Bereitstellen einer MigrationsinfrastrukturDeploy a migration infrastructure

In diesem Artikel wird gezeigt, wie das fiktive Unternehmen Contoso seine lokale Infrastruktur für die Migration vorbereitet, eine Azure-Infrastruktur zur Vorbereitung der Migration einrichtet und sein Geschäft in einer Hybridumgebung betreibt.This article shows how the fictional company Contoso prepares its on-premises infrastructure for migration, sets up an Azure infrastructure in preparation for migration, and runs the business in a hybrid environment. Wenn Sie dieses Beispiel als Hilfe bei der Planung Ihres eigenen Aufwands für eine Infrastrukturmigration verwenden, berücksichtigen Sie die folgenden Überlegungen:When you use this example to help plan your own infrastructure migration efforts, keep the following considerations in mind:

  • Die bereitgestellte Beispielarchitektur ist für Contoso spezifisch.The provided sample architecture is specific to Contoso. Überprüfen Sie die Geschäftsanforderungen, Struktur und technischen Anforderungen Ihrer eigenen Organisation, wenn Sie wichtige Infrastrukturentscheidungen zum Abonnemententwurf oder zur Netzwerkarchitektur treffen.Review your own organization's business needs, structure, and technical requirements when making important infrastructure decisions about subscription design or networking architecture.
  • Ob Sie alle in diesem Artikel beschriebenen Elemente benötigen, hängt von Ihrer Migrationsstrategie ab.Whether you need all the elements described in this article depends on your migration strategy. Wenn Sie beispielsweise nur native Cloud-Apps in Azure erstellen, benötigen Sie möglicherweise eine weniger komplexe Netzwerkstruktur.For example, if you're building only cloud-native apps in Azure, you might need a less complex networking structure.

ÜbersichtOverview

Bevor die Migration zu Azure erfolgen kann, muss Contoso zunächst eine Azure-Infrastruktur vorbereiten.Before Contoso can migrate to Azure, it's critical to prepare an Azure infrastructure. Im Allgemeinen müssen sechs Bereiche betrachtet werden:Generally, there are six broad areas Contoso needs to think about:

  • Schritt 1: Azure-Abonnements.Step 1: Azure subscriptions. Wie soll Azure durch Contoso erworben werden, und wie soll die Interaktion mit der Azure-Plattform und den Diensten erfolgen?How will Contoso purchase Azure, and interact with the Azure platform and services?
  • Schritt 2: Hybrididentität.Step 2: Hybrid identity. Wie wird der Zugriff auf lokale und Azure-basierte Ressourcen nach der Migration verwaltet und gesteuert?How will it manage and control access to on-premises and Azure resources after migration? Wie wird die Identitätsverwaltung von Contoso erweitert oder in die Cloud ausgelagert?How does Contoso extend or move identity management to the cloud?
  • Schritt 3: Notfallwiederherstellung und Ausfallsicherheit.Step 3: Disaster recovery and resilience. Wie stellt Contoso die Resilienz von Apps und Infrastruktur bei Ausfällen und Notfällen sicher?How will Contoso ensure that its apps and infrastructure are resilient if outages and disasters occur?
  • Schritt 4: Netzwerk.Step 4: Networking. Wie sollte Contoso die Netzwerkinfrastruktur gestalten und die Konnektivität zwischen seinem lokalen Rechenzentrum und Azure einrichten?How should Contoso design a networking infrastructure, and establish connectivity between its on-premises datacenter and Azure?
  • Schritt 5: Sicherheit.Step 5: Security. Wie wird Contoso die Hybrid-/Azure-Bereitstellung schützen?How will it secure the hybrid/Azure deployment?
  • Schritt 6: Governance.Step 6: Governance. Wie sorgt Contoso dafür, dass die Bereitstellung die Sicherheits- und Governanceanforderungen erfüllt?How will Contoso keep the deployment aligned with security and governance requirements?

VorbereitungBefore you start

Bevor wir uns die Infrastruktur ansehen, kann es sinnvoll sein, einige Hintergrundinformationen über die Azure-Funktionen durchzulesen, die in diesem Artikel erörtert werden:Before we start looking at the infrastructure, you might want to read some background information about the Azure capabilities we discuss in this article:

Lokale ArchitekturOn-premises architecture

Hier ist eine Darstellung der aktuellen lokalen Infrastruktur von Contoso.Here's a diagram showing the current Contoso on-premises infrastructure.

Contoso-Architektur

  • Contoso verfügt über ein Hauptrechenzentrum in New York City, im Osten der USA.Contoso has one main datacenter located in the city of New York in the Eastern United States.
  • Außerdem besitzt es drei weitere Zweigstellen in den USA.There are three additional local branches across the United States.
  • Das zentrale Rechenzentrum ist über eine auf Glasfaser basierende Metro-Ethernet-Verbindung (500 MBit/s) mit dem Internet verbunden.The main datacenter is connected to the internet with a fiber metro ethernet connection (500 Mbps).
  • Jede Verzweigung ist lokal über Business-Class-Verbindungen mit dem Internet verbunden und IPSec-VPN-Tunnel führen zurück zum Hauptrechenzentrum.Each branch is connected locally to the internet using business class connections, with IPSec VPN tunnels back to the main datacenter. Bei diesem Ansatz ist das gesamte Netzwerk dauerhaft verbunden und die Internetverbindung optimiert.This approach allows the entire network to be permanently connected, and optimizes internet connectivity.
  • Das Hauptrechenzentrum ist vollständig mit VMware virtualisiert.The main datacenter is fully virtualized with VMware. Contoso verfügt über zwei ESXi 6.5-Virtualisierungshosts, die von vCenter Server 6.5 verwaltet werden.Contoso has two ESXi 6.5 virtualization hosts, managed by vCenter Server 6.5.
  • Für die Identitätsverwaltung verwendet Contoso Active Directory sowie DNS-Server im internen Netzwerk.Contoso uses Active Directory for identity management, and DNS servers on the internal network.
  • Die Domänencontroller im Rechenzentrum werden auf virtuellen VMware-Computern ausgeführt.The domain controllers in the datacenter run on VMware virtual machines. Die Domänencontroller in lokalen Niederlassungen werden auf physischen Servern ausgeführt.The domain controllers at local branches run on physical servers.

Schritt 1: Kaufen und Abonnieren von AzureStep 1: Buy and subscribe to Azure

Contoso muss entscheiden, wie Azure erworben werden soll, wie die Architektur von Abonnements ausgelegt wird und wie Dienste und Ressourcen lizenziert werden.Contoso needs to figure out how to buy Azure, how to architect subscriptions, and how to license services and resources.

Kauf von AzureBuy Azure

Contoso registriert sich für ein Enterprise Agreement (EA).Contoso is enrolling in an Enterprise Agreement (EA). Dieser Vertrag bringt eine im Voraus zu leistende finanzielle Verpflichtung für Azure mit sich, berechtigt Contoso aber zu großen Vorteilen, einschließlich flexibler Abrechnungsoptionen und einer optimierten Preisgestaltung.This agreement entails an upfront monetary commitment to Azure, entitling Contoso to earn great benefits, including flexible billing options and optimized pricing.

  • Contoso hat eine Schätzung der jährlichen Ausgaben für Azure erstellt.Contoso estimated what its yearly Azure spend will be. Bei Vertragsabschluss hat Contoso das erste Jahr vollständig bezahlt.When it signed the agreement, Contoso paid for the first year in full.
  • Contoso muss alle Übertragungen vor Ablauf des Jahres verwenden, um keine bereits bezahlten Leistungen verfallen zu lassen.Contoso needs to use all commitments before the year is over, or lose the value for those dollars.
  • Sollte Contoso die Übertragungen überschreiten, stellt Microsoft ihnen die Differenz in Rechnung.If for some reason Contoso exceeds its commitment and spends more, Microsoft will invoice them for the difference.
  • Alle jenseits der Übertragung anfallenden Kosten werden zu den vertraglich vereinbarten Preisen berechnet.Any cost incurred above the commitment will be at the same rates as those in the Contoso contract. Für Überschreitungen werden keine Strafen fällig.There are no penalties for going over.

Verwalten von AbonnementsManage subscriptions

Nach dem Erwerb von Azure muss Contoso herausfinden, wie die Azure-Abonnements verwaltet werden sollen.After paying for Azure, Contoso needs to figure out how to manage Azure subscriptions. Contoso verfügt über ein EA und ist kann somit beliebig viele Azure-Abonnements einrichten.Contoso has an EA, and thus no limit on the number of Azure subscriptions it can set up.

  • Eine Azure Enterprise-Registrierung definiert, wie ein Unternehmen Azure-Dienste modelliert und verwendet und legt eine Kernstruktur für die Governance fest.An Azure Enterprise Enrollment defines how a company shapes and uses Azure services, and defines a core governance structure.

  • Als ersten Schritt hat Contoso eine Struktur für die Enterprise-Registrierung definiert (ein so genanntes „Unternehmensgerüst“).As a first step, Contoso has defined a structure known as an enterprise scaffold for Enterprise Enrollment. Contoso hat das Azure-Unternehmensgerüst verwendet, um ein Gerüst zu entwerfen.Contoso used the Azure enterprise scaffold guidance to help understand and design a scaffold.

  • Fürs Erste hat sich Contoso für einen funktionalen Abonnementverwaltungsansatz entschieden.For now, Contoso has decided to use a functional approach to manage subscriptions.

    • Das Unternehmen setzt eine zentrale IT-Abteilung ein, die auch die Kontrolle über das Azure-Budget hat.Inside the enterprise, it will use a single IT department that controls the Azure budget. Diese Gruppe hält als einzige Abonnements.This will be the only group with subscriptions.
    • Contoso plant, dieses Modell später zu erweitern, sodass andere Gruppen im Unternehmen als Abteilungen an der Enterprise-Registrierung teilnehmen können.Contoso will extend this model in the future, so that other corporate groups can join as departments in the Enterprise Enrollment.
    • Innerhalb der IT-Abteilung hat Contoso zwei Abonnements strukturiert, Produktion und Entwicklung.Inside the IT department Contoso has structured two subscriptions, Production and Development.
    • Wenn Contoso zukünftig zusätzliche Abonnements benötigt, muss das Unternehmen den Zugriff, die Richtlinien und die Compliance für diese Abonnements verwalten.If Contoso requires additional subscriptions in the future, it needs to manage access, policies, and compliance for those subscriptions. Hierzu führt Contoso Azure-Verwaltungsgruppen als zusätzliche Ebene oberhalb der Abonnements ein.Contoso will do that by introducing Azure management groups, as an additional layer above subscriptions.

    Enterprise-Struktur

Untersuchen der LizenzierungExamine licensing

Nach der Konfiguration der Abonnements kann sich Contoso mit der Microsoft-Lizenzierung befassen.With subscriptions configured, Contoso can look at Microsoft licensing. Die Lizenzierungsstrategie hängt von den Ressourcen ab, die Contoso nach Azure migrieren möchte, sowie davon, wie virtuelle Azure-Computer (VMs) und Azure-Dienste ausgewählt und bereitgestellt werden.The licensing strategy will depend on the resources that Contoso wants to migrate into Azure and how Azure virtual machines (VMs) and services are selected and deployed.

Azure-HybridvorteilAzure Hybrid Benefit

Bei der Bereitstellung von VMs in Azure beinhalten Standardimages eine Lizenz, die Contoso die verwendete Software pro Minute in Rechnung stellt.When deploying VMs in Azure, standard images include a license that will charge Contoso by the minute for the software being used. Contoso ist jedoch seit langem Microsoft-Kunde und hat EAs und Lizenzen im Open License-Programm mit Software Assurance (SA) unterhalten.However, Contoso has been a long-term Microsoft customer, and has maintained EAs and open licenses with Software Assurance (SA).

Der Azure-Hybridvorteil stellt eine kostengünstige Methode für die Migration von Contoso zur Verfügung und ermöglicht Einsparungen bei Workloads von Azure-VMs und SQL Server durch Umwandlung oder Wiederverwendung von Lizenzen der Windows Server Datacenter- und Standard-Editionen, die durch Software Assurance abgedeckt sind.Azure Hybrid Benefit provides a cost-effective method for Contoso migration, by allowing it to save on Azure VMs and SQL Server workloads by converting or reusing Windows Server Datacenter and Standard edition licenses covered with Software Assurance. Dadurch kann Contoso einen niedriger angesetzten Computesatz für VMs und SQL Server bezahlen.This will enable Contoso to pay a lower base compute rate for VMs and SQL Server. Weitere InformationenLearn more.

LizenzmobilitätLicense Mobility

Lizenzmobilität durch SA bietet Microsoft-Volumenlizenz-Kunden wie Contoso die Flexibilität, berechtigte Serveranwendungen mit aktiver SA in Azure bereitzustellen.License Mobility through SA gives Microsoft Volume Licensing customers like Contoso the flexibility to deploy eligible server apps with active SA on Azure. Hierdurch entfällt die Notwendigkeit zum Kauf neuer Lizenzen.This eliminates the need to purchase new licenses. Ohne anfallende Mobilitätsgebühren können die vorhandenen Lizenzen auf einfache Weise in Azure bereitgestellt werden.With no associated mobility fees, existing licenses can easily be deployed in Azure. Weitere InformationenLearn more.

