Connettività e topologia di rete

  • Articolo

L'area di progettazione della topologia di rete e connettività è fondamentale per stabilire una base per la progettazione della rete cloud.

Revisione dell'area di progettazione

Ruoli o funzioni coinvolti: questa area di progettazione richiede probabilmente il supporto di una o più funzioni della piattaforma cloud e del centro di eccellenza del cloud per prendere e implementare decisioni.

Ambito: l'obiettivo della progettazione della rete è allineare la progettazione della rete cloud con i piani di adozione generali del cloud. Se i piani di adozione del cloud includono dipendenze ibride o multi-cloud o se è necessaria la connettività per altri motivi, la progettazione della rete deve incorporare anche queste opzioni di connettività e i modelli di traffico previsti.

Ambito esterno: Questa area di progettazione stabilisce la base per la rete. Non risolve problemi correlati alla conformità, ad esempio sicurezza di rete avanzata o guardrail automatizzati. Queste indicazioni vengono fornite quando si esaminano le aree di progettazione della conformità della sicurezza e della governance. Postponendo discussioni sulla sicurezza e sulla governance, il team della piattaforma cloud risolve i requisiti di rete iniziali prima di espandere il pubblico per argomenti più complessi.

Panoramica dell'area di progettazione

La topologia di rete e la connettività sono fondamentali per le organizzazioni che pianificano la progettazione della zona di destinazione. La rete è centrale per quasi tutto all'interno di una zona di destinazione. Consente la connettività ad altri servizi di Azure, utenti esterni e infrastruttura locale. La topologia di rete e la connettività si trovano nel gruppo ambientale delle aree di progettazione della zona di destinazione di Azure. Questo raggruppamento si basa sulla loro importanza nelle decisioni di progettazione e implementazione principali.

Diagramma delle aree di rete della gerarchia del gruppo di gestione di ALZ.

Nell'architettura concettuale della zona di destinazione di Azure sono presenti due gruppi di gestione principali che ospitano carichi di lavoro: Corp e Online. Questi gruppi di gestione servono scopi distinti per organizzare e gestire le sottoscrizioni di Azure. La relazione di rete tra i vari gruppi di gestione delle zone di destinazione di Azure dipende dai requisiti e dall'architettura di rete specifici dell'organizzazione. Le sezioni successive illustrano la relazione di rete tra Corp, Online e i gruppi di gestione connettività in relazione a ciò che fornisce l'acceleratore di zona di destinazione di Azure.

Qual è lo scopo di Connettività, Corp e Gruppi di gestione online?

  • Gruppo di gestione della connettività: questo gruppo di gestione contiene sottoscrizioni dedicate per la connettività, in genere una singola sottoscrizione per la maggior parte delle organizzazioni. Queste sottoscrizioni ospitano le risorse di rete di Azure necessarie per la piattaforma, ad esempio Azure rete WAN virtuale, gateway Rete virtuale, Firewall di Azure e zone private DNS di Azure. È anche la posizione in cui viene stabilita la connettività ibrida tra gli ambienti cloud e locali, usando servizi come ExpressRoute e così via.
  • Gruppo di gestione Corp: gruppo di gestione dedicato per le zone di destinazione aziendali. Questo gruppo è destinato a contenere sottoscrizioni che ospitano carichi di lavoro che richiedono connettività di routing IP tradizionale o connettività ibrida con la rete aziendale tramite l'hub nella sottoscrizione di connettività e quindi fanno parte dello stesso dominio di routing. I carichi di lavoro come i sistemi interni non sono esposti direttamente a Internet, ma possono essere esposti tramite proxy inverso e così via, ad esempio gateway applicazione.
  • Gruppo di gestione online: gruppo di gestione dedicato per le zone di destinazione online. Questo gruppo è destinato a contenere sottoscrizioni usate per le risorse pubbliche, ad esempio siti Web, applicazioni e-commerce e servizi con connessione al cliente. Ad esempio, le organizzazioni possono usare il gruppo di gestione online per isolare le risorse pubbliche dal resto dell'ambiente di Azure, riducendo la superficie di attacco e garantendo che le risorse pubbliche siano sicure e disponibili per i clienti.

Perché sono stati creati gruppi di gestione Corp e Online per separare i carichi di lavoro?

La differenza nelle considerazioni di rete tra i gruppi di gestione Corp e Online nell'architettura concettuale della zona di destinazione di Azure risiede nell'uso previsto e nello scopo primario.

Il gruppo di gestione Corp viene usato per gestire e proteggere risorse e servizi interni, ad esempio applicazioni line-of-business, database e gestione utenti. Le considerazioni sulla rete per il gruppo di gestione Corp sono incentrate sulla fornitura di connettività sicura ed efficiente tra le risorse interne, applicando criteri di sicurezza rigorosi per proteggere dall'accesso non autorizzato.

Il gruppo di gestione online nell'architettura concettuale della zona di destinazione di Azure può essere considerato un ambiente isolato usato per gestire risorse e servizi pubblici accessibili da Internet. Usando il gruppo di gestione online per gestire le risorse pubbliche, l'architettura della zona di destinazione di Azure consente di isolare tali risorse dalle risorse interne, riducendo così il rischio di accesso non autorizzato e riducendo al minimo la superficie di attacco.

Nell'architettura concettuale della zona di destinazione di Azure, la rete virtuale nel gruppo di gestione online può essere, facoltativamente, eseguire il peering con reti virtuali nel gruppo di gestione Corp, direttamente o indirettamente tramite l'hub e i requisiti di routing associati tramite un Firewall di Azure o un'applicazione di rete virtuale, consentendo alle risorse pubbliche di comunicare con le risorse interne in modo sicuro e controllato. Questa topologia garantisce che il traffico di rete tra risorse pubbliche e risorse interne sia sicuro e limitato, consentendo comunque alle risorse di comunicare in base alle esigenze.

Suggerimento

È anche importante comprendere e esaminare i criteri di Azure assegnati e ereditati in ognuno dei gruppi di gestione come parte della zona di destinazione di Azure. In quanto queste forme di guida, proteggere e gestire i carichi di lavoro distribuiti all'interno delle sottoscrizioni presenti in questi gruppi di gestione. Le assegnazioni di criteri per le zone di destinazione di Azure sono disponibili qui.