Topologi dan konektivitas jaringan

  • Artikel

Topologi jaringan dan area desain konektivitas sangat penting untuk membangun fondasi untuk desain jaringan cloud Anda.

Peninjauan area desain

Peran atau fungsi yang terlibat: Area desain ini mungkin memerlukan dukungan dari satu atau lebih platform cloud dan fungsi pusat cloud keunggulan untuk membuat dan menerapkan keputusan.

Cakupan: Tujuan dari desain jaringan adalah untuk menyelaraskan desain jaringan cloud Anda dengan rencana adopsi cloud secara keseluruhan. Jika paket adopsi cloud Anda menyertakan dependensi hibrida atau multicloud, atau jika Anda memerlukan konektivitas karena alasan lain, desain jaringan Anda juga harus menggabungkan opsi konektivitas tersebut dan pola lalu lintas yang diharapkan.

Di luar cakupan: Area desain ini menetapkan fondasi untuk jaringan. Ini tidak mengatasi masalah terkait kepatuhan seperti keamanan jaringan tingkat lanjut atau pagar pembatas penegakan otomatis. Panduan tersebut hadir ketika Anda meninjau area desain kepatuhan keamanan dan pemerintahan. Menunda diskusi keamanan dan tata kelola memungkinkan tim platform cloud memenuhi persyaratan jaringan awal sebelum mereka memperluas audiens mereka untuk topik yang lebih kompleks.

Ringkasan area desain

Topologi dan konektivitas jaringan sangat mendasar untuk organisasi yang merencanakan desain zona pendaratan mereka. Jaringan adalah pusat dari hampir semua yang ada di dalam zona pendaratan. Ini memungkinkan konektivitas ke layanan Azure lainnya, pengguna eksternal, dan infrastruktur lokal. Topologi dan konektivitas jaringan berada dalam kelompok lingkungan area desain zona pendaratan Azure. Pengelompokan ini didasarkan pada kepentingan mereka dalam desain inti dan keputusan implementasi.

Diagram area jaringan Hierarki Grup Manajemen konseptual ALZ.

Dalam arsitektur zona pendaratan Azure konseptual, ada dua grup manajemen utama yang menghosting beban kerja: Corp dan Online. Grup manajemen ini melayani tujuan yang berbeda dalam mengatur dan mengatur langganan Azure. Hubungan jaringan antara berbagai grup manajemen zona pendaratan Azure bergantung pada persyaratan khusus organisasi dan arsitektur jaringan. Beberapa bagian berikutnya membahas hubungan jaringan antara Corp, Online, dan grup manajemen Konektivitas sehubungan dengan apa yang disediakan oleh akselerator zona pendaratan Azure.

Apa tujuan dari Konektivitas, Corp, dan Grup Manajemen Online?

  • Grup manajemen konektivitas: Grup manajemen ini berisi langganan khusus untuk konektivitas, biasanya satu langganan untuk sebagian besar organisasi. Langganan ini menghosting sumber daya jaringan Azure yang diperlukan untuk platform, seperti Azure Virtual WAN, gateway Virtual Network, Azure Firewall, dan zona privat Azure DNS. Ini juga tempat konektivitas hibrid terjalin antara lingkungan cloud dan lokal, menggunakan layanan seperti ExpressRoute dll.
  • Grup manajemen Corp: Grup manajemen khusus untuk zona pendaratan perusahaan. Grup ini dimaksudkan untuk berisi langganan yang menghosting beban kerja yang memerlukan konektivitas perutean IP tradisional atau konektivitas hibrid dengan jaringan perusahaan melalui hub dalam langganan konektivitas dan oleh karena itu membentuk bagian dari domain perutean yang sama. Beban kerja seperti sistem internal tidak terekspos langsung ke internet, tetapi dapat diekspos melalui proksi terbalik, dll., seperti Application Gateway.
  • Grup manajemen online: Grup manajemen khusus untuk zona pendaratan online. Grup ini dimaksudkan untuk berisi langganan yang digunakan untuk sumber daya yang menghadap publik, seperti situs web, aplikasi e-niaga, dan layanan yang berhadapan dengan pelanggan. Misalnya, organisasi dapat menggunakan grup manajemen Online untuk mengisolasi sumber daya yang menghadap publik dari lingkungan Azure lainnya, mengurangi permukaan serangan dan memastikan bahwa sumber daya yang menghadap publik aman dan tersedia untuk pelanggan.

Mengapa kami membuat grup manajemen Corp dan Online untuk memisahkan beban kerja?

Perbedaan pertimbangan jaringan antara grup manajemen Corp dan Online dalam arsitektur zona pendaratan Azure konseptual terletak pada penggunaan yang dimaksudkan dan tujuan utamanya.

Grup manajemen Corp digunakan untuk mengelola dan mengamankan sumber daya dan layanan internal, seperti aplikasi lini bisnis, database, dan manajemen pengguna. Pertimbangan jaringan untuk grup manajemen Corp berfokus pada penyediaan konektivitas yang aman dan efisien antara sumber daya internal, sambil menegakkan kebijakan keamanan yang ketat untuk melindungi dari akses yang tidak sah.

Grup manajemen Online dalam arsitektur zona pendaratan Azure konseptual dapat dianggap sebagai lingkungan terisolasi yang digunakan untuk mengelola sumber daya dan layanan publik yang dapat diakses dari Internet. Dengan menggunakan grup manajemen Online untuk mengelola sumber daya yang menghadap publik, arsitektur zona pendaratan Azure menyediakan cara untuk mengisolasi sumber daya tersebut dari sumber daya internal, sehingga mengurangi risiko akses yang tidak sah dan meminimalkan permukaan serangan.

Dalam arsitektur zona pendaratan Azure konseptual, jaringan virtual dalam grup manajemen Online dapat, secara opsional, di-peering dengan jaringan virtual dalam grup manajemen Corp, baik secara langsung atau tidak langsung melalui hub dan persyaratan perutean terkait melalui Azure Firewall atau NVA, memungkinkan sumber daya yang menghadap publik untuk berkomunikasi dengan sumber daya internal dengan cara yang aman dan terkontrol. Topologi ini memastikan bahwa lalu lintas jaringan antara sumber daya yang menghadap publik dan sumber daya internal aman dan terbatas, sambil tetap memungkinkan sumber daya untuk berkomunikasi sesuai kebutuhan.

Tip

Penting juga untuk memahami dan meninjau Kebijakan Azure yang ditetapkan, dan diwariskan, pada setiap Grup Manajemen sebagai bagian dari zona pendaratan Azure. Karena ini membantu membentuk, lindungi dan a kelola beban kerja yang disebarkan dalam langganan yang ada di Grup Manajemen ini. Penetapan kebijakan untuk zona pendaratan Azure dapat ditemukan di sini.