Reservieren von Instanzen für vorhersehbare WorkloadsReserve instances for predictable workloads

Vorhersehbare Workloads sind solche, die bei laufenden VMs jederzeit verfügbar sein müssen.Predictable workloads are those that always need to be available with VMs running. Dies gilt beispielsweise für Branchenanwendungen wie SAP-ERP-Systeme.For example, line-of-business apps such as an SAP ERP system. Andererseits sind unvorhersehbare Workloads solche, die variabel sind, z.B. VMs, die bei hoher Nachfrage aktiviert und bei geringer Nachfrage deaktiviert sind.On the other hand, unpredictable workloads are those that are variable, such as VMs that are on during high demand and off when demand is low.

Reservierte Instanz

Für die Verwendung reservierter Instanzen für bestimmte VM-Instanzen, die über lange Zeiträume beibehalten werden müssen, kann Contoso im Gegenzug sowohl einen Rabatt als auch priorisierte Kapazität erhalten.In exchange for using reserved instances for specific VM instances must be maintained for large durations of time, Contoso can get both a discount and prioritized capacity. Durch Verwendung von reservierten Azure-Instanzen in Kombination mit dem Azure-Hybridvorteil kann Contoso gegenüber der regulären nutzungsbasierten Bezahlung bis zu 82 % sparen (Stand April 2018).By using Azure Reserved Instances together with Azure Hybrid Benefit, Contoso can save up to 82% off regular pay-as-you-go pricing (April 2018).

Schritt 2: Verwalten von HybrididentitätenStep 2: Manage hybrid identity

Das Erteilen und Steuern des Benutzerzugriffs auf Azure-Ressourcen mit Identity & Access Management (IAM) ist ein wichtiger Schritt bei der Zusammenstellung einer Azure-Infrastruktur.Giving and controlling user access to Azure resources with identity and access management (IAM) is an important step in pulling together an Azure infrastructure.

  • Contoso hat sich entschieden, das vorhandene lokale Active Directory in die Cloud zu erweitern, statt ein neues, separates System in Azure aufzubauen.Contoso decides to extend its on-premises Active Directory into the cloud, rather than build a new separate system in Azure.
  • Zu diesem Zweck erstellt das Unternehmen ein Azure-basiertes Active Directory.It creates an Azure-based Active Directory to do this.
  • Bei Contoso ist Office 365 nicht implementiert, daher muss ein neues Azure AD bereitgestellt werden.Contoso doesn't have Office 365 in place, so it needs to provision a new Azure AD.
  • Office 365 verwendet Azure AD für die Benutzerverwaltung.Office 365 uses Azure AD for user management. Bei Verwendung von Office 365 wäre bereits ein Azure AD-Mandant vorhanden, der als primäres Verzeichnis verwendet werden kann.If Contoso was using Office 365, it would already have an Azure AD tenant, and can use that as the primary directory.
  • Weitere Informationen zu Azure AD für Office 365 und zum Hinzufügen eines Abonnements zu einem vorhandenen Azure AD-Mandanten.Learn more about Azure AD for Office 365, and learn how to add a subscription to an existing Azure AD tenant.

Erstellen eines Azure ADsCreate an Azure AD

Contoso verwendet die Azure AD Free-Edition, die in Azure-Abonnements enthalten ist.Contoso is using the Azure AD Free edition that's included with an Azure subscription. Contoso-Administratoren richten ein Verzeichnis wie folgt ein:Contoso admins set up a directory as follows:

  1. Sie navigieren im Azure-Portal zu Ressource erstellen > Identität > Azure Active Directory.In the Azure portal, they navigate to Create a resource > Identity > Azure Active Directory.

  2. Sie geben in Verzeichnis erstellen einen Namen für das Verzeichnis, einen Anfangsdomänennamen und eine Region an, in der das Azure AD-Verzeichnis erstellt werden soll.In Create directory, they specify a name for the directory, an initial domain name, and region in which the Azure AD directory should be created.

    Azure AD erstellen

    Hinweis

    Das erstellte Verzeichnis hat zunächst einen Domänennamen im Format <Domänenname>.onmicrosoft.com.The directory that's created has an initial domain name in the form domain-name.onmicrosoft.com. Der Name kann weder geändert noch gelöscht werden.The name can't be changed or deleted. Stattdessen muss der registrierte Domänenname zu Azure AD hinzugefügt werden.Instead, they need to add its registered domain name to Azure AD.

Hinzufügen des DomänennamensAdd the domain name

Die Administratoren von Contoso müssen den Standarddomänennamen als benutzerdefinierten Namen zu Azure AD hinzufügen, um diesen verwenden zu können.To use its standard domain name, Contoso admins need to add it as a custom domain name to Azure AD. Diese Option ermöglicht es ihnen, vertraute Benutzernamen zuzuweisen.This option allows them to assign familiar user names. Beispielsweise kann sich ein Benutzer mit der E-Mail-Adresse billg@contoso.com anmelden und ist nicht auf billg@contosomigration.microsoft.com angewiesen.For example, a user can sign in with the email address billg@contoso.com, rather than needing billg@contosomigration.microsoft.com.

Damit ein benutzerdefinierter Domänenname eingerichtet werden kann, fügen sie ihn dem Verzeichnis sowie einen DNS-Eintrag hinzu, und bestätigen den Namen dann in Azure AD.To set up a custom domain name they add it to the directory, add a DNS entry, and then verify the name in Azure AD.

  1. Sie fügen die Domäne unter Benutzerdefinierte Domänennamen > Benutzerdefinierte Domäne hinzufügen hinzu.In Custom domain names > Add custom domain, they add the domain.

  2. Um einen DNS-Eintrag in Azure verwenden zu können, müssen sie ihn bei ihrer Domänenregistrierungsstelle registrieren.To use a DNS entry in Azure, they need to register it with their domain registrar.

    • Sie notieren sich in der Liste Benutzerdefinierte Domänennamen die DNS-Informationen zu dem Namen.In the Custom domain names list, they note the DNS information for the name. Das Unternehmen verwendet einen MX-Eintrag.It's using an MX entry.
    • Zu diesem Zweck benötigen sie Zugriff auf den Namenserver.They need access to the name server to do this. Sie melden sich bei der Domäne „Contoso.com“ an und erstellen mithilfe der notierten Detailinformationen einen neuen MX-Eintrag für den von Azure AD bereitgestellten DNS-Eintrag.They log into the Contoso.com domain, and create a new MX record for the DNS entry provided by Azure AD, using the details noted.
  3. Nachdem die DNS-Einträge verteilt wurden, wählen sie im Detailnamen für die Domäne Überprüfen aus, um den benutzerdefinierten Domänennamen zu überprüfen.After the DNS records propagate, in the details name for the domain, they select Verify to check the custom domain name.

    Azure AD-DNS

Einrichten von Gruppen und Benutzern lokal und in AzureSet up on-premises and Azure groups and users

Nachdem Azure AD nun betriebsbereit ist, müssen die Administratoren von Contoso Mitarbeiter den lokalen Active Directory-Gruppen hinzufügen, die mit Azure Active Directory synchronisiert werden sollen.Now that the Azure AD is up and running, Contoso admins need to add employees to on-premises Active Directory groups that will synchronize to Azure Active Directory. Dabei empfiehlt es sich, lokale Gruppennamen zu verwenden, die mit den Namen von Ressourcengruppen in Azure übereinstimmen.They should use on-premises group names that match the names of resource groups in Azure. Dies erleichtert die Identifikation von Übereinstimmungen zu Synchronisierungszwecken.This makes it easier to identify matches for synchronization purposes.

Erstellen von Ressourcengruppen in AzureCreate resource groups in Azure

Azure-Ressourcengruppen fassen Azure-Ressourcen zu Gruppen zusammen.Azure resource groups gather Azure resources together. Mithilfe einer Ressourcengruppen-ID kann Azure Vorgänge für Ressourcen in der betreffenden Gruppe ausführen.Using a resource group ID allows Azure to perform operations on the resources within the group.

  • Ein Azure-Abonnement kann mehrere Ressourcengruppen aufweisen, aber eine Ressourcengruppe kann nur innerhalb eines einzelnen Abonnements vorkommen.An Azure subscription can have multiple resource groups, but a resource group can only exist within a single subscription.
  • Darüber hinaus kann eine einzelne Ressourcengruppe über mehrere Ressourcen verfügen, eine Ressource kann jedoch jeweils nur einer einzelnen Ressourcengruppe angehören.In addition, a single resource group can have multiple resources, but a resource can only belong to a single resource group.

Die Administratoren von Contoso richten Azure-Ressourcengruppen wie in der folgenden Tabelle zusammengefasst ein.Contoso admins set up Azure resource groups as summarized in the following table.

RessourcengruppeResource group DetailsDetails
ContosoCobRGContosoCobRG Diese Gruppe enthält alle Ressourcen, die mit der Geschäftskontinuität (Continuity of Business, COB) zusammenhängen.This group contains all resources related to continuity of business (COB). Sie enthält Tresore, die Contoso für den Azure Site Recovery- und den Azure Backup-Dienst verwendet.It includes vaults that Contoso will use for the Azure Site Recovery service, and the Azure Backup service.

Sie enthalten außerdem Ressourcen, die für die Migration verwendet werden, darunter der Azure Migrate-Dienst und der Azure Database Migration Service.It will also include resources used for migration, including Azure Migrate and Azure Database Migration Service.
ContosoDevRGContosoDevRG Diese Gruppe enthält Ressourcen für Entwicklung und Tests.This group contains development and test resources.
ContosoFailoverRGContosoFailoverRG Diese Gruppe dient als Landungszone für Ressourcen bei einem Failovervorgang.This group serves as a landing zone for failed over resources.
ContosoNetworkingRGContosoNetworkingRG Diese Gruppe enthält alle Netzwerkressourcen.This group contains all networking resources.
ContosoRGContosoRG Diese Gruppe enthält Ressourcen im Zusammenhang mit Produktionsanwendungen und -datenbanken.This group contains resources related to production apps and databases.

Die Ressourcengruppen werden in folgender Weise erstellt:They create resource groups as follows:

  1. Sie fügen im Azure-Portal > Ressourcengruppen eine Gruppe hinzu.In the Azure portal > Resource groups, they add a group.

  2. Sie geben für jede Gruppe einen Namen, das Abonnement, zu dem die Gruppe gehört und die Region an.For each group, they specify a name, the subscription to which the group belongs, and the region.

  3. Ressourcengruppen werden in der Liste Ressourcengruppen angezeigt.Resource groups appear in the Resource groups list.

    Ressourcengruppen

Skalieren von RessourcengruppenScale resource groups

Contoso fügt später bei Bedarf weitere Ressourcengruppen hinzu.In future, Contoso will add other resource groups based on needs. Das Unternehmen könnte beispielsweise eine Ressourcengruppe für jede App oder jeden Dienst definieren, damit sie jeweils unabhängig voneinander verwaltet und geschützt werden können.For example, they could define a resource group for each app or service, so that they can be managed and secured independently.

Erstellen von übereinstimmenden lokalen SicherheitsgruppenCreate matching security groups on-premises

  1. Im lokalen Active Directory richten die Administratoren von Contoso Sicherheitsgruppen ein, deren Namen mit den Namen der Azure-Ressourcengruppen übereinstimmen.In the on-premises Active Directory, Contoso admins set up security groups with names that match the names of the Azure resource groups.

    Lokale Active Directory-Sicherheitsgruppen

  2. Zu Verwaltungszwecken erstellen sie eine zusätzliche Gruppe, die allen anderen Gruppen hinzugefügt wird.For management purposes, they create an additional group that will be added to all of the other groups. Dieser Gruppe werden Rechte an allen Ressourcengruppen in Azure erteilt.This group will have rights to all resource groups in Azure. Der Gruppe wird eine begrenzte Zahl globaler Administratoren hinzugefügt.A limited number of Global Admins will be added to this group.

Synchronisieren von Active DirectorySynchronize Active Directory

Contoso möchte eine gemeinsame Identität für den Zugriff auf lokale Ressourcen und Ressourcen in der Cloud bereitstellen.Contoso wants to provide a common identity for accessing resources on-premises and in the cloud. Zu diesem Zweck integrieren sie das lokale Active Directory in Azure AD.To do this, it will integrate the on-premises Active Directory with Azure AD. Dieses Modell ermöglicht Folgendes:With this model:

  • Benutzer und Organisationen können eine einzelne Identität für den Zugriff auf lokale Anwendungen und Clouddienste wie Office 365 oder Tausende weiterer Websites im Internet nutzen.Users and organizations can take advantage of a single identity to access on-premises applications and cloud services such as Office 365, or thousands of other sites on the internet.
  • Administratoren können mithilfe der Gruppen in Active Directory rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) in Azure implementieren.Admins can use the groups in Active Directory to implement Role Based Access Control (RBAC) in Azure.

Um die Integration zu erleichtern, verwendet Contoso das Azure AD Connect-Tool.To facilitate integration, Contoso uses the Azure AD Connect tool. Nach der Installation und Konfiguration auf einem Domänencontroller synchronisiert das Tool die lokalen Active Directory-Identitäten mit Azure AD.When you install and configure the tool on a domain controller, it synchronizes the local on-premises Active Directory identities to Azure AD.

Herunterladen des ToolsDownload the tool

  1. Im Azure-Portal navigieren die Administratoren von Contoso zu Azure Active Directory > Azure AD Connect und laden die neueste Version des Tools auf den Server herunter, der für die Synchronisierung verwendet werden soll.In the Azure portal, Contoso admins go to Azure Active Directory > Azure AD Connect, and download the latest version of the tool to the server they're using for synchronization.

