Biztonságos hibrid hálózat implementálása

Firewall
Load Balancer
Virtual Machines
Virtual Network

Ez a referenciaarchitektúra egy biztonságos hibrid hálózatot mutat be, amely kiterjeszti a helyszíni hálózatot az Azure-ba.This reference architecture shows a secure hybrid network that extends an on-premises network to Azure. Az architektúra a helyszíni hálózat és egy Azure-beli virtuális hálózat közötti DMZ-t, más néven peremhálózati hálózatot implementálja.The architecture implements a DMZ, also called a perimeter network, between the on-premises network and an Azure virtual network. Az összes bejövő és kimenő forgalom a Azure Firewallon halad át.All inbound and outbound traffic passes through Azure Firewall.

Biztonságos hibrid hálózati architektúraSecure hybrid network architecture

Töltse le az architektúra Visio-fájlját.Download a Visio file of this architecture.

Referenciák központi telepítéseReference deployment

Ez az üzembe helyezés két erőforráscsoportot hoz létre; az első a helyszíni hálózat, a második pedig a hub és a küllős hálózatok készletét tartalmazza.This deployment creates two resource groups; the first holds a mock on-premises network, the second a set of hub and spoke networks. A helyszíni modell és a hub hálózat az Azure Virtual Network Gateways használatával csatlakozik a helyek közötti kapcsolat létrehozásához.The mock on-premises network and the hub network are connected using Azure Virtual Network gateways to form a site-to-site connection. Ez a konfiguráció nagyon hasonlít a helyszíni adatközpont Azure-hoz való összekapcsolásához.This configuration is very similar to how you would connect your on-premises datacenter to Azure.

Az üzembe helyezés akár 45 percet is igénybe vehet.This deployment can take up to 45 minutes to complete. A javasolt üzembe helyezési módszer az alább található portál lehetőség használatával érhető el.The recommended deployment method is using the portal option found below.

A következő gomb használatával telepítse a hivatkozást a Azure Portal használatával.Use the following button to deploy the reference using the Azure portal.

Üzembe helyezés az Azure-banDeploy to Azure

Az üzembe helyezés befejezését követően ellenőrizze, hogy a helyek közötti kapcsolat megtekinthető-e az újonnan létrehozott kapcsolati erőforrásokkal.Once the deployment has been completed, verify site-to-site connectivity by looking at the newly created connection resources. A Azure Portal alatt keressen rá a "connections" kifejezésre, és figyelje meg, hogy az egyes kapcsolatok állapota.While in the Azure portal, search for 'connections' and note that the status of each connection.

A kapcsolatok állapotát ábrázoló képernyőkép.

A küllő hálózatban található IIS-példány az ál-alapú hálózatban található virtuális gépről érhető el.The IIS instance found in the spoke network can be accessed from the virtual machine located in the mock on-prem network. Hozzon létre egy kapcsolódást a virtuális géphez a mellékelt Azure Bastion-gazdagép használatával, nyisson meg egy webböngészőt, és navigáljon az alkalmazás hálózati terheléselosztó-címeként.Create a connection to the virtual machine using the included Azure Bastion host, open a web browser, and navigate to the address of the application's network load balancer.

Részletes információkért és további telepítési lehetőségekhez tekintse meg a megoldás üzembe helyezéséhez használt ARM-sablonokat.For detailed information and additional deployment options, see the ARM Templates used to deploy this solution.

Használati esetekUse cases

Az architektúrának csatlakoznia kell a helyszíni adatközponthoz egy VPN-átjáróval vagy egy ExpressRoute-kapcsolattal.This architecture requires a connection to your on-premises datacenter, using either a VPN gateway or an ExpressRoute connection. Az architektúra gyakori használati módjai többek között a következők:Typical uses for this architecture include:

  • Hibrid alkalmazások, amelyekben a számítási feladatok részben a helyszínen, részben pedig az Azure-ban futnak.Hybrid applications where workloads run partly on-premises and partly in Azure.
  • Olyan infrastruktúra, amely a helyszíni adatközpontból egy Azure-beli virtuális hálózaton beérkező forgalom részletes vezérlését igényli.Infrastructure that requires granular control over traffic entering an Azure virtual network from an on-premises datacenter.
  • Olyan alkalmazások, amelyeknek ellenőrizniük kell a kimenő forgalmat.Applications that must audit outgoing traffic. Ez gyakran jogszabályi követelmény számos kereskedelmi rendszer esetében, és a segítségével elkerülhető a magánjellegű információk nyilvánosságra hozatala.This is often a regulatory requirement of many commercial systems and can help to prevent public disclosure of private information.

