Wirtualne centrum danych: perspektywa sieciThe virtual datacenter: A network perspective

Aplikacje migrowane z platformy lokalnej będą korzystać z bezpiecznej infrastruktury na platformie Azure, nawet przy minimalnych zmianach aplikacji.Applications migrated from on-premises will benefit from Azure's secure cost-efficient infrastructure, even with minimal application changes. Nawet przedsiębiorstwa powinny dostosować swoje architektury, aby zwiększyć elastyczność i korzystać z możliwości platformy Azure.Even so, enterprises should adapt their architectures to improve agility and take advantage of Azure's capabilities.

Microsoft Azure zapewnia usługi i infrastrukturę z możliwością skalowania przy użyciu funkcji i niezawodności klasy korporacyjnej.Microsoft Azure delivers hyperscale services and infrastructure with enterprise-grade capabilities and reliability. Te usługi i infrastruktura oferują wiele opcji łączności hybrydowej, dzięki czemu klienci mogą wybierać dostęp do nich za pośrednictwem Internetu lub prywatnego połączenia sieciowego.These services and infrastructure offer many choices in hybrid connectivity, so customers can choose to access them over the internet or a private network connection. Partnerzy firmy Microsoft mogą również zapewniać Ulepszone możliwości, oferując usługi zabezpieczeń i wirtualne urządzenia zoptymalizowane pod kątem działania na platformie Azure.Microsoft partners can also provide enhanced capabilities by offering security services and virtual appliances that are optimized to run in Azure.

Klienci mogą korzystać z platformy Azure, aby bezproblemowo poszerzać infrastrukturę do chmury i budować architektury wielowarstwowe.Customers can use Azure to seamlessly extend their infrastructure into the cloud and build multitier architectures.

Co to jest wirtualne centrum danych?What is a virtual datacenter?

Chmura rozpoczęła się jako platforma do hostowania aplikacji publicznych.The cloud began as a platform for hosting public-facing applications. Przedsiębiorstwa uznały wartość chmury i rozpoczęły Migrowanie wewnętrznych aplikacji biznesowych.Enterprises recognized the value of the cloud and began migrating internal line-of-business applications. Te aplikacje przestosowały dodatkowe zagadnienia dotyczące zabezpieczeń, niezawodności, wydajności i kosztów, które wymagały dodatkowej elastyczności podczas dostarczania usług Cloud Services.These applications brought additional security, reliability, performance, and cost considerations that required additional flexibility when delivering cloud services. Nowe usługi infrastruktury i sieci zostały zaprojektowane w celu zapewnienia tej elastyczności i nowych funkcji zapewnianych przez elastyczne skalowanie, odzyskiwanie po awarii i inne zagadnienia.New infrastructure and networking services were designed to provide this flexibility, and new features provided for elastic scale, disaster recovery, and other considerations.

Rozwiązania w chmurze zostały początkowo zaprojektowane do obsługi jednego, relatywnie izolowanych aplikacji w spektrum publicznym.Cloud solutions were initially designed to host single, relatively isolated applications in the public spectrum. To podejście działało prawidłowo przez kilka lat.This approach worked well for a few years. Ze względu na to, że korzyści z rozwiązań w chmurze zostały wyczyszczone, w chmurze obsługiwane są wiele obciążeń o dużej skali.As the benefits of cloud solutions became clear, multiple large-scale workloads were hosted on the cloud. Rozwiązywanie problemów dotyczących zabezpieczeń, niezawodności, wydajności i kosztów wdrożeń w jednym lub kilku regionach stało się istotne w całym cyklu życia usługi w chmurze.Addressing security, reliability, performance, and cost concerns of deployments in one or more regions became vital throughout the lifecycle of the cloud service.

Na przykładzie poniższego diagramu wdrożenia w chmurze czerwony prostokąt wyróżnia lukę w zabezpieczeniach.In the example cloud deployment diagram below, the red box highlights a security gap. Żółte pole pokazuje możliwość optymalizowania sieciowych urządzeń wirtualnych w różnych obciążeniach.The yellow box shows an opportunity to optimize network virtual appliances across workloads.

