Aplikacja N-warstwowa systemu Windows w centrum Azure Stack z SQL ServerWindows N-tier application on Azure Stack Hub with SQL Server

Ta architektura referencyjna pokazuje, jak wdrażać maszyny wirtualne i sieć wirtualną skonfigurowaną dla aplikacji N-warstwowej przy użyciu SQL Server w systemie Windows dla warstwy danych.This reference architecture shows how to deploy virtual machines (VMs) and a virtual network configured for an N-tier application, using SQL Server on Windows for the data tier.

ArchitekturaArchitecture

Architektura ma następujące składniki.The architecture has the following components.

Diagram przedstawia sieć wirtualną składającą się z sześciu podsieci: Application Gateway, zarządzanie, warstwa sieci Web, warstwa biznesowa, warstwa danych i Active Directory.

OgólneGeneral

  • Grupa zasobów.Resource group. Grupy zasobów służą do grupowania zasobów platformy Azure, dzięki czemu mogą być zarządzane przez okres istnienia, właściciela lub inne kryteria.Resource groups are used to group Azure resources so they can be managed by lifetime, owner, or other criteria.

  • Zestaw dostępności.Availability Set. Zestaw dostępności jest konfiguracją centrum danych w celu zapewnienia nadmiarowości i dostępności maszyn wirtualnych.Availability set is a datacenter configuration to provide VM redundancy and availability. Ta konfiguracja w ramach sygnatury centrum Azure Stack gwarantuje, że podczas planowanego lub nieplanowanego zdarzenia konserwacji jest dostępna co najmniej jedna maszyna wirtualna.This configuration within an Azure Stack Hub stamp ensures that during either a planned or unplanned maintenance event, at least one virtual machine is available. Maszyny wirtualne są umieszczane w zestawie dostępności, który rozmieści je w wielu domenach błędów (Azure Stack hostach Hub)VMs are placed in an availability set that spreads them across multiple fault domains (Azure Stack Hub hosts)

Obsługa sieci i równoważenia obciążeniaNetworking and load balancing

  • Sieć wirtualna i podsieci.Virtual network and subnets. Każda maszyna wirtualna platformy Azure jest wdrażana w sieci wirtualnej, która może zostać ujęta w podsieci.Every Azure VM is deployed into a virtual network that can be segmented into subnets. Utwórz oddzielną podsieć dla każdej warstwy.Create a separate subnet for each tier.

  • Load Balancer warstwy 7.Layer 7 Load Balancer. Ponieważ Application Gateway nie jest jeszcze dostępna w centrum Azure Stack, dostępne są alternatywy w witrynie Azure Stack Hub na rynku , na przykład: Kemp LoadMaster Load Balancer ADC Content Switch / F5 Big-IP Virtual Edition lub A10 vThunder ADCAs Application Gateway is not yet available on Azure Stack Hub, there are alternatives available on Azure Stack Hub Market place such as: KEMP LoadMaster Load Balancer ADC Content Switch/ f5 Big-IP Virtual Edition or A10 vThunder ADC

  • Moduły równoważenia obciążenia.Load balancers. Użyj Azure Load Balancer , aby dystrybuować ruch sieciowy z warstwy internetowej do warstwy biznesowej i z warstwy biznesowej do SQL Server.Use Azure Load Balancer to distribute network traffic from the web tier to the business tier, and from the business tier to SQL Server.

  • Sieciowe grupy zabezpieczeń (sieciowych grup zabezpieczeń).Network security groups (NSGs). Użyj sieciowych grup zabezpieczeń, aby ograniczyć ruch sieciowy w sieci wirtualnej.Use NSGs to restrict network traffic within the virtual network. Na przykład w przypadku architektury trójwarstwowej pokazanej w tym miejscu warstwa bazy danych nie akceptuje ruchu z frontonu sieci Web, tylko z warstwy biznesowej i podsieci zarządzania.For example, in the three-tier architecture shown here, the database tier does not accept traffic from the web front end, only from the business tier and the management subnet.