ArchitektúraArchitecture

Az architektúra a következőkben leírt összetevőkből áll.The architecture consists of the following components.

  • Helyszíni hálózat.On-premises network. Egy szervezeten belül egy privát helyi hálózat implementálása.A private local-area network implemented in an organization.

  • Azure-beli virtuális hálózat.Azure virtual network. A virtuális hálózat üzemelteti az alkalmazást és az Azure-ban futó egyéb erőforrásokat.The virtual network hosts the application and other resources running in Azure.

  • Átjáró.Gateway. Az átjáró kapcsolatot biztosít a helyszíni hálózat és a virtuális hálózat útválasztói között.The gateway provides connectivity between the routers in the on-premises network and the virtual network. Az átjáró a saját alhálózatba kerül.The gateway is placed in its own subnet.

  • Azure Firewall.Azure Firewall. Azure Firewall felügyelt tűzfal szolgáltatásként.Azure Firewall is a managed firewall as a service. A tűzfal példánya a saját alhálózatba kerül.The Firewall instance is placed in its own subnet.

  • Virtuális hálózati útvonalak.Virtual network routes. A virtuális hálózati útvonalak határozzák meg az IP-forgalom áramlását az Azure virtuális hálózaton belül.Virtual network routes define the flow of IP traffic within the Azure virtual network. A fenti ábrán két, felhasználó által definiált útválasztási tábla található.In the diagram shown above, there are two user-defined route tables.

    • Az átjáró-alhálózatban a webes rétegbeli alhálózatba (10.0.1.0/24) továbbított forgalom a Azure Firewall példányon keresztül irányítható.In the gateway subnet, traffic sent to the web-tier subnet (10.0.1.0/24) is routed through the Azure Firewall instance.
    • A webes szintű alhálózatban, mivel nincs olyan útvonal a VNet, amely az Azure tűzfalra mutat, a webes rétegek példányai közvetlenül tudnak kommunikálni egymással, nem a Azure Firewallon keresztül.In the web tier subnet, Since there is no route for address space of the VNet itself to point to Azure firewall, web tier instances are able to communicate directly to each other, not via Azure Firewall.

    Megjegyzés

    A VPN-kapcsolat követelményeitől függően konfigurálhatja a Border Gateway Protocol (BGP) útvonalakat a helyszíni hálózaton keresztül visszaérkező továbbítási szabályok megvalósításához.Depending on the requirements of your VPN connection, you can configure Border Gateway Protocol (BGP) routes to implement the forwarding rules that direct traffic back through the on-premises network.

  • Hálózati biztonsági csoportok.Network security groups. Biztonsági csoportok használatával korlátozhatja a virtuális hálózaton belüli hálózati forgalmat.Use security groups to restrict network traffic within the virtual network. Az ehhez a hivatkozási architektúrához megadott központi telepítésben például a webes rétegbeli alhálózat lehetővé teszi a helyszíni hálózatról érkező és a virtuális hálózaton belüli TCP-forgalmat. az üzleti szinten engedélyezhető a forgalom a webes szinten, és az adatcsomag lehetővé teszi az üzleti szinten érkező adatforgalmat.For example, in the deployment provided with this reference architecture, the web tier subnet allows TCP traffic from the on-premises network and from within the virtual network; the business tier allows traffic from the web tier, and the data tier allows traffic from the business tier.

  • Megerősített.Bastion. Az Azure Bastion lehetővé teszi, hogy az ssh vagy a Remote Desktop Protocol (RDP) használatával bejelentkezzen a virtuális hálózatban lévő virtuális gépekre anélkül, hogy közvetlenül az internethez tenné.Azure Bastion allows you to log into VMs in the virtual network through SSH or remote desktop protocol (RDP) without exposing the VMs directly to the internet. A virtuális hálózatban lévő virtuális gépek kezelése a Bastion használatával.Use Bastion to manage the VMs in the virtual network.