00

Wirtualne centra danych pomagają osiągnąć skalę wymaganą dla obciążeń przedsiębiorstwa.Virtual datacenters help achieve the scale required for enterprise workloads. Ta Skala musi zająć się wyzwaniami wprowadzonymi podczas uruchamiania aplikacji o dużej skali w chmurze publicznej.This scale must address the challenges introduced when running large-scale applications in the public cloud.

Implementacja wirtualnego centrum danych (VDC) obejmuje więcej niż obciążenia aplikacji w chmurze.A virtual datacenter (VDC) implementation includes more than the application workloads in the cloud. Zapewnia także sieć, zabezpieczenia, zarządzanie i inne infrastruktury, takie jak usługi DNS i Active Directory.It also provides the network, security, management, and other infrastructure such as DNS and Active Directory services. W miarę migrowania dodatkowych obciążeń do platformy Azure należy wziąć pod uwagę infrastrukturę i obiekty, które obsługują te obciążenia.As enterprises migrate additional workloads to Azure, consider the infrastructure and objects that support these workloads. Starannie strukturę zasobów ułatwiają uniknięcie rozprzestrzeniania setek w setkach zarządzanych "wysp obciążeń" z niezależnymi przepływami danych, modelami zabezpieczeń i wyzwaniami dotyczącymi zgodności.Carefully structuring your resources helps avoid proliferation of hundreds of separately managed "workload islands" with independent data flows, security models, and compliance challenges.

Koncepcja wirtualnego centrum danych zawiera zalecenia i projekty wysokiego poziomu służące do implementowania kolekcji oddzielnych, ale powiązanych jednostek.The virtual datacenter concept provides recommendations and high-level designs for implementing a collection of separate but related entities. Te jednostki często mają wspólne funkcje pomocnicze, funkcje i infrastrukturę.These entities often have common supporting functions, features, and infrastructure. Wyświetlanie obciążeń jako wirtualnego centrum danych pozwala osiągnąć obniżony koszt z oszczędności skalowania, zoptymalizowanych zabezpieczeń za pośrednictwem scentralizowanych składników i przepływów, a także ułatwić operacje, zarządzanie i inspekcje zgodności.Viewing your workloads as a virtual datacenter helps realize reduced cost from economies of scale, optimized security via component and data flow centralization, and easier operations, management, and compliance audits.

Uwaga

Wirtualne centrum danych nie jest określoną usługą platformy Azure.A virtual datacenter is not a specific Azure service. Zamiast tego różne funkcje i możliwości platformy Azure są łączone w celu spełnienia wymagań.Rather, various Azure features and capabilities are combined to meet your requirements. Wirtualne centrum danych to sposób, w którym można myśleć o obciążeniach i użyciu platformy Azure w celu zoptymalizowania zasobów i możliwości w chmurze.A virtual datacenter is a way of thinking about your workloads and Azure usage to optimize your resources and capabilities in the cloud. Zapewnia modularne podejście do udostępniania usług IT na platformie Azure, zachowując jednocześnie role organizacyjne i obowiązki przedsiębiorstwa.It provides a modular approach to providing IT services in Azure while respecting the enterprise's organizational roles and responsibilities.

Wirtualne centrum danych ułatwia przedsiębiorstwom wdrażanie obciążeń i aplikacji na platformie Azure w następujących scenariuszach:A virtual datacenter helps enterprises deploy workloads and applications in Azure for the following scenarios:

  • Hostowanie wielu powiązanych obciążeń.Host multiple related workloads.
  • Migruj obciążenia ze środowiska lokalnego na platformę Azure.Migrate workloads from an on-premises environment to Azure.
  • Implementowanie wspólnych lub scentralizowanych wymagań dotyczących zabezpieczeń i dostępu w ramach obciążeń.Implement shared or centralized security and access requirements across workloads.
  • DevOps i scentralizowanie odpowiednio dla dużego przedsiębiorstwa.Mix DevOps and centralized IT appropriately for a large enterprise.

Kto powinien zaimplementować wirtualne centrum danych?Who should implement a virtual datacenter?