    Azure AD Connect herunterladen

  2. Sie starten die Installation von AzureADConnect.msi über die Option Express-Einstellungen verwenden.They start the AzureADConnect.msi installation, with Use express settings. Dies ist die gebräuchlichste Installation, die für Topologien mit einer einzelnen Gesamtstruktur und Synchronisierung von Kennworthashes zur Authentifizierung verwendet werden kann.This is the most common installation, and can be used for a single-forest topology, with password hash synchronization for authentication.

    Azure AD Connect-Assistent

  3. In Mit Azure AD verbinden geben sie die Anmeldeinformationen für das Herstellen der Verbindung mit dem Azure AD an (im Format admin@contoso.com oder admin@contoso.onmicrosoft.com).In Connect to Azure AD, they specify the credentials for connecting to the Azure AD (in the form admin@contoso.com or admin@contoso.onmicrosoft.com).

    Azure AD Connect-Assistent

  4. Unter Mit AD DS verbinden geben sie Anmeldeinformationen für das lokale Active Directory an (im Format „CONTOSO\admin“ oder „contoso.com\admin“).In Connect to AD DS, they specify credentials for the on-premises Active Directory (in the form CONTOSO\admin or contoso.com\admin).

    Azure AD Connect-Assistent

  5. In Bereit zur Konfiguration wählen sie Starten Sie den Synchronisierungsvorgang, nachdem die Konfiguration abgeschlossen wurde aus, um die Synchronisierung sofort zu starten.In Ready to configure, they select Start the synchronization process when configuration completes to start the sync immediately. Anschließend führen sie die Installation durch.Then they install.

Beachten Sie Folgendes:Note the following:

- <span data-ttu-id="40c90-284">Contoso hat eine direkte Verbindung mit Azure.</span><span class="sxs-lookup"><span data-stu-id="40c90-284">Contoso has a direct connection to Azure.</span></span> <span data-ttu-id="40c90-285">Wenn sich Ihr lokales Active Directory hinter einem Proxy befindet, lesen Sie diesen [Artikel](https://docs.microsoft.com/azure/active-directory/connect/active-directory-aadconnect-troubleshoot-connectivity).</span><span class="sxs-lookup"><span data-stu-id="40c90-285">If your on-premises Active Directory is behind a proxy, read this [article](https://docs.microsoft.com/azure/active-directory/connect/active-directory-aadconnect-troubleshoot-connectivity).</span></span>

- <span data-ttu-id="40c90-286">Nach der ersten Synchronisierung werden lokale Active Directory-Objekte im Azure AD-Verzeichnis sichtbar.</span><span class="sxs-lookup"><span data-stu-id="40c90-286">After the first synchronization, on-premises Active Directory objects are visible in the Azure AD directory.</span></span>

    ![Lokales Active Directory in Azure](./media/contoso-migration-infrastructure/on-prem-ad-groups.png)

- <span data-ttu-id="40c90-288">Das IT-Team von Contoso ist basierend auf der jeweiligen Rolle in jeder Gruppe vertreten.</span><span class="sxs-lookup"><span data-stu-id="40c90-288">The Contoso IT team is represented in each group, based on its role.</span></span>

    ![Mitglieder des lokalen Active Directory in Azure](./media/contoso-migration-infrastructure/on-prem-ad-group-members.png)

Einrichten von RBACSet up RBAC

Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure ermöglicht eine präzise Zugriffsverwaltung für Azure.Azure role-based access control (RBAC) enables fine-grained access management for Azure. Mit RBAC können Sie den Benutzern genau die Zugriffsrechte gewähren, die diese zum Ausführen von Aufgaben benötigen.Using RBAC, you can grant only the amount of access that users need to perform tasks. Sie weisen Benutzern, Gruppen und Anwendungen auf Bereichsebene eine passende RBAC-Rolle zu.You assign the appropriate RBAC role to users, groups, and applications at a scope level. Der Bereich einer Rollenzuweisung kann ein Abonnement, eine Ressourcengruppe oder eine einzelne Ressource sein.The scope of a role assignment can be a subscription, a resource group, or a single resource.

Als Nächstes weisen die Administratoren von Contoso den Active Directory-Gruppen, die aus der lokalen Infrastruktur synchronisiert wurden, Rollen zu.Contoso admins now assign roles to the Active Directory groups that they synchronized from on-premises.

  1. In der Ressourcengruppe ControlCobRG wählen sie Zugriffssteuerung (IAM) > Rollenzuweisung hinzufügen aus.In the ControlCobRG resource group, they select Access control (IAM) > Add role assignment.

  2. Unter Rollenzuweisung hinzufügen > Rolle > Mitwirkender wählen sie in der Liste die Gruppe ContosoCobRG aus.In Add role assignment > Role, > Contributor, they select the ContosoCobRG group from the list. Die Gruppe wird dann in der Liste Ausgewählte Mitglieder angezeigt.The group then appears in the Selected members list.

  3. Sie wiederholen das mit denselben Berechtigungen für die anderen Ressourcengruppen (mit Ausnahme von ContosoAzureAdmins), indem sie dem Konto, das der Ressourcengruppe entspricht, die „Mitwirkender“-Berechtigungen hinzufügen.They repeat this with the same permissions for the other resource groups (except for ContosoAzureAdmins), by adding the Contributor permissions to the account that matches the resource group.

  4. Für die ContosoAzureAdmins-Gruppe weisen sie die Rolle Besitzer zu.For the ContosoAzureAdmins group, they assign the Owner role.

    Mitglieder des lokalen Active Directory in Azure

Schritt 3: Entwurf mit Blick auf ResilienzStep 3: Design for resiliency

Einrichten von RegionenSet up regions

Azure-Ressourcen werden in Regionen bereitgestellt.Azure resources are deployed within regions.

  • Regionen sind in Geografien organisiert, und Datenresidenz, Datenhoheit, Compliance und Ausfallsicherheit werden innerhalb von geografischen Grenzen eingelöst.Regions are organized into geographies, and data residency, sovereignty, compliance, and resiliency requirements are honored within geographical boundaries.
  • Eine Region setzt sich aus einer Reihe von Rechenzentren zusammen.A region is composed of a set of datacenters. Diese Rechenzentren werden innerhalb eines durch Latenz definierten Umkreises bereitgestellt und sind über ein dediziertes regionales Netzwerk mit geringer Latenz verbunden.These datacenters are deployed within a latency-defined perimeter, and connected through a dedicated regional low-latency network.
  • Jede Azure-Region ist zwecks Ausfallsicherheit mit einer anderen Region gepaart.Each Azure region is paired with a different region for resiliency.
  • Lesen Sie mehr über Azure-Regionen, und verstehen Sie, wie Regionen gepaart werden.Read about Azure regions, and understand how regions are paired.

Contoso hat sich für „USA, Osten 2“ (mit Standort in Virginia) als primäre Region und für „USA, Mitte“ (mit Standort in Iowa) als sekundäre Region entschieden.Contoso has decided to go with the East US 2 (located in Virginia) as the primary region, and Central US (located in Iowa) as the secondary region. Für diese Entscheidung gibt es eine Reihe von Gründen:There are a couple of reasons for this:

  • Das Contoso-Rechenzentrum befindet sich in New York, und die Latenz zum nächstgelegenen Rechenzentrum wurde berücksichtigt.The Contoso datacenter is located in New York, and Contoso considered latency to the closest datacenter.
  • Die Region „USA, Osten 2“ verfügt über alle Dienste und Produkte, die Contoso benötigt.The East US 2 region has all the service and products that Contoso needs to use. In Bezug auf die verfügbaren Produkte und Dienste sind nicht alle Azure-Regionen identisch.Not all Azure regions are the same in terms of the products and services available. Hier können Sie die Azure-Produkte nach Regionen überprüfen.You can review Azure products by region.
  • USA, Mitte ist die gepaarte Region für USA, Osten 2 in Azure.Central US is the Azure paired region for East US 2.

Bei der Planung der Hybridumgebung muss sich Contoso überlegen, wie Ausfallsicherheit und eine Strategie zur Notfallwiederherstellung im Regionsentwurf verwirklicht werden können.As it thinks about the hybrid environment, Contoso needs to consider how to build resilience and a disaster recovery strategy into the region design. Allgemein reichen die Strategien von einer Bereitstellung in einer einzelnen Region, die sich für die Ausfallsicherheit auf Features der Azure-Plattform wie Fehlerdomänen und Paarung von Regionen verlässt, bis hin zu einem vollständigen Aktiv/Aktiv-Modell, in dem Clouddienste und Datenbanken in zwei Regionen bereitgestellt sind und auch Benutzer aus beiden Regionen bedienen.Broadly, strategies range from a single-region deployment, which relies on Azure platform features such as fault domains and regional pairing for resilience, through to a full Active-Active model in which cloud services and database are deployed and servicing users from two regions.

Contoso hat sich für einen Mittelweg entschieden.Contoso has decided to take a middle road. Das Unternehmen stellt Apps und Ressourcen in einer primären Region bereit und pflegt eine vollständige Kopie der Infrastruktur in der sekundären Region, sodass diese im Notfall oder bei einem Ausfall der App oder der Region als vollständige Sicherung fungieren kann.It will deploy apps and resources in a primary region, and keep a full copy of the infrastructure in the secondary region, so that it's ready to act as a full backup if a complete app disaster or regional failure occurs.

Einrichten von VerfügbarkeitSet up availability

Verfügbarkeitsgruppen:Availability sets:

Verfügbarkeitsgruppen dienen zum Schutz von Apps und Daten bei einem lokalen Hardware- und Netzwerkausfall in einem Rechenzentrum.Availability sets help protect apps and data from a local hardware and networking outage within a datacenter.

  • Verfügbarkeitsgruppen verteilen Azure-VMs über verschiedene physische Hardware in einem Rechenzentrum.Availability sets distribute Azure VMs across different physical hardware within a datacenter.
  • Fehlerdomänen stellen zugrundeliegende Hardware mit einer gemeinsamen Stromquelle und einem gemeinsamen Netzwerkswitch im Rechenzentrum dar.Fault domains represent underlying hardware with a common power source and network switch within the datacenter. VMs in einer Verfügbarkeitsgruppe sind über verschiedene Fehlerdomänen verteilt, um Ausfälle aufgrund eines einzelnen Hardware- oder Netzwerkfehlers zu minimieren.VMs in an availability set are distributed across different fault domains to minimize outages caused by a single hardware or networking failure.
  • Updatedomänen stellen zugrunde liegende Hardware dar, die gleichzeitig gewartet oder neu gestartet werden kann.Update domains represent underlying hardware that can undergo maintenance or be rebooted at the same time. Verfügbarkeitsgruppen verteilen auch VMs über mehrere Updatedomänen, um sicherzustellen, dass mindestens eine Instanz ununterbrochen ausgeführt wird.Availability sets also distribute VMs across multiple update domains to ensure at least one instance will be running at all times.

Contoso wird Verfügbarkeitsgruppen immer dann implementieren, wenn VM-Workloads Hochverfügbarkeit erfordern.Contoso will implement availability sets whenever VM workloads require high availability. Weitere InformationenLearn more.

Verfügbarkeitszonen:Availability zones:

Verfügbarkeitszonen helfen beim Schutz von Apps und Daten vor Ausfällen, die sich auf ein ganzes Rechenzentrum innerhalb einer Region auswirken können.Availability zones help protect apps and data from failures affecting an entire datacenter within a region.

  • Jede Verfügbarkeitszone stellt einen individuellen physischen Standort in einer Azure-Region dar.Each availability zone represents a unique physical location within an Azure region.
  • Jede Zone besteht aus mindestens einem Rechenzentrum, dessen Stromversorgung, Kühlung und Netzwerkbetrieb unabhängig funktionieren.Each zone is made up of one or more datacenters equipped with independent power, cooling, and networking.
  • In allen aktivierten Regionen sind mindestens drei separate Zonen vorhanden.There's a minimum of three separate zones in all enabled regions.
  • Die physische Trennung der Zonen innerhalb einer Region schützt Anwendungen und Daten vor Datencenterausfällen.The physical separation of zones within a region protects applications and data from datacenter failures.

Contoso stellt Verfügbarkeitszonen bereit, da Apps nach Skalierbarkeit, hoher Verfügbarkeit und Resilienz verlangen.Contoso will deploy availability zones as apps call for scalability, high-availability, and resiliency. Weitere InformationenLearn more.

Konfigurieren der SicherungConfigure backup

Azure Backup:Azure Backup:

Mithilfe von Azure Backup können Sie Azure VM-Datenträger sichern und wiederherstellen.Azure Backup allows you to back up and restore Azure VM disks.