JavaslatokRecommendations

Az alábbi javaslatok a legtöbb forgatókönyvre vonatkoznak.The following recommendations apply for most scenarios. Kövesse ezeket a javaslatokat, ha nincsenek ezeket felülíró követelményei.Follow these recommendations unless you have a specific requirement that overrides them.

A hozzáférés-vezérléssel kapcsolatos javaslatokAccess control recommendations

Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával kezelheti az alkalmazásban lévő erőforrásokat.Use Azure role-based access control (Azure RBAC) to manage the resources in your application. Fontolja meg a következő egyéni szabályok létrehozását:Consider creating the following custom roles:

  • Egy fejlesztési és üzemeltetési szerepkör, amely rendelkezik az alkalmazás infrastruktúrájának felügyeletéhez, az alkalmazás összetevőinek üzembe helyezéséhez, valamint a virtuális gépek monitorozásához és újraindításához szükséges engedélyekkel.A DevOps role with permissions to administer the infrastructure for the application, deploy the application components, and monitor and restart VMs.

  • Egy központi informatikai rendszergazdai szerepkör a hálózati erőforrások kezeléséhez és monitorozásához.A centralized IT administrator role to manage and monitor network resources.

  • Biztonsági informatikai rendszergazda szerepkör a biztonságos hálózati erőforrások, például a tűzfal kezeléséhez.A security IT administrator role to manage secure network resources such as the firewall.

A DevOps és a rendszergazda szerepköröknek nem szabad hozzáférni a tűzfal erőforrásaihoz.The DevOps and IT administrator roles should not have access to the firewall resources. Az ezekhez való hozzáférést a biztonsági informatikai rendszergazdai szerepkörre kell korlátozni.This should be restricted to the security IT administrator role.

Erőforráscsoportra vonatkozó javaslatokResource group recommendations

Az Azure-erőforrások, például a virtuális gépek, a virtuális hálózatok és a terheléselosztó egyszerűen kezelhetők az erőforráscsoportok csoportosításával.Azure resources such as VMs, virtual networks, and load balancers can be easily managed by grouping them together into resource groups. Rendeljen Azure-szerepköröket az egyes erőforráscsoportok számára a hozzáférés korlátozásához.Assign Azure roles to each resource group to restrict access.

A következő erőforráscsoportok létrehozását javasoljuk:We recommend creating the following resource groups:

  • Egy olyan erőforráscsoport, amely a virtuális hálózatot (kivéve a virtuális gépeket), a NSG és az átjáró erőforrásait tartalmazza a helyszíni hálózathoz való csatlakozáshoz.A resource group containing the virtual network (excluding the VMs), NSGs, and the gateway resources for connecting to the on-premises network. Rendelje hozzá a központi informatikai rendszergazdai szerepkört ehhez az erőforráscsoporthoz.Assign the centralized IT administrator role to this resource group.
  • Egy erőforráscsoport, amely a Azure Firewall példányhoz tartozó virtuális gépeket és az átjáró-alhálózat felhasználó által megadott útvonalait tartalmazza.A resource group containing the VMs for the Azure Firewall instance and the user-defined routes for the gateway subnet. Rendelje hozzá a biztonsági informatikai rendszergazdai szerepkört ehhez az erőforráscsoporthoz.Assign the security IT administrator role to this resource group.
  • Különítse el az erőforráscsoportokat a terheléselosztót és a virtuális gépeket tartalmazó alkalmazásrétegek esetében.Separate resource groups for each application tier that contain the load balancer and VMs. Ügyeljen arra, hogy ez az erőforráscsoport ne tartalmazza az egyes rétegek alhálózatait.Note that this resource group shouldn't include the subnets for each tier. Rendelje hozzá a fejlesztési és üzemeltetési szerepkört ehhez az erőforráscsoporthoz.Assign the DevOps role to this resource group.

Hálózatokra vonatkozó javaslatokNetworking recommendations

Az internetről érkező bejövő forgalom fogadásához adjon hozzá egy célként megadott hálózati címfordítási (DNAT) szabályt a Azure Firewallhoz.To accept inbound traffic from the internet, add a Destination Network Address Translation (DNAT) rule to Azure Firewall.

  • Cél címe = a tűzfal példányának nyilvános IP-címe.Destination address = Public IP address of the firewall instance.
  • Lefordított cím = magánhálózati IP-cím a virtuális hálózaton belül.Translated address = Private IP address within the virtual network.

A példaként megadott központi telepítés a 80-es port internetes forgalmát a webes rétegek terheléselosztó felé irányítja.The example deployment routes internet traffic for port 80 to the web tier load balancer.

Az összes kimenő internetes forgalom kényszerítése a helyszíni hálózaton keresztül a két hálózat közötti pont-pont típusú VPN-alagúton keresztül, valamint az internetre való továbbítás hálózati CÍMFORDÍTÁS (NAT) használatával.Force-tunnel all outbound internet traffic through your on-premises network using the site-to-site VPN tunnel, and route to the internet using network address translation (NAT). Ez megakadályozza az adatrétegben tárolt bizalmas adatok véletlen kiszivárgását, és lehetővé teszi a teljes kimenő forgalom vizsgálatát és ellenőrzését.This prevents accidental leakage of any confidential information stored in your data tier and allows inspection and auditing of all outgoing traffic.

Ne tiltsa le teljesen az alkalmazási rétegek internetes forgalmát, mivel ez megakadályozza a nyilvános IP-címeken alapuló Azure Pásti-szolgáltatások, például a virtuális gépek diagnosztikai naplózása, a virtuálisgép-bővítmények letöltése és egyéb funkciók használatát.Don't completely block internet traffic from the application tiers, as this will prevent these tiers from using Azure PaaS services that rely on public IP addresses, such as VM diagnostics logging, downloading of VM extensions, and other functionality. Az Azure Diagnostics azt is megköveteli, hogy az összetevők olvashassanak és írhassanak az Azure Storage-fiókba.Azure diagnostics also requires that components can read and write to an Azure Storage account.

Ellenőrizze, hogy a kimenő internetes forgalom kényszerített bújtatása megfelelő-e.Verify that outbound internet traffic is force-tunneled correctly. Ha VPN-kapcsolatot használ az Útválasztás és távelérés szolgáltatással egy helyszíni kiszolgálón, használjon olyan eszközt, mint például a WireShark.If you're using a VPN connection with the routing and remote access service on an on-premises server, use a tool such as WireShark.

Érdemes lehet Application Gateway vagy Azure bejárati ajtót használni az SSL-lezáráshoz.Consider using Application Gateway or Azure Front Door for SSL termination.

Méretezési szempontokScalability considerations

A VPN Gateway sávszélesség-korlátozásával kapcsolatos további információkért lásd: átjáró SKU-i.For details about the bandwidth limits of VPN Gateway, see Gateway SKUs. Magasabb sávszélesség esetén fontolja meg az ExpressRoute-átjáróra való bővítést.For higher bandwidths, consider upgrading to an ExpressRoute gateway. Az ExpressRoute akár 10 Gb/s sávszélességet és a VPN-kapcsolatnál kisebb késést biztosít.ExpressRoute provides up to 10 Gbps bandwidth with lower latency than a VPN connection.

Az Azure-átjárók skálázhatóságával kapcsolatos további információkat a hibrid hálózati architektúra Azure és helyszíni VPN használatával történő megvalósításáról és a hibrid hálózati architektúra Azure ExpressRoute használatával történő megvalósításáról szóló cikk skálázási szempontokkal kapcsolatos szakaszában olvashat.For more information about the scalability of Azure gateways, see the scalability consideration section in Implementing a hybrid network architecture with Azure and on-premises VPN and Implementing a hybrid network architecture with Azure ExpressRoute.

Rendelkezésre állási szempontokAvailability considerations

Ha az Azure ExpressRoute-t használja a virtuális hálózat és a helyszíni hálózat közötti kapcsolat biztosításához, konfigurálja a VPN-átjárót úgy, hogy feladatátvételt biztosítson , ha a ExpressRoute-kapcsolat elérhetetlenné válik.If you're using Azure ExpressRoute to provide connectivity between the virtual network and on-premises network, configure a VPN gateway to provide failover if the ExpressRoute connection becomes unavailable.

A VPN és ExpressRoute-kapcsolatok rendelkezésre állásásának fenntartásával kapcsolatos további információkat a hibrid hálózati architektúra Azure és helyszíni VPN használatával történő megvalósításáról és a hibrid hálózati architektúra Azure ExpressRoute használatával történő megvalósításáról szóló cikk rendelkezésre állási szempontokkal kapcsolatos részében olvashat.For specific information on maintaining availability for VPN and ExpressRoute connections, see the availability considerations in Implementing a hybrid network architecture with Azure and on-premises VPN and Implementing a hybrid network architecture with Azure ExpressRoute.