Każdy klient, który zdecydował się przyjąć platformę Azure, może skorzystać z efektywności konfigurowania zestawu zasobów do wspólnego użycia przez wszystkie aplikacje.Any customer that has decided to adopt Azure can benefit from the efficiency of configuring a set of resources for common use by all applications. W zależności od rozmiaru nawet pojedyncze aplikacje mogą korzystać z wzorców i składników używanych do kompilowania implementacji VDC.Depending on the size, even single applications can benefit from using the patterns and components used to build a VDC implementation.

Niektóre organizacje mają centralne zespoły lub działy dla IT, sieci, zabezpieczeń lub zgodności.Some organizations have centralized teams or departments for IT, networking, security, or compliance. Wdrożenie VDC może pomóc wymusić punkty zasad, oddzielać obowiązki i zapewnić spójność podstawowych składników.Implementing a VDC can help enforce policy points, separate responsibilities, and ensure the consistency of the underlying common components. Zespoły aplikacji mogą zachować swobodę i kontrolę, która jest odpowiednia dla wymagań.Application teams can retain the freedom and control that is suitable for their requirements.

Organizacje z podejściem DevOps mogą również używać koncepcji VDC w celu zapewnienia autoryzowanych kieszeni zasobów platformy Azure.Organizations with a DevOps approach can also use VDC concepts to provide authorized pockets of Azure resources. Ta metoda może zapewnić, że grupy DevOps mają całkowitą kontrolę w ramach tego grupowania, na poziomie subskrypcji lub w grupach zasobów w ramach wspólnej subskrypcji.This method can ensure the DevOps groups have total control within that grouping, at either the subscription level or within resource groups in a common subscription. W tym samym czasie granice sieci i zabezpieczeń pozostają zgodne zgodnie z definicją scentralizowanych zasad w sieci centrowej i centralnej zarządzanej grupy zasobów.At the same time, the network and security boundaries stay compliant as defined by a centralized policy in the hub network and centrally managed resource group.

Zagadnienia dotyczące implementacji wirtualnego centrum danychConsiderations for implementing a virtual datacenter

Podczas projektowania wirtualnego centrum danych należy wziąć pod uwagę następujące problemy:When designing a virtual datacenter, consider these pivotal issues:

Tożsamość i usługa katalogowaIdentity and directory service

Tożsamości i usługi katalogowe to kluczowe możliwości zarówno lokalnych, jak i w chmurze centrów danych.Identity and directory services are key capabilities of both on-premises and cloud datacenters. Tożsamość obejmuje wszystkie aspekty dostępu i autoryzacji do usług w ramach implementacji VDC.Identity covers all aspects of access and authorization to services within a VDC implementation. Aby mieć pewność, że tylko autoryzowani użytkownicy i procesy uzyskują dostęp do zasobów platformy Azure, platforma Azure korzysta z kilku typów poświadczeń do uwierzytelniania, w tym haseł kont, kluczy kryptograficznych, podpisów cyfrowych i certyfikatów.To ensure that only authorized users and processes access your Azure resources, Azure uses several types of credentials for authentication, including account passwords, cryptographic keys, digital signatures, and certificates. Usługa azure Multi-Factor Authentication zapewnia dodatkową warstwę zabezpieczeń na potrzeby uzyskiwania dostępu do usług platformy Azure przy użyciu silnego uwierzytelniania z szerokim zakresem opcji łatwej weryfikacji (połączenie telefoniczne, wiadomość SMS lub powiadomienie aplikacji mobilnej), które umożliwiają klientom wybór preferowanej metody.Azure Multi-Factor Authentication provides an additional layer of security for accessing Azure services using strong authentication with a range of easy verification options (phone call, text message, or mobile app notification) that allow customers to choose the method they prefer.

Każde duże przedsiębiorstwo musi zdefiniować proces zarządzania tożsamościami, który opisuje zarządzanie indywidualnymi tożsamościami, uwierzytelnianiem, autoryzacją, rolami i uprawnieniami w ramach lub w VDC.Any large enterprise needs to define an identity management process that describes the management of individual identities, their authentication, authorization, roles, and privileges within or across their VDC. Celem tego procesu jest zwiększenie bezpieczeństwa i produktywności przy jednoczesnym zmniejszeniu kosztów, przestoju i powtarzalnych zadań ręcznych.The goals of this process should be to increase security and productivity while reducing cost, downtime, and repetitive manual tasks.