  • DNS.DNS. Usługa Azure Stack Hub nie udostępnia własnej usługi hostingu DNS, dlatego należy użyć serwera DNS w dodatku.Azure Stack Hub does not provide its own DNS hosting service, so please use the DNS server in your ADDS.

Maszyny wirtualneVirtual machines

  • Zawsze włączona Grupa dostępności SQL Server.SQL Server Always On Availability Group. Zapewnia wysoką dostępność w warstwie danych przez włączenie replikacji i trybu failover.Provides high availability at the data tier, by enabling replication and failover. Używa technologii Windows Server failover Cluster (WSFC) do pracy w trybie failover.It uses Windows Server Failover Cluster (WSFC) technology for failover.

  • Serwery usług Active Directory Domain Services (AD DS).Active Directory Domain Services (AD DS) Servers. Obiekty komputera dla klastra trybu failover i skojarzone z nim role klastrowane są tworzone w Active Directory Domain Services (AD DS).The computer objects for the failover cluster and its associated clustered roles are created in Active Directory Domain Services (AD DS). Skonfiguruj AD DS serwery na maszynach wirtualnych w tej samej sieci wirtualnej są preferowanymi metodami dołączania do innych maszyn wirtualnych do AD DS.Set up AD DS servers in VMs in the same virtual network are preferred method to join other VMs to AD DS. Możesz również dołączać maszyny wirtualne do istniejących AD DS w przedsiębiorstwie, łącząc sieć wirtualną z siecią przedsiębiorstwa przy użyciu połączenia sieci VPN.You can also join the VMs to existing Enterprise AD DS by connecting virtual network to Enterprise network with VPN connection. W obu podejściach należy zmienić usługę DNS sieci wirtualnej na serwer DNS AD DS (w sieci wirtualnej lub istniejącej sieci przedsiębiorstwa), aby rozwiązać AD DS FQDN domeny.With both approaches, you need to change the virtual network DNS to your AD DS DNS server (in virtual network or existing Enterprise network) to resolve the AD DS domain FQDN.

  • Monitor w chmurze.Cloud Witness. Klaster trybu failover wymaga uruchomienia więcej niż połowy węzłów, co jest nazywane kworum.A failover cluster requires more than half of its nodes to be running, which is known as having quorum. Jeśli klaster ma tylko dwa węzły, partycja sieciowa może spowodować, że każdy węzeł jest węzłem głównym.If the cluster has just two nodes, a network partition could cause each node to think it's the master node. W takim przypadku potrzebujesz monitora , aby przerwać powiązania i ustanowić kworum.In that case, you need a witness to break ties and establish quorum. Monitor jest zasobem, takim jak dysk udostępniony, który może pełnić rolę łącznika do nawiązania kworum.A witness is a resource such as a shared disk that can act as a tie breaker to establish quorum. Monitor w chmurze to typ monitora, który używa platformy Azure Blob Storage.Cloud Witness is a type of witness that uses Azure Blob Storage. Aby dowiedzieć się więcej o koncepcji kworum, zobacz Opis kworum klastra i puli.To learn more about the concept of quorum, see Understanding cluster and pool quorum. Aby uzyskać więcej informacji na temat monitora chmury, zobacz wdrażanie monitora chmury dla klastra trybu failover.For more information about Cloud Witness, see Deploy a Cloud Witness for a Failover Cluster. W centrum Azure Stack punkt końcowy monitora chmury różni się od globalnej platformy Azure.In Azure Stack Hub, the Cloud Witness endpoint is different from global Azure.