Felügyeleti szempontokManageability considerations

Ha a helyszíni hálózatról az Azure-ra irányuló átjáró kapcsolata nem érhető el, az Azure-beli virtuális hálózaton továbbra is elérheti az Azure-beli virtuális gépeket.If gateway connectivity from your on-premises network to Azure is down, you can still reach the VMs in the Azure virtual network through Azure Bastion.

A referenciaarchitektúrában található minden réteg alhálózatát NSG-szabályok védik.Each tier's subnet in the reference architecture is protected by NSG rules. Lehet, hogy létre kell hoznia egy szabályt a 3389-es port megnyitásához az RDP-hozzáféréshez (Windows rendszerű virtuális gépek esetében), vagy a 22-es port megnyitásához az SSH-hozzáféréshez (Linux rendszerű virtuális gépek esetében).You may need to create a rule to open port 3389 for remote desktop protocol (RDP) access on Windows VMs or port 22 for secure shell (SSH) access on Linux VMs. Az egyéb felügyeleti és monitorozási eszközöknek szabályokra lehet szükségük további portok megnyitásához.Other management and monitoring tools may require rules to open additional ports.

Ha az ExpressRoute használatával biztosítja a kapcsolatot a helyszíni adatközpont és az Azure között, az Azure Connectivity Toolkit (AzureCT) segítségével monitorozhatja és háríthatja el a csatlakozási hibákat.If you're using ExpressRoute to provide the connectivity between your on-premises datacenter and Azure, use the Azure Connectivity Toolkit (AzureCT) to monitor and troubleshoot connection issues.

A VPN-és ExpressRoute-kapcsolatok figyelésével és kezelésével kapcsolatos további információkért tekintse meg a cikkeket:You can find additional information about monitoring and managing VPN and ExpressRoute connections in the articles:

Biztonsági szempontokSecurity considerations

Ez a referenciaarchitektúra többszintű biztonságot valósít meg.This reference architecture implements multiple levels of security.

Az összes helyszíni felhasználói kérelem útválasztása Azure FirewallRouting all on-premises user requests through Azure Firewall

Az átjáró-alhálózat felhasználó által megadott útvonala blokkolja az összes olyan felhasználói kérést, amely nem a helyszíni rendszertől érkezett.The user-defined route in the gateway subnet blocks all user requests other than those received from on-premises. Az útvonal továbbítja a kéréseket a tűzfalnak, és ezeket a kéréseket átadja az alkalmazásnak, ha azokat a tűzfalszabályok engedélyezik.The route passes allowed requests to the firewall, and these requests are passed on to the application if they are allowed by the firewall rules. Hozzáadhat más útvonalakat is, de győződjön meg arról, hogy nem véletlenül megkerüli a tűzfalat, vagy letiltja a felügyeleti alhálózatra irányuló adminisztratív forgalmat.You can add other routes, but make sure they don't inadvertently bypass the firewall or block administrative traffic intended for the management subnet.

NSG-k használata az alkalmazásrétegek közötti forgalom blokkolására/átengedéséreUsing NSGs to block/pass traffic between application tiers

A rétegek közötti forgalom NSG-k használatával korlátozható.Traffic between tiers is restricted by using NSGs. Az üzleti réteg blokkol minden forgalmat, amely nem a webes rétegből származik, az adatréteg pedig blokkol minden olyan forgalmat, amely nem az üzleti rétegből származik.The business tier blocks all traffic that doesn't originate in the web tier, and the data tier blocks all traffic that doesn't originate in the business tier. Ha a követelményei miatt bővíteni kívánja az NSG-szabályokat a rétegekhez való szélesebb körű hozzáférés biztosítása érdekében, mérlegelje az ezzel járó biztonsági kockázatokat.If you have a requirement to expand the NSG rules to allow broader access to these tiers, weigh these requirements against the security risks. Minden új bejövő útvonal újabb lehetőség a véletlen vagy szándékos adatvesztésre vagy az alkalmazás meghibásodására.Each new inbound pathway represents an opportunity for accidental or purposeful data leakage or application damage.

Fejlesztési és üzemeltetési hozzáférésDevOps access

Az Azure RBAC használatával korlátozhatja a DevOps által végrehajtható műveleteket az egyes rétegeknél.Use Azure RBAC to restrict the operations that DevOps can perform on each tier. Engedélyek megadása esetén alkalmazza a legalacsonyabb jogosultsági szint elvét.When granting permissions, use the principle of least privilege. Naplózzon minden felügyeleti műveletet, és rendszeresen végezzen ellenőrzést. Így meggyőződhet arról, hogy minden konfigurációmódosítás tervezett volt.Log all administrative operations and perform regular audits to ensure any configuration changes were planned.

Költségekkel kapcsolatos szempontokCost considerations

Az Azure díjkalkulátorával megbecsülheti költségeit.Use the Azure pricing calculator to estimate costs. További szempontokat a Microsoft Azure Well-Architected-keretrendszerCost szakasza tartalmaz.Other considerations are described in the Cost section in Microsoft Azure Well-Architected Framework.

Az alábbiakban az architektúrában használt szolgáltatások díjszabása látható.Here are cost considerations for the services used in this architecture.

Azure FirewallAzure Firewall

Ebben az architektúrában Azure Firewall települ a virtuális hálózatban az átjáró alhálózata és az alkalmazási szintet futtató alhálózat közötti forgalom szabályozásához.In this architecture, Azure Firewall is deployed in the virtual network to control traffic between the gateway's subnet and the subnet in which the application tier runs. Ily módon a Azure Firewall költséghatékony, mivel több számítási feladat által felhasznált megosztott megoldásként van használatban.In this way Azure Firewall is cost effective because it's used as a shared solution consumed by multiple workloads. A Azure Firewall díjszabási modelljei:Here are the Azure Firewall pricing models:

  • Rögzített sebesség/üzembe helyezés óránként.Fixed rate per deployment hour.
  • Az automatikus skálázás támogatásához GB-onként feldolgozott adat.Data processed per GB to support auto scaling.

A hálózati virtuális berendezésekkel (NVA) összehasonlítva a Azure Firewall akár 30-50%-ot is megtakaríthat.When compared to network virtual appliances (NVAs), with Azure Firewall you can save up to 30-50%. További információ: Azure Firewall vs NVA.For more information see Azure Firewall vs NVA.

Azure BastionAzure Bastion

Az Azure Bastion biztonságosan csatlakozik a virtuális géphez RDP és SSH protokollon keresztül anélkül, hogy egy nyilvános IP-címet kellene konfigurálni a virtuális gépen.Azure Bastion securely connects to your virtual machine over RDP and SSH without having the need to configure a public IP on the virtual machine.

A megerősített számlázás a Jumpbox konfigurált, alapszintű, alacsony szintű virtuális géphez hasonló.Bastion billing is comparable to a basic, low-level virtual machine configured as a jumpbox. A Bastion és egy Jump Box összevetésével a megerősített költségek költséghatékonyan figyelembe veszik a Bastion beépített biztonsági funkcióit, és nem merülnek fel külön költségek a különálló kiszolgálók tárolásához és kezeléséhez.Comparing Bastion to a jump box, Bastion is more cost effective considering Bastion's built-in security features and no extra costs incurred for storage and managing a separate server.

Azure Virtual NetworkAzure Virtual Network

Az Azure Virtual Network ingyenes.Azure Virtual Network is free. Előfizetésenként akár 50 virtuális hálózat is létrehozható minden régióban.Every subscription is allowed to create up to 50 virtual networks across all regions. A virtuális hálózat határain belül minden forgalom ingyenes.All traffic that occurs within the boundaries of a virtual network is free. Így ha két, azonos VNET található virtuális gép beszél egymással, akkor nem kerül sor díj kitöltésére.So if two VMs that are in the same VNET are talking each other then no charges will occur.

Belső terheléselosztóInternal load balancer

Az azonos virtuális hálózatban található virtuális gépek közötti alapszintű terheléselosztás ingyenes.Basic load balancing between virtual machines that reside in the same virtual network is free.

Ebben az architektúrában a belső terheléselosztó a virtuális hálózaton belüli forgalom elosztására szolgál.In this architecture, internal load balancers are used to load balance traffic inside a virtual network.

Következő lépésekNext steps