Organizacje korporacyjne mogą wymagać wymagającej kombinacji usług dla różnych branż, a pracownicy często mają różne role w przypadku różnych projektów.Enterprise organizations may require a demanding mix of services for different lines of business, and employees often have different roles when involved with different projects. VDC wymaga dobrej współpracy między różnymi zespołami, z których każda korzysta z określonych ról, aby uzyskać systemy z dobrymi zasadami zarządzania.The VDC requires good cooperation between different teams, each with specific role definitions, to get systems running with good governance. Macierz obowiązków, dostępu i praw mogą być złożone.The matrix of responsibilities, access, and rights can be complex. Zarządzanie tożsamościami w VDC jest implementowane za pośrednictwem Azure Active Directory (Azure AD) i kontroli dostępu opartej na rolach (Azure RBAC).Identity management in the VDC is implemented through Azure Active Directory (Azure AD) and Azure role-based access control (Azure RBAC).

Usługa katalogowa to udostępniona infrastruktura informacyjna, która umożliwia lokalizowanie i organizowanie codziennych elementów oraz zasobów sieciowych oraz zarządzanie nimi.A directory service is a shared information infrastructure that locates, manages, administers, and organizes everyday items and network resources. Te zasoby mogą obejmować woluminy, foldery, pliki, drukarki, użytkowników, grupy, urządzenia i inne obiekty.These resources can include volumes, folders, files, printers, users, groups, devices, and other objects. Każdy zasób w sieci jest traktowany jako obiekt przez serwer katalogowy.Each resource on the network is considered an object by the directory server. Informacje o zasobie są przechowywane jako Kolekcja atrybutów skojarzonych z tym zasobem lub obiektem.Information about a resource is stored as a collection of attributes associated with that resource or object.

Wszystkie usługi Microsoft Online Business Services są zależne od Azure Active Directory (Azure AD) w celu logowania się i innych potrzeb związanych z tożsamościami.All Microsoft online business services rely on Azure Active Directory (Azure AD) for sign-on and other identity needs. Azure Active Directory to kompleksowe rozwiązanie do zarządzania tożsamościami i dostępem w chmurze o wysokiej dostępności, które łączy podstawowe usługi katalogowe, zaawansowane zarządzanie tożsamościami i zarządzania dostępem do aplikacji.Azure Active Directory is a comprehensive, highly available identity and access management cloud solution that combines core directory services, advanced identity governance, and application access management. Usługa Azure AD może być zintegrowana z lokalnym Active Directory, aby umożliwić Logowanie jednokrotne dla wszystkich aplikacji lokalnych opartych na chmurze i lokalnie hostowanych.Azure AD can integrate with on-premises Active Directory to enable single sign-on for all cloud-based and locally hosted on-premises applications. Atrybuty użytkownika lokalnego Active Directory mogą być automatycznie synchronizowane z usługą Azure AD.The user attributes of on-premises Active Directory can be automatically synchronized to Azure AD.

Pojedynczy Administrator globalny nie musi przypisywać wszystkich uprawnień w implementacji VDC.A single global administrator isn't required to assign all permissions in a VDC implementation. Zamiast tego każdy konkretny dział, Grupa użytkowników lub usługi w usłudze katalogowej może mieć uprawnienia wymagane do zarządzania własnymi zasobami w ramach implementacji VDC.Instead, each specific department, group of users, or services in the Directory Service can have the permissions required to manage their own resources within a VDC implementation. Uprawnienia do tworzenia struktury wymagają równoważenia.Structuring permissions requires balancing. Zbyt wiele uprawnień może utrudnić wydajność, a zbyt mało lub luźne uprawnienia mogą zwiększyć zagrożenie bezpieczeństwa.Too many permissions can impede performance efficiency, and too few or loose permissions can increase security risks. Kontrola dostępu oparta na rolach (Azure RBAC) umożliwia rozwiązanie tego problemu, oferując szczegółowe zarządzanie dostępem do zasobów w implementacji VDC.Azure role-based access control (Azure RBAC) helps to address this problem, by offering fine-grained access management for resources in a VDC implementation.