Może wyglądać następująco:It may look like:

  • W przypadku globalnej platformy Azure:For global Azure:
    https://mywitness.blob.core.windows.net/

  • W przypadku Azure Stack Hub:For Azure Stack Hub:
    https://mywitness.blob.<region>.<FQDN>

  • Rampa.Jumpbox. Nazywana również hostem bastionu.Also called a bastion host. Bezpieczna maszyna wirtualna w sieci, której administratorzy używają do łączenia się z innymi maszynami wirtualnymi.A secure VM on the network that administrators use to connect to the other VMs. Rampa zawiera sieciową grupę zabezpieczeń, która zezwala na zdalny ruch z publicznych adresów IP znajdujących się na liście bezpiecznych adresów.The jumpbox has an NSG that allows remote traffic only from public IP addresses on a safe list. Sieciowa grupa zabezpieczeń powinna zezwalać na ruch pulpitu zdalnego (RDP).The NSG should permit remote desktop (RDP) traffic.

ZaleceniaRecommendations

Wymagania rzeczywiste mogą różnić się od dotyczących opisanej tu architektury.Your requirements might differ from the architecture described here. Potraktuj te zalecenia jako punkt wyjścia.Use these recommendations as a starting point.

Maszyny wirtualneVirtual machines

Aby uzyskać zalecenia dotyczące konfigurowania maszyn wirtualnych, zobacz Uruchamianie maszyny wirtualnej z systemem Windows w centrum Azure Stack.For recommendations on configuring the VMs, see Run a Windows VM on Azure Stack Hub.

Sieć wirtualnaVirtual network

Podczas tworzenia sieci wirtualnej należy określić liczbę adresów IP wymaganych przez zasoby w poszczególnych podsieciach.When you create the virtual network, determine how many IP addresses your resources in each subnet require. Określ maskę podsieci i zakres adresów sieciowych wystarczająco duży dla wymaganych adresów IP, używając notacji CIDR .Specify a subnet mask and a network address range large enough for the required IP addresses, using CIDR notation. Użyj przestrzeni adresowej należącej do standardowych bloków prywatnych adresów IP, tj. 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16.Use an address space that falls within the standard private IP address blocks, which are 10.0.0.0/8, 172.16.0.0/12, and 192.168.0.0/16.

Wybierz zakres adresów, który nie nakłada się na sieć lokalną, na wypadek potrzeby późniejszego skonfigurowania bramy między siecią wirtualną a siecią lokalną.Choose an address range that does not overlap with your on-premises network, in case you need to set up a gateway between the virtual network and your on-premises network later. Po utworzeniu sieci wirtualnej nie można zmienić zakresu adresów.Once you create the virtual network, you can't change the address range.

Zaprojektuj podsieci, pamiętając o wymaganiach dotyczących funkcjonalność i zabezpieczeń.Design subnets with functionality and security requirements in mind. Wszystkie maszyny wirtualne w tej samej warstwie lub roli powinny należeć do tej samej podsieci, która może być granicą zabezpieczeń.All VMs within the same tier or role should go into the same subnet, which can be a security boundary. Aby uzyskać więcej informacji na temat projektowania sieci wirtualnych i podsieci, zobacz Planowanie i projektowanie sieci wirtualnych platformy Azure.For more information about designing virtual networks and subnets, see Plan and design Azure Virtual Networks.

Moduły równoważenia obciążeniaLoad balancers

Nie ujawniaj maszyn wirtualnych bezpośrednio w Internecie, ale zamiast tego nadaj każdej maszynie wirtualnej prywatny adres IP.Don't expose the VMs directly to the Internet, but instead give each VM a private IP address. Klienci łączą się przy użyciu publicznego adresu IP skojarzonego z Load Balancer warstwy 7.Clients connect using the public IP address associated with the Layer 7 Load Balancer.

Zdefiniuj reguły modułu równoważenia obciążenia tak, aby ruch sieciowy był przekierowywany bezpośrednio do maszyn wirtualnych.Define load balancer rules to direct network traffic to the VMs. Na przykład aby włączyć ruch HTTP, należy zmapować port 80 z konfiguracji frontonu na port 80 w puli adresów zaplecza.For example, to enable HTTP traffic, map port 80 from the front-end configuration to port 80 on the back-end address pool. Gdy klient wysyła żądanie HTTP do portu 80, moduł równoważenia obciążenia wybiera adres IP zaplecza za pomocą algorytmu wyznaczania wartości skrótu zawierającego źródłowy adres IP.When a client sends an HTTP request to port 80, the load balancer selects a back-end IP address by using a hashing algorithm that includes the source IP address. Żądania klientów są dystrybuowane między wszystkimi maszynami wirtualnymi w puli adresów zaplecza.Client requests are distributed across all the VMs in the back-end address pool.

