Az Azure hálózati szolgáltatásai – áttekintés

  • Cikk

Az Azure hálózatkezelési szolgáltatásai különböző hálózati képességeket biztosítanak, amelyek együtt vagy külön is használhatók. Az alábbi főbb képességek közül választhat, ha többet szeretne tudni róluk:

  • Csatlakozás tivitási szolgáltatások: Csatlakozás Azure-erőforrásokat és helyszíni erőforrásokat az Azure – Virtuális hálózat (VNet), a Virtual WAN, az ExpressRoute, a VPN Gateway, a NAT Gateway, az Azure DNS, a társviszony-létesítési szolgáltatás, az Azure Virtual Network Manager, az Útválasztási kiszolgáló és az Azure Bastion szolgáltatásban.
  • Alkalmazásvédelmi szolgáltatások: Az alkalmazások védelme ezen hálózati szolgáltatások bármelyikével vagy kombinációjával az Azure-ban – Load Balancer, Private Link, DDoS Protection, Tűzfal, Hálózati biztonsági csoportok, Webalkalmazási tűzfal és virtuális hálózati végpontok.
  • Alkalmazáskézbesítési szolgáltatások: Alkalmazások kézbesítése az Azure-hálózatban ezen hálózati szolgáltatások bármelyikével vagy kombinációjával az Azure - Content Delivery Network (CDN), az Azure Front Door Service, a Traffic Manager, az Application Gateway, az Internet Analyzer és a Load Balancer szolgáltatásban.
  • Hálózatfigyelés: A hálózati erőforrások monitorozása ezen hálózati szolgáltatások bármelyikével vagy kombinációjával az Azure-ban – Network Watcher, ExpressRoute Monitor, Azure Monitor vagy VNet Terminál hozzáférési pont (TAP).

Kapcsolati szolgáltatások

Ez a szakasz azOkat a szolgáltatásokat ismerteti, amelyek kapcsolatot biztosítanak az Azure-erőforrások, a helyszíni hálózat és az Azure-erőforrások közötti kapcsolat, valamint az Azure – Virtuális hálózat (VNet), az ExpressRoute, a VPN Gateway, a Virtual WAN, a virtuális hálózati NAT Gateway, az Azure DNS, a társviszony-létesítési szolgáltatás, az útvonalkiszolgáló és az Azure Bastion ágkapcsolatai között.

Virtuális hálózat

Az Azure Virtual Network (VNet) az Azure-beli magánhálózat alapvető építőeleme. A virtuális hálózatok a következőre használhatók:

  • Kommunikáció az Azure-erőforrások között: Virtuális gépeket és számos más típusú Azure-erőforrást helyezhet üzembe egy virtuális hálózaton, például Azure-alkalmazás szolgáltatáskörnyezetekben, az Azure Kubernetes Service-ben (AKS) és az Azure Virtual Machine Scale Setsben. A virtuális hálózatokon üzembe helyezhető Azure-erőforrások teljes listájáért lásd: Virtuális hálózati szolgáltatás integrálása.
  • Kommunikáció egymással: Virtuális hálózatokat csatlakoztathat egymáshoz, lehetővé téve, hogy a virtuális hálózaton lévő erőforrások kommunikáljanak egymással a virtuális hálózatok közötti társviszony-létesítés vagy az Azure Virtual Network Manager használatával. Az összekacsolt virtuális hálózatok lehetnek azonos vagy eltérő Azure-régiókban. További információ: Virtuális hálózatok közötti társviszony-létesítés és Azure Virtual Network Manager.
  • Kommunikáció az internetre: A virtuális hálózat összes erőforrása alapértelmezés szerint képes az internet felé kimenő kommunikációra. Bejövő kommunikációt létesíthet egy erőforrással egy nyilvános IP-cím vagy Load Balancer hozzárendelésével. A kimenő kapcsolatok kezeléséhez nyilvános IP-címeket vagy nyilvános Load Balancert is használhat.
  • Kommunikáció helyszíni hálózatokkal: A helyszíni számítógépeket és hálózatokat vpn Gateway vagy ExpressRoute használatával csatlakoztathatja egy virtuális hálózathoz.
  • Az erőforrások közötti forgalom titkosítása: Virtuális hálózat titkosítása segítségével titkosíthatja a virtuális hálózat erőforrásai közötti forgalmat.

