Az Azure hálózati szolgáltatásai – áttekintés

  • Cikk
  • 9 perc alatt elolvasható

Az Azure hálózatkezelési szolgáltatásai különböző hálózati képességeket biztosítanak, amelyek együtt vagy külön is használhatók. Az alábbi főbb képességek bármelyikére kattintva többet tudhat meg róluk:

  • Kapcsolati szolgáltatások: Azure-erőforrások és helyszíni erőforrások összekapcsolása ezen hálózati szolgáltatások bármelyikével vagy kombinációjával az Azure-ban – Virtual Network (VNet), Virtual WAN, ExpressRoute, VPN Gateway, virtuális hálózati NAT-átjáró, Azure DNS, társviszony-létesítési szolgáltatás és Azure Bastion.
  • Alkalmazásvédelmi szolgáltatások: Az alkalmazások védelme ezen hálózati szolgáltatások bármelyikével vagy kombinációjával az Azure-ban – Load Balancer, Private Link, DDoS Protection, tűzfal, hálózati biztonsági csoportok, Web Application Firewall és Virtual Network végpontok.
  • Alkalmazáskézbesítési szolgáltatások: Az Azure-hálózatban található alkalmazásokat az Azure Content Delivery Network (CDN), az Azure Front Door Service, a Traffic Manager, az Application Gateway, az Internet Analyzer és a Load Balancer hálózatkezelési szolgáltatásokkal vagy ezek kombinációjával kézbesítheti.
  • Hálózatfigyelés: A hálózati erőforrások monitorozása ezen hálózati szolgáltatások bármelyikével vagy kombinációjával az Azure-ban – Network Watcher, ExpressRoute Monitor, Azure Monitor vagy VNet terminálelérési pont (TAP).

Kapcsolati szolgáltatások

Ez a szakasz azOkat a szolgáltatásokat ismerteti, amelyek kapcsolatot biztosítanak az Azure-erőforrások között, kapcsolatot biztosítanak egy helyszíni hálózat és az Azure-erőforrások között, valamint elágaztatási kapcsolatot biztosítanak az Azure - Virtual Network (VNet), az ExpressRoute, az VPN Gateway, a Virtual WAN, a virtuális hálózati NAT-átjáró, az Azure DNS, az Azure Peering Service és az Azure Bastion szolgáltatásban.

Virtuális hálózat

Az Azure Virtual Network (VNet) az Azure-beli magánhálózat alapvető építőeleme. A virtuális hálózatokat a következőre használhatja:

  • Kommunikáció az Azure-erőforrások között: Virtuális gépeket és számos más típusú Azure-erőforrást helyezhet üzembe egy virtuális hálózaton, például Azure App Service Environments, a Azure Kubernetes Service (AKS) és az Azure Virtual Machine Scale Sets. A virtuális hálózatokon üzembe helyezhető Azure-erőforrások teljes listájáért lásd: Virtuális hálózati szolgáltatás integrálása.
  • Kommunikáció egymással: Virtuális hálózatokat csatlakoztathat egymáshoz, így a virtuális hálózatok közötti társviszony-létesítéssel mindkét virtuális hálózat erőforrásai kommunikálhatnak egymással. Az összekacsolt virtuális hálózatok lehetnek azonos vagy eltérő Azure-régiókban. További információ: Virtuális hálózatok közötti társviszony-létesítés.
  • Kommunikáció az internetre: A virtuális hálózat összes erőforrása alapértelmezés szerint képes kimenő kommunikációt végezni az internet felé. Bejövő kommunikációt létesíthet egy erőforrással egy nyilvános IP-cím vagy Load Balancer hozzárendelésével. A kimenő kapcsolatok kezeléséhez nyilvános IP-címeket vagy nyilvános Load Balancer is használhat.
  • Kommunikáció helyszíni hálózatokkal: A helyszíni számítógépeket és hálózatokat csatlakoztathatja egy virtuális hálózathoz az VPN Gateway vagy az ExpressRoute használatával.

További információ: Mi az az Azure Virtual Network?

ExpressRoute

Az ExpressRoute-tal kiterjesztheti helyszíni hálózatait a Microsoft-felhőbe egy privát kapcsolaton keresztül, amelyet egy kapcsolatszolgáltató tesz lehetővé. Ez a kapcsolat nem nyilvános. A forgalom nem az interneten keresztül halad át. Az ExpressRoute-tal kapcsolatokat létesíthet a Microsoft-felhőszolgáltatásokkal, például a Microsoft Azure-ral, a Microsoft 365-tel és a Dynamics 365-tel. További információ: Mi az Az ExpressRoute?

Azure ExpressRoute

VPN Gateway

VPN Gateway segítségével titkosított létesítmények közötti kapcsolatokat hozhat létre a virtuális hálózathoz helyszíni helyekről, vagy titkosított kapcsolatokat hozhat létre a virtuális hálózatok között. Különböző konfigurációk érhetők el VPN Gateway kapcsolatokhoz, például helyek közötti, pont–hely és virtuális hálózatok közötti kapcsolatokhoz. Az alábbi ábra több helyek közötti VPN-kapcsolatot mutat be ugyanahhoz a virtuális hálózathoz.

Helyek közötti Azure-VPN Gateway kapcsolatok.

A KÜLÖNBÖZŐ TÍPUSÚ VPN-kapcsolatokról további információt a Mi az VPN Gateway? című témakörben talál.

Virtuális WAN

Az Azure Virtual WAN egy olyan hálózati szolgáltatás, amely optimalizált és automatizált ágkapcsolatot biztosít az Azure-hoz és azon keresztül. Az Azure-régiók olyan központokként szolgálnak, amelyekhez csatlakoztathatja az ágakat. Az Azure gerinchálózatával ágakat is csatlakoztathat az ágak és a virtuális hálózatok közötti kapcsolatokhoz. Az Azure Virtual WAN számos Azure-felhőkapcsolati szolgáltatást, például a helyek közötti VPN-t, az ExpressRoute-t és a pont–hely felhasználói VPN-t egyetlen operatív felületen egyesíti. Az Azure-beli virtuális hálózatokhoz való kapcsolódás virtuális hálózati kapcsolatok használatával jön létre. További információ: Mi az az Azure Virtual WAN?

Virtual WAN diagramot.

Azure DNS

Az Azure DNS egy üzemeltetési szolgáltatás DNS-tartományokhoz, amely a Microsoft Azure infrastruktúrájával történő névfeloldást nyújt. Ha tartományait az Azure-ban üzemelteti, DNS-rekordjait a többi Azure-szolgáltatáshoz is használt hitelesítő adatokkal, API-kkal, eszközökkel és számlázási információkkal kezelheti. További információ: Mi az az Azure DNS?

Azure Bastion

Az Azure Bastion szolgáltatás egy teljesen platform által felügyelt PaaS-szolgáltatás, amelyet a virtuális hálózaton belül építhet ki. Biztonságos és zökkenőmentes RDP-/SSH-kapcsolatot biztosít a virtuális gépekhez közvetlenül a Azure Portal TLS-en keresztül. Ha az Azure Bastionon keresztül csatlakozik, a virtuális gépeinek nincs szüksége nyilvános IP-címre. További információ: Mi az az Azure Bastion?.

Az Azure Bastion architektúrája.

Virtuális hálózati NAT-átjáró

Virtual Network NAT (hálózati címfordítás) leegyszerűsíti a csak kimenő internetkapcsolatot a virtuális hálózatok számára. Ha alhálózaton van konfigurálva, minden kimenő kapcsolat a megadott statikus nyilvános IP-címeket használja. A kimenő kapcsolat terheléselosztó vagy a virtuális gépekhez közvetlenül csatlakoztatott nyilvános IP-címek nélkül lehetséges. További információ: Mi az a virtuális hálózati NAT-átjáró?

Virtuális hálózati NAT-átjáró

Azure Peering Service

Az Azure társviszony-létesítési szolgáltatás javítja az ügyfélkapcsolatokat a Microsoft felhőszolgáltatásaihoz, például a Microsoft 365-höz, a Dynamics 365-höz, a szolgáltatott szoftverszolgáltatásokhoz (SaaS) vagy az Azure-hoz, illetve bármely, a nyilvános interneten keresztül elérhető Microsoft-szolgáltatáshoz. További információ: Mi az az Azure Peering Service?

Alkalmazásvédelmi szolgáltatások

Ez a szakasz az Azure-beli hálózati szolgáltatásokat ismerteti, amelyek segítenek megvédeni a hálózati erőforrásokat – Alkalmazások védelme ezen hálózati szolgáltatások bármelyikével vagy kombinációjával az Azure-ban – DDoS Protection, Private Link, tűzfal, Web Application Firewall, hálózati biztonsági csoportok és Virtual Network szolgáltatásvégpontok.

DDoS Protection

Az Azure DDoS Protection a legkifinomultabb DDoS-fenyegetésekkel szemben nyújt ellenintézkedéseket. A szolgáltatás továbbfejlesztett DDoS-kockázatcsökkentési képességeket biztosít az alkalmazáshoz és a virtuális hálózatokon üzembe helyezett erőforrásokhoz. Emellett az Azure DDoS Protectiont használó ügyfelek hozzáférhetnek a DDoS Gyors választámogatáshoz, hogy aktív támadás esetén DDoS-szakértőket vegyenek fel.

DDoS Protection

Azure Private Link lehetővé teszi az Azure PaaS-szolgáltatások (például az Azure Storage és a SQL Database) és az Azure által üzemeltetett, ügyfél tulajdonában lévő/partnerszolgáltatások elérését a virtuális hálózat privát végpontján keresztül. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán halad át. A szolgáltatás nyilvános interneten való közzétételére már nincs szükség. Létrehozhatja saját privát kapcsolati szolgáltatását a virtuális hálózatában, és továbbíthatja az ügyfeleknek.

Privát végpont áttekintése

Azure Firewall

Az Azure Firewall egy felügyelt, felhőalapú hálózatbiztonsági szolgáltatás, amely Azure Virtual Network-erőforrásait védi. A Azure Firewall használatával központilag hozhat létre, kényszeríthet ki és naplózhat alkalmazás- és hálózati kapcsolati szabályzatokat az előfizetések és virtuális hálózatok között. Az Azure Firewall statikus nyilvános IP-címet használ a virtuális hálózat erőforrásaihoz, így a külső tűzfalak azonosíthatják a virtuális hálózatból érkező forgalmat.

A Azure Firewall kapcsolatos további információkért tekintse meg a Azure Firewall dokumentációját.

Tűzfal áttekintése

Webalkalmazási tűzfal

Az Azure Web Application Firewall (WAF) védelmet nyújt a webalkalmazások számára az olyan gyakori webes biztonsági rések és biztonsági rések ellen, mint az SQL-injektálás és a webhelyek közötti szkriptelés. Az Azure WAF a felügyelt szabályokon keresztül biztosítja az OWASP 10 legfontosabb biztonsági résének védelmét. Emellett az ügyfelek egyéni szabályokat is konfigurálhatnak, amelyek ügyfél által felügyelt szabályok, amelyek további védelmet biztosítanak a forrás IP-címtartománya alapján, valamint kérési attribútumokat, például fejléceket, cookie-kat, űrlap-adatmezőket vagy lekérdezési sztringparamétereket.

Az ügyfelek dönthetnek úgy, hogy az Azure WAF-ot a Application Gateway használatával helyezik üzembe, amely regionális védelmet nyújt a nyilvános és privát címtéren lévő entitásoknak. Az ügyfelek dönthetnek úgy is, hogy a Front Doorral telepítik az Azure WAF-ot , amely védelmet nyújt a hálózati peremhálózaton a nyilvános végpontok számára.

Webalkalmazási tűzfal

Network security groups (Hálózati biztonsági csoportok)

Az Azure-beli virtuális hálózatokban az Azure-erőforrások bejövő és kimenő hálózati forgalmát hálózati biztonsági csoportokkal szűrheti. További információ: Hálózati biztonsági csoportok.

Szolgáltatásvégpontok

A virtuális hálózatok (VNet) szolgáltatásvégpontjai egy közvetlen kapcsolaton keresztül kiterjesztik a virtuális hálózat magáncímterét és a VNet identitását az Azure-szolgáltatásokra. A végpontok segítségével biztosíthatja, hogy kritikus fontosságú Azure-szolgáltatási erőforrásai csak a virtuális hálózatain legyenek elérhetőek. A VNet felől az Azure-szolgáltatás felé irányuló forgalom mindig a Microsoft Azure gerinchálózatán halad át. További információ: Virtuális hálózati szolgáltatásvégpontok.

Virtuális hálózati szolgáltatásvégpontok

Alkalmazáskézbesítési szolgáltatások

Ez a szakasz az azure-beli hálózatkezelési szolgáltatásokat ismerteti, amelyek segítenek az alkalmazások továbbításában – Content Delivery Network, Azure Front Door Service, Traffic Manager, Load Balancer és Application Gateway.

Content Delivery Network

Az Azure tartalomkézbesítési hálózat CDN a tartalmakat világszerte, stratégiai alapon elhelyezett fizikai csomópontokon gyorsítótárazva globális megoldást kínál a fejlesztők számára a tartalmak nagy sávszélességű gyors kézbesítéséhez a felhasználók felé. További információ az Azure CDN-ről: Azure Content Delivery Network.

Azure CDN

Azure Front Door Service

Az Azure Front Door Service segítségével meghatározhatja, felügyelheti és monitorozhatja a webes forgalmának globális forgalomirányítását, optimalizálhatja annak teljesítményét, és azonnali globális feladatátvétellel magas rendelkezésre állást biztosíthat. A Front Door használatával a globális (több régióban található) fogyasztói és nagyvállalati alkalmazásait olyan robusztus, nagy teljesítményű, személyre szabott és modern alkalmazásokká, API-kká és tartalmakká alakíthatja, amelyek az Azure-on keresztül elérhetik a globális közönségüket. További információ: Azure Front Door.

A Front Door Service áttekintése

Traffic Manager

Az Azure Traffic Manager egy DNS-alapú forgalom-terheléselosztó, amely lehetővé teszi a szolgáltatásokhoz érkező forgalom optimális elosztását a globális Azure-régiókban, miközben magas rendelkezésre állást és válaszkészséget biztosít. A Traffic Manager számos forgalom-útválasztási módszert kínál a forgalom elosztásához, például prioritás, súlyozott, teljesítmény, földrajzi, többértékű vagy alhálózat. A forgalom-útválasztási módszerekkel kapcsolatos további információkért lásd a Traffic Manager útválasztási módszereit.

Az alábbi ábrán a végpont prioritásalapú útválasztása látható a Traffic Managerrel:

Az Azure Traffic Manager

További információ a Traffic Managerről: Mi az az Azure Traffic Manager?

Load Balancer

A Azure Load Balancer nagy teljesítményű, kis késleltetésű 4. rétegbeli terheléselosztást biztosít az összes UDP- és TCP-protokollhoz. Kezeli a bejövő és kimenő kapcsolatokat. Konfigurálhatja a nyilvános és belső elosztott terhelésű végpontokat. A tcp- és HTTP-állapottesztelési lehetőségekkel a szolgáltatás rendelkezésre állásának kezeléséhez tcp- és HTTP-állapottesztelési lehetőségekkel határozhatja meg a bejövő kapcsolatok háttérkészlet-célhelyekre való leképezésére vonatkozó szabályokat. Ha többet szeretne megtudni a Load Balancer, olvassa el az Load Balancer áttekintő cikket.

Azure Load Balancer standard, regionális és átjáró termékváltozatokban érhető el.

Az alábbi képen egy internetkapcsolattal rendelkező többrétegű alkalmazás látható, amely külső és belső terheléselosztókat is használ:

Azure Load Balancer példa

Application Gateway

Az Azure Application Gateway egy webes forgalomra vonatkozó terheléselosztó, amellyel kezelheti a webalkalmazásai forgalmát. Ez egy alkalmazáskézbesítési vezérlő (ADC), amely különböző, 7. rétegbeli terheléselosztási képességeket kínál az alkalmazások számára. További információ: Mi a Azure Application Gateway?

Az alábbi ábrán az URL-cím útvonalalapú útválasztása látható Application Gateway.

Application Gateway példa

Hálózatfigyelési szolgáltatások

Ez a szakasz az Azure-beli hálózati szolgáltatásokat ismerteti, amelyek segítenek monitorozni a hálózati erőforrásokat – Network Watcher, az Azure Monitor Network Insightst, az Azure Monitort, az ExpressRoute Monitort és Virtual Network TAP-t.

Network Watcher

Az Azure Network Watcher eszközeivel monitorozhatja és diagnosztizálhatja az erőforrásokat egy Azure virtuális hálózaton belül, illetve megtekintheti azok metrikáit, és engedélyezheti vagy letiltja azok naplóit. További információt a Mi az Network Watcher? című témakörben talál.

Azure Monitor Network Insights

Az Azure Monitor for Networks átfogó áttekintést nyújt az összes üzembe helyezett hálózati erőforrás állapotáról és metrikáiról, konfiguráció nélkül. Emellett olyan hálózati figyelési képességekhez is hozzáférést biztosít, mint a kapcsolatfigyelő, a hálózati biztonsági csoportok folyamatnaplózása és a Traffic Analytics. További információ: Azure Monitor Network Insights.

ExpressRoute-figyelő

Az ExpressRoute-kapcsolatcsoport metrikáinak, erőforrásnaplóinak és riasztásainak megtekintéséről az ExpressRoute monitorozását, metrikáit és riasztásait ismertető cikkben olvashat.

Azure Monitor

Az Azure Monitor az alkalmazások rendelkezésre állását és teljesítményét növeli a lehető legnagyobbra egy olyan átfogó megoldás biztosításával, amely a felhőből és a helyszíni környezetből származó telemetriaadatokat gyűjt, elemez, valamint műveleteket hajt végre az adatok alapján. Ez a szolgáltatás segít megérteni azt, hogy az alkalmazásai hogyan teljesítenek, valamint proaktív módon azonosítja a működésüket befolyásoló problémákat és azokat az erőforrásokat, amelyektől függenek. További információt az Azure Monitor áttekintésében talál.

Következő lépések