Infrastruktura zabezpieczeńSecurity infrastructure

Infrastruktura zabezpieczeń odnosi się do podziału ruchu w konkretnym segmencie sieci wirtualnej implementacji VDC.Security infrastructure refers to the segregation of traffic in a VDC implementation's specific virtual network segment. Ta infrastruktura określa sposób, w jaki dane przychodzące i wychodzące są kontrolowane w implementacji VDC.This infrastructure specifies how ingress and egress are controlled in a VDC implementation. Platforma Azure jest oparta na architekturze wielodostępnej, która zapobiega nieautoryzowanemu i niezamierzonyemu ruchowi między wdrożeniami przy użyciu izolacji sieci wirtualnej, list kontroli dostępu, modułów równoważenia obciążenia, filtrów IP i zasad przepływu ruchu.Azure is based on a multitenant architecture that prevents unauthorized and unintentional traffic between deployments by using virtual network isolation, access control lists, load balancers, IP filters, and traffic flow policies. Translator adresów sieciowych (NAT) oddziela ruch sieciowy między ruchem zewnętrznym.Network address translation (NAT) separates internal network traffic from external traffic.

Sieć szkieletowa Azure przydziela zasoby infrastruktury do obciążeń dzierżawców i zarządza komunikacją z maszynami wirtualnymi i z nich.The Azure fabric allocates infrastructure resources to tenant workloads and manages communications to and from virtual machines (VMs). Funkcja hypervisor platformy Azure wymusza separację pamięci i procesów między maszynami wirtualnymi i bezpiecznie kieruje ruch sieciowy do dzierżawców systemu operacyjnego gościa.The Azure hypervisor enforces memory and process separation between VMs and securely routes network traffic to guest OS tenants.

Łączność z chmurąConnectivity to the cloud

Wirtualne centrum danych wymaga połączenia z sieciami zewnętrznymi w celu oferowania usług klientom, partnerom lub użytkownikom wewnętrznym.A virtual datacenter requires connectivity to external networks to offer services to customers, partners, or internal users. Wymaganie łączności dotyczy nie tylko Internetu, ale również do sieci lokalnych i centrów danych.This need for connectivity refers not only to the Internet, but also to on-premises networks and datacenters.

Klienci kontrolują, które usługi mogą uzyskać dostęp do publicznego Internetu.Customers control which services can access and be accessed from the public internet. Ten dostęp jest kontrolowany przy użyciu zapory platformy Azure lub innych typów urządzeń sieci wirtualnej (urządzeń WUS), niestandardowych zasad routingu za pomocą tras zdefiniowanych przez użytkownikai filtrowania sieci przy użyciu sieciowych grup zabezpieczeń.This access is controlled by using Azure Firewall or other types of virtual network appliances (NVAs), custom routing policies by using user-defined routes, and network filtering by using network security groups. Firma Microsoft zaleca, aby wszystkie zasoby dostępne z Internetu były chronione także przez Standard Azure DDoS Protection.We recommend that all internet-facing resources also be protected by the Azure DDoS Protection Standard.

Przedsiębiorstwa mogą wymagać połączenia ich wirtualnego centrum danych z lokalnymi centrami danych lub innymi zasobami.Enterprises may need to connect their virtual datacenter to on-premises datacenters or other resources. Połączenie między platformą Azure i sieciami lokalnymi jest kluczowym aspektem podczas projektowania efektywnej architektury.This connectivity between Azure and on-premises networks is a crucial aspect when designing an effective architecture. Przedsiębiorstwa mają dwa różne sposoby tworzenia połączeń: przekazywanie przez Internet lub bezpośrednie połączenia prywatne.Enterprises have two different ways to create this interconnection: transit over the Internet or via private direct connections.