Azure Virtual Network Manager

Az Azure Virtual Network Manager egy felügyeleti szolgáltatás, amely lehetővé teszi a virtuális hálózatok globális csoportosítását, konfigurálását, üzembe helyezését és kezelését az előfizetések között. A Virtual Network Managerrel hálózati csoportokat határozhat meg a virtuális hálózatok azonosításához és logikai szegmentálásához. Ezután meghatározhatja a kívánt kapcsolati és biztonsági konfigurációkat , és alkalmazhatja őket a hálózati csoportokban lévő összes kiválasztott virtuális hálózatra.

Az Azure Virtual Network Managerrel egy hálós virtuális hálózati topológiához üzembe helyezett erőforrások diagramja.

ExpressRoute

Az ExpressRoute lehetővé teszi a helyszíni hálózatok microsoftos felhőbe való kiterjesztését egy kapcsolatszolgáltató által megkönnyített privát kapcsolaton keresztül. Ez a kapcsolat nem nyilvános. A forgalom nem megy át az interneten. Az ExpressRoute-tal kapcsolatokat létesíthet a Microsoft-felhőszolgáltatásokkal, például a Microsoft Azure-ral, a Microsoft 365-tel és a Dynamics 365-tel.

Azure ExpressRoute

VPN Gateway

A VPN Gateway segítségével titkosított, helyszíni helyekről létesíthet kapcsolatot a virtuális hálózattal, vagy titkosított kapcsolatokat hozhat létre a virtuális hálózatok között. A VPN Gateway-kapcsolatokhoz különböző konfigurációk érhetők el. Néhány fő funkció:

  • Helyek közötti VPN-kapcsolatok
  • Pont–hely VPN-kapcsolat
  • Virtuális hálózatok közötti VPN-kapcsolat

Az alábbi ábra több helyek közötti VPN-kapcsolatot mutat be ugyanahhoz a virtuális hálózathoz. További kapcsolati diagramok megtekintéséhez tekintse meg a VPN Gateway tervezését.

Több helyek közötti Azure VPN Gateway-kapcsolatot bemutató ábra.

Virtuális WAN

Az Azure Virtual WAN egy olyan hálózatkezelési szolgáltatás, amely számos hálózatkezelési, biztonsági és útválasztási funkciót egyesítve egyetlen működési felületet biztosít. az Azure-beli virtuális hálózatokhoz való Csatlakozás tivitás virtuális hálózati kapcsolatok használatával jön létre. Néhány fő funkció:

  • Ágkapcsolat (virtuális WAN-partnereszközök, például SD-WAN vagy VPN CPE kapcsolatautomatizálásával)
  • Helyek közötti VPN-kapcsolatok
  • Távoli felhasználói VPN-kapcsolat (pont–hely)
  • Privát kapcsolat (ExpressRoute)
  • Felhőn belüli kapcsolatok (virtuális hálózatok átjárható kapcsolatai)
  • VPN ExpressRoute-kapcsolatok
  • Útválasztás, Azure Firewall és titkosítás a privát kapcsolatokhoz

Virtual WAN-diagram.

Azure DNS

Az Azure DNS a Microsoft Azure-infrastruktúrával biztosítja a DNS-üzemeltetést és -feloldást. Az Azure DNS három szolgáltatásból áll:

  • Az Azure Public DNS a DNS-tartományok üzemeltetési szolgáltatása. Ha tartományait az Azure-ban üzemelteti, DNS-rekordjait a többi Azure-szolgáltatáshoz is használt hitelesítő adatokkal, API-kkal, eszközökkel és számlázási információkkal kezelheti.
  • Az Azure saját DNS a virtuális hálózatok DNS-szolgáltatása. Az Azure saját DNS kezeli és feloldja a virtuális hálózat tartományneveit anélkül, hogy egyéni DNS-megoldást kellene konfigurálnia.
  • Az Azure DNS Private Resolver egy szolgáltatás, amely lehetővé teszi az Azure DNS privát zónáinak lekérdezését egy helyszíni környezetből, és fordítva, virtuálisgép-alapú DNS-kiszolgálók üzembe helyezése nélkül.

Az Azure DNS használatával nyilvános tartományokat üzemeltethet és oldhat fel, kezelheti a DNS-feloldásokat a virtuális hálózatokban, és engedélyezheti a névfeloldásokat az Azure és a helyszíni erőforrások között.

Azure Bastion

Az Azure Bastion egy olyan szolgáltatás, amelyet üzembe helyezhet, hogy a böngésző és az Azure Portal használatával, vagy a helyi számítógépen már telepített natív SSH- vagy RDP-ügyfélen keresztül kapcsolódjon egy virtuális géphez. Az Azure Bastion szolgáltatás egy teljesen platform által felügyelt PaaS-szolgáltatás, amelyet a virtuális hálózaton belül helyez üzembe. Biztonságos és zökkenőmentes RDP-/SSH-kapcsolatokat konfigurálhat a virtuális gépeihez közvetlenül az Azure Portalon, TLS használatával. Ha az Azure Bastionon keresztül csatlakozik, a virtuális gépeinek nincs szüksége nyilvános IP-címre, ügynökre vagy meghatározott ügyfélszoftverre. Az Azure Bastionhoz számos különböző termékváltozat/szint érhető el. A kiválasztott szint hatással van az elérhető funkciókra. További információ: A Bastion konfigurációs beállításai.

Az Azure Bastion architektúrát bemutató ábra.

NAT-átjáró

A virtuális hálózati NAT (hálózati címfordítás) leegyszerűsíti a csak kimenő internetkapcsolatot a virtuális hálózatokhoz. Ha alhálózaton van konfigurálva, minden kimenő kapcsolat a megadott statikus nyilvános IP-címeket használja. A kimenő kapcsolat terheléselosztó vagy a virtuális gépekhez közvetlenül csatlakoztatott nyilvános IP-címek nélkül lehetséges. További információ: Mi az Az Azure NAT-átjáró?

Virtuális hálózati NAT-átjáró

Útvonalkiszolgáló

Az Azure Route Server leegyszerűsíti a dinamikus útválasztást a hálózati virtuális berendezés (NVA) és a virtuális hálózat között. Lehetővé teszi az útválasztási adatok közvetlen cseréjét a Border Gateway Protocol (BGP) útválasztási protokollon keresztül bármely olyan NVA között, amely támogatja a BGP-útválasztási protokollt és az Azure-beli virtuális hálózat (VNet) Azure Szoftveralapú hálózata (SDN) között anélkül, hogy manuálisan konfigurálnia vagy karbantartania kellene az útvonaltáblákat.

Peering Service

Az Azure Peering Service javítja az ügyfélkapcsolatot a Microsoft felhőszolgáltatásokkal, például a Microsoft 365-tel, a Dynamics 365-tel, az SaaS-szolgáltatásokkal, az Azure-tal vagy a nyilvános interneten keresztül elérhető Microsoft-szolgáltatások.

Alkalmazásvédelmi szolgáltatások

Ez a szakasz az Azure-beli hálózati szolgáltatásokat ismerteti, amelyek segítenek megvédeni a hálózati erőforrásokat – Alkalmazások védelme ezen hálózati szolgáltatások bármelyikével vagy kombinációjával az Azure-ban – DDoS protection, Private Link, Firewall, Web Application Firewall, Hálózati biztonsági csoportok és Virtuális hálózati szolgáltatásvégpontok.

DDoS Protection

Az Azure DDoS Protection ellenintézkedéseket biztosít a legkifinomultabb DDoS-fenyegetésekkel szemben. A szolgáltatás továbbfejlesztett DDoS-kockázatcsökkentési képességeket biztosít az alkalmazáshoz és a virtuális hálózatokon üzembe helyezett erőforrásokhoz. Emellett az Azure DDoS Protectiont használó ügyfeleknek hozzáférésük van a DDoS gyorsreagálási támogatásához, hogy DDoS-szakértőket vonjanak be egy aktív támadás során.

Az Azure DDoS Protection két szintből áll:

  • A DDoS Network Protection alkalmazástervezési ajánlott eljárásokkal kombinálva továbbfejlesztett DDoS-kockázatcsökkentő funkciókat biztosít a DDoS-támadások elleni védelemhez. A rendszer automatikusan hangolja a virtuális hálózatban lévő azure-erőforrások védelmét.
  • A DDoS IP Protection egy fizetős, védett IP-modell. A DDoS IP Protection ugyanazokat az alapvető mérnöki funkciókat tartalmazza, mint a DDoS Network Protection, de a következő hozzáadott értékekkel rendelkező szolgáltatásokban különböznek: A DDoS gyorsreagálás támogatása, a költségvédelem és a WAF-kedvezmények.

