Het virtuele datacenter: een netwerkperspectief

Toepassingen die worden gemigreerd van on-premises profiteren van de veilige, kostenefficiënte infrastructuur van Azure, zelfs met minimale toepassingswijzigingen. Toch moeten ondernemingen hun architecturen aanpassen om de flexibiliteit te verbeteren en te profiteren van de mogelijkheden van Azure.

Microsoft Azure biedt hyperscale-services en -infrastructuur met mogelijkheden en betrouwbaarheid van ondernemingsklasse. Deze services en infrastructuur bieden veel opties op het gebied van hybride connectiviteit, zodat klanten ervoor kunnen kiezen om ze te openen via internet of een particuliere netwerkverbinding. Microsoft-partners kunnen ook verbeterde mogelijkheden bieden door beveiligingsservices en virtuele apparaten aan te bieden die zijn geoptimaliseerd voor gebruik in Azure.

Klanten kunnen Azure gebruiken om hun infrastructuur naadloos uit te breiden naar de cloud en architecturen met meerdere cijfers te bouwen.

Wat is een virtueel datacenter?

De cloud is begonnen als een platform voor het hosten van openbare toepassingen. Ondernemingen herkenden de waarde van de cloud en begonnen met het migreren van interne Line-Of-Business-toepassingen. Deze toepassingen hebben extra beveiligings-, betrouwbaarheids-, prestatie- en kostenoverwegingen gebracht die extra flexibiliteit vereisten bij het leveren van cloudservices. Nieuwe infrastructuur- en netwerkservices zijn ontworpen om deze flexibiliteit te bieden, en nieuwe functies die worden geboden voor elastisch schalen, herstel na noodherstel en andere overwegingen.

Cloudoplossingen zijn in eerste instantie ontworpen voor het hosten van enkele, relatief geïsoleerde toepassingen in het openbare spectrum. Deze aanpak heeft een paar jaar goed gewerkt. Naarmate de voordelen van cloudoplossingen duidelijk werden, werden meerdere grootschalige workloads gehost in de cloud. Het aanpakken van de problemen met beveiliging, betrouwbaarheid, prestaties en kosten van implementaties in een of meer regio's werd van cruciaal belang gedurende de levenscyclus van de cloudservice.

In het onderstaande voorbeelddiagram met cloudimplementaties is een beveiligingsgat in het rode vak te zien. In het gele vak ziet u een kans om virtuele netwerkapparaten te optimaliseren voor verschillende workloads.

Virtuele datacenters helpen bij het realiseren van de schaal die is vereist voor zakelijke workloads. Deze schaal moet de uitdagingen aanpakken die worden geïntroduceerd bij het uitvoeren van grootschalige toepassingen in de openbare cloud.

Een implementatie van een virtueel datacenter (VDC) bevat meer dan de toepassingsworkloads in de cloud. Het biedt ook het netwerk, de beveiliging, het beheer en andere infrastructuur, zoals DNS- en Active Directory-services. Wanneer ondernemingen extra workloads migreren naar Azure, moet u rekening houden met de infrastructuur en objecten die ondersteuning bieden voor deze workloads. Door uw resources zorgvuldig te structureren, voorkomt u uitbreiding van honderden afzonderlijk beheerde 'workloadeilanden' met onafhankelijke gegevensstromen, beveiligingsmodellen en nalevingsuitdagingen.

Het concept van het virtuele datacenter biedt aanbevelingen en ontwerpen op hoog niveau voor het implementeren van een verzameling afzonderlijke maar gerelateerde entiteiten. Deze entiteiten hebben vaak algemene ondersteunende functies, functies en infrastructuur. Als u uw workloads als een virtueel datacenter bekijkt, kunt u lagere kosten realiseren door schaalvoordelen, geoptimaliseerde beveiliging via centralisatie van onderdelen en gegevensstromen, en eenvoudigere bewerkingen, beheer en nalevingscontroles.

Een virtueel datacenter helpt ondernemingen bij het implementeren van workloads en toepassingen in Azure voor de volgende scenario's:

• Meerdere gerelateerde workloads hosten.
• Workloads migreren van een on-premises omgeving naar Azure.
• Implementeert gedeelde of gecentraliseerde beveiligings- en toegangsvereisten voor alle workloads.
• Combineer DevOps en gecentraliseerde IT op de juiste wijze voor een grote onderneming.

Wie moet een virtueel datacenter implementeren?

Elke klant die heeft besloten azure te gebruiken, kan profiteren van de efficiëntie van het configureren van een set resources voor algemeen gebruik door alle toepassingen. Afhankelijk van de grootte kunnen zelfs individuele toepassingen profiteren van het gebruik van de patronen en onderdelen die worden gebruikt om een VDC-implementatie te bouwen.

Sommige organisaties hebben gecentraliseerde teams of afdelingen voor IT, netwerken, beveiliging of naleving. Het implementeren van een VDC kan helpen bij het afdwingen van beleidspunten, afzonderlijke verantwoordelijkheden en het garanderen van de consistentie van de onderliggende algemene onderdelen. Toepassingsteams kunnen de vrijheid en controle behouden die geschikt zijn voor hun vereisten.

Organisaties met een DevOps-benadering kunnen ook gebruikmaken van VDC-concepten om geautoriseerde middelen voor Azure-resources te bieden. Deze methode kan ervoor zorgen dat de DevOps-groepen totale controle hebben binnen die groepering, op abonnementsniveau of binnen resourcegroepen in een gemeenschappelijk abonnement. Tegelijkertijd blijven de netwerk- en beveiligingsgrenzen compatibel zoals gedefinieerd door een gecentraliseerd beleid in het hubnetwerk en de centraal beheerde resourcegroep.

Overwegingen voor het implementeren van een virtueel datacenter

Houd bij het ontwerpen van een virtueel datacenter rekening met de volgende belangrijke problemen:

Identiteits- en adreslijstservice

Identiteits- en adreslijstservices zijn belangrijke mogelijkheden van zowel on-premises als cloud datacenters. Identiteit omvat alle aspecten van toegang en autorisatie voor services binnen een VDC-implementatie. Om ervoor te zorgen dat alleen geautoriseerde gebruikers en processen toegang hebben tot uw Azure-resources, gebruikt Azure verschillende soorten referenties voor verificatie, waaronder accountwachtwoorden, cryptografische sleutels, digitale handtekeningen en certificaten. Azure Multi-Factor Authentication biedt een extra beveiligingslaag voor toegang tot Azure-services met behulp van sterke verificatie met een scala aan eenvoudige verificatieopties (telefoonoproep, sms-bericht of mobiele app-melding) waarmee klanten de gewenste methode kunnen kiezen.

Grote ondernemingen moeten een identiteitsbeheerproces definiëren dat het beheer van afzonderlijke identiteiten, hun verificatie, autorisatie, rollen en bevoegdheden binnen of binnen hun VDC beschrijft. De doelstellingen van dit proces moeten zijn om de beveiliging en productiviteit te verhogen en tegelijkertijd kosten, downtime en terugkerende handmatige taken te verminderen.

Bedrijfsorganisaties vereisen mogelijk een veeleisende combinatie van services voor verschillende bedrijfslijnen en werknemers hebben vaak verschillende rollen wanneer ze betrokken zijn bij verschillende projecten. De VDC vereist een goede samenwerking tussen verschillende teams, elk met specifieke roldefinities, om systemen te laten werken met goed beheer. De matrix met verantwoordelijkheden, toegang en rechten kan complex zijn. Identiteitsbeheer in de VDC wordt geïmplementeerd via Azure Active Directory (Azure AD) en op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).

Een adreslijstservice is een gedeelde informatie-infrastructuur die dagelijkse items en netwerkbronnen zoekt, beheert, beheert en orden. Deze resources kunnen volumes, mappen, bestanden, printers, gebruikers, groepen, apparaten en andere objecten bevatten. Elke resource in het netwerk wordt door de directoryserver beschouwd als een object. Informatie over een resource wordt opgeslagen als een verzameling kenmerken die zijn gekoppeld aan die resource of het bijbehorende object.

Alle onlinebedrijfsservices van Microsoft zijn afhankelijk Azure Active Directory (Azure AD) voor aanmelding en andere identiteitsbehoeften. Azure Active Directory is een uitgebreide, zeer beschikbare cloudoplossing voor identiteits- en toegangsbeheer waarin kerndirectoryservices, geavanceerd identiteitsbeheer en toegangsbeheer voor toepassingen worden gecombineerd. Azure AD kan worden geïntegreerd met on-premises Active Directory om een aanmelding in te stellen voor alle cloudtoepassingen en lokaal gehoste on-premises toepassingen. De gebruikerskenmerken van on-premises Active Directory kunnen automatisch worden gesynchroniseerd met Azure AD.