Sieciowe grupy zabezpieczeńNetwork security groups

Reguły sieciowej grupy zabezpieczeń służą do ograniczania ruchu między warstwami.Use NSG rules to restrict traffic between tiers. W przypadku architektury trójwarstwowej pokazanej powyżej warstwa sieci Web nie komunikuje się bezpośrednio z warstwą bazy danych.In the three-tier architecture shown above, the web tier does not communicate directly with the database tier. Aby wymusić tę regułę, warstwa bazy danych powinna blokować ruch przychodzący z podsieci warstwy internetowej.To enforce this rule, the database tier should block incoming traffic from the web tier subnet.

  1. Odrzuć cały ruch przychodzący z sieci wirtualnej.Deny all inbound traffic from the virtual network. (Użyj znacznika VIRTUAL_NETWORK w regule).(Use the VIRTUAL_NETWORK tag in the rule.)

  2. Zezwalaj na ruch przychodzący z podsieci warstwy biznesowej.Allow inbound traffic from the business tier subnet.

  3. Zezwalaj na ruch przychodzący z podsieci warstwy bazy danych.Allow inbound traffic from the database tier subnet itself. Ta reguła umożliwia komunikację między maszynami wirtualnymi baz danych, które są niezbędne do replikacji bazy danych i przełączania do trybu failover.This rule allows communication between the database VMs, which is needed for database replication and failover.

  4. Zezwalaj na ruch RDP (Port 3389) z podsieci serwera przesiadkowego.Allow RDP traffic (port 3389) from the jumpbox subnet. Ta zasada umożliwia administratorom nawiązywanie połączenia z warstwą bazy danych z poziomu serwera przesiadkowego.This rule lets administrators connect to the database tier from the jumpbox.

Utwórz reguły 2 – 4 z wyższym priorytetem niż pierwsza reguła, aby przesłonić je.Create rules 2 – 4 with higher priority than the first rule, so they override it.

Zawsze włączone grupy dostępności programu SQL ServerSQL Server Always On Availability Groups

Zalecamy korzystanie z zawsze włączonych grup dostępności w celu zapewnienia wysokiej dostępności programu SQL Server.We recommend Always On Availability Groups for SQL Server high availability. W systemach starszych niż Windows Server 2016 zawsze włączone grupy dostępności wymagają kontrolera domeny, a wszystkie węzły w grupie dostępności muszą znajdować się w tej samej domenie usługi AD.Prior to Windows Server 2016, Always On Availability Groups require a domain controller, and all nodes in the availability group must be in the same AD domain.

Aby zapewnić wysoką dostępność warstwy maszyny wirtualnej, wszystkie maszyny wirtualne SQL powinny znajdować się w zestawie dostępności.For VM layer high availability, all SQL VMs should be in an Availability Set.

Innej warstwy łączą się z bazą danych za pośrednictwem odbiornika grupy dostępności.Other tiers connect to the database through an availability group listener. Odbiornik umożliwia klientowi SQL łączenie się bez uprzedniego uzyskania informacji o nazwie fizycznego wystąpienia programu SQL Server.The listener enables a SQL client to connect without knowing the name of the physical instance of SQL Server. Maszyny wirtualne, które uzyskują dostęp do bazy danych muszą być przyłączone do domeny.VMs that access the database must be joined to the domain. Klient (w tym przypadku inna warstwa) używa usługi DNS do rozpoznawania nazwy sieci wirtualnej odbiornika jako adresów IP.The client (in this case, another tier) uses DNS to resolve the listener's virtual network name into IP addresses.