  • Azure Backup ermöglicht automatisierte Backups von VM-Datenträgerimages, die in Azure Storage gespeichert sind.Azure backup allows automated backups of VM disk images, stored in Azure storage.
  • Sicherungen sind anwendungskonsistent. Dadurch wird sichergestellt, dass gesicherte Daten transaktionskonsistent sind und Anwendungen nach der Wiederherstellung gestartet werden.Backups are application consistent, ensuring backed up data is transactionally consistent and that applications will boot up post-restore.
  • Azure Backup unterstützt lokal redundanten Speicher (LRS), um für den Fall eines lokalen Hardwarefehlers mehrere Kopien Ihrer Sicherungsdaten in einem Rechenzentrum zu replizieren.Azure Backup supports locally redundant storage (LRS) to replicate multiple copies of your backup data within a datacenter if a local hardware failure occurs.
  • Bei einem regionalen Ausfall unterstützt Azure Backup auch georedundanten Speicher (GRS), wodurch Ihre Sicherungsdaten in eine sekundäre gekoppelte Region repliziert werden.If a regional outage occurs, Azure Backup also supports geo-redundant storage (GRS), replicating your backup data to a secondary paired region.
  • Azure Backup verschlüsselt Daten bei der Übertragung mit AES 256.Azure Backup encrypts data in-transit using AES 256. Gesicherte Daten im Ruhezustand werden mit Speicherdienstverschlüsselung (Storage Service Encryption, SSE) verschlüsselt.Backed-up data at-rest is encrypted using Storage Service Encryption (SSE).

Contoso verwendet Azure Backup mit GRS auf allen Produktions-VMs, um sicherzustellen, dass die Workloaddaten gesichert werden und sich bei einem Ausfall oder einer anderen Unterbrechung schnell wiederherstellen lassen.Contoso will use Azure Backup with GRS on all production VMs to ensure workload data is backed up and can be quickly restored if an outage or other disruption occurs. Weitere Informationen finden Sie unter Übersicht zu Azure Backup.For more information, see the Overview of Azure Backup.

Einrichten der NotfallwiederherstellungSet up disaster recovery

Azure Site Recovery:Azure Site Recovery:

Azure Site Recovery sorgt dafür, dass geschäftliche Apps und Workloads während regionaler Ausfälle weiter ausgeführt werden, und trägt so zur Aufrechterhaltung der Geschäftskontinuität bei.Azure Site Recovery helps ensure business continuity by keeping business apps and workloads running during regional outages.

  • Azure Site Recovery repliziert Azure-VMs ständig von einer primären in eine sekundäre Region und sorgt damit für funktionale Kopien an beiden Standorten.Azure Site Recovery continually replicates Azure VMs from a primary to a secondary region, ensuring functional copies in both locations.
  • Bei einem Ausfall in der primären Region führt Ihre Anwendung oder Ihr Dienst ein Failover aus, um die in der sekundären Region replizierten VM-Instanzen zu verwenden und so eine potenzielle Unterbrechung zu minimieren.In the event of an outage in the primary region, your application or service fails over to using the VM instances replicated in the secondary region, minimizing potential disruption.
  • Wenn Vorgänge zum normalen Betrieb zurückkehren, kann für Ihre Anwendungen oder Dienste ein Failback zu VMs in der primären Region ausgeführt werden.When operations return to normal, your applications or services can fail back to VMs in the primary region.

Contoso implementiert Azure Site Recovery für alle Produktions-VMs, die in geschäftskritischen Workloads verwendet werden, und stellt so sicher, dass es während eines Ausfalls in der primären Region nur zu einer minimalen Unterbrechung kommt.Contoso will implement Azure Site Recovery for all production VMs used in mission-critical workloads, ensuring minimal disruption during an outage in the primary region. Weitere InformationenLearn more

Schritt 4: Entwerfen einer NetzwerkinfrastrukturStep 4: Design a network infrastructure

Nach der Erstellung des Regionskonzepts kann sich Contoso der Netzwerkstrategie zuwenden.With the regional design in place, Contoso is ready to consider a networking strategy. Das Unternehmen muss sich überlegen, wie das lokale Rechenzentrum und Azure miteinander verbunden werden und miteinander kommunizieren sollen und wie die Netzwerkinfrastruktur in Azure gestaltet werden soll.It needs to think about how the on-premises datacenter and Azure connect and communicate with each other, and how to design the network infrastructure in Azure. Dazu muss Contoso insbesondere folgende Schritte ausführen:Specifically Contoso needs to:

  • Planen der Hybridnetzwerk-Konnektivität.Plan hybrid network connectivity. Contoso muss sich überlegen, wie netzwerkübergreifende Verbindungen zwischen der lokalen Umgebung und Azure hergestellt werden sollen.Figure out how it's going to connect networks across on-premises and Azure.
  • Entwerfen einer Azure-Netzwerkinfrastruktur.Design an Azure network infrastructure. Contoso muss entscheiden, wie Netzwerke über Regionen hinweg bereitgestellt werden sollen.Decide how it will deploy networks over regions. Wie kommunizieren die Netzwerke innerhalb der gleichen Region und regionsübergreifend?How will networks communicate within the same region, and across regions?
  • Entwerfen und Einrichten von Azure-Netzwerken.Design and set up Azure networks. Contoso muss Azure-Netzwerke und Subnetze einrichten und entscheiden, was darin gespeichert werden soll.Set up Azure networks and subnets, and decide what will reside in them.

Planen der Hybridnetzwerk-KonnektivitätPlan hybrid network connectivity

Contoso hat eine Reihe von Architekturen für das Hybridnetzwerk zwischen Azure und dem lokalen Datencenter in Erwägung gezogen.Contoso considered a number of architectures for hybrid networking between Azure and the on-premises datacenter. Weitere Informationen finden Sie unter Auswählen einer Lösung zum Herstellen einer Verbindung zwischen einem lokalen Netzwerk und Azure.For more information, see Choose a solution for connecting an on-premises network to Azure.

Zur Erinnerung: Die lokale Netzwerkinfrastruktur von Contoso besteht zurzeit aus dem Datencenter in New York und lokalen Niederlassungen in der östlichen Hälfte der USA.As a reminder, the Contoso on-premises network infrastructure currently consists of the datacenter in New York, and local branches in the eastern half of the US. Alle Standorte verfügen über eine Business-Class-Verbindung zum Internet.All locations have a business class connection to the internet. Jede dieser Niederlassungen ist mit dem Rechenzentrum durch einen IPsec-VPN-Tunnel durch das Internet verbunden.Each of the branches is then connected to the datacenter via an IPSec VPN tunnel over the internet.

Contoso-Netzwerk

Hier sehen Sie, für welche Implementierung von Hybridkonnektivität sich Contoso entschieden hat:Here's how Contoso decided to implement hybrid connectivity:

  1. Einrichten einer neuen VPN-Verbindung von Standort zu Standort zwischen dem Contoso-Rechenzentrum in New York und den zwei Azure-Regionen in USA, Osten 2 und USA, Mitte.Set up a new site-to-site VPN connection between the Contoso datacenter in New York and the two Azure regions in East US 2 and Central US.
  2. Datenverkehr aus den Niederlassungen, die virtuelle Netzwerke in Azure als Ziel haben, wird durch das Contoso-Hauptrechenzentrum geleitet.Branch office traffic bound for virtual networks in Azure will route through the main Contoso datacenter.
  3. Beim zentralen Hochskalieren der Azure-Bereitstellung richtet Contoso eine ExpressRoute-Verbindung zwischen dem Datencenter und den Azure-Regionen ein.As Contoso scales up Azure deployment, it will establish an ExpressRoute connection between the datacenter and the Azure regions. Contoso behält die VPN-Site-to-Site-Verbindung dann nur noch für Failoverzwecke bei.When this happens, Contoso will retain the VPN site-to-site connection for failover purposes only.

Nur VPN:VPN only:

Contoso-VPN

VPN und ExpressRoute:VPN and ExpressRoute:

Contoso-VPN/ExpressRoute

Entwerfen der Azure-NetzwerkinfrastrukturDesign the Azure network infrastructure

Die Netzwerkkonfiguration von Contoso muss die Hybrid-Bereitstellung sicher und skalierbar gestalten.Contoso's network configuration must make the hybrid deployment secure and scalable. Hierfür wählt Contoso einen langfristigen Ansatz und entwirft virtuelle Netzwerke (VNets) mit dem Augenmerk auf Ausfallsicherheit und Unternehmenstauglichkeit.Contoso is taking a long-term approach to this, designing virtual networks (VNets) to be resilient and enterprise ready. Weitere Informationen zum Planen von VNets.Learn more about planning VNets.

Bei der Verbindung der beiden Regionen implementiert Contoso ein Hub-zu-Hub-Netzwerkmodell:To connect the two regions, Contoso will implement a hub-to-hub network model:

  • Innerhalb der einzelnen Regionen verwendet Contoso ein Hub-and-Spoke-Modell.Within each region, Contoso will use a hub and spoke model.
  • Zum Verbinden von Netzwerken und Hubs verwendet Contoso Azure-Netzwerkpeering.To connect networks and hubs, Contoso will use Azure network peering.

NetzwerkpeeringNetwork peering

Das Azure-Netzwerkpeering dient zur Verbindung von virtuellen Azure-Netzwerken und Hubs.Azure network peering connects virtual networks and hubs. Globales Peering ermöglicht Verbindungen zwischen virtuellen Netzwerken und Hubs in verschiedenen Regionen.Global peering allows connections between virtual network or hubs in different regions. Das lokale Peering erstellt virtuelle Netzwerke in derselben Region.Local peering connects virtual networks in the same region. Das virtuelle Netzwerkpeering bietet mehrere Vorteile:Virtual network peering provides several advantages:

  • Der Netzwerkdatenverkehr zwischen VNets, die mittels Peering verknüpft sind, ist privat.Network traffic between peered VNets is private.
  • Datenverkehr zwischen den VNets bleibt innerhalb des Microsoft-Backbone-Netzwerks.Traffic between the VNets is kept on the Microsoft backbone network. Die Kommunikation zwischen den VNets kommt ganz ohne öffentliches Internet, Gateways oder Verschlüsselung aus.No public internet, gateways, or encryption is required in the communication between the VNets.
  • Peering stellt standardmäßig eine Verbindung mit hoher Bandbreite und geringer Latenz zwischen Ressourcen in unterschiedlichen VNets bereit.Peering provides a default, low-latency, high-bandwidth connection between resources in different VNets.

Weitere Informationen zu Netzwerkpeering.Learn more about network peering.

Hub-zu-Hub über Regionen hinwegHub-to-hub across regions

Contoso wird einen Hub in jeder Region bereitstellen.Contoso will deploy a hub in each region. Ein Hub ist ein virtuelles Netzwerk (VNet) in Azure, das als zentraler Konnektivitätspunkt für Ihr lokales Netzwerk fungiert.A hub is a virtual network (VNet) in Azure that acts as a central point of connectivity to your on-premises network. Die Hub-VNets sind untereinander mithilfe von globalem VNet-Peering verbunden.The hub VNets will connect to each other using global VNet peering. Globales VNet-Peering verbindet VNets über die Grenzen von Azure-Regionen hinweg.Global VNet peering connects VNets across Azure regions.

  • Der Hub in jeder Region ist mittels Peering mit seinem Partnerhub in der anderen Region verbunden.The hub in each region is peered to its partner hub in the other region.

  • Der Hub ist mittels Peering mit jedem Netzwerk in seiner Region verbunden und kann Verbindungen mit allen Netzwerkressourcen herstellen.The hub is peered to every network in its region, and can connect to all network resources.

    Globales Peering

Hub-and-Spoke-Modell in einer RegionHub and spoke model within a region

Innerhalb der einzelnen Regionen wird Contoso VNets zu verschiedenen Zwecken in Form von Spokenetzwerken vom Regionalhub bereitstellen.Within each region, Contoso will deploy VNets for different purposes, as spoke networks from the region hub. VNets innerhalb einer Region verwenden Peering für die Verbindung mit ihrem Hub und untereinander.VNets within a region use peering to connect to their hub, and to each other.

Entwerfen des HubnetzwerksDesign the hub network

Innerhalb des von Contoso gewählten Hub-and-Spoke-Modells muss noch über das Routing von Datenverkehr aus dem lokalen Datencenter und aus dem Internet entschieden werden.Within the hub and spoke model that Contoso has chosen, it needs to think about how traffic from the on-premises datacenter, and from the internet, will be routed. Für diese Routinglösung hat sich Contoso für die Hubs in „USA, Osten 2“ und „USA, Mitte“ entschieden:Here's how Contoso has decided to handle routing for both the East US 2 and Central US hubs:

  • Contoso entwirft ein Netzwerk, das Datenverkehr aus dem Internet sowie aus ihrem Unternehmensnetzwerk mithilfe eines VPNs zu Azure zulässt.Contoso is designing a network that allows traffic from the internet as well as from their corporate network using a VPN to Azure.
  • Die Netzwerkarchitektur hat zwei Grenzen: eine nicht vertrauenswürdige Front-End-Umkreiszone und eine vertrauenswürdige Back-End-Zone.The network architecture has two boundaries, an untrusted front-end perimeter zone and a back-end trusted zone.
  • Eine Firewall weist einen Netzwerkadapter in jeder Zone auf und kontrolliert den Zugriff auf die vertrauenswürdigen Zonen.A firewall will have a network adapter in each zone, controlling access to trusted zones.
  • Aus dem Internet:From the internet:
    • Datenverkehr aus dem Internet trifft auf eine öffentliche IP-Adresse mit Lastenausgleich im Umkreisnetzwerk.Internet traffic will hit a load-balanced public IP address on the perimeter network.
    • Dieser Datenverkehr wird durch die Firewall geroutet und unterliegt den Firewallregeln.This traffic is routed through the firewall, and subject to firewall rules.
    • Nachdem die Netzwerk-Zugangskontrollen implementiert sind, wird der Verkehr an den entsprechenden Ort in der vertrauenswürdigen Zone weitergeleitet.After network access controls are implemented, traffic will be forwarded to the appropriate location in the trusted zone.
    • Ausgehender Verkehr aus dem VNet wird über benutzerdefinierte Routen in das Internet geroutet.Outbound traffic from the VNet will be routed to the internet using user-defined routes. Der Datenverkehr durchläuft zwangsläufig die Firewall und wird auf Einhaltung der Contoso-Richtlinien geprüft.The traffic is forced through the firewall, and inspected in line with Contoso policies.
  • Aus dem Contoso-Rechenzentrum:From the Contoso datacenter:
    • Eingehender Datenverkehr über VPN-Standort-zu-Standort (oder ExpressRoute) trifft auf die öffentliche IP-Adresse des Azure-VPN-Gateways.Incoming traffic over VPN site-to-site (or ExpressRoute) hits the public IP address of the Azure VPN gateway.
    • Der Datenverkehr wird durch die Firewall geroutet und unterliegt den Firewallregeln.Traffic is routed through the firewall and subject to firewall rules.
    • Nach dem Anwenden der Firewallregeln wird der Datenverkehr an ein internes Lastenausgleichsmodul (Standard-SKU) im vertrauenswürdigen Subnetz der internen Zone weitergeleitet.After applying firewall rules, traffic is forwarded to an internal load balancer (Standard SKU) on the trusted internal zone subnet.
    • Ausgehender Datenverkehr aus dem vertrauenswürdigen Subnetz an das lokale Rechenzentrum über VPN wird durch die Firewall geroutet, und die Regeln werden angewendet, bevor der Datenverkehr über die VPN-Standort-zu-Standort-Verbindung geleitet wird.Outbound traffic from the trusted subnet to the on-premises datacenter over VPN is routed through the firewall, and rules applied, before going over the VPN site-to-site connection.