Eén globale beheerder hoeft niet alle machtigingen in een VDC-implementatie toe te wijzen. In plaats daarvan kan elke specifieke afdeling, groep gebruikers of services in de directoryservice beschikken over de machtigingen die nodig zijn voor het beheren van hun eigen resources binnen een VDC-implementatie. Voor het structureren van machtigingen is taakverdeling vereist. Te veel machtigingen kunnen de efficiëntie van prestaties in gevaar brengen en te weinig of losse machtigingen kunnen de beveiligingsrisico's verhogen. Met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u dit probleem oplossen door een fijner toegangsbeheer te bieden voor resources in een VDC-implementatie.

Beveiligingsinfrastructuur

Beveiligingsinfrastructuur verwijst naar de scheiding van verkeer in het specifieke segment van een virtuele netwerk van een VDC-implementatie. Deze infrastructuur geeft aan hoe ingress en egress worden beheerd in een VDC-implementatie. Azure is gebaseerd op een multitenant-architectuur die niet-geautoriseerd en onbedoeld verkeer tussen implementaties voorkomt door gebruik te maken van isolatie van virtuele netwerken, toegangsbeheerlijsten, load balancers, IP-filters en beleidsregels voor verkeersstromen. Nat (Network Address Translation) scheidt intern netwerkverkeer van extern verkeer.

De Azure-infrastructuur wijst infrastructuurbronnen toe aan tenantworkloads en beheert de communicatie van en naar virtuele machines (VM's). De Azure-hypervisor dwingt geheugen- en processcheiding af tussen VM's en routeert netwerkverkeer veilig naar tenants van gastbesturingssystemen.

Connectiviteit met de cloud

Een virtueel datacenter vereist connectiviteit met externe netwerken om services aan klanten, partners of interne gebruikers aan te bieden. Deze behoefte aan connectiviteit verwijst niet alleen naar internet, maar ook naar on-premises netwerken en datacenters.

Klanten bepalen welke services toegang hebben tot en toegankelijk zijn vanaf het openbare internet. Deze toegang wordt beheerd met behulp van Azure Firewall of andere typen virtuele netwerkapparaten (N NVA's), aangepast routeringsbeleid met behulp van door de gebruiker gedefinieerde routesen netwerkfiltering met behulp van netwerkbeveiligingsgroepen. We raden u aan dat alle internetbronnen ook worden beveiligd door de Azure DDoS Protection Standard.

Ondernemingen moeten mogelijk hun virtuele datacenter verbinden met on-premises datacenters of andere resources. Deze connectiviteit tussen Azure en on-premises netwerken is een cruciaal aspect bij het ontwerpen van een effectieve architectuur. Ondernemingen hebben twee verschillende manieren om deze verbinding te maken: via internet of via particuliere directe verbindingen.

Een site-naar-site-VPN van Azure verbindt on-premises netwerken met uw virtuele datacenter in Azure. De koppeling wordt tot stand gebracht via beveiligde versleutelde verbindingen (IPsec-tunnels). Site-naar-site-VPN-verbindingen van Azure zijn flexibel, snel te maken en vereisen doorgaans geen extra hardwareaankoop. Op basis van standaardprotocollen kunnen de meeste huidige netwerkapparaten VPN-verbindingen met Azure maken via internet of bestaande verbindingspaden.

ExpressRoute maakt privéverbindingen mogelijk tussen uw virtuele datacenter en on-premises netwerken. ExpressRoute-verbindingen gaan niet via het openbare internet en bieden hogere beveiliging, betrouwbaarheid en hogere snelheden (maximaal 100 Gbps), samen met consistente latentie. ExpressRoute biedt de voordelen van nalevingsregels die zijn gekoppeld aan privéverbindingen. Met ExpressRoute Directkunt u rechtstreeks verbinding maken met Microsoft-routers met een waarde van 10 Gbps of 100 Gbps.

Bij het implementeren van ExpressRoute-verbindingen wordt meestal een ExpressRoute-serviceprovider gebruikt (ExpressRoute Direct de uitzondering). Voor klanten die snel moeten beginnen, is het gebruikelijk om in eerste instantie site-naar-site-VPN te gebruiken om connectiviteit tot stand te brengen tussen een virtueel datacenter en on-premises resources. Zodra uw fysieke verbinding met uw serviceprovider is voltooid, migreert u de connectiviteit via uw ExpressRoute-verbinding.

Voor grote aantallen VPN- of ExpressRoute-verbindingen is Azure Virtual WAN een netwerkservice die geoptimaliseerde en geautomatiseerde vertakking-naar-vertakking-connectiviteit biedt via Azure. Virtual WAN kunt u verbinding maken met vertakkingsapparaten en deze configureren om te communiceren met Azure. U kunt handmatig verbinding maken en configureren of apparaten van voorkeursproviders gebruiken via een Virtual WAN partner. Het gebruik van apparaten van voorkeursproviders maakt gebruiksgemak, vereenvoudiging van connectiviteit en configuratiebeheer mogelijk. Het ingebouwde Dashboard van Azure WAN biedt directe inzichten voor probleemoplossing die u tijd kunnen besparen en biedt u een eenvoudige manier om grootschalige site-naar-site-connectiviteit weer te geven. Virtual WAN biedt ook beveiligingsservices met een optionele Azure Firewall en Firewall Manager in uw Virtual WAN hub.

Connectiviteit binnen de cloud

Virtuele netwerken van Azureen peering voor virtuele netwerken zijn de basisnetwerkonderdelen in een virtueel datacenter. Een virtueel netwerk garandeert een isolatiegrens voor resources van virtuele datacenters. Peering maakt communicatie mogelijk tussen verschillende virtuele netwerken binnen dezelfde Azure-regio, tussen regio's en zelfs tussen netwerken in verschillende abonnementen. Zowel binnen als tussen virtuele netwerken kunnen verkeersstromen worden beheerd door sets met beveiligingsregels die zijn opgegeven voor netwerkbeveiligingsgroepen, firewallbeleidsregels(Azure Firewall of virtuele netwerkapparaten) en aangepaste door de gebruiker gedefinieerde routes.

Virtuele netwerken zijn ook ankerpunten voor het integreren van platform as a service (PaaS) Azure-producten zoals Azure Storage,Azure SQL enandere geïntegreerde openbare services met openbare eindpunten. Met service-eindpunten enAzure Private Linkkunt u uw openbare services integreren met uw particuliere netwerk. U kunt zelfs uw openbare services privé nemen, maar nog steeds profiteren van de voordelen van door Azure beheerde PaaS-services.

Overzicht van virtuele datacenters

Topologieën

Een virtueel datacenter kan worden gebouwd met behulp van een van deze topologieën op hoog niveau, op basis van uw behoeften en schaalvereisten:

In een platte topologieworden alle resources geïmplementeerd in één virtueel netwerk. Subnetten maken stroombeheer en scheiding mogelijk.

In een Mesh-topologieverbindt peering van virtuele netwerken alle virtuele netwerken rechtstreeks met elkaar.

Een Peering Hub and Spoke-topologie is zeer geschikt voor gedistribueerde toepassingen en teams met gedelegeerde verantwoordelijkheden.

Een Azure Virtual WAN-topologie kan grootschalige scenario's voor filialen en wereldwijde WAN-services ondersteunen.

De peering hub en spoke-topologie en de Azure Virtual WAN-topologie maken beide gebruik van een hub en spoke-ontwerp, dat optimaal is voor communicatie, gedeelde resources en gecentraliseerd beveiligingsbeleid. Hubs worden gebouwd met behulp van een peeringhub voor virtuele netwerken (gelabeld zoals in het diagram) of een Virtual WAN-hub (gelabeld zoals Hub Virtual NetworkAzure Virtual WAN in het diagram). Azure Virtual WAN is ontworpen voor grootschalige communicatie tussen vertakkingen en vertakkingen naar Azure, of om de complexiteit te vermijden van het afzonderlijk bouwen van alle onderdelen in een peeringhub voor virtuele netwerken. In sommige gevallen kunnen uw vereisten een ontwerp van een peering hub voor virtuele netwerken verplicht stellen, zoals de noodzaak voor virtuele netwerkapparaten in de hub.

In beide hub- en spoke-topologies is de hub de centrale netwerkzone die al het verkeer tussen verschillende zones beheert en inspecteert: internet, on-premises en de spokes. De hub-en-spoke-topologie helpt de IT-afdeling bij het centraal afdwingen van beveiligingsbeleid. Dit vermindert ook de mogelijkheden voor onjuiste configuratie en blootstelling.

De hub bevat vaak de algemene serviceonderdelen die worden gebruikt door de spokes. De volgende voorbeelden zijn algemene centrale services:

• De Windows Active Directory-infrastructuur, vereist voor gebruikersverificatie van derden die toegang hebben vanaf niet-vertrouwde netwerken voordat ze toegang krijgen tot de workloads in de spoke. Dit bevat de gerelateerde Active Directory Federation Services (AD FS).
• Een DNS-service (Distributed Name System) voor het oplossen van naamgeving voor de workload in de spokes, voor toegang tot resources on-premises en op internet als Azure DNS niet wordt gebruikt.
• Een openbare-sleutel infrastructuur (PKI) voor het implementeren van eenmalige aanmelding op workloads.
• Flow-besturing van TCP-en UDP-verkeer tussen de spoke-netwerkzones en internet.
• Flow-besturing tussen de spokes en on-premises.
• Indien nodig, flow-besturing tussen twee spokes onderling.

Een virtueel datacenter verlaagt de totale kosten door gebruik te maken van de gedeelde hub-infrastructuur tussen meerdere spokes.

De rol van elke spoke kan verschillende typen workloads hosten. De spokes bieden ook een modulaire benadering voor herhaalbare implementaties van dezelfde workloads. Voorbeelden hiervan zijn dev/test, het testen van gebruikersacceptatie, preproductie en productie. Met de spokes kunnen ook verschillende groepen in uw organisatie worden gescheiden en ingeschakeld. Een voorbeeld hiervan zijn DevOps-groepen. Binnen een spoke is het mogelijk om een eenvoudige workload of complexe workload met meerdere lagen te implementeren met verkeerscontrole tussen de lagen.

Abonnementslimieten en meerdere hubs

In Azure wordt elk onderdeel, ongeacht het type, geïmplementeerd in een Azure-abonnement. De isolatie van Azure-onderdelen in verschillende Azure-abonnementen kan voldoen aan de vereisten van verschillende bedrijfsregels, zoals het instellen van gedifferentieerde niveaus voor toegang en autorisatie.

Eén VDC-implementatie kan worden opgeschaald naar een groot aantal spokes, hoewel er, net als bij elk IT-systeem, platformlimieten zijn. De implementatie van de hub is gebonden aan een specifiek Azure-abonnement met beperkingen en limieten (bijvoorbeeld een maximum aantal peerings voor virtuele netwerken). Zie Limieten, quota's en beperkingen voor Azure-abonnementen en -service voor meer informatie. In gevallen waarin limieten een probleem kunnen zijn, kan de architectuur verder omhoog worden geschaald door het model uit te breiden van één hub-spokes naar een cluster van hubs en spokes. Meerdere hubs in een of meer Azure-regio's kunnen worden verbonden met behulp van peering voor virtuele netwerken, ExpressRoute, Virtual WAN of site-naar-site-VPN.

De introductie van meerdere hubs verhoogt de kosten en het beheer van het systeem. Dit is alleen verantwoord vanwege schaalbaarheid, systeemlimieten, redundantie, regionale replicatie voor prestaties van eindgebruikers of herstel na nood gevallen. In scenario's waarin meerdere hubs zijn vereist, moeten alle hubs ernaar streven om dezelfde set services te bieden voor operationeel gemak.

Interconnectie tussen spokes

Binnen één spaak, of een plat netwerkontwerp, is het mogelijk om complexe workloads met meerdere vlakken te implementeren. Configuraties met meerdere lagen kunnen worden geïmplementeerd met behulp van subnetten, één voor elke laag of toepassing, in hetzelfde virtuele netwerk. Verkeerscontrole en filteren worden uitgevoerd met behulp van netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes.

Een architect kan een workload op meerdere lagen implementeren voor verschillende virtuele netwerken. Met peering voor virtuele netwerken kunnen spokes verbinding maken met andere spokes in dezelfde hub of verschillende hubs. Een typisch voorbeeld van dit scenario is het geval waarbij toepassingsverwerkingsservers zich in één spaak of virtueel netwerk hebben. De database wordt geïmplementeerd in een ander spoke- of virtueel netwerk. In dit geval is het eenvoudig om de spokes te verbinden met peering voor virtuele netwerken en op die manier doorvoer via de hub te voorkomen. Er moet een zorgvuldige architectuur en beveiligingsbeoordeling worden uitgevoerd om ervoor te zorgen dat belangrijke beveiligings- of controlepunten die mogelijk alleen in de hub bestaan, niet worden omzeild door de hub.

Spokes kunnen ook worden gekoppeld aan een spoke die fungeert als een hub. Met deze methode maakt u een hiërarchie met twee niveaus: de spoke op het hogere niveau (niveau 0) wordt de hub van lagere spokes (niveau 1) van de hiërarchie. De spokes van een VDC-implementatie zijn vereist voor het doorsturen van het verkeer naar de centrale hub, zodat het verkeer kan worden doorgestuurd naar de bestemming in het on-premises netwerk of het openbare internet. Een architectuur met twee niveaus van hubs introduceert complexe routering die de voordelen van een eenvoudige hub-spoke-relatie verwijdert.

Hoewel Azure complexe topologies toestaat, is herhaalbaarheid en eenvoud een van de belangrijkste principes van het VDC-concept. Om de beheerinspanning te minimaliseren, is het eenvoudige hub-spoke-ontwerp de VDC-referentiearchitectuur die we aanbevelen.

Onderdelen

Het virtuele datacenter bestaat uit vier basiscomponenttypen: Infrastructuur,Perimeternetwerken,Workloadsen Bewaking.

Elk onderdeeltype bestaat uit verschillende Azure-functies en -resources. Uw VDC-implementatie bestaat uit exemplaren van meerdere onderdelentypen en meerdere variaties van hetzelfde onderdeeltype. U kunt bijvoorbeeld veel verschillende, logisch gescheiden workloads hebben die verschillende toepassingen vertegenwoordigen. U gebruikt deze verschillende onderdeeltypen en -exemplaren om uiteindelijk de VDC te bouwen.

De voorgaande conceptuele architectuur op hoog niveau van de VDC toont verschillende onderdeeltypen die worden gebruikt in verschillende zones van de hub-spokes-topologie. Het diagram toont infrastructuuronderdelen in verschillende onderdelen van de architectuur.

In het algemeen moeten toegangsrechten en -bevoegdheden op groepen zijn gebaseerd. Het omgaan met groepen in plaats van afzonderlijke gebruikers vereenigt het onderhoud van toegangsbeleid, door een consistente manier te bieden om het te beheren in teams en helpt bij het minimaliseren van configuratiefouten. Door gebruikers toe te wijzen aan en uit de juiste groepen te verwijderen, blijven de bevoegdheden van een specifieke gebruiker up-to-date.

Elke rolgroep moet een uniek voorvoegsel hebben voor de namen. Met dit voorvoegsel kunt u eenvoudig bepalen welke groep aan welke workload is gekoppeld. Een workload die als host voor een verificatieservice wordt gebruikt, kan bijvoorbeeld groepen hebben met de namen AuthServiceNetOps,AuthServiceSecOps,AuthServiceDevOpsen AuthServiceInfraOps. Gecentraliseerde rollen, of rollen die niet zijn gerelateerd aan een specifieke service, kunnen voorafgaan door Corp. Een voorbeeld is CorpNetOps.

Veel organisaties gebruiken een variant van de volgende groepen om een grote uitsplitsing van rollen te bieden:

• Het centrale IT-team corp heeft de eigendomsrechten om infrastructuuronderdelen te beheren. Voorbeelden zijn netwerken en beveiliging. De groep moet de rol van inzender hebben voor het abonnement, het beheer van de hub en de netwerkbijdragerrechten in de spokes. Grote organisaties splitsen deze beheerverantwoordelijkheden vaak op tussen meerdere teams. Voorbeelden zijn een CorpNetOps-netwerkgroep met exclusieve focus op netwerken en een CorpSecOps-groep voor beveiligingsbewerkingen die verantwoordelijk is voor de firewall en het beveiligingsbeleid. In dit specifieke geval moeten er twee verschillende groepen worden gemaakt voor de toewijzing van deze aangepaste rollen.
• De dev/test-groep met de naam AppDevOps is verantwoordelijk voor het implementeren van app- of serviceworkloads. Deze groep heeft de rol van inzender voor virtuele machines voor IaaS-implementaties of een of meer PaaS-inzendersrollen. Zie Ingebouwde rollen in Azure voor meer informatie. Optioneel heeft het dev/test-team mogelijk inzicht nodig in beveiligingsbeleid (netwerkbeveiligingsgroepen) en routeringsbeleid (door de gebruiker gedefinieerde routes) binnen de hub of een specifieke spoke. Naast de rol van inzender voor workloads heeft deze groep ook de rol van netwerklezer nodig.
• De bewerkings- en onderhoudsgroep CorpInfraOps of AppInfraOps is verantwoordelijk voor het beheren van workloads in productie. Deze groep moet een abonnementsbijdrager zijn voor workloads in alle productieabonnementen. Sommige organisaties kunnen ook evalueren of ze een extra ondersteuningsteamgroep voor escalatie nodig hebben met de rol van abonnementsbijdrager in productie en het centrale hubabonnement. De extra groep lost mogelijke configuratieproblemen in de productieomgeving op.

De VDC is zo ontworpen dat groepen die zijn gemaakt voor het centrale IT-team, die de hub beheren, overeenkomende groepen hebben op workloadniveau. Naast het beheren van hub-resources kan het centrale IT-team externe toegang en machtigingen op het hoogste niveau voor het abonnement beheren. Werkbelastinggroepen kunnen ook resources en machtigingen van hun virtuele netwerk onafhankelijk van het centrale IT-team beheren.

Het virtuele datacenter wordt gepartitief voor het veilig hosten van meerdere projecten binnen verschillende bedrijfslijnen. Alle projecten vereisen verschillende geïsoleerde omgevingen (dev, UAT en productie). Afzonderlijke Azure-abonnementen voor elk van deze omgevingen kunnen natuurlijke isolatie bieden.

In het voorgaande diagram ziet u de relatie tussen de projecten, gebruikers en groepen van een organisatie en de omgevingen waarin de Azure-onderdelen worden geïmplementeerd.

Normaal gesproken is een omgeving (of laag) in DE IT een systeem waarin meerdere toepassingen worden geïmplementeerd en uitgevoerd. Grote ondernemingen gebruiken een ontwikkelomgeving (waar wijzigingen worden aangebracht en getest) en een productieomgeving (die eindgebruikers gebruiken). Deze omgevingen zijn gescheiden, vaak met verschillende faseringsomgevingen ertussen om gefaseerd implementeren (rollout), testen en terugdraaien toe te staan als er problemen optreden. Implementatiearchitectlijnen variëren aanzienlijk, maar meestal wordt het basisproces van beginnen bij ontwikkeling (DEV) en eindigend bij productie (PROD) nog steeds gevolgd.

Een algemene architectuur voor deze typen omgevingen met meerdere gebieden bestaat uit DevOps voor ontwikkeling en testen, UAT voor faserings- en productieomgevingen. Organisaties kunnen één of meerdere Azure AD-tenants gebruiken om toegang en rechten voor deze omgevingen te definiëren. In het vorige diagram ziet u een geval waarin twee verschillende Azure AD-tenants worden gebruikt: één voor DevOps en UAT en de andere uitsluitend voor productie.

De aanwezigheid van verschillende Azure AD-tenants dwingt de scheiding tussen omgevingen af. Dezelfde groep gebruikers, zoals het centrale IT-team, moet zich verifiëren met behulp van een andere URI om toegang te krijgen tot een andere Azure AD-tenant om de rollen of machtigingen van de DevOps- of productieomgevingen van een project te wijzigen. De aanwezigheid van verschillende gebruikersverificaties voor toegang tot verschillende omgevingen vermindert mogelijke storingen en andere problemen die worden veroorzaakt door menselijke fouten.

Onderdeeltype: Infrastructuur

Dit onderdeeltype is de plek waar de meeste ondersteunende infrastructuur zich bevindt. Het is ook de plek waar uw gecentraliseerde IT-, beveiligings- en nalevingsteams de meeste tijd besteden.

Infrastructuuronderdelen bieden een onderlinge verbinding voor de verschillende onderdelen van een VDC-implementatie en zijn aanwezig in zowel de hub als de spokes. De verantwoordelijkheid voor het beheren en onderhouden van de infrastructuuronderdelen wordt doorgaans toegewezen aan het centrale IT-team of beveiligingsteam.

Een van de belangrijkste taken van het IT-infrastructuurteam is het garanderen van de consistentie van IP-adresschema's in de hele onderneming. De privé-IP-adresruimte die is toegewezen aan een VDC-implementatie moet consistent zijn en mag niet overlappen met privé-IP-adressen die zijn toegewezen aan uw on-premises netwerken.

Hoewel NAT op de on-premises edge-routers of in Azure-omgevingen IP-adresconflicten kan voorkomen, leidt dit tot problemen voor uw infrastructuuronderdelen. Eenvoud van beheer is een van de belangrijkste doelstellingen van de VDC, dus het gebruik van NAT voor het afhandelen van IP-problemen, terwijl een geldige oplossing, geen aanbevolen oplossing is.

Infrastructuuronderdelen hebben de volgende functionaliteit:

• Identiteits- en adreslijstservices. Toegang tot elk resourcetype in Azure wordt beheerd door een identiteit die is opgeslagen in een directoryservice. De directoryservice slaat niet alleen de lijst met gebruikers op, maar ook de toegangsrechten voor resources in een specifiek Azure-abonnement. Deze services kunnen bestaan in de cloud of ze kunnen worden gesynchroniseerd met een on-premises identiteit die is opgeslagen in Active Directory.
• Virtual Network. Virtuele netwerken zijn een van de belangrijkste onderdelen van de VDC en stellen u in staat om een grens voor verkeersisolatie te maken op het Azure-platform. Een virtueel netwerk bestaat uit één of meerdere virtuele netwerksegmenten, elk met een specifiek IP-netwerkprefix (een subnet, IPv4 of dual stack IPv4/IPv6). Het virtuele netwerk definieert een intern perimetergebied waar virtuele IaaS-machines en PaaS-services privécommunicatie kunnen opzetten. VM's (en PaaS-services) in één virtueel netwerk kunnen niet rechtstreeks communiceren met VM's (en PaaS-services) in een ander virtueel netwerk, zelfs niet als beide virtuele netwerken worden gemaakt door dezelfde klant, onder hetzelfde abonnement. Isolatie is een kritieke eigenschap die ervoor zorgt dat klant-VM's en communicatie privé blijven binnen een virtueel netwerk. Waar connectiviteit tussen netwerken gewenst is, wordt in de volgende functies beschreven hoe dat kan worden bereikt.
• Peering voor virtuele netwerken. De fundamentele functie die wordt gebruikt om de infrastructuur van een VDC te maken, is peering voor virtuele netwerken, die twee virtuele netwerken in dezelfde regio verbindt, via het Azure-datacenternetwerk of met behulp van de wereldwijde backbone van Azure tussen regio's.
• Virtual Network service-eindpunten. Service-eindpunten breiden de privé-adresruimte van uw virtuele netwerk uit met uw PaaS-ruimte. De eindpunten breiden ook de identiteit van uw virtuele netwerk uit naar de Azure-services via een directe verbinding. Met eindpunten kunt u uw kritieke Azure-serviceresources alleen beveiligen naar uw virtuele netwerken.
• Private Link. Azure Private Link kunt u toegang krijgen tot Azure PaaS Services (bijvoorbeeld Azure Storage,Azure Cosmos DBen Azure SQL Database)en in Azure gehoste klant-/partnerservices via een privé-eindpunt in uw virtuele netwerk. Verkeer tussen uw virtuele netwerk en de services wordt via het backbonenetwerk van Microsoft geleid, waarmee de risico's van het openbare internet worden vermeden. U kunt ook uw eigen service Private Link maken in uw virtuele netwerk en deze privé leveren aan uw klanten. De installatie- en verbruikservaring met Azure Private Link is consistent voor Azure PaaS, services van klanten en gedeelde partners.
• Door de gebruiker gedefinieerde routes. Verkeer in een virtueel netwerk wordt standaard gerouteerd op basis van de tabel voor systeemroutering. Een door de gebruiker gedefinieerde route is een aangepaste routeringstabel die netwerkbeheerders kunnen koppelen aan een of meer subnetten om het gedrag van de systeemrouteringstabel te overschrijven en een communicatiepad binnen een virtueel netwerk te definiëren. De aanwezigheid van door de gebruiker gedefinieerde routes garandeert dat het verkeer van de spoke via specifieke aangepaste virtuele machines of virtuele netwerkapparaten en load balancers aanwezig is in zowel de hub als de spokes.
• Netwerkbeveiligingsgroepen. Een netwerkbeveiligingsgroep is een lijst met beveiligingsregels die fungeren als het filteren van verkeer op IP-bronnen, IP-bestemmingen, protocollen, IP-bronpoorten en IP-doelpoorten (ook wel een Vijflaags tuple genoemd). De netwerkbeveiligingsgroep kan worden toegepast op een subnet, een virtuele NIC die is gekoppeld aan een Azure-VM of beide. De netwerkbeveiligingsgroepen zijn essentieel voor het implementeren van een correct stroombeheer in de hub en in de spokes. Het beveiligingsniveau dat door de netwerkbeveiligingsgroep wordt geboden, is een functie van welke poorten u opent en voor welk doel. Klanten moeten extra filters per VM toepassen met hostgebaseerde firewalls, zoals iptables of Windows Firewall.
• DNS. DNS biedt naamresolutie voor resources in een virtueel datacenter. Azure biedt DNS-services voor zowel openbare alsprivé-naamresolutie. Privézones bieden naamresolutie in zowel een virtueel netwerk als in virtuele netwerken. U kunt privézones niet alleen hebben over virtuele netwerken in dezelfde regio, maar ook tussen regio's en abonnementen. Voor openbare oplossing biedt Azure DNS een hostingservice voor DNS-domeinen, die naamresolutie biedt met behulp Microsoft Azure infrastructuur. Door uw domeinen in Azure te hosten, kunt u uw DNS-records met dezelfde referenties, API's, hulpprogramma's en facturering beheren als voor uw andere Azure-services.
• Beheergroep,abonnementen resourcegroepbeheer. Een abonnement definieert een natuurlijke grens voor het maken van meerdere groepen resources in Azure. Deze scheiding kan zijn voor functie, rolscheiding of facturering. Resources in een abonnement worden samengevoegd in logische containers, ook wel resourcegroepen genoemd. De resourcegroep vertegenwoordigt een logische groep om de resources in een virtueel datacenter te ordenen. Als uw organisatie veel abonnementen heeft, moet u de toegang, beleidsregels en naleving voor deze abonnementen op een efficiënte manier kunnen beheren. Azure-beheergroepen bieden een scopeniveau boven abonnementen. U orden abonnementen in containers die beheergroepen worden genoemd en passen uw governancevoorwaarden toe op de beheergroepen. Alle abonnementen in een beheergroep nemen automatisch de voorwaarden over die op de beheergroep zijn toegepast. Zie Uw resources ordenen in de Cloud Adoption Framework om deze drie functies in een hiërarchieweergave te Cloud Adoption Framework.
• Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Met Azure RBAC kunt u organisatierollen en -rechten toewijzen voor toegang tot specifieke Azure-resources, zodat u gebruikers kunt beperken tot slechts een bepaalde subset van acties. Als u een Azure Active Directory synchronisatie met een on-premises Active Directory, kunt u dezelfde Active Directory-groepen gebruiken in Azure die u on-premises gebruikt. Met Azure RBAC kunt u toegang verlenen door de juiste rol toe te wijzen aan gebruikers, groepen en toepassingen binnen het relevante bereik. Het bereik van een roltoewijzing kan een Azure-abonnement, een resourcegroep of één resource zijn. Azure RBAC staat overname van machtigingen toe. Een rol die is toegewezen op een bovenliggend bereik verleent ook toegang tot de kinderen in het bereik. Met Azure RBAC kunt u taken scheiden en alleen de hoeveelheid toegang verlenen aan gebruikers die ze nodig hebben om hun taken uit te voeren. Eén werknemer kan bijvoorbeeld virtuele machines in een abonnement beheren, terwijl een andere werknemer SQL Server databases in hetzelfde abonnement kan beheren.

Onderdeeltype: Perimeternetwerken

Onderdelen van een perimeternetwerk (ook wel een DMZ-netwerk genoemd) verbinden uw on-premises of fysieke datacenternetwerken, samen met een internetverbinding. De perimeter vereist doorgaans een aanzienlijke tijdsinvestering van uw netwerk- en beveiligingsteams.

Binnenkomende pakketten moeten door de beveiligingsapparaten in de hub stromen voordat de back-endservers en -services in de spokes worden bereikt. Voorbeelden hiervan zijn de firewall, IDS en IPS. Voordat ze het netwerk verlaten, moeten internetgebonden pakketten van de workloads ook door de beveiligingsapparaten in het perimeternetwerk stromen. Met deze stroom kunt u beleid afdwingen, inspecteren en controleren.

Perimeternetwerkonderdelen zijn onder andere:

• Virtuele netwerken, door gebruikers gedefinieerde routes en netwerkbeveiligingsgroepen
• Virtuele netwerkapparaten
• Azure Load Balancer
• Azure Application Gateway met Web Application Firewall (WAF)
• Openbare IP-adressen
• Azure Front Door met Web Application Firewall (WAF)
• Azure Firewall en Azure Firewall Manager
• Standaard DDoS Protection

Normaal gesproken zijn het centrale IT-team en beveiligingsteams verantwoordelijk voor de vereistedefinitie en werking van de perimeternetwerken.

In het voorgaande diagram ziet u het afdwingen van twee perimeters met toegang tot internet en een on-premises netwerk, beide aanwezig in de DMZ-hub. In de DMZ-hub kan het perimeternetwerk naar internet omhoog worden geschaald om vele bedrijfslijnen te ondersteunen, met behulp van meerdere farms met Web Application Firewalls (WAF's) of Azure Firewalls. De hub biedt naar behoefte ook on-premises connectiviteit via VPN of ExpressRoute.

Virtuele netwerken. De hub is doorgaans gebouwd op een virtueel netwerk met meerdere subnetten voor het hosten van de verschillende typen services die verkeer van of naar internet filteren en inspecteren via Azure Firewall-, NNET's-, WAF- en Azure Application Gateway-instanties.

Door de gebruiker gedefinieerde routes. Met behulp van door de gebruiker gedefinieerde routes kunnen klanten firewalls, IDS/IPS en andere virtuele apparaten implementeren en netwerkverkeer door deze beveiligingsapparaten laten lopen voor het afdwingen, controleren en inspecteren van beveiligingsgrensbeleid. Door de gebruiker gedefinieerde routes kunnen worden gemaakt in zowel de hub als de spokes om te garanderen dat verkeer wordt doorgestroomd via de specifieke aangepaste VM's, virtuele netwerkapparaten en load balancers die worden gebruikt door een VDC-implementatie. Om ervoor te zorgen dat verkeer dat wordt gegenereerd van virtuele machines die zich in de spoke-transits naar de juiste virtuele apparaten oprichten, een door de gebruiker gedefinieerde route moet worden ingesteld in de subnetten van de spoke door het front-end-IP-adres van de interne load balancer in te stellen als de volgende hop. De interne load balancer distribueert het interne verkeer naar de virtuele apparaten (back-end-pool van de load balancer).

Azure Firewall is een beheerde netwerkbeveiligingsservice die uw Azure-Virtual Network beschermt. Het is een stateful beheerde firewall met hoge beschikbaarheid en schaalbaarheid in de cloud. U kunt beleid voor toepassings- en netwerkconnectiviteit centraal maken, afdwingen en registreren voor abonnementen en virtuele netwerken. Azure Firewall gebruikt een statisch openbaar IP-adres voor de resources van uw virtuele netwerk. Hiermee kunnen externe firewalls verkeer identificeren dat afkomstig is van uw virtuele netwerk. De service is volledig geïntegreerd met Azure Monitor voor registratie en analyses.

Als u de Azure Virtual WAN-topologie gebruikt, is de Azure Firewall Manager een beveiligingsbeheerservice die centraal beveiligingsbeleid en routebeheer biedt voor beveiligingsperimeters in de cloud. Het werkt met Azure Virtual WAN hub, een door Microsoft beheerde resource waarmee u eenvoudig hub- en spoke-architecturen kunt maken. Wanneer beveiligings- en routeringsbeleid is gekoppeld aan een dergelijke hub, wordt dit een beveiligde virtuele hub genoemd.