Połączenie sieci VPN typu lokacja-lokacja na platformie Azure łączy sieci lokalne z wirtualnym centrum danych na platformie Azure.An Azure Site-to-Site VPN connects on-premises networks to your virtual datacenter in Azure. Łącze jest nawiązywane za pomocą bezpiecznych szyfrowanych połączeń (tunele IPsec).The link is established through secure encrypted connections (IPsec tunnels). Połączenia sieci VPN typu lokacja-lokacja są elastyczne, szybko tworzone i zwykle nie wymagają dodatkowego zaopatrzenia w sprzęt.Azure Site-to-Site VPN connections are flexible, quick to create, and typically don't require any additional hardware procurement. Na podstawie standardowych protokołów branżowych większość bieżących urządzeń sieciowych może tworzyć połączenia sieci VPN z platformą Azure przez Internet lub istniejące ścieżki łączności.Based on industry standard protocols, most current network devices can create VPN connections to Azure over the internet or existing connectivity paths.

ExpressRoute umożliwia prywatne połączenia między wirtualnym centrum danych a sieciami lokalnymi.ExpressRoute enables private connections between your virtual datacenter and any on-premises networks. Połączenia ExpressRoute nie przechodzą przez publiczny Internet i oferują wyższy poziom bezpieczeństwa, niezawodność i wyższą szybkość (do 100 GB/s) oraz spójne opóźnienia.ExpressRoute connections don't go over the public Internet, and offer higher security, reliability, and higher speeds (up to 100 Gbps) along with consistent latency. ExpressRoute zawiera zalety reguł zgodności skojarzonych z połączeniami prywatnymi.ExpressRoute provides the benefits of compliance rules associated with private connections. Za pomocą programu ExpressRoute Directmożna łączyć się bezpośrednio z routerami firmy Microsoft przy 10 GB/s lub 100 GB/s.With ExpressRoute Direct, you can connect directly to Microsoft routers at either 10 Gbps or 100 Gbps.

Wdrożenie połączeń ExpressRoute zazwyczaj obejmuje zaangażowanie się z dostawcą usług ExpressRoute (ExpressRoute Direct to wyjątek).Deploying ExpressRoute connections usually involves engaging with an ExpressRoute service provider (ExpressRoute Direct being the exception). W przypadku klientów, którzy muszą szybko rozpocząć pracę, często należy używać sieci VPN typu lokacja-lokacja w celu nawiązania połączenia między wirtualnym centrum danych a zasobami lokalnymi.For customers that need to start quickly, it's common to initially use Site-to-Site VPN to establish connectivity between a virtual datacenter and on-premises resources. Po zakończeniu fizycznego połączenia z dostawcą usług, Przeprowadź migrację łączności przez połączenie ExpressRoute.Once your physical interconnection with your service provider is complete, then migrate connectivity over your ExpressRoute connection.

W przypadku dużej liczby połączeń sieci VPN lub ExpressRoute Azure Virtual WAN to usługa sieciowa, która zapewnia zoptymalizowaną i zautomatyzowaną łączność między gałęziami za pośrednictwem platformy Azure.For large numbers of VPN or ExpressRoute connections, Azure Virtual WAN is a networking service that provides optimized and automated branch-to-branch connectivity through Azure. Wirtualna sieć WAN pozwala nawiązywać połączenia z platformą Azure i konfigurować je w celu komunikowania się z nią.Virtual WAN lets you connect to and configure branch devices to communicate with Azure. Łączenie i Konfigurowanie można wykonać ręcznie lub za pomocą preferowanych urządzeń dostawcy za pośrednictwem wirtualnego partnera sieci WAN.Connecting and configuring can be done either manually or by using preferred provider devices through a Virtual WAN partner. Korzystanie z preferowanych urządzeń dostawcy umożliwia łatwe używanie, uproszczenie łączności i zarządzanie konfiguracją.Using preferred provider devices allows ease of use, simplification of connectivity, and configuration management. Wbudowany pulpit nawigacyjny platformy Azure zapewnia błyskawiczne Rozwiązywanie problemów, które mogą pomóc zaoszczędzić czas i umożliwia łatwą obsługę łączności między lokacjami w dużej skali.The Azure WAN built-in dashboard provides instant troubleshooting insights that can help save you time, and gives you an easy way to view large-scale site-to-site connectivity. Wirtualna sieć WAN udostępnia również usługi zabezpieczeń z opcjonalną zaporą platformy Azure i menedżerem zapory w wirtualnym koncentratorze sieci WAN.Virtual WAN also provides security services with an optional Azure Firewall and Firewall Manager in your Virtual WAN hub.

