, Cloudkompetenzzentrum) unterstützt werden, damit Entscheidungen getroffen und implementiert werden können.

Umfang: Das Ziel des Netzwerkentwurfs besteht in der Ausrichtung Ihres Cloudnetzwerkentwurfs an den allgemeinen Plänen für die Cloudeinführung. Wenn Ihre Cloudeinführungspläne Hybrid- oder Multicloudabhängigkeiten enthalten oder Sie aus anderen Gründen Konnektivität benötigen, sollte Ihr Netzwerkentwurf auch diese Konnektivitätsoptionen und erwarteten Datenverkehrsmuster enthalten.

Nicht im Umfang: Dieser Entwurfsbereich bildet die Grundlage für Netzwerke. Er behandelt aber keine Complianceprobleme wie erweiterte Netzwerksicherheit oder automatisierte Schutzmaßnahmen für die Erzwingung. Diese Anleitung wird bei der Überprüfung der Entwurfsbereiche für die Sicherheits- und Governancekonformität genannt. Durch das Verschieben von Sicherheits- und Governancediskussionen kann das Cloudplattformteam die anfänglichen Netzwerkanforderungen erfüllen, bevor es seine Zielgruppe für komplexere Themen erweitert.

Übersicht über den Entwurfsbereich

Netzwerktopologie und -konnektivität sind für Organisationen, die ihren Zielzonenentwurf planen, von grundlegender Bedeutung. In einer Zielzone ist das Netzwerk für fast alle Komponenten ein zentrales Element. Es ermöglicht die Konnektivität mit anderen Azure-Diensten, externen Benutzern und der lokalen Infrastruktur. Netzwerktopologie und Netzwerkkonnektivität gehören zur Umgebungsgruppe der Entwurfsbereiche von Azure-Zielzonen. Diese Gruppierung basiert auf ihrer Bedeutung für die zentralen Entwurfs- und Implementierungsentscheidungen.

Diagramm: Netzwerkbereiche der konzeptionellen Verwaltungsgruppenhierarchie für Azure-Zielzonen

In der konzeptuellen Architektur der Azure-Zielzonen gibt es zwei Standardverwaltungsgruppen, die Workloads hosten: „Corp“ und „Online“. Diese Verwaltungsgruppen dienen unterschiedlichen Zwecken bei der Strukturierung und Verwaltung von Azure-Abonnements. Die Netzwerkbeziehung zwischen den verschiedenen Verwaltungsgruppen für Azure-Zielzonen hängt von den spezifischen Anforderungen und der Netzwerkarchitektur der Organisation ab. In den nächsten Abschnitten wird die Netzwerkbeziehung zwischen den Verwaltungsgruppen Corp, Online und Konnektivität in Bezug auf die Bereitstellung des Azure-Zielzonenbeschleunigers erläutert.

Was ist der Zweck der Verwaltungsgruppen „Konnektivität“, „Corp“ und „Online“?

  • Verwaltungsgruppe „Konnektivität“: Diese Verwaltungsgruppe enthält dedizierte Abonnements für die Konnektivität (in der Regel ein einzelnes Abonnement für die meisten Organisationen). Diese Abonnements hosten die für die Plattform erforderlichen Azure-Netzwerkressourcen wie Azure Virtual WAN, Gateways für virtuelle Netzwerke, Azure Firewall und private Azure DNS-Zonen. Außerdem werden dort hybride Verbindungen zwischen der Cloud und lokalen Umgebungen hergestellt (unter Verwendung von Diensten wie ExpressRoute).
  • Verwaltungsgruppe „Corp“: Die dedizierte Verwaltungsgruppe für Unternehmenszielzonen. Diese Gruppe ist für Abonnements vorgesehen, die Workloads hosten, die herkömmliche IP-Routingkonnektivität oder Hybridkonnektivität mit dem Unternehmensnetzwerk über den Hub aus dem Konnektivitätsabonnement erfordern und daher der gleichen Routingdomäne angehören. Workloads wie interne Systeme werden nicht direkt im Internet verfügbar gemacht, können aber über Reverseproxys und Ähnliches (beispielsweise Anwendungsgateways) verfügbar gemacht werden.
  • Verwaltungsgruppe „Online“: Die dedizierte Verwaltungsgruppe für Onlinezielzonen. Diese Gruppe ist für Abonnements vorgesehen, die für öffentliche Ressourcen wie Websites, E-Commerce-Anwendungen und kundenorientierte Dienste verwendet werden. Mit der Verwaltungsgruppe „Online“ können Organisationen beispielsweise öffentliche Ressourcen vom Rest der Azure-Umgebung isolieren, um die Angriffsfläche zu verringern und sicherzustellen, dass öffentliche Ressourcen sicher und für Kund*innen verfügbar sind.

Warum wurden die Verwaltungsgruppen „Corp“ und „Online“ erstellt, um Workloads zu trennen?

Die Netzwerküberlegungen der Verwaltungsgruppen „Corp“ und „Online“ in der konzeptuellen Architektur der Azure-Zielzonen unterscheiden sich hinsichtlich ihrer beabsichtigten Verwendung und ihres primären Zwecks.

Die Verwaltungsgruppe „Corp“ wird verwendet, um interne Ressourcen und Dienste wie Branchenanwendungen, Datenbanken und Benutzerverwaltung zu verwalten und zu schützen. Bei den Netzwerküberlegungen der Verwaltungsgruppe „Corp“ liegt der Fokus auf der Bereitstellung von sicherer und effizienter Konnektivität zwischen internen Ressourcen bei gleichzeitiger Erzwingung strenger Sicherheitsrichtlinien zum Schutz vor nicht autorisierten Zugriffen.

Die Verwaltungsgruppe „Online“ in der konzeptuellen Architektur der Azure-Zielzonen (Azure Landing Zones, ALZs) kann als isolierte Umgebung für die Verwaltung öffentlicher Ressourcen und Dienste betrachtet werden, auf die über das Internet zugegriffen werden kann. Wenn die Verwaltungsgruppe „Online“ für die Verwaltung öffentlicher Ressourcen verwendet wird, ermöglicht es die Architektur der Azure-Zielzonen, diese Ressourcen von internen Ressourcen zu isolieren, was das Risiko nicht autorisierter Zugriffe verringert und die Angriffsfläche minimiert.

In der konzeptuellen Architektur der Azure-Zielzonen kann das virtuelle Netzwerk in der Verwaltungsgruppe „Online“ optional per Peering mit virtuellen Netzwerken in der Verwaltungsgruppe „Corp“ verbunden werden. Diese Verbindung kann entweder direkt oder indirekt über den Hub und die damit verbundenen Routinganforderungen über Azure Firewall oder eine NVA hergestellt werden, sodass öffentlich zugängliche Ressourcen sicher und kontrolliert mit internen Ressourcen kommunizieren können. Diese Topologie gewährleistet, dass der Netzwerkdatenverkehr zwischen öffentlich zugänglichen Ressourcen und internen Ressourcen sicher und eingeschränkt ist, während die Ressourcen weiterhin bei Bedarf kommunizieren können.

Tipp

Es ist auch wichtig, die Azure-Richtlinien zu verstehen und zu überprüfen, die in jeder der Verwaltungsgruppen als Teil der Azure-Zielzone zugewiesen und geerbt werden. Sie tragen nämlich dazu bei, die bereitgestellten Workloads der Abonnements, die sich in diesen Verwaltungsgruppen befinden, zu gestalten, zu schützen und zu steuern. Die Richtlinienzuweisungen für Azure-Zielzonen finden Sie hier.