Virtuele netwerkapparaten. In de hub wordt het perimeternetwerk met toegang tot internet normaal gesproken beheerd via een Azure Firewall-exemplaar of een farm met firewalls of WAF (Web Application Firewall).

Verschillende bedrijfslijnen maken vaak gebruik van veel webtoepassingen, die vaak last hebben van verschillende beveiligingsproblemen en mogelijke aanvallen. Web Application Firewalls zijn een speciaal type product dat wordt gebruikt om aanvallen op webtoepassingen, HTTP/HTTPS, uitgebreider te detecteren dan een algemene firewall. Vergeleken met traditionele firewalltechnologie hebben WAFs een set specifieke functies om interne webservers te beschermen tegen bedreigingen.

Een Azure Firewall- of NVA-firewall maakt beide gebruik van een algemeen beheervlak, met een set beveiligingsregels om de workloads te beveiligen die in de spokes worden gehost, en om de toegang tot on-premises netwerken te beheren. De Azure Firewall is ingebouwde schaalbaarheid, terwijl NVA-firewalls handmatig kunnen worden geschaald achter een load balancer. Over het algemeen heeft een firewallfarm minder gespecialiseerde software in vergelijking met een WAF, maar heeft een breder toepassingsbereik voor het filteren en controleren van elk type verkeer in het verkeer dat binnen- en buitenverkeer komt. Als een NVA-benadering wordt gebruikt, kunnen deze worden gevonden en geïmplementeerd vanuit Azure Marketplace.

U wordt aangeraden één set Azure Firewall of NBRO's te gebruiken voor verkeer dat afkomstig is van internet. Gebruik een andere voor verkeer dat on-premises afkomstig is. Het gebruik van slechts één set firewalls voor beide is een beveiligingsrisico omdat het geen beveiligingsperimeter biedt tussen de twee sets netwerkverkeer. Het gebruik van afzonderlijke firewalllagen vermindert de complexiteit van het controleren van beveiligingsregels en maakt duidelijk welke regels overeenkomen met welke binnenkomende netwerkaanvraag.

Azure Load Balancer biedt een laag 4-service (TCP/UDP) met hoge beschikbaarheid, die binnenkomend verkeer kan distribueren tussen service-exemplaren die zijn gedefinieerd in een set met load balanceds. Verkeer dat naar de load balancer wordt verzonden vanaf front-end-eindpunten (openbare IP-eindpunten of privé-IP-eindpunten) kan opnieuw worden gedistribueerd met of zonder adresvertaling naar een set back-end-IP-adresgroep (zoals virtuele netwerkapparaten of virtuele machines).

Azure Load Balancer kunt ook de status van de verschillende server-exemplaren controleren en wanneer een exemplaar niet reageert op een test, stopt de load balancer met het verzenden van verkeer naar het exemplaar met een slechte status. In een virtueel datacenter wordt een extern load balancer geïmplementeerd op de hub en de spokes. In de hub wordt de load balancer gebruikt om verkeer efficiënt te routeren tussen firewall-exemplaren. In de spokes worden load balancers gebruikt om toepassingsverkeer te beheren.

Azure Front Door (AFD) is het uiterst beschikbare en schaalbare Web Application Acceleration Platform, global HTTP Load Balancer, Application Protection en Content Delivery Network. Met AFD, dat wordt uitgevoerd op meer dan 100 locaties aan de rand van het wereldwijde netwerk van Microsoft, kunt u dynamische webtoepassing en statische inhoud bouwen, gebruiken en uitschalen. AFD biedt uw toepassing hoogwaardige prestaties voor eindgebruikers, geïntegreerde automatisering van regionaal/stempelonderhoud, BCDR-automatisering, uniforme client-/gebruikersgegevens, caching en service-inzichten. Het platform biedt:

• Prestaties, betrouwbaarheid en ondersteuning van service level agreements (SLA's).
• Nalevingscertificeringen.
• Controleerbare beveiligingsprocedures die door Azure worden ontwikkeld, uitgevoerd en systeemeigen worden ondersteund.

Azure Front Door biedt ook een WAF (Web Application Firewall), waarmee webtoepassingen worden beschermd tegen veelvoorkomende beveiligingsproblemen en blootstellingen.

Azure Application Gateway is een toegewezen virtueel apparaat dat een beheerde controller voor toepassingslevering biedt. Het biedt verschillende laag 7-taakverdelingsmogelijkheden voor uw toepassing. Hiermee kunt u de prestaties van webfarms optimaliseren door CPU-intensieve SSL-beëindiging te offloaden naar de toepassingsgateway. Het biedt ook andere routeringsmogelijkheden voor laag 7, zoals round robin-distributie van binnenkomend verkeer, sessie-affiniteit op basis van cookies, routering op basis van URL-pad en de mogelijkheid om meerdere websites achter één toepassingsgateway te hosten. Een WAF (Web Application Firewall) is ook beschikbaar als onderdeel van de WAF SKU van de toepassingsgateway. Deze SKU biedt beveiliging voor webtoepassingen tegen algemene webbeveiligingsproblemen en aanvallen. Application Gateway kunnen worden geconfigureerd als internet gerichte gateway, interne gateway of een combinatie van beide.

Openbare IP's. Met sommige Azure-functies kunt u service-eindpunten koppelen aan een openbaar IP-adres, zodat uw resource toegankelijk is vanaf internet. Dit eindpunt maakt gebruik van NAT om verkeer naar het interne adres en de poort in het virtuele netwerk in Azure te sturen. Dit pad is de belangrijkste manier waarop extern verkeer in het virtuele netwerk terecht kan komen. U kunt openbare IP-adressen configureren om te bepalen welk verkeer wordt doorgegeven en hoe en waar het wordt vertaald naar het virtuele netwerk.

Azure DDoS Protection Standard biedt aanvullende risicobeperkingsmogelijkheden via de Basic-servicelaag die specifiek zijn afgestemd op Azure Virtual Network resources. DDoS Protection Standard is eenvoudig in te schakelen en er zijn geen wijzigingen in de toepassing vereist. Beveiligingsbeleid is afgestemd door middel van specifieke controle van verkeer en algoritmen voor machine learning. Beleidsregels worden toegepast op openbare IP-adressen die zijn gekoppeld aan resources die in virtuele netwerken zijn geïmplementeerd. Voorbeelden zijn Azure Load Balancer-, Azure Application Gateway- en Azure Service Fabric-exemplaren. Bijna in realtime zijn door het systeem gegenereerde logboeken beschikbaar via Azure Monitor weergaven tijdens een aanval en voor geschiedenis. Toepassingslaagbeveiliging kan worden toegevoegd via de Azure Application Gateway Web Application Firewall. Er wordt beveiliging geboden voor openbare IPv4- en IPv6 Azure-IP-adressen.

De hub-en-spoke-topologie maakt gebruik van peering van virtuele netwerken en door de gebruiker gedefinieerde routes om verkeer correct te routeer.

In het diagram zorgt de door de gebruiker gedefinieerde route ervoor dat verkeer van de spoke naar de firewall stroomt voordat het naar on-premises wordt doorgestuurd via de ExpressRoute-gateway (als het firewallbeleid deze stroom toestaat).

Onderdeeltype: Bewaking

Bewakingsonderdelen bieden zichtbaarheid en waarschuwingen van alle andere onderdeeltypen. Alle teams moeten toegang hebben tot bewaking voor de onderdelen en services waar ze toegang tot hebben. Als u een gecentraliseerde helpdesk of operationele teams hebt, is geïntegreerde toegang tot de gegevens van deze onderdelen vereist.

Azure biedt verschillende soorten logboekregistratie- en bewakingsservices om het gedrag van door Azure gehoste resources bij te houden. Beheer en controle van workloads in Azure is niet alleen gebaseerd op het verzamelen van logboekgegevens, maar ook op de mogelijkheid om acties te activeren op basis van specifieke gerapporteerde gebeurtenissen.

Azure Monitor. Azure bevat meerdere services die elk een specifieke rol of taak uitvoeren in de bewakingsruimte. Samen bieden deze services een uitgebreide oplossing voor het verzamelen, analyseren en uitvoeren van door het systeem gegenereerde logboeken van uw toepassingen en de Azure-resources die deze ondersteunen. Ze kunnen ook werken aan het bewaken van kritieke on-premises resources om een ​​hybride bewakingsomgeving te bieden. Inzicht in de hulpprogramma's en gegevens die beschikbaar zijn, is de eerste stap bij het ontwikkelen van een volledige bewakingsstrategie voor uw toepassingen.