Egy DDoS által védett PaaS-webalkalmazás referenciaarchitektúrájának diagramja.

Az Azure Private Link lehetővé teszi az Azure PaaS-szolgáltatások (például az Azure Storage és az SQL Database) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését a virtuális hálózat egy privát végpontján keresztül. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán keresztül halad át. Ezáltal kiküszöbölhető a szolgáltatás nyilvános internetes kitettsége. Létrehozhatja saját privát kapcsolati szolgáltatását a virtuális hálózatán belül, és eljuttathatja azt ügyfeleihez.

Privát végpont áttekintése

Azure Firewall

Az Azure Firewall egy felügyelt, felhőalapú hálózati biztonsági szolgáltatás, amely védi az Azure-beli virtuális hálózati erőforrásokat. Az Azure Firewall használatával központilag hozhat létre, kényszeríthet és naplózhat alkalmazás- és hálózati kapcsolati szabályzatokat előfizetések és virtuális hálózatok között. Az Azure Firewall statikus nyilvános IP-címet használ a virtuális hálózat erőforrásaihoz, így a külső tűzfalak azonosíthatják a virtuális hálózatból érkező forgalmat.

Tűzfal áttekintése

Webalkalmazási tűzfal

Az Azure Web Application Firewall (WAF) védelmet nyújt a webalkalmazásoknak az olyan gyakori webes biztonsági rések és biztonsági rések ellen, mint az SQL-injektálás és a helyek közötti szkriptelés. Az Azure WAF a felügyelt szabályokon keresztül biztosítja az OWASP 10 legfontosabb biztonsági résének védelmét. Emellett az ügyfelek egyéni szabályokat is konfigurálhatnak, amelyek ügyfél által felügyelt szabályok, hogy a forrás IP-címtartománya alapján további védelmet nyújtsanak, és olyan kérési attribútumokat igényeljenek, mint a fejlécek, a cookie-k, az űrlapadatmezők vagy a lekérdezési sztring paraméterei.

Az ügyfelek dönthetnek úgy, hogy az Azure WAF-et az Application Gateway használatával helyezik üzembe, amely regionális védelmet nyújt a nyilvános és a privát címtérben lévő entitások számára. Az ügyfelek dönthetnek úgy is, hogy az Azure WAF-et a Front Door használatával helyezik üzembe, amely védelmet nyújt a hálózati peremhálózaton a nyilvános végpontok számára.

Webalkalmazási tűzfal

Hálózati biztonsági csoportok

Az Azure-beli virtuális hálózatokban az Azure-erőforrások bejövő és kimenő hálózati forgalmát hálózati biztonsági csoportokkal szűrheti. További információ: Hálózati biztonsági csoportok.

Szolgáltatásvégpontok

A virtuális hálózat (VNet) szolgáltatásvégpontjai közvetlen kapcsolaton keresztül kiterjesztik a virtuális hálózat privát címterét és a virtuális hálózat identitását az Azure-szolgáltatásokra. A végpontok segítségével biztosíthatja, hogy kritikus fontosságú Azure-szolgáltatási erőforrásai csak a virtuális hálózatain legyenek elérhetőek. A VNet felől az Azure-szolgáltatás felé irányuló forgalom mindig a Microsoft Azure gerinchálózatán halad át.

Virtuális hálózati szolgáltatásvégpontok

Alkalmazáskézbesítési szolgáltatások

Ez a szakasz az azure-beli hálózati szolgáltatásokat ismerteti, amelyek segítenek az alkalmazások kézbesítésében – Content Delivery Network, Azure Front Door Service, Traffic Manager, Load Balancer és Application Gateway.

Azure Front Door

Az Azure Front Door lehetővé teszi a webes forgalom globális útválasztásának meghatározását, kezelését és monitorozását a legjobb teljesítmény és azonnali globális feladatátvétel optimalizálásával a magas rendelkezésre állás érdekében. A Front Door használatával a globális (több régióban található) fogyasztói és nagyvállalati alkalmazásait olyan robusztus, nagy teljesítményű, személyre szabott és modern alkalmazásokká, API-kká és tartalmakká alakíthatja, amelyek az Azure-on keresztül elérhetik a globális közönségüket.

Az Azure Front Door szolgáltatás diagramja webalkalmazási tűzfallal.

Traffic Manager

Azure Traffic Manager. EGY DNS-alapú forgalom terheléselosztó, amely lehetővé teszi a forgalom optimális elosztását a globális Azure-régiók szolgáltatásai között, magas rendelkezésre állás és válaszkészség mellett. A Traffic Manager számos forgalom-útválasztási módszert kínál a forgalom elosztásához, például prioritás, súlyozott, teljesítmény, földrajzi, többértékű vagy alhálózat.

Az alábbi ábra a végpont prioritásalapú útválasztását mutatja be a Traffic Managerrel:

Az Azure Traffic Manager

További információ a Traffic Managerről: Mi az Az Azure Traffic Manager?

Load Balancer

Az Azure Load Balancer nagy teljesítményű, alacsony késésű 4. rétegbeli terheléselosztást biztosít az összes UDP- és TCP-protokollhoz. Kezeli a bejövő és kimenő kapcsolatokat. Konfigurálhat nyilvános és belső terheléselosztású végpontokat. A szolgáltatás rendelkezésre állásának kezeléséhez TCP- és HTTP-állapottesztelési lehetőségekkel szabályokat határozhat meg a háttérkészlet-célkészletek bejövő kapcsolatainak leképezéséhez.

Az Azure Load Balancer standard, regionális és átjáró termékváltozatokban érhető el.

Az alábbi képen egy internetes többrétegű alkalmazás látható, amely külső és belső terheléselosztókat is használ:

Azure Load Balancer-példa

Application Gateway

Az Azure Application Gateway egy webes forgalomra vonatkozó terheléselosztó, amellyel kezelheti a webalkalmazásai forgalmát. Ez egy alkalmazáskézbesítési vezérlő (ADC) szolgáltatásként, amely különböző 7. rétegbeli terheléselosztási képességeket kínál az alkalmazások számára.

Az alábbi ábrán az URL-útvonalon alapuló útválasztás látható az Application Gateway használatával.

Példa az Application Gatewayre

Content Delivery Network

Azure Content Delivery Network (CDN). Globális megoldást kínál a fejlesztőknek a nagy sávszélességű tartalom gyors továbbításához a felhasználók számára azáltal, hogy a tartalmakat a világ stratégiailag elhelyezett fizikai csomópontjaiban gyorsítótárazják.

Azure CDN

Hálózatfigyelési szolgáltatások

Ez a szakasz az Azure-beli hálózati szolgáltatásokat ismerteti, amelyek segítenek monitorozni a hálózati erőforrásokat – Az Azure Network Watcher, az Azure Monitor Network Elemzések, az Azure Monitor és az ExpressRoute Monitor.

Azure Network Watcher

Az Azure Network Watcher eszközeivel monitorozhatja és diagnosztizálhatja az erőforrásokat egy Azure virtuális hálózaton belül, illetve megtekintheti azok metrikáit, és engedélyezheti vagy letiltja azok naplóit. További információ: [Mi a Network Watcher?

Azure Monitor

Az Azure Monitor maximalizálja az alkalmazások rendelkezésre állását és teljesítményét azzal, hogy egy teljes értékű megoldást kínál, amellyel a felhőbeli és a helyszíni környezetből származó telemetriai adatokat lehet gyűjteni, elemezni, és ezek alapján műveleteket elvégezni. Ez a szolgáltatás segít megérteni azt, hogy az alkalmazásai hogyan teljesítenek, valamint proaktív módon azonosítja a működésüket befolyásoló problémákat és azokat az erőforrásokat, amelyektől függenek. További információ: [Az Azure Monitor áttekintése

ExpressRoute Monitor

Az ExpressRoute-kapcsolatcsoport metrikáinak, erőforrásnaplóinak és riasztásainak megtekintéséhez tekintse meg az ExpressRoute monitorozását, metrikáit és riasztásait.

Network Insights

Azure Monitor for Networks (Hálózati Elemzések). Átfogó áttekintést nyújt az összes üzembe helyezett hálózati erőforrás állapotáról és metrikáiról, konfiguráció nélkül.

Következő lépések

  • Hozza létre az első virtuális hálózatot, és csatlakozzon hozzá néhány virtuális gépet az első virtuális hálózat létrehozása című cikk lépéseinek végrehajtásával.
  • Csatlakozás a számítógépet egy virtuális hálózatra a Pont–hely kapcsolati cikk konfigurálása.
  • A nyilvános kiszolgálók felé irányuló internetes forgalom terheléselosztása az internetre irányuló terheléselosztó-cikk lépéseinek végrehajtásával.