Entwerfen und Einrichten von Azure-NetzwerkenDesign and set up Azure networks

Nach der Einrichtung der Netzwerk- und Routingtopologie ist Contoso jetzt bereit für die Einrichtung von Azure-Netzwerken und -Subnetzen.With a network and routing topology in place, Contoso is ready to set up Azure networks and subnets.

  • Contoso implementiert ein privates Netzwerk der Klasse A in Azure (10.0.0.0/8).Contoso will implement a Class A private network in Azure 10.0.0.0/8. Das ist möglich, da lokal aktuell ein privater Adressraum der Klasse B (172.160.0.0/16) implementiert ist, sodass Contoso sicher sein kann, dass sich die Adressbereiche nicht überschneiden.This works, since on-premises it currently has a Class B private address space 172.160.0.0/16, so Contoso can be sure there won't be any overlap between address ranges.
  • Contoso stellt VNets sowohl in der primären als auch in der sekundären Region bereit.Contoso will deploy VNets in both the primary and secondary regions.
  • Dabei verwendet Contoso eine Namenskonvention mit dem Präfix VNET und der Regionsabkürzung EUS2 oder CUS.Contoso will use a naming convention that includes the prefix VNET and the region abbreviation EUS2 or CUS. Bei diesem Standard erhalten die Hub-Netzwerke die Namen VNET-HUB-EUS2 (USA, Osten 2) und VNET-HUB-CUS (USA, Mitte).Using this standard, the hub networks will be named VNET-HUB-EUS2 (East US 2), and VNET-HUB-CUS (Central US).

Virtuelle Netzwerke in USA, Osten 2Virtual networks in East US 2

USA, Osten 2 ist die primäre Region, die Contoso zum Bereitstellen von Ressourcen und Diensten verwenden wird.East US 2 is the primary region that Contoso will use to deploy resources and services. Die Netzwerkarchitektur wird von Contoso innerhalb dieser Region wie folgt gestaltet:Here's how Contoso will architect networks within it:

  • Hub: Das Hub-VNET in „USA, Osten 2“ wird als der zentrale Punkt der primären Konnektivität mit dem lokalen Rechenzentrum angesehen.Hub: The hub VNet in East US 2 is considered their primary connectivity to the on-premises datacenter.
  • VNETs: Die Spoke-VNets in USA, Osten 2 können bei Bedarf zum Isolieren von Workloads verwendet werden.VNets: The spoke VNets in East US 2 can be used to isolate workloads if necessary. Über das Hub-VNet hinaus wird Contoso in USA, Osten 2 zwei Spoke-VNets betreiben:In addition to the Hub VNet, Contoso will have two spoke VNets in East US 2:
    • VNET-DEV-EUS2.VNET-DEV-EUS2. Dieses VNet steht dem Entwicklungs- und Testteam als voll funktionsfähiges Netzwerk für Entwicklungsprojekte zur Verfügung.This VNet will provide the development and test team with a fully functional network for dev projects. Es soll als Pilotbereich für die Produktion fungieren und baut in seiner Funktion auf der Produktionsinfrastruktur auf.It will act as a production pilot area, and will rely on the production infrastructure to function.
      • VNET-PROD-EUS2.VNET-PROD-EUS2. Azure-IaaS-Produktionskomponenten befinden sich in diesem Netzwerk.Azure IaaS production components will be located in this network.
    • Jedes VNet verfügt über einen eigenen, eindeutigen Adressraum ohne Überschneidungen.Each VNet will have its own unique address space, with no overlap. Contoso plant, das Routing ohne NAT zu konfigurieren.Contoso intend to configure routing without requiring NAT.
  • Subnetze:Subnets:
    • In jedem Netzwerk ist ein Subnetz für jede Anwendungsschicht vorhanden.There will be a subnet in each network for each app tier.
    • Jedem Subnetz im Produktionsnetzwerk entspricht ein Subnetz im Entwicklungs-VNet.Each subnet in the Production network will have a matching subnet in the Development VNet.
    • Darüber hinaus enthält das Produktionsnetzwerk ein Subnetz für Domänencontroller.In addition, the Production network has a subnet for domain controllers.

Die VNETs in „USA, Osten 2“ sind in der folgenden Tabelle zusammengefasst.VNets in East US 2 are summarized in the following table.

VNETVNet BereichRange PeerPeer
VNET-HUB-EUS2VNET-HUB-EUS2 10.240.0.0/2010.240.0.0/20 VNET-HUB-CUS2, VNET-DEV-EUS2, VNET-PROD-EUS2VNET-HUB-CUS2, VNET-DEV-EUS2, VNET-PROD-EUS2
VNET-DEV-EUS2VNET-DEV-EUS2 10.245.16.0/2010.245.16.0/20 VNET-HUB-EUS2VNET-HUB-EUS2
VNET-PROD-EUS2VNET-PROD-EUS2 10.245.32.0/2010.245.32.0/20 VNET-HUB-EUS2, VNET-PROD-CUSVNET-HUB-EUS2, VNET-PROD-CUS

Hub-and-Spoke-Modell in der primären Region

Subnetze im Hub-Netzwerk USA, Osten 2 (VNET-HUB-EUS2)Subnets in the East US 2 Hub network (VNET-HUB-EUS2)

Subnetz/ZoneSubnet/zone CIDRCIDR **Verwendbare IP-Adressen**Usable IP addresses
IB-UntrustZoneIB-UntrustZone 10.240.0.0/2410.240.0.0/24 251251
IB-TrustZoneIB-TrustZone 10.240.1.0/2410.240.1.0/24 251251
OB-UntrustZoneOB-UntrustZone 10.240.2.0/2410.240.2.0/24 251251
OB-TrustZoneOB-TrustZone 10.240.3.0/2410.240.3.0/24 251251
GatewaySubnetsGatewaySubnets 10.240.10.0/2410.240.10.0/24 251251

Subnetze im Entwicklungsnetzwerk USA, Osten 2 (VNET-DEV-EUS2)Subnets in the East US 2 Dev network (VNET-DEV-EUS2)

Das Entwicklungs-VNet wird vom Entwicklungsteam als Pilotbereich für die Produktion verwendet.The Development VNet is used by the development team as a production pilot area. Es verfügt über drei Subnetze.It has three subnets.

SubnetzSubnet CIDRCIDR AdressenAddresses In SubnetzIn subnet
DEV-FE-EUS2DEV-FE-EUS2 10.245.16.0/2210.245.16.0/22 10191019 Front-Ends/Webschicht-VMsFront-ends/web-tier VMs
DEV-APP-EUS2DEV-APP-EUS2 10.245.20.0/2210.245.20.0/22 10191019 App-Schicht-VMsApp-tier VMs
DEV-DB-EUS2DEV-DB-EUS2 10.245.24.0/2310.245.24.0/23 507507 Datenbank-VMsDatabase VMs

Subnetze im Produktionsnetzwerk USA, Osten 2 (VNET-PROD-EUS2)Subnets in the East US 2 Production network (VNET-PROD-EUS2)

Azure-IaaS-Komponenten befinden sich im Produktionsnetzwerk.Azure IaaS components are located in the Production network. Jede App-Schicht weist ihr eigenes Subnetz auf.Each app tier has its own subnet. Die Subnetze entsprechen denen im Entwicklungsnetzwerk, mit einem zusätzlichen Netzwerk für Domänencontroller.Subnets match those in the Development network, with the addition of a subnet for domain controllers.

SubnetzSubnet CIDRCIDR AdressenAddresses In SubnetzIn subnet
PROD-FE-EUS2PROD-FE-EUS2 10.245.32.0/2210.245.32.0/22 10191019 Front-Ends/Webschicht-VMsFront-ends/web tier VMs
PROD-APP-EUS2PROD-APP-EUS2 10.245.36.0/2210.245.36.0/22 10191019 App-Schicht-VMsApp-tier VMs
PROD-DB-EUS2PROD-DB-EUS2 10.245.40.0/2310.245.40.0/23 507507 Datenbank-VMsDatabase VMs
PROD-DC-EUS2PROD-DC-EUS2 10.245.42.0/2410.245.42.0/24 251251 Domänencontroller-VMsDomain controller VMs

Hub-Netzwerkarchitektur

Virtuelle Netzwerke in USA, Mitte (sekundäre Region)Virtual networks in Central US (secondary region)

USA Mitte ist die sekundäre Region von Contoso.Central US is Contoso's secondary region. Die Netzwerkarchitektur wird von Contoso innerhalb dieser Region wie folgt gestaltet:Here's how Contoso will architect networks within it:

  • Hub: Das Hub-VNET in der Region „USA, Mitte“ wird als der sekundäre Punkt für die Konnektivität mit dem lokalen Rechenzentrum angesehen, und die Spoke-VNETs in der Region „USA, Mitte 2“ werden getrennt von anderen Spokes verwaltet und können bei Bedarf zur Isolierung von Workloads verwendet werden.Hub: The hub VNet in Central US is considered their secondary point of connectivity to the on-premises datacenter, and the spoke VNets in Central US can be used to isolate workloads if necessary, managed separately from other spokes.
  • VNETs: Contoso verwendet zwei VNETs in „USA, Mitte“:VNets: Contoso will have two VNets in Central US:
    • VNET-PROD-CUS.VNET-PROD-CUS. Dieses VNet ist ein Produktionsnetzwerk und kann als sekundärer Hub angesehen werden.This VNet is a production network and can be thought of as a secondary hub.
    • VNET-ASR-CUS.VNET-ASR-CUS. Diese VNet fungiert als Ort, an dem nach einem Failover von der lokalen Infrastruktur VMs erstellt werden, oder als Ort für Azure-VMs, bei denen ein Failover von der primären zur sekundären Region eingetreten ist.This VNet will act as a location in which VMs are created after failover from on-premises, or as a location for Azure VMs that are failed over from the primary to the secondary region. Diese Netzwerk ist ähnlich wie die Produktionsnetzwerke, weist aber keine Domänencontroller auf.This network is similar to the production networks, but without any domain controllers on it.
    • Jedes VNet in der Region verfügt über einen eigenen Adressraum ohne Überschneidungen.Each VNet in the region will have its own address space, with no overlap. Contoso konfiguriert das Routing ohne NAT.Contoso will configure routing without NAT.
  • Subnetze: Das Design der Subnetze ähnelt der in „USA, Osten 2“.Subnets: The subnets will be designed in a similar way to those in East US 2.

Die VNETs in USA, Mitte sind in der folgenden Tabelle zusammengefasst.The VNets in Central US are summarized in the following table.

VNETVNet BereichRange PeerPeer
VNET-HUB-CUSVNET-HUB-CUS 10.250.0.0/2010.250.0.0/20 VNET-HUB-EUS2, VNET-ASR-CUS, VNET-PROD-CUSVNET-HUB-EUS2, VNET-ASR-CUS, VNET-PROD-CUS
VNET-ASR-CUSVNET-ASR-CUS 10.255.16.0/2010.255.16.0/20 VNET-HUB-CUS, VNET-PROD-CUSVNET-HUB-CUS, VNET-PROD-CUS
VNET-PROD-CUSVNET-PROD-CUS 10.255.32.0/2010.255.32.0/20 VNET-HUB-CUS, VNET-ASR-CUS, VNET-PROD-EUS2VNET-HUB-CUS, VNET-ASR-CUS, VNET-PROD-EUS2

Hub-and-Spoke-Modell im Regionspaar

Subnetze im Hub-Netzwerk „USA, Mitte“ (VNET-HUB-CUS)Subnets in the Central US Hub network (VNET-HUB-CUS)

SubnetzSubnet CIDRCIDR Verwendbare IP-AdressenUsable IP addresses
IB-UntrustZoneIB-UntrustZone 10.250.0.0/2410.250.0.0/24 251251
IB-TrustZoneIB-TrustZone 10.250.1.0/2410.250.1.0/24 251251
OB-UntrustZoneOB-UntrustZone 10.250.2.0/2410.250.2.0/24 251251
OB-TrustZoneOB-TrustZone 10.250.3.0/2410.250.3.0/24 251251
GatewaySubnetGatewaySubnet 10.250.2.0/2410.250.2.0/24 251251

Subnetze im Produktionsnetzwerk USA, Mitte (VNET-PROD-CUS)Subnets in the Central US Production network (VNET-PROD-CUS)

Parallel zum Produktionsnetzwerk in der primären Region „USA, Osten 2“ gibt es ein Produktionsnetzwerk in der sekundären Region „USA, Mitte“.In parallel with the production network in the primary East US 2 region, there's a production network in the secondary Central US region.

SubnetzSubnet CIDRCIDR AdressenAddresses In SubnetzIn subnet
PROD-FE-CUSPROD-FE-CUS 10.255.32.0/2210.255.32.0/22 10191019 Front-Ends/Webschicht-VMsFront-ends/web-tier VMs
PROD-APP-CUSPROD-APP-CUS 10.255.36.0/2210.255.36.0/22 10191019 App-Schicht-VMsApp-tier VMs
PROD-DB-CUSPROD-DB-CUS 10.255.40.0/2310.255.40.0/23 507507 Datenbank-VMsDatabase VMs
PROD-DC-CUSPROD-DC-CUS 10.255.42.0/2410.255.42.0/24 251251 Domänencontroller-VMsDomain controller VMs

Subnetze im Failover-/Wiederherstellungsnetzwerk in USA, Mitte (VNET-ASR-CUS)Subnets in the Central US failover/recovery network in Central US (VNET-ASR-CUS)

Das VNET-ASR-CUS-Netzwerk wird für Failoverzwecke zwischen den Regionen verwendet.The VNET-ASR-CUS network is used for purposes of failover between regions. Für Replikation und Failover bei Azure-VMs zwischen den Regionen wird Site Recovery verwendet.Site Recovery will be used to replicate and fail over Azure VMs between the regions. Es fungiert darüber hinaus als Netzwerk für geschützte Workloads, die lokal bleiben, für die aber bei der Notfallwiederherstellung ein Failover ausgeführt werden muss, und verbindet das Contoso-Rechenzentrum mit dem Azure-Netzwerk.It also functions as a Contoso datacenter to Azure network for protected workloads that remain on-premises, but fail over to Azure for disaster recovery.

VNET-ASR-CUS ist das gleiche einfache Subnetz wie das Produktions-VNET in der Region „USA, Osten 2“, kommt jedoch ohne ein Subnetz für den Domänencontroller aus.VNET-ASR-CUS is the same basic subnet as the production VNet in East US 2, but without the need for a domain controller subnet.

SubnetzSubnet CIDRCIDR AdressenAddresses In SubnetzIn subnet
ASR-FE-CUSASR-FE-CUS 10.255.16.0/2210.255.16.0/22 10191019 Front-Ends/Webschicht-VMsFront-ends/web-tier VMs
ASR-APP-CUSASR-APP-CUS 10.255.20.0/2210.255.20.0/22 10191019 App-Schicht-VMsApp-tier VMs
ASR-DB-CUSASR-DB-CUS 10.255.24.0/2310.255.24.0/23 507507 Datenbank-VMsDatabase VMs

Hub-Netzwerkarchitektur

Konfigurieren von Verbindungen mit PeeringConfigure peered connections

Der Hub in jeder Region ist mittels Peering mit dem Hub in der anderen Region und mit allen VNets innerhalb der Hubregion verbunden.The hub in each region will be peered to the hub in the other region, and to all VNets within the hub region. Dadurch können Hubs kommunizieren und alle VNets innerhalb einer Region „sehen“.This allows for hubs to communicate, and to view all VNets within a region. Beachten Sie dabei Folgendes:Note that:

  • Durch Peering wird eine Verbindung mit zwei Seiten erstellt.Peering creates a two-sided connection. Eine vom einleitenden Peer auf dem ersten VNet, die andere auf dem zweiten VNet.One from the initiating peer on the first VNet, and another one on the second VNet.
  • In einer Hybridbereitstellung muss Datenverkehr, der zwischen Peers übertragen wird, über die VPN-Verbindung zwischen dem lokalen Rechenzentrum und Azure sichtbar sein.In a hybrid deployment, traffic that passes between peers needs to be visible from the VPN connection between the on-premises datacenter and Azure. Dies wird mithilfe einiger spezifischer Einstellungen ermöglicht, die für Verbindungen mit Peering festgelegt werden müssen.To enable this, there are some specific settings that must be set on peered connections.

Für alle Verbindungen von Spoke-VNets durch den Hub in das lokale Rechenzentrum muss Contoso die Weiterleitung von Datenverkehr und die Durchquerung der VPN-Gateways zulassen.For any connections from spoke VNets through the hub to the on-premises datacenter, Contoso needs to allow traffic to be forwarded, and transverse the VPN gateways.

DomänencontrollerDomain controller

Hinsichtlich der Domänencontroller im Netzwerk VNET-PROD-EUS2 wünscht Contoso den Fluss des Datenverkehrs zwischen dem EUS2-Hub-/Produktionsnetzwerk und über die VPN-Verbindung zum lokalen Rechenzentrum.For the domain controllers in the VNET-PROD-EUS2 network, Contoso wants traffic to flow both between the EUS2 hub/production network, and over the VPN connection to on-premises. Hierzu müssen die Administratoren von Contoso Folgendes zulassen:To do this, Contoso admins must allow the following:

  1. Weitergeleiteten Datenverkehr zulassen und Gatewaytransit zulassen für die Verbindung mit Peering.Allow forwarded traffic and Allow gateway transit configurations on the peered connection. In unserem Beispiel wäre das die Verbindung von VNET-HUB-EUS2 mit VNET-PROD-EUS2.In our example, this would be the VNET-HUB-EUS2 to VNET-PROD-EUS2 connection.

    Peering

  2. Weitergeleiteten Datenverkehr zulassen und Remotegateways verwenden auf der anderen Seite der Peeringverbindung, für die Verbindung von VNET-PROD-EUS2 mit VNET-HUB-EUS2.Allow forwarded traffic and Use remote gateways on the other side of the peering, on the VNET-PROD-EUS2 to VNET-HUB-EUS2 connection.

    Peering

  3. Lokal wird eine statische Route eingerichtet, die den zu routenden lokalen Datenverkehr über den VPN-Tunnel an das VNet leitet.On-premises they'll set up a static route that directs the local traffic to route across the VPN tunnel to the VNet. Die Konfiguration würde auf dem Gateway abgeschlossen, das den VPN-Tunnel von Contoso zu Azure bereitstellt.The configuration would be completed on the gateway that provides the VPN tunnel from Contoso to Azure. Dafür verwenden sie RRAS.They use RRAS for this.

    Peering

ProduktionsnetzwerkeProduction networks

Ein Peernetzwerk mit Spokes kann ein Peernetzwerk mit Spokes in einer anderen Region über einen Hub nicht sehen.A spoked peer network can't see a spoked peer network in another region via a hub.

Damit die Contoso-Produktionsnetzwerke in beiden Regionen füreinander sichtbar sind, müssen die Administratoren von Contoso zwischen VNET-PROD-EUS2 und VNET-PROD-CUS eine direkte Verbindung mit Peering erstellen.For Contoso's production networks in both regions to see each other, Contoso admins need to create a direct peered connection for VNET-PROD-EUS2 and VENT-PROD-CUS.

Peering

Einrichten von DNSSet up DNS

Beim Bereitstellen von Ressourcen in virtuellen Netzwerken bietet sich für die Domänennamenauflösung eine Reihe von Optionen.When you deploy resources in virtual networks, you have a couple of choices for domain name resolution. Sie können die in Azure verfügbare Namensauflösung verwenden oder DNS-Server für die Auflösung bereitstellen.You can use name resolution provided by Azure, or provide DNS servers for resolution. Welche Art der Namensauflösung Sie verwenden, hängt davon ab, wie die Ressourcen miteinander kommunizieren müssen.The type of name resolution you use depends on how your resources need to communicate with each other. Hier finden Sie weitere Informationen über den Azure DNS-Dienst.Get more information about the Azure DNS service.

Die Administratoren von Contoso haben entschieden, dass der Azure DNS-Dienst keine gute Wahl für die Hybridumgebung ist.Contoso admins have decided that the Azure DNS service isn't a good choice in the hybrid environment. Stattdessen werden sie die lokalen DNS-Server verwenden.Instead, they will use the on-premises DNS servers.

  • Da es sich um ein Hybridnetzwerk handelt, müssen alle VMs – lokal wie in Azure – in der Lage sein, Namen aufzulösen, um ordnungsgemäß zu funktionieren.Since this is a hybrid network, all the VMs on premises and in Azure need to be able to resolve names to function properly. Dies bedeutet, dass auf alle VNets benutzerdefinierte DNS-Einstellungen angewendet werden müssen.This means that custom DNS settings must be applied to all the VNets.

  • Contoso verfügt derzeit über bereitgestellte DCs im Contoso-Rechenzentrum und in den Niederlassungen.Contoso currently has DCs deployed in the Contoso datacenter and at the branch offices. Die primären DNS-Server sind CONTOSODC1(172.16.0.10) und CONTOSODC2(172.16.0.1).The primary DNS servers are CONTOSODC1 (172.16.0.10) and CONTOSODC2 (172.16.0.1).

  • Nach der Bereitstellung der VNets werden die lokalen Domänencontroller für die Verwendung als DNS-Server in den Netzwerken konfiguriert.Once the VNets are deployed, the on-premises domain controllers are configured as DNS servers in the networks.

  • Wenn ein optionales benutzerdefiniertes DNS für das virtuelle Netzwerk angegeben wird, muss die virtuelle IP-Adresse 168.63.129.16 für die rekursiven Resolver in Azure zur Liste hinzugefügt werden.If an optional custom DNS is specified for the virtual network, the virtual IP address 168.63.129.16 for the recursive resolvers in Azure must be added to the list. Dazu konfiguriert Contoso die DNS-Servereinstellungen auf jedem VNet.To do this, Contoso configures DNS server settings on each VNet. Beispielsweise wären dies die benutzerdefinierten DNS-Einstellungen für das VNET-HUB-EUS2-Netzwerk:For example, the custom DNS settings for the VNET-HUB-EUS2 network would be as follows:

    Benutzerdefinierter DNS

Neben den lokalen Domänencontrollern implementiert Contoso zur Unterstützung der Azure-Netzwerke noch vier weitere Domänencontroller (jeweils zwei pro Region).In addition to the on-premises domain controllers, Contoso will implement four more domain controllers to support the Azure networks, two for each region. Contoso stellt also Folgendes in Azure bereit:Here's what Contoso will deploy in Azure.

RegionRegion DCDC VNETVNet SubnetzSubnet IP-AdresseIP address
EUS2EUS2 CONTOSODC3CONTOSODC3 VNET-PROD-EUS2VNET-PROD-EUS2 PROD-DC-EUS2PROD-DC-EUS2 10.245.42.410.245.42.4
EUS2EUS2 CONTOSODC4CONTOSODC4 VNET-PROD-EUS2VNET-PROD-EUS2 PROD-DC-EUS2PROD-DC-EUS2 10.245.42.510.245.42.5
CUSCUS CONTOSODC5CONTOSODC5 VNET-PROD-CUSVNET-PROD-CUS PROD-DC-CUSPROD-DC-CUS 10.255.42.410.255.42.4
CUSCUS CONTOSODC6CONTOSODC6 VNET-PROD-CUSVNET-PROD-CUS PROD-DC-CUSPROD-DC-CUS 10.255.42.410.255.42.4

Nach der Bereitstellung der lokalen Domänencontroller muss Contoso die DNS-Einstellungen in den Netzwerken beider Regionen aktualisieren, damit die neuen Domänencontroller in den Listen der DNS-Server vorhanden sind.After deploying the on-premises domain controllers, Contoso needs to update the DNS settings on networks on either region to include the new domain controllers in the DNS server list.

Einrichten von Domänencontrollern in AzureSet up domain controllers in Azure

Nach der Aktualisierung der Netzwerkeinstellungen sind die Administratoren von Contoso bereit, die Domänencontroller in Azure zu implementieren.After updating network settings, Contoso admins are ready to build out the domain controllers in Azure.

  1. Im Azure-Portal stellen sie eine neue Windows Server-VM im passenden VNet bereit.In the Azure portal, they deploy a new Windows Server VM to the appropriate VNet.

  2. Sie erstellen an jedem Standort Verfügbarkeitsgruppen für die VM.They create availability sets in each location for the VM. Verfügbarkeitsgruppen haben diese Aufgaben:Availability sets do the following:

    • Sie stellen sicher, dass die Azure-Gesamtstruktur die VMs in verschiedene Infrastrukturen in der Azure-Region aufteilt.Ensure that the Azure fabric separates the VMs into different infrastructures in the Azure Region.
    • Sie ermöglichen Contoso die Qualifikation für die 99,95 %-SLA für VMs in Azure.Allows Contoso to be eligible for the 99.95% SLA for VMs in Azure. Weitere InformationenLearn more.

    Verfügbarkeitsgruppe

  3. Nach der Bereitstellung des virtuellen Computers öffnen sie die Netzwerkschnittstelle für den virtuellen Computer.After the VM is deployed, they open the network interface for the VM. Sie legen die private IP-Adresse als statisch fest und geben eine gültige Adresse an.They set the private IP address to static, and specify a valid address.

    VM-NIC

  4. Jetzt wird ein neuer Datenträger an die VM angefügt.Now, they attach a new data disk to the VM. Dieser Datenträger enthält die Active Directory-Datenbank und die SYSVOL-Freigabe.This disk contains the Active Directory database, and the sysvol share.

    • Die Größe des Datenträgers bestimmt die unterstützte Anzahl IOPS.The size of the disk will determine the number of IOPS that it supports.
    • Im Lauf der Zeit muss die Datenträgergröße möglicherweise heraufgesetzt werden, wenn die Umgebung wächst.Over time the disk size might need to increase as the environment grows.
    • Das Laufwerk darf nicht auf Lesen/Schreiben für die Hostzwischenspeicherung festgelegt sein.The drive shouldn't be set to Read/Write for host caching. Active Directory-Datenbanken unterstützen dies nicht.Active Directory databases don't support this.

    Active Directory-Datenträger

  5. Nach dem Hinzufügen des Datenträgers wird über Remotedesktop eine Verbindung mit der VM hergestellt und der Server-Manager geöffnet.After the disk is added, they connect to the VM over Remote Desktop, and open Server Manager.

  6. Anschließend wird unter Datei- und Speicherdienste der Assistent für neue Volumes ausgeführt und sichergestellt, dass das Laufwerk auf der lokalen VM den Laufwerksbuchstaben F: oder höher erhält.Then in File and Storage Services, they run the New Volume Wizard, ensuring that the drive is given the letter F: or above on the local VM.

    Assistent für neue Volumes

  7. Im Server-Manager wird die Rolle Active Directory Domain Services hinzugefügt.In Server Manager, they add the Active Directory Domain Services role. Anschließend wird der virtuelle Computer als Domänencontroller konfiguriert.Then, they configure the VM as a domain controller.

    Serverrolle

  8. Nachdem die VM als DC konfiguriert und neu gestartet wurde, wird der DNS-Manager geöffnet und der Azure DNS-Resolver für Weiterleitung konfiguriert.After the VM is configured as a DC and rebooted, they open DNS Manager and configure the Azure DNS resolver as a forwarder. Dies erlaubt dem DC die Weiterleitung von DNS-Abfragen, die er nicht auflösen kann, an das Azure-DNS.This allows the DC to forward DNS queries it can't resolve in the Azure DNS.

    DNS-Weiterleitung

  9. Jetzt werden die benutzerdefinierten DNS-Einstellungen für jedes VNet mit dem passenden Domänencontroller für die VNet-Region aktualisiert.Now, they update the custom DNS settings for each VNet with the appropriate domain controller for the VNet region. Sie beinhalten die lokalen DCs in der Liste.They include on-premises DCs in the list.

Einrichten von Active DirectorySet up Active Directory

Active Directory ist ein kritischer Dienst im Netzwerk und muss ordnungsgemäß konfiguriert werden.Active Directory is a critical service in networking, and must be configured correctly. Die Administratoren von Contoso erstellen Active Directory-Standorte für das Contoso-Rechenzentrum und für die Regionen EUS2 und CUS.Contoso admins will build Active Directory sites for the Contoso datacenter, and for the EUS2 and CUS regions.

  1. Sie erstellen zwei neue Standorte (AZURE-EUS2und AZURE-CUS) zusammen mit der Website des Rechenzentrums (ContosoDatacenter).They create two new sites (AZURE-EUS2, and AZURE-CUS) along with the datacenter site (ContosoDatacenter).

  2. Nach dem Erstellen der Standorte werden Subnetze an den Standorten erstellt, um VNets und Rechenzentrum einander zuzuordnen.After creating the sites, they create subnets in the sites, to match the VNets and datacenter.

    DC-Subnetze

  3. Anschließend werden zwei Standortverknüpfungen erstellt, um alles zu verbinden.Then, they create two site links to connect everything. Dann sollten die Domänencontroller an ihre Standorte gebracht werden.The domain controllers should then be moved to their location.

    DC-Verknüpfungen

  4. Nachdem alles konfiguriert wurde, ist die Active Directory-Replikationstopologie implementiert.After everything is configured, the Active Directory replication topology is in place.

    DC-Replikation

  5. Nachdem alles abgeschlossen wurde, wird eine Liste der Domänencontroller und Standorte im lokalen Active Directory-Verwaltungscenter angezeigt.With everything complete, a list of the domain controllers and sites is shown in the on-premises Active Directory Administrative Center.

    Active Directory-Verwaltungscenter

Schritt 5: Planen der GovernanceStep 5: Plan for governance

Azure stellt übergreifend in den Diensten und auf der Azure-Plattform eine Reihe von Governance-Steuerelementen zur Verfügung.Azure provides a range of governance controls across services and the Azure platform. Weitere Informationen finden Sie in den Azure-Governanceoptionen.For more information, see the Azure governance options.

Bei der Konfiguration von Identität und Zugriffssteuerung hat Contoso bereits mit der Implementierung einiger Governance- und Sicherheitsaspekte begonnen.As they configure identity and access control, Contoso has already begun to put some aspects of governance and security in place. Allgemein gibt es drei Bereiche, die berücksichtigt werden müssen:Broadly, there are three areas it needs to consider:

  • Policy: Azure Policy wendet in Azure Regeln und Wirkungen auf Ihre Ressourcen an und setzt sie durch, sodass die Ressourcen sich konform zu Unternehmensanforderungen und SLAs verhalten.Policy: Azure Policy applies and enforces rules and effects over your resources, so that resources stay compliant with corporate requirements and SLAs.
  • Sperren: Azure erlaubt das Sperren von Abonnements, Ressourcengruppen und sonstigen Ressourcen, sodass diese nur von Personen geändert werden können, die dazu berechtigt sind.Locks: Azure allows you to lock subscriptions, resources groups, and other resources, so that they can be modified only by those with authority to do so.
  • Tags: Ressourcen können mithilfe von Tags gesteuert, überwacht und verwaltet werden.Tags: Resources can be controlled, audited, and managed with tags. Tags fügen Ressourcen Metadaten an, die Informationen über Ressourcen oder Besitzer bereitstellen.Tags attach metadata to resources, providing information about resources or owners.

Einrichten von RichtlinienSet up policies

Der Azure Policy-Dienst führt eine Bewertung von Ressourcen durch, um die zu ermitteln, die nicht mit den implementierten Richtliniendefinitionen kompatibel sind.The Azure Policy service evaluates your resources, scanning for those not compliant with the policy definitions you have in place. Angenommen, es wäre eine Richtlinie implementiert, die nur bestimmte Typen von VMs zulässt oder für Ressourcen ein bestimmtes Tag vorschreibt.For example, you might have a policy that only allows certain types of VMs, or requires resources to have a specific tag.

Richtlinien legen eine Richtliniendefinition fest, und die Richtlinienzuweisung gibt den Umfang an, in dem eine Richtlinie angewendet werden soll.Policies specify a policy definition, and a policy assignment specifies the scope in which a policy should be applied. Der Umfang kann von einer Verwaltungsgruppe bis zu einer Ressourcengruppe reichen.The scope can range from a management group to a resource group. Weitere Informationen zum Erstellen und Verwalten von Richtlinien.Learn about creating and managing policies.

Contoso möchte zwei Richtlinien einführen:Contoso wants to begin a couple of policies:

  • Eine Richtlinie soll sicherstellen, dass Ressourcen nur in den Regionen EUS2 und CUS bereitgestellt werden können.It wants a policy to ensure that resources can be deployed in the EUS2 and CUS regions only.
  • Eine Richtlinie soll die VM-SKUs auf genehmigte SKUs beschränken.It wants to limit VM SKUs to approved SKUs only. Die Absicht dahinter ist, den Einsatz von teuren VM-SKUs zu verhindern.The intention is to ensure that expensive VM SKUs aren't used.

Einschränken von Ressourcen auf RegionenLimit resources to regions

Contoso verwendet die integrierte Richtliniendefinition Zulässige Standorte zum Einschränken von Ressourcenregionen.Contoso uses the built-in policy definition Allowed locations to limit resource regions.

  1. Wählen Sie im Azure-Portal Alle Dienste aus, und suchen Sie nach Richtlinie.In the Azure portal, select All services, and search for Policy.

  2. Wählen Sie Zuweisungen > Richtlinie zuweisen aus.Select Assignments > Assign policy.

  3. Wählen Sie in der Liste der Richtlinien Zulässige Standorte aus.In the policy list, select Allowed locations.

  4. Legen Sie Bereich auf den Namen des Azure-Abonnements fest, und wählen Sie die zwei Regionen in der Zulassungsliste aus.Set Scope to the name of the Azure subscription, and select the two regions in the allowed list.

    Durch die Richtlinie zugelassene Regionen

  5. Standardmäßig wird die Richtlinie mit Verweigern festgelegt, was bewirkt, dass eine Bereitstellung im Abonnement, die nicht in EUS2 oder CUS erfolgt, fehlschlägt.By default the policy is set with Deny, meaning that if someone starts a deployment in the subscription that isn't in EUS2 or CUS, the deployment will fail. Hier sehen Sie, was geschieht, wenn jemand im Contoso-Abonnement versucht, eine Bereitstellung in USA, Westen einzurichten.Here's what happens if someone in the Contoso subscription tries to set up a deployment in West US.

    Richtlinienfehler

Zulassen bestimmter VM-SKUsAllow specific VM SKUs

Contoso verwendet die integrierte Richtliniendefinition SKUs für virtuelle Computer zulassen, um den Typ der VMs einzuschränken, die im Abonnement erstellt werden können.Contoso will use the built-in policy definition Allow virtual machines SKUs to limit the type of VMs that can be created in the subscription.

SKU-Richtlinie

Überprüfen der RichtlinienkonformitätCheck policy compliance

Richtlinien treten sofort in Kraft, und Contoso kann Ressourcen auf Konformität überprüfen.Policies go into effect immediately, and Contoso can check resources for compliance.

  1. Wählen Sie im Azure-Portal den Link Compliance aus.In the Azure portal, select the Compliance link.

  2. Das Compliance-Dashboard wird angezeigt.The compliance dashboard appears. Sie können einen Drilldown ausführen, um weitere Details anzuzeigen.You can drill down for further details.

    Richtlinienkonformität

Einrichten von SperrenSet up locks

Contoso hat lange das ITIL-Framework für die Verwaltung seiner Systeme verwendet.Contoso has long been using the ITIL framework for the management of its systems. Einer der wichtigsten Aspekte des Frameworks ist die Änderungssteuerung, und Contoso möchte sicherstellen, dass auch eine Änderungssteuerung in der Azure-Bereitstellung implementiert wird.One of the most important aspects of the framework is change control, and Contoso wants to make sure that change control is implemented in the Azure deployment.

Contoso wird Sperren in folgender Weise implementieren:Contoso is going to implement locks as follows:

  • Alle Produktions- oder Failoverkomponenten müssen sich in einer Ressourcengruppe befinden, die eine Schreibschutzsperre aufweist.Any production or failover component must be in a resource group that has a ReadOnly lock. Das bedeutet, dass die Sperre zum Ändern oder Löschen von Produktionselementen entfernt werden muss.This means that to modify or delete production items, the lock must be removed.
  • Nicht zur Produktion gehörende Ressourcengruppen erhalten CanNotDelete-Sperren.Nonproduction resource groups will have CanNotDelete locks. Damit können autorisierte Benutzer eine Ressource lesen oder ändern, aber nicht löschen.This means that authorized users can read or modify a resource, but cannot delete it.

Weitere Informationen über Sperren.Learn more about locks.

Einrichten des TaggingSet up tagging

Um Ressourcen beim Hinzufügen nachzuverfolgen, wird es für Contoso zunehmend wichtig, sie einer entsprechenden Abteilung, einem Kunden und einer Umgebung zuzuordnen.To track resources as they're added, it will be increasingly important for Contoso to associate resources with an appropriate department, customer, and environment.

Über das Bereitstellen von Informationen über Ressourcen und Besitzer hinaus geben Tags Contoso die Möglichkeit, Ressourcen zusammenzufassen und zu gruppieren und diese Daten zur verbrauchsbasierten Kostenzuteilung zu verwenden.In addition to providing information about resources and owners, tags will enable Contoso to aggregate and group resources, and to use that data for chargeback purposes.

Contoso muss seine Azure-Ressourcen auf eine Weise visualisieren, die für das Unternehmen sinnvoll ist, etwa als Rolle oder Abteilung.Contoso needs to visualize its Azure assets in a way that makes sense for the business, such as by role or department. Beachten Sie, dass Ressourcen gleiche Tags aufweisen können, obwohl sie sich nicht in der gleichen Ressourcengruppe befinden.Note that resources don't need to reside in the same resource group to share a tag. Contoso erstellt eine Taxonomie für Tags, damit alle die gleichen Tags verwenden.Contoso will create a tag taxonomy so that everyone uses the same tags.

TagnameTag name WertValue
CostCenterCostCenter 12345: Es muss sich um eine in SAP gültige Kostenstelle handeln.12345: It must be a valid cost center from SAP.
BusinessUnitBusinessUnit Name der Geschäftseinheit (von SAP).Name of business unit (from SAP). Entspricht CostCenter.Matches CostCenter.
ApplicationTeamApplicationTeam E-Mail-Alias des Teams, das den Support für die App besitzt.Email alias of the team that owns support for the app.
CatalogNameCatalogName Name der App oder des freigegebenen Diensts nach dem von der Ressource unterstützten Dienstkatalog.Name of the app or ShareServices, per the service catalog that the resource supports.
ServiceManagerServiceManager E-Mail-Alias des ITIL-Dienst-Managers für die Ressource.Email alias of the ITIL Service Manager for the resource.
COBPriorityCOBPriority Vom Unternehmen für BCDR festgelegte Priorität.Priority set by the business for BCDR. Werte von 1–5.Values of 1-5.
ENVENV DEV, STG und PROD sind die zulässigen Werte.DEV, STG, and PROD are the allowed values. Sie stehen für Entwicklung, Staging und Produktion.Representing developing, staging, and production.

Beispiel:For example:

Azure-Tag

Nach dem Erstellen des Tags kehrt Contoso zum Erstellen neuer Richtliniendefinitionen und -zuweisungen zurück, um die Verwendung der erforderlichen Tags in der gesamten Organisation durchzusetzen.After creating the tag, Contoso will go back and create new policy definitions and assignments, to enforce the use of the required tags across the organization.

Schritt 6: Planen der SicherheitStep 6: Consider security

Sicherheit ist in der Cloud entscheidend, und Azure bietet eine große Bandbreite an Sicherheitstools und -funktionen.Security is crucial in the cloud, and Azure provides a wide array of security tools and capabilities. Diese unterstützen Sie beim Aufbau von sicheren Lösungen auf der sicheren Azure-Plattform.These help you to create secure solutions, on the secure Azure platform. Lesen Sie Sicher in der vertrauenswürdigen Cloud, um mehr über Azure-Sicherheit zu erfahren.Read Confidence in the trusted cloud to learn more about Azure security.

Für Contoso ist eine Reihe von Hauptaspekten zu berücksichtigen:There are a few aspects for Contoso to consider:

  • Azure Security Center: Azure Security Center bietet einheitliche Funktionen für die Sicherheitsverwaltung und den erweiterten Schutz vor Bedrohungen für Hybrid Cloud-Workloads.Azure Security Center: Azure Security Center provides unified security management and advanced threat protection across hybrid cloud workloads. Mit Security Center können Sie Sicherheitsrichtlinien für Ihre Workloads anwenden, die Angriffsfläche für Bedrohungen verringern sowie Angriffe erkennen und darauf reagieren.With Security Center, you can apply security policies across your workloads, limit your exposure to threats, and detect and respond to attacks. Weitere InformationenLearn more.
  • Netzwerksicherheitsgruppen (NSGs): Eine NSG ist ein Filter (Firewall) mit einer Liste von Sicherheitsregeln, deren Anwendung zur Zulassung oder Ablehnung von Netzwerkverkehr an mit Azure-VNETs verbundene Ressourcen führt.Network security groups (NSGs): An NSG is a filter (firewall) that contains a list of security rules that, when applied, allow or deny network traffic to resources connected to Azure VNets. Weitere InformationenLearn more.
  • Datenverschlüsselung: Azure Disk Encryption ist eine Funktion, mit der Sie die Datenträger von virtuellen Windows- und Linux-IaaS-Computern verschlüsseln können.Data encryption: Azure Disk Encryption is a capability that helps you encrypt your Windows and Linux IaaS virtual machine disks. Weitere InformationenLearn more.

Arbeiten mit dem Azure Security CenterWork with the Azure Security Center

Contoso möchte sich schnell einen Überblick über die Sicherheitslage der neuen Hybrid Cloud (und insbesondere der Azure-Workloads) verschaffen.Contoso is looking for a quick view into the security posture of its new hybrid cloud, and specifically its Azure workloads. Daher hat sich Contoso für die Implementierung von Azure Security Center entschieden, zunächst mit diesen Features:As a result, Contoso has decided to implement Azure Security Center starting with the following features:

  • Zentrale Richtlinienverwaltung.Centralized policy management.
  • Kontinuierliche Bewertung.Continuous assessment.
  • Umsetzbare Empfehlungen.Actionable recommendations.

Zentrale RichtlinienverwaltungCentralize policy management

Mit der zentralen Richtlinienverwaltung stellt Contoso dank zentraler Verwaltung von Sicherheitsrichtlinien in der gesamten Umgebung die Erfüllung der Sicherheitsanforderungen sicher.With centralized policy management, Contoso will ensure compliance with security requirements by centrally managing security policies across the entire environment. Das Unternehmen kann schnell und einfach eine Richtlinie implementieren, die für alle ihre Azure-Ressourcen gilt.It can simply and quickly implement a policy that applies to all of its Azure resources.

Sicherheitsrichtlinie

Bewertung und AktionAssess and action

Contoso nutzt die kontinuierliche Sicherheitsbewertung, die die Sicherheit von Computern, Netzwerken, Speichern, Daten und Anwendungen überwacht, um mögliche Sicherheitsprobleme zu entdecken.Contoso will take advantage of the continuous security assessment that monitors the security of machines, networks, storage, data, and applications; to discover potential security issues.

  • Security Center analysiert den Sicherheitszustand der Compute-, Infrastruktur- und Datenressourcen von Contoso sowie der Azure-Apps und -Dienste.Security Center analyzes the security state of the Contoso compute, infrastructure, and data resources, and of Azure apps and services.
  • Die kontinuierliche Bewertung hilft dem Contoso-Betriebsteam dabei, potenzielle Sicherheitsprobleme zu erkennen, z.B. Systeme mit fehlenden Sicherheitsupdates oder ungeschützten Netzwerkports.Continuous assessment helps the Contoso operations team to discover potential security issues, such as systems with missing security updates or exposed network ports.
  • Insbesondere möchte Contoso sicherstellen, dass sämtliche virtuellen Computer geschützt sind.In particular Contoso wants to make sure all of the VMs are protected. Security Center ist hier eine Hilfe, indem es die Integrität von VMs überprüft und nach Priorität geordnete, umsetzbare Empfehlungen zum Korrigieren von Sicherheitsrisiken macht, bevor diese ausgenutzt werden.Security Center helps with this, verifying VM health, and making prioritized and actionable recommendations to remediate security vulnerabilities before they're exploited.

Überwachung

Arbeiten mit NSGsWork with NSGs

Contoso kann durch Verwendung einer Netzwerksicherheitsgruppe den Netzwerkdatenverkehr auf Ressourcen in einem virtuellen Netzwerk beschränken.Contoso can limit network traffic to resources in a virtual network using network security groups.

  • Eine Netzwerksicherheitsgruppe enthält eine Liste mit Sicherheitsregeln, die ein- oder ausgehenden Netzwerkdatenverkehr basierend auf IP-Adresse, Port und Protokoll (für die Quelle bzw. das Ziel) zulassen oder ablehnen.A network security group contains a list of security rules that allow or deny inbound or outbound network traffic based on source or destination IP address, port, and protocol.
  • Bei Anwendung auf ein Subnetz gelten Regeln für alle Ressourcen des Subnetzes.When applied to a subnet, rules are applied to all resources in the subnet. Über die Netzwerkschnittstellen hinaus schließt dies auch Instanzen von Azure-Diensten ein, die im Subnetz bereitgestellt sind.In addition to network interfaces, this includes instances of Azure services deployed in the subnet.
  • Mit Anwendungssicherheitsgruppen (ASGs) können Sie die Netzwerksicherheit als natürliche Erweiterung einer App-Struktur konfigurieren und VMs gruppieren sowie auf der Grundlage dieser Gruppen Netzwerksicherheitsrichtlinien definieren.Application security groups (ASGs) enable you to configure network security as a natural extension of an app structure, allowing you to group VMs and define network security policies based on those groups.
    • Anwendungssicherheitsgruppen ermöglichen Contoso die bedarfsabhängige Wiederverwendung der Sicherheitsrichtlinie des Unternehmens, ohne dass explizite IP-Adressen manuell gewartet werden müssen.Application security groups mean that Contoso can reuse the security policy at scale, without manual maintenance of explicit IP addresses. Die Plattform übernimmt die komplexe Verarbeitung von expliziten IP-Adressen und mehreren Regelsätzen, damit Sie sich auf Ihre Geschäftslogik konzentrieren können.The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic.
    • Contoso kann eine Anwendungssicherheitsgruppe in einer Sicherheitsregel als Quelle und Ziel angeben.Contoso can specify an application security group as the source and destination in a security rule. Sobald die Sicherheitsrichtlinie definiert ist, kann Contoso VMs erstellen und die VM-NICs einer Gruppe zuweisen.After a security policy is defined, Contoso can create VMs, and assign the VM NICs to a group.

Contoso implementiert eine Mischung aus NSGs und ASGs.Contoso will implement a mix of NSGs and ASGs. Contoso hat Bedenken hinsichtlich der NSG-Verwaltung.Contoso is concerned about NSG management. Darüber hinaus hat das Unternehmen Bedenken hinsichtlich der übermäßigen Verwendung von NSGs und der zusätzlichen Komplexität für das Betriebspersonal.It's also worried about the overuse of NSGs, and the added complexity for operations staff. Contoso geht wie folgt vor:Here's what Contoso will do:

  • Der gesamte ein- und ausgehende Datenverkehr aller Subnetze (Nord-Süd) unterliegt einer NSG-Regel, mit Ausnahme der Gateway-Subnetze in den Hub-Netzwerken.All traffic into and out of all subnets (north-south), will be subject to an NSG rule, except for the GatewaySubnets in the Hub networks.
  • Alle Firewalls und Domänencontroller sind sowohl mit Subnetz-NSGs als auch mit NIC-NSGs geschützt.Any firewalls or domain controller will be protected by both subnet NSGs and NIC NSGs.
  • Auf alle Produktionsanwendungen werden ASGs angewendet.All production applications will have ASGs applied.

Zur Veranschaulichung hat Contoso ein Modell für seine Anwendungen erstellt.Contoso has built a model of how this will look for its applications.

Sicherheit

Die den ASGs zugeordneten NSGs werden mit geringsten Rechten konfiguriert, um sicherzustellen, dass nur zulässige Pakete von einem Teil des Netzwerks an ihr Ziel fließen können.The NSGs associated with the ASGs will be configured with least privilege to ensure that only allowed packets can flow from one part of the network to its destination.

AktionAction NameName QuelleSource ZielTarget PortPort
AllowAllow AllowInternetToFEAllowInternetToFE VNET-HUB-EUS1/IB-TrustZoneVNET-HUB-EUS1/IB-TrustZone APP1-FE 80, 443APP1-FE 80, 443
AllowAllow AllowWebToAppAllowWebToApp APP1-FEAPP1-FE APP1-APPAPP1-APP 80, 44380, 443
AllowAllow AllowAppToDBAllowAppToDB APP1-APPAPP1-APP APP1-DBAPP1-DB 14331433
VerweigernDeny DenyAllInboundDenyAllInbound AnyAny AnyAny AnyAny

Verschlüsseln von DatenEncrypt data

Azure Disk Encryption ist in Azure Key Vault integriert, damit die Verschlüsselungsschlüssel und Geheimnisse für die Datenträgerverschlüsselung in einem Key Vault-Abonnement gesteuert und verwaltet werden können.Azure Disk Encryption integrates with Azure Key Vault to help control and manage the disk-encryption keys and secrets in a Key Vault subscription. Dies stellt sicher, dass alle ruhenden Daten auf VM-Datenträgern in Azure Storage verschlüsselt sind.It ensures that all data on VM disks are encrypted at rest in Azure storage.

  • Contoso hat festgelegt, dass für bestimmte VMs Verschlüsselung erforderlich ist.Contoso has determined that specific VMs require encryption.
  • Die Verschlüsselung soll auf virtuelle Computer angewendet werden, die Kundendaten, vertrauliche Daten oder EPI-Daten enthalten.Contoso will apply encryption to VMs with customer, confidential, or PPI data.

ZusammenfassungConclusion

In diesem Artikel hat Contoso eine Azure-Infrastruktur spwie eine Richtlinie für Azure-Abonnements, Hybrididentität, Notfallwiederherstellung, Netzwerk, Governance und Sicherheit eingerichtet.In this article, Contoso set up an Azure infrastructure and policy for Azure subscription, hybrid identify, disaster recovery, networking, governance, and security.

Nicht jeder Schritt, der hier ausgeführt wird, ist für die Cloudmigration erforderlich.Not every step taken here is required for a cloud migration. In diesem Fall hat Contoso eine Netzwerkinfrastruktur geplant, die für alle Migrationstypen verwendet werden kann und sicher, robust und skalierbar ist.In this case, Contoso planned a network infrastructure that could handle all types of migrations while being secure, resilient, and scalable.

Mit dieser Infrastruktur ist Contoso nun bereit, den nächsten Schritt zu tun und die Migration auszuprobieren.With this infrastructure, Contoso is ready to move on and try out migration.

Nächste SchritteNext steps

Nach dem Einrichten seiner Azure-Infrastruktur kann Contoso mit der Migration von Workloads in die Cloud beginnen.After setting up their Azure infrastructure, Contoso is ready to begin migrating workloads to the cloud. Im Abschnitt Migrationsmuster und Beispiele – Übersicht finden Sie eine Auswahl von Szenarien, in denen diese Beispielinfrastruktur als Migrationsziel verwendet wird.See the migration patterns and examples overview section for a selection of scenarios using this sample infrastructure as a migration target.