Er zijn twee fundamentele typen logboeken in Azure Monitor:

• Metrische gegevens zijn numeriek waarden waarmee een bepaald aspect van een systeem op een bepaald tijdstip wordt beschreven. Ze zijn licht van gewicht en kunnen in bijna realtime scenario's ondersteunen. Voor veel Azure-resources worden de gegevens die door Azure Monitor zijn verzameld, rechts op de pagina Overzicht in Azure Portal weergegeven. Bekijk bijvoorbeeld een virtuele machine en u ziet verschillende grafieken met metrische prestatiegegevens. Selecteer een van de grafieken om de gegevens te openen in Metrics Explorer in de Azure Portal, waarmee u de waarden van meerdere metrische gegevens in een bepaalde periode kunt weergeven. U kunt de grafieken interactief weergeven of deze vastmaken aan een dashboard om ze te bekijken met andere visualisaties.

• Logboeken bevatten verschillende soorten gegevens die zijn ingedeeld in records met verschillende sets eigenschappen voor elk type. Gebeurtenissen en traceringen worden samen met prestatiegegevens opgeslagen als logboeken, die allemaal kunnen worden gecombineerd voor analyse. De logboekgegevens die door Azure Monitor zijn verzameld, kunnen worden geanalyseerd met query's om snel verzamelde gegevens op te halen, samen te voegen en te analyseren. Logboeken worden opgeslagen en opgevraagd vanuit Log Analytics. U kunt query's maken en testen door Log Analytics in Azure Portal te gebruiken. Vervolgens kunt u de gegevens onmiddellijk analyseren met deze hulpprogramma's, maar u kunt de query's ook opslaan om deze te gebruiken met visualisaties of waarschuwingsregels.

Azure Monitor kan gegevens uit verschillende resources verzamelen. U kunt bijvoorbeeld gegevens voor uw toepassingen bewaken in lagen die variëren van uw toepassing, elk besturingssysteem en de services waar deze van afhankelijk zijn, tot het Azure-platform zelf. Azure Monitor verzamelt gegevens uit elk van de volgende lagen:

• Bewakingsgegevens voor toepassingen: Gegevens over de prestaties en functionaliteit van de code die u hebt geschreven, ongeacht het platform.
• Bewakingsgegevens van gast-besturingssysteem: Gegevens over het besturingssysteem waarop uw toepassing wordt uitgevoerd. Dit besturingssysteem kan worden uitgevoerd in Azure, een andere cloud of on-premises.
• Bewakingsgegevens van Azure-resources: Gegevens over de werking van een Azure-resource.
• Bewakingsgegevens voor Azure-abonnementen: Gegevens over de werking en het beheer van een Azure-abonnement, evenals gegevens over de status en werking van Azure zelf.
• Bewakingsgegevens voor Azure-tenants: Gegevens over de werking van Azure-services op tenantniveau, zoals Azure Active Directory.
• Aangepaste bronnen: Logboeken die vanuit on-premises bronnen worden verzonden, kunnen ook worden opgenomen. Voorbeelden hiervan zijn on-premises servergebeurtenissen of syslog-uitvoer van netwerkapparaat.

Het controleren van gegevens is alleen nuttig als dit meer inzicht biedt in de werking van uw computeromgeving. Azure Monitor bevat verschillende functies en hulpprogramma's die waardevolle inzichten bieden in uw toepassingen en andere bronnen waarvan ze afhankelijk zijn. Bewakingsoplossingen en -functies, zoals Application Insights en Azure Monitor voor containers bieden uitgebreid inzicht in verschillende aspecten van uw toepassing en specifieke Azure-services.

Bewakingsoplossingen in Azure Monitor zijn verpakte logicasets die inzichten bieden voor een bepaalde toepassing of service. Ze bevatten logica voor het verzamelen van controlegegevens voor de toepassing of service, query's om die gegevens te analyseren en weergaven om de uitkomsten te visualiseren. Er zijn bewakingsoplossingen beschikbaar via Microsoft en zijn partners waarmee allerlei Azure-services en andere toepassingen kunnen worden gecontroleerd.

Nu al deze uitgebreide gegevens zijn verzameld, is het belangrijk dat u proactief actie onderneemt op gebeurtenissen die plaatsvinden in uw omgeving, waarbij handmatige query's alleen niet voldoende zijn. Waarschuwingen in Azure Monitor stellen u proactief op de hoogte van kritieke omstandigheden en proberen corrigerende maatregelen te nemen. Waarschuwingsregels op basis van metrische gegevens bieden bijna realtime waarschuwingen op basis van numerieke waarden, terwijl regels op basis van logboeken complexe logica bieden voor gegevens uit meerdere bronnen. Waarschuwingsregels in Azure Monitor gebruiken actiegroepen Deze actiegroepen bevatten unieke sets ontvangers en acties die kunnen worden gedeeld met meerdere regels. Op basis van uw vereisten kunnen actiegroepen acties uitvoeren zoals het gebruik van webhooks die ervoor zorgen dat waarschuwingen externe acties starten of integreren met uw ITSM-hulpprogramma's.

Azure Monitor kunt u ook aangepaste dashboards maken. Met Azure-dashboards kunt u verschillende soorten gegevens, waaronder metrische gegevens en logboeken, in één paneel in Azure Portal combineren. U kunt het dashboard eventueel delen met andere Azure-gebruikers. Naast logboekquery's en grafieken met metrische gegevens kunnen er ook elementen uit Azure Monitor worden toegevoegd aan een Azure-dashboard. U kunt bijvoorbeeld een dashboard maken met een combinatie van verschillende tegels. Bijvoorbeeld tegels waarop een grafiek met metrische gegevens, een tabel met activiteitenlogboeken, een gebruiksdiagram van Application Insights en de uitvoer van een logboekquery worden weergegeven.

Ten slotte Azure Monitor gegevens een native bron voor Power BI. Power BI is een Business Analytics-service die interactieve visualisaties voor verschillende gegevensbronnen levert en vormt een effectieve manier om gegevens beschikbaar te maken voor anderen binnen en buiten uw organisatie. U kunt Power BI zodanig configureren dat er automatisch logboekgegevens vanuit Azure Monitor worden geïmporteerd om te profiteren van deze extra visualisaties.

Azure Network Watcher hulpprogramma's voor het bewaken, diagnosticeren en weergeven van metrische gegevens en het in- of uitschakelen van logboeken voor resources in een virtueel netwerk in Azure. Het is een service met meerdere facetten die de volgende functies en meer mogelijk maakt:

• De communicatie tussen een virtuele machine en een eindpunt bewaken.
• Resources in een virtueel netwerk en hun relaties weergeven.
• Problemen met filteren van netwerkverkeer naar of van een VM vaststellen.
• Problemen met netwerkroutering vanaf een VM vaststellen.
• Diagnose van uitgaande verbindingen vanaf een VM.
• Leg pakketten vast van en naar een VM.
• Problemen met een virtuele netwerkgateway en verbindingen vaststellen.
• Relatieve latentie tussen Azure-regio's en internetserviceproviders bepalen.
• Beveiligingsregels voor een netwerkinterface weergeven.
• Metrische netwerkgegevens weergeven.
• Analyseer verkeer van of naar een netwerkbeveiligingsgroep.
• Diagnostische logboeken voor netwerkbronnen weergeven.

Onderdeeltype: Workloads

Workloadonderdelen bevinden zich in de werkelijke toepassingen en services. Hier besteden uw teams voor het ontwikkelen van toepassingen de meeste tijd.

De workloadmogelijkheden zijn eindeloos. Hier volgen slechts enkele van de mogelijke workloadtypen:

Interne toepassingen: Line-Of-Business-toepassingen zijn essentieel voor bedrijfsbewerkingen. Deze toepassingen hebben enkele algemene kenmerken:

• Interactieve: Gegevens worden ingevoerd en resultaten of rapporten worden geretourneerd.
• Gegevensgestuurd: Gegevensintensief met regelmatige toegang tot databases of andere opslag.
• Geïntegreerde: Bied integratie met andere systemen binnen of buiten de organisatie.

Klantgerichte websites (internet of intern): De meeste internettoepassingen zijn websites. Azure kan een website uitvoeren via een virtuele IaaS-machine of een Azure Web Apps site (PaaS). Azure Web Apps kan worden geïntegreerd met virtuele netwerken om web-apps te implementeren in een spoke-netwerkzone. Intern gerichte websites hoeven geen openbaar internet-eindpunt beschikbaar te maken, omdat de resources toegankelijk zijn via routeerbare privéadressen die niet via internet kunnen worden gebruikt vanuit het persoonlijke virtuele netwerk.

Big data-analyse: Wanneer gegevens omhoog moeten worden geschaald naar grotere volumes, presteren relationele databases mogelijk niet goed onder de extreme belasting of ongestructureerde aard van de gegevens. Azure HDInsight is een beheerde, volledige, opensource-analyseservice in de cloud voor ondernemingen. U kunt opensource-frameworks gebruiken, zoals Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm en R. HDInsight biedt ondersteuning voor implementatie in een locatiegebaseerd virtueel netwerk en kan worden geïmplementeerd in een cluster in een spoke van het virtuele datacenter.

Gebeurtenissen en berichten:Azure Event Hubs is een big data streamingplatform en service voor het opnemen van gebeurtenissen. Het kan miljoenen gebeurtenissen per seconde ontvangen en verwerken. Het biedt lage latentie en configureerbare tijdretentie, zodat u grote hoeveelheden gegevens in Azure kunt opnemen en uit meerdere toepassingen kunt lezen. Eén stream kan ondersteuning bieden voor pijplijnen in zowel realtime als batchgebaseerd.

U kunt een uiterst betrouwbare cloudberichtenservice implementeren tussen toepassingen en services via Azure Service Bus. Het biedt asynchrone brokered messaging tussen client en server, gestructureerde FIFO-berichten (First-In-First Out) en publiceert en abonneert mogelijkheden.

Deze voorbeelden vormen een scratch voor de typen workloads die u in Azure kunt maken: van een eenvoudige web- en SQL-app tot de nieuwste in IoT, big data, machine learning, AI en nog veel meer.

Hoge beschikbaarheid: meerdere virtuele datacenters

Tot nu toe richt dit artikel zich op het ontwerp van één VDC, waarin de basisonderdelen en architecturen worden beschreven die bijdragen aan tolerantie. Azure-functies zoals Azure load balancer, N NVA's, beschikbaarheidszones, beschikbaarheidssets, schaalsets en andere mogelijkheden die u helpen om solide SLA-niveaus in uw productieservices op te nemen.

Omdat een virtueel datacenter doorgaans binnen één regio wordt geïmplementeerd, kan het echter kwetsbaar zijn voor uitval die van invloed zijn op de hele regio. Klanten die hoge beschikbaarheid nodig hebben, moeten de services beveiligen via implementaties van hetzelfde project in twee of meer VDC-implementaties die zijn geïmplementeerd in verschillende regio's.

Naast SLA-problemen profiteren verschillende veelvoorkomende scenario's van het uitvoeren van meerdere virtuele datacenters:

• Regionale of wereldwijde aanwezigheid van uw eindgebruikers of partners.
• Vereisten voor herstel na noodherstel.
• Een mechanisme om verkeer om te leiden tussen datacenters voor belasting of prestaties.

Regionale/wereldwijde aanwezigheid

Azure-datacenters bestaan in veel regio's over de hele wereld. Wanneer u meerdere Azure-datacenters selecteert, moet u rekening houden met twee gerelateerde factoren: geografische afstanden en latentie. Om de gebruikerservaring te optimaliseren, evalueert u de afstand tussen elk virtueel datacenter en de afstand van elk virtueel datacenter naar de eindgebruikers.

Een Azure-regio die als host voor uw virtuele datacenter dient te voldoen aan de wettelijke vereisten van elke juridische jurisdictie waaronder uw organisatie werkt.

Herstel na noodgeval

Het ontwerp van een noodherstelplan is afhankelijk van de typen workloads en de mogelijkheid om de status van deze workloads te synchroniseren tussen verschillende VDC-implementaties. In het ideale moment willen de meeste klanten een snel fail-overmechanisme. Voor deze vereiste is mogelijk synchronisatie van toepassingsgegevens nodig tussen implementaties die worden uitgevoerd in meerdere VDC-implementaties. Bij het ontwerpen van noodherstelplannen is het echter belangrijk om te overwegen dat de meeste toepassingen gevoelig zijn voor de latentie die kan worden veroorzaakt door deze gegevenssynchronisatie.

Voor synchronisatie en heartbeat-bewaking van toepassingen in verschillende VDC-implementaties moeten ze communiceren via het netwerk. Meerdere VDC-implementaties in verschillende regio's kunnen worden verbonden via:

• Hub-naar-hub-communicatie ingebouwd in Azure Virtual WAN hubs in regio's in dezelfde Virtual WAN.
• Peering voor virtuele netwerken om hubs tussen regio's te verbinden.
• Persoonlijke ExpressRoute-peering wanneer de hubs in elke VDC-implementatie zijn verbonden met hetzelfde ExpressRoute-circuit.
• Meerdere ExpressRoute-circuits die zijn verbonden via uw zakelijke backbone en uw meerdere VDC-implementaties die zijn verbonden met de ExpressRoute-circuits.
• Site-naar-site-VPN-verbindingen tussen de hubzone van uw VDC-implementaties in elke Azure-regio.

Normaal gesproken hebben Virtual WAN hubs, peering voor virtuele netwerken of ExpressRoute-verbindingen de voorkeur voor netwerkconnectiviteit, vanwege de hogere bandbreedte en consistente latentieniveaus bij het doorgeven via de Microsoft-backbone.

Voer netwerkkwalificatietests uit om de latentie en bandbreedte van deze verbindingen te controleren en te bepalen of synchrone of asynchrone gegevensreplicatie geschikt is op basis van het resultaat. Het is ook belangrijk om deze resultaten af te wegen met het oog op het optimale RTO (Recovery Time Objective).

Herstel na noodherstel: verkeer omgeleid van de ene regio naar de andere

Zowel Azure Traffic Manager als Azure Front Door periodiek de service-status controleren van luisterende eindpunten in verschillende VDC-implementaties. Als deze eindpunten mislukken, wordt de route automatisch doorgeleid naar de dichtstbijzijnde VDC. Traffic Manager gebruikt realtime gebruikersmetingen en DNS om gebruikers naar het dichtstbijzijnde (of de dichtstbijzijnde dichtstbijzijnde tijdens de storing) te leiden. Azure Front Door is een omgekeerde proxy op meer dan 100 Microsoft-backbone edge-sites, met behulp van anycast om gebruikers naar het dichtstbijzijnde luister-eindpunt te doorverplaatsen.

Samenvatting

Een benadering van een virtueel datacenter voor de migratie van datacenters zorgt voor een schaalbare architectuur die het gebruik van Azure-resources optimaliseert, de kosten verlaagt en systeembeheer vereenvoudigt. Het virtuele datacenter is gebruikelijk op basis van hub-en-spoke-netwerkologieën (met behulp van peering voor virtuele netwerken of Virtual WAN hubs). Algemene gedeelde services die worden aangeboden in de hub, en specifieke toepassingen en workloads worden geïmplementeerd in de spokes. Het virtuele datacenter komt ook overeen met de structuur van de bedrijfsrollen, waarbij verschillende afdelingen, zoals Central IT, DevOps en Operations and Maintenance, allemaal samenwerken terwijl ze hun specifieke rollen uitvoeren. Het virtuele datacenter biedt ondersteuning voor het migreren van bestaande on-premises workloads naar Azure, maar biedt ook veel voordelen voor cloud-eigen implementaties.

Referenties

Meer informatie over de Azure-mogelijkheden die in dit document worden besproken.

Volgende stappen

• Meer informatie over peering voor virtuele netwerken,de kerntechnologie van hub-en-spoke-topologies.
• Implement Azure Active Directory voor het gebruik van op rollen gebaseerd toegangsbeheer van Azure.
• Ontwikkel een abonnements- en resourcebeheermodel met op rollen gebaseerd toegangsbeheer van Azure dat past bij de structuur, vereisten en beleidsregels van uw organisatie. De belangrijkste activiteit is planning. Analyseer hoe herstructureringen, samenvoegingen, nieuwe productlijnen en andere overwegingen van invloed zijn op uw eerste modellen om ervoor te zorgen dat u kunt schalen om te voldoen aan toekomstige behoeften en groei.