Hálózati topológia és kapcsolatok

  • Cikk

A hálózati topológia és a kapcsolattervezési terület kritikus fontosságú a felhőhálózat-tervezés alapjainak létrehozásához.

Tervezési terület áttekintése

Érintett szerepkörök vagy függvények: Ez a tervezési terület valószínűleg egy vagy több felhőplatform és a felhőbeli kiválósági központ támogatását igényli a döntések meghozatalához és végrehajtásához.

Hatókör: A hálózattervezés célja, hogy összehangolja a felhőhálózat kialakítását az általános felhőbevezetési tervekkel. Ha a felhőbevezetési tervek hibrid vagy többfelhős függőségeket tartalmaznak, vagy ha más okból van szüksége kapcsolatra, a hálózat kialakításának ezeket a csatlakozási lehetőségeket és a várt forgalmi mintákat is tartalmaznia kell.

Hatókörön kívül: Ez a tervezési terület hozza létre a hálózatkezelés alapjait. Nem foglalkozik a megfelelőségtel kapcsolatos problémákkal, például a fejlett hálózati biztonsággal vagy az automatizált kényszerítési védőkorlátokkal. Ez az útmutató akkor jön, ha áttekinti a biztonsági és irányítási megfelelőségi tervezési területeket. A biztonsági és irányítási megbeszélések elhalasztásával a felhőplatform csapata a kezdeti hálózatkezelési követelményekkel foglalkozhat, mielőtt kibővítené a célközönséget az összetettebb témakörökben.

Tervezési terület áttekintése

A hálózati topológia és a kapcsolat alapvető fontosságú a kezdőzóna kialakítását tervező szervezetek számára. A hálózatkezelés szinte mindennek a központi része a célzónán belül. Lehetővé teszi más Azure-szolgáltatásokhoz, külső felhasználókhoz és helyszíni infrastruktúrához való kapcsolódást. A hálózati topológia és a kapcsolat az Azure-beli célzónák tervezési területeinek környezetvédelmi csoportjában található. Ez a csoportosítás az alapvető tervezési és megvalósítási döntésekben betöltött fontosságukon alapul.

Az ALZ fogalmi felügyeleti csoporthierarchiájának hálózatkezelési területeit bemutató ábra.

Az Azure-beli célzóna elméleti architektúrájában két fő felügyeleti csoport üzemeltet számítási feladatokat: Corp és Online. Ezek a felügyeleti csoportok különböző célokat szolgálnak az Azure-előfizetések rendszerezésében és szabályozásában. A különböző Azure-beli kezdőzónák felügyeleti csoportjai közötti hálózati kapcsolat a szervezet konkrét követelményeitől és hálózati architektúrájától függ. A következő néhány szakasz a Corp, az Online és a Kapcsolatkezelési csoportok közötti hálózati kapcsolatot ismerteti az Azure-beli célzónagyorsító által biztosított kapcsolatokkal kapcsolatban.

Mi a kapcsolati, corpi és online felügyeleti csoportok célja?

  • Kapcsolatkezelési csoport: Ez a felügyeleti csoport dedikált előfizetéseket tartalmaz a kapcsolatokhoz, általában egyetlen előfizetést a legtöbb szervezet számára. Ezek az előfizetések üzemeltetik a platformhoz szükséges Azure hálózati erőforrásokat, például az Azure Virtual WAN, a Virtual Network Gatewayst, a Azure Firewall és az Azure DNS privát zónáit. Itt jön létre hibrid kapcsolat a felhő és a helyszíni környezetek között, olyan szolgáltatásokat használva, mint az ExpressRoute stb.
  • Vállalati felügyeleti csoport: A vállalati kezdőzónák dedikált felügyeleti csoportja. Ez a csoport olyan előfizetéseket tartalmaz, amelyek olyan számítási feladatokat üzemeltetnek, amelyek hagyományos IP-útválasztási kapcsolatot vagy hibrid kapcsolatot igényelnek a vállalati hálózattal a kapcsolati előfizetésben lévő központon keresztül, és ezért ugyanazon útválasztási tartomány részét képezik. Az olyan számítási feladatok, mint a belső rendszerek, nem jelennek meg közvetlenül az interneten, de fordított proxykkal, például Application Gateway-átjárókkal is közzétehetők.
  • Online felügyeleti csoport: Az online célzónák dedikált felügyeleti csoportja. Ez a csoport nyilvános erőforrásokhoz, például webhelyekhez, e-kereskedelmi alkalmazásokhoz és ügyféloldali szolgáltatásokhoz használt előfizetéseket tartalmaz. A szervezetek például az Online felügyeleti csoport használatával elkülöníthetik a nyilvánosan elérhető erőforrásokat az Azure-környezet többi részétől, csökkentve a támadási felületet, és gondoskodhatnak arról, hogy a nyilvános erőforrások biztonságosak és elérhetők legyenek az ügyfelek számára.

Miért hoztunk létre Corp és Online felügyeleti csoportokat a számítási feladatok elkülönítéséhez?

A Corp és az Online felügyeleti csoportok közötti hálózatkezelési szempontok különbsége a fogalmi Azure-beli célzóna-architektúrában a rendeltetésük és az elsődleges céljuk.

A Corp felügyeleti csoport belső erőforrások és szolgáltatások, például üzletági alkalmazások, adatbázisok és felhasználókezelés kezelésére és védelmére szolgál. A vállalati felügyeleti csoport hálózatkezelési szempontjai a belső erőforrások közötti biztonságos és hatékony kapcsolat biztosítására összpontosítanak, miközben szigorú biztonsági szabályzatokat kényszerítenek ki a jogosulatlan hozzáférés elleni védelem érdekében.

A fogalmi Azure-beli célzóna-architektúra Online felügyeleti csoportja elkülönített környezetnek tekinthető, amely az internetről elérhető nyilvános erőforrások és szolgáltatások kezelésére szolgál. Az Online felügyeleti csoport nyilvános erőforrások kezelésére való használatával az Azure kezdőzóna architektúrája lehetővé teszi az erőforrások belső erőforrásoktól való elkülönítését, ezáltal csökkenti a jogosulatlan hozzáférés kockázatát, és minimalizálja a támadási felületet.

Az Azure-beli célzóna elméleti architektúrájában az Online felügyeleti csoport virtuális hálózata – igény szerint – társítható a Corp felügyeleti csoportban lévő virtuális hálózatokkal, közvetlenül vagy közvetve a központon keresztül, valamint a kapcsolódó útválasztási követelményeken keresztül egy Azure Firewall vagy NVA-n keresztül, így a nyilvános erőforrások biztonságos és szabályozott módon kommunikálhatnak a belső erőforrásokkal. Ez a topológia biztosítja, hogy a nyilvános erőforrások és a belső erőforrások közötti hálózati forgalom biztonságos és korlátozott legyen, miközben az erőforrások szükség szerint kommunikálhatnak.

Tipp

Emellett fontos megérteni és áttekinteni az Egyes felügyeleti csoportokhoz az Azure-beli célzóna részeként hozzárendelt és örökölt Azure-szabályzatokat. Mivel ezek a súgók alakítják, védik és szabályozzák az ezekben a felügyeleti csoportokban lévő előfizetésekben üzembe helyezett számítási feladatokat. Az Azure-beli kezdőzónák szabályzat-hozzárendelései itt találhatók.