Skonfiguruj zawsze włączone grupy dostępności programu SQL Server w następujący sposób:Configure the SQL Server Always On Availability Group as follows:

  1. Tworzenie klastra usługi Windows Server Failover Clustering (WSFC), zawsze włączonych grup dostępności programu SQL Server i repliki podstawowej.Create a Windows Server Failover Clustering (WSFC) cluster, a SQL Server Always On Availability Group, and a primary replica. Aby uzyskać więcej informacji, zobacz Getting Started with Always On Availability Groups (Wprowadzenie do zawsze włączonych grup dostępności).For more information, see Getting Started with Always On Availability Groups.

  2. Utwórz wewnętrzny moduł równoważenia obciążenia za pomocą statycznego prywatnego adresu IP.Create an internal load balancer with a static private IP address.

  3. Utwórz odbiornik grupy dostępności i zamapuj nazwę DNS odbiornika na adres IP wewnętrznego modułu równoważenia obciążenia.Create an availability group listener, and map the listener's DNS name to the IP address of an internal load balancer.

  4. Utwórz regułę modułu równoważenia obciążenia dla portu nasłuchiwania serwera SQL (domyślnie port TCP 1433).Create a load balancer rule for the SQL Server listening port (TCP port 1433 by default). Reguła modułu równoważenia obciążenia musi włączać zmienny adres IP, nazywany również bezpośrednim zwrotem z serwera.The load balancer rule must enable floating IP, also called Direct Server Return. Powoduje to, że maszyna wirtualna może odpowiadać bezpośrednio klientowi, co umożliwia bezpośrednie połączenie z repliką podstawową.This causes the VM to reply directly to the client, which enables a direct connection to the primary replica.

Uwaga

W przypadku włączenia zmiennego adresu IP numer portu frontonu musi być taki sam jak numer portu zaplecza w regule modułu równoważenia obciążenia.When floating IP is enabled, the front-end port number must be the same as the back-end port number in the load balancer rule.

Kiedy klient SQL próbuje nawiązać połączenie, moduł równoważenia obciążenia kieruje żądanie połączenia do repliki podstawowej.When a SQL client tries to connect, the load balancer routes the connection request to the primary replica. W przypadku przejścia w tryb failover do innej repliki moduł równoważenia obciążenia automatycznie kieruje nowe żądania do nowej repliki podstawowej.If there is a failover to another replica, the load balancer automatically routes new requests to a new primary replica. Aby uzyskać więcej informacji, zobacz Konfigurowanie odbiornika ILB dla zawsze włączonych grup dostępności programu SQL Server.For more information, see Configure an ILB listener for SQL Server Always On Availability Groups.

Podczas pracy w trybie failover istniejące połączenia klienta są zamknięte.During a failover, existing client connections are closed. Po zakończeniu pracy w trybie failover nowe połączenia będą kierowane do nowej repliki podstawowej.After the failover completes, new connections will be routed to the new primary replica.

Jeśli aplikacja tworzy więcej odczytów niż zapis, można odciążyć niektóre zapytania tylko do odczytu do repliki pomocniczej.If your application makes more reads than writes, you can offload some of the read-only queries to a secondary replica. Zobacz Using a Listener to Connect to a Read-Only Secondary Replica (Read-Only Routing) (Używanie odbiornika do łączenia się z repliką pomocniczą tylko do odczytu (routing tylko do odczytu)).See Using a Listener to Connect to a Read-Only Secondary Replica (Read-Only Routing).

Przetestuj wdrożenie, wymuszając ręczne przełączanie w tryb failover grupy dostępności.Test your deployment by forcing a manual failover of the availability group.

W przypadku optymalizacji wydajności SQL można także zapoznać się z najlepszymi rozwiązaniami dotyczącymi programu SQL Server w celu zoptymalizowania wydajności w centrum Azure Stack.For SQL performance optimization, you can also refer the article SQL server best practices to optimize performance in Azure Stack Hub.

Serwera przesiadkowegoJumpbox

Nie Zezwalaj na dostęp RDP z publicznego Internetu do maszyn wirtualnych, na których działa obciążenie aplikacji.Don't allow RDP access from the public Internet to the VMs that run the application workload. Zamiast tego wszyscy dostęp RDP do tych maszyn wirtualnych powinien przekroczyć serwera przesiadkowego.Instead, all RDP access to these VMs should go through the jumpbox. Administratorzy logują się do serwera przesiadkowego, a następnie logują się do innej maszyny wirtualnej z poziomu serwera przesiadkowego.An administrator logs into the jumpbox, and then logs into the other VM from the jumpbox. Serwer przesiadkowy zezwala na ruch RDP z Internetu, ale tylko ze znanych, bezpiecznych adresów IP.The jumpbox allows RDP traffic from the Internet, but only from known, safe IP addresses.

Serwera przesiadkowego ma minimalne wymagania dotyczące wydajności, więc wybierz mały rozmiar maszyny wirtualnej.The jumpbox has minimal performance requirements, so select a small VM size. Utwórz publiczny adres IP dla serwera przesiadkowego.Create a public IP address for the jumpbox. Umieść serwera przesiadkowego w tej samej sieci wirtualnej co pozostałe maszyny wirtualne, ale w oddzielnej podsieci zarządzania.Place the jumpbox in the same virtual network as the other VMs, but in a separate management subnet.

Aby zabezpieczyć serwera przesiadkowego, Dodaj regułę sieciowej grupy zabezpieczeń, która zezwala na połączenia RDP tylko z bezpiecznego zestawu publicznych adresów IP.To secure the jumpbox, add an NSG rule that allows RDP connections only from a safe set of public IP addresses. Skonfiguruj sieciowe grupy zabezpieczeń dla innych podsieci, aby zezwolić na ruch RDP z podsieci zarządzania.Configure the NSGs for the other subnets to allow RDP traffic from the management subnet.

Zagadnienia dotyczące skalowalnościScalability considerations

Zestawy skalowaniaScale sets

W przypadku warstw sieci Web i biznes należy rozważyć użycie zestawów skalowania maszyn wirtualnych zamiast wdrażania oddzielnych maszyn wirtualnych.For the web and business tiers, consider using virtual machine scale sets instead of deploying separate VMs. Zestaw skalowania ułatwia wdrażanie zestawu identycznych maszyn wirtualnych i zarządzanie nimi.A scale set makes it easy to deploy and manage a set of identical VMs. Należy rozważyć zestawy skalowania, jeśli konieczne jest szybkie skalowanie maszyn wirtualnych.Consider scale sets if you need to quickly scale out VMs.

Istnieją dwa podstawowe sposoby konfigurowania maszyn wirtualnych wdrożonych w zestawie skalowania:There are two basic ways to configure VMs deployed in a scale set:

  • Użyj rozszerzeń, aby skonfigurować maszynę wirtualną po jej wdrożeniu.Use extensions to configure the VM after it's deployed. W tej metodzie uruchomienie nowych wystąpień maszyny wirtualnej może potrwać dłużej niż w przypadku maszyny wirtualnej bez rozszerzeń.With this approach, new VM instances may take longer to start up than a VM with no extensions.

  • Wdróż dysk zarządzany przy użyciu niestandardowego obrazu dysku.Deploy a managed disk with a custom disk image. Ta opcja może być szybsza do wdrożenia.This option may be quicker to deploy. Wymaga to jednak, aby zachować aktualność obrazu.However, it requires you to keep the image up-to-date.

Aby uzyskać więcej informacji, zobacz zagadnienia dotyczące projektowania zestawów skalowania.For more information, see Design considerations for scale sets. Ta kwestia projektowania jest zwykle prawdziwa dla Azure Stack centrum, jednak istnieją pewne zastrzeżenia:This design consideration is mostly true for Azure Stack Hub, however there are some caveats:

  • Zestawy skalowania maszyn wirtualnych na Azure Stack Hub nie obsługują nadmiernej aprowizacji ani uaktualnień stopniowych.Virtual machine scale sets on Azure Stack Hub do not support overprovisioning or rolling upgrades.

  • Nie można automatycznie skalować zestawów skalowania maszyn wirtualnych w centrum Azure Stack.You cannot autoscale virtual machine scale sets on Azure Stack Hub.

  • Zdecydowanie zalecamy używanie dysków zarządzanych na Azure Stack Hub zamiast dysków niezarządzanych dla zestawu skalowania maszyn wirtualnychWe strongly recommend using Managed disks on Azure Stack Hub instead of unmanaged disks for virtual machine scale set

  • Obecnie istnieje limit 700 maszyn wirtualnych w centrum Azure Stack, które są kontami dla wszystkich maszyn wirtualnych infrastruktury centrum Azure Stack, poszczególnych maszyn wirtualnych i wystąpień zestawów skalowania.Currently, there is a 700 VM limit on Azure Stack Hub, which accounts for all Azure Stack Hub infrastructure VMs, individual VMs, and scale set instances.

Limity subskrypcjiSubscription limits

Każda subskrypcja dzierżawy centrum Azure Stack ma limity domyślne, w tym maksymalną liczbę maszyn wirtualnych na region skonfigurowany przez operatora Azure Stack Hub.Each Azure Stack Hub tenant subscription has default limits in place, including a maximum number of VMs per region configured by the Azure Stack Hub operator. Aby uzyskać więcej informacji, zobacz Azure Stack centrum, plany, oferty, przegląd subskrypcji.For more information, see Azure Stack Hub services, plans, offers, subscriptions overview. Odnoszą się również do typów przydziałów w centrum Azure Stack.Also refer to Quota types in Azure Stack Hub.

Zagadnienia dotyczące bezpieczeństwaSecurity considerations

Sieci wirtualne stanowią granicę izolacji ruchu na platformie Azure.Virtual networks are a traffic isolation boundary in Azure. Domyślnie maszyny wirtualne w jednej sieci wirtualnej nie mogą komunikować się bezpośrednio z maszynami wirtualnymi w innej sieci wirtualnej.By default, VMs in one virtual network can't communicate directly with VMs in a different virtual network.

Sieciowych grup zabezpieczeń.NSGs. Używaj sieciowych grup zabezpieczeń (sieciowych grup zabezpieczeń) do ograniczania ruchu do i z Internetu.Use network security groups (NSGs) to restrict traffic to and from the internet. Aby uzyskać więcej informacji, zobacz Zabezpieczenia usług w chmurze i sieci firmy Microsoft.For more information, see Microsoft cloud services and network security.

Strefa DMZ.DMZ. Rozważ dodanie wirtualnego urządzenia sieciowego (WUS) w celu utworzenia strefy DMZ między Internetem a siecią wirtualną platformy Azure.Consider adding a network virtual appliance (NVA) to create a DMZ between the Internet and the Azure virtual network. Urządzenie WUS to ogólny termin określający urządzenie wirtualne, które może wykonywać zadania związane z siecią, takie jak zapora, inspekcja pakietów, inspekcja i niestandardowy routing.NVA is a generic term for a virtual appliance that can perform network-related tasks, such as firewall, packet inspection, auditing, and custom routing.

Szyfrowanie.Encryption. Szyfruj poufne dane w spoczynku i Użyj Key Vault w centrum Azure Stack do zarządzania kluczami szyfrowania bazy danych.Encrypt sensitive data at rest and use Key Vault in Azure Stack Hub to manage the database encryption keys. Aby uzyskać więcej informacji, zobacz Configure Azure Key Vault Integration for SQL Server on Azure VMs (Konfigurowanie integracji usługi Azure Key Vault dla programu SQL Server na maszynach wirtualnych Azure).For more information, see Configure Azure Key Vault Integration for SQL Server on Azure VMs. Zalecane jest również przechowywanie wpisów tajnych aplikacji, takich jak parametry połączenia bazy danych, w Key Vault.It's also recommended to store application secrets, such as database connection strings, in Key Vault.

Następne krokiNext steps