Łączność w chmurzeConnectivity within the cloud

Sieci wirtualne platformy Azure i Komunikacja równorzędna sieci wirtualnych to podstawowe składniki sieciowe w wirtualnym centrum danych.Azure Virtual Networks and virtual network peering are the basic networking components in a virtual datacenter. Sieć wirtualna gwarantuje granicę izolacji wirtualnych zasobów centrum danych.A virtual network guarantees an isolation boundary for virtual datacenter resources. Komunikacja równorzędna umożliwia komunikację między różnymi sieciami wirtualnymi w tym samym regionie świadczenia usługi Azure, między regionami, a nawet między sieciami w różnych subskrypcjach.Peering allows intercommunication between different virtual networks within the same Azure region, across regions, and even between networks in different subscriptions. Zarówno wewnątrz, jak i między sieciami wirtualnymi, przepływy ruchu mogą być kontrolowane przez zestawy reguł zabezpieczeń określonych dla sieciowych grup zabezpieczeń, zasad zapory (Zapora platformy Azure lub wirtualne urządzenia sieciowe) oraz niestandardowych tras zdefiniowanych przez użytkownika.Both inside and between virtual networks, traffic flows can be controlled by sets of security rules specified for network security groups, firewall policies (Azure Firewall or network virtual appliances), and custom user-defined routes.

Sieci wirtualne to również punkty zakotwiczenia umożliwiające integrację produktów platformy Azure jako usługi (PaaS), takich jak Azure Storage, Azure SQLi inne zintegrowane usługi publiczne z publicznymi punktami końcowymi.Virtual networks are also anchor points for integrating platform as a service (PaaS) Azure products like Azure Storage, Azure SQL, and other integrated public services that have public endpoints. Za pomocą punktów końcowych usługi i linku prywatnego platformy Azuremożesz zintegrować usługi publiczne z siecią prywatną.With service endpoints and Azure Private Link, you can integrate your public services with your private network. Możesz nawet korzystać z prywatnych usług publicznych, ale nadal korzystać z zalet usług PaaS zarządzanych przez platformę Azure.You can even take your public services private, but still enjoy the benefits of Azure-managed PaaS services.

Omówienie wirtualnego centrum danychVirtual datacenter overview

TopologieTopologies

Wirtualne centrum danych można skompilować przy użyciu jednej z tych topologii wysokiego poziomu na podstawie potrzeb i wymagań dotyczących skalowalności:A virtual datacenter can be built using one of these high-level topologies, based on your needs and scale requirements:

W przypadku płaskiej topologii wszystkie zasoby są wdrażane w jednej sieci wirtualnej.In a Flat topology, all resources are deployed in a single virtual network. Podsieci umożliwiają sterowanie przepływem i segregowanie.Subnets allow for flow control and segregation.

1111

W topologii sieci wirtualne Komunikacja równorzędna jest bezpośrednio łączona ze wszystkimi sieciami wirtualnymi.In a Mesh topology, virtual network peering connects all virtual networks directly to each other.

1212

Topologia komunikacji równorzędnej i szprych jest odpowiednia dla aplikacji rozproszonych i zespołów z delegowanymi zadaniami.A Peering hub and spoke topology is well suited for distributed applications and teams with delegated responsibilities.

1313

Topologia wirtualnej sieci WAN platformy Azure może obsługiwać scenariusze dużych biur oddziałów i globalne usługi sieci WAN.An Azure Virtual WAN topology can support large-scale branch office scenarios and global WAN services.

1414

Topologia komunikacji równorzędnej i szprychy oraz topologia wirtualnej sieci WAN platformy Azure używają układu gwiazdy, który jest optymalny w przypadku komunikacji, zasobów udostępnionych i scentralizowanych zasad zabezpieczeń.The peering hub and spoke topology and the Azure Virtual WAN topology both use a hub and spoke design, which is optimal for communication, shared resources, and centralized security policy. Koncentratory są tworzone przy użyciu koncentratora komunikacji równorzędnej sieci wirtualnej (oznaczonego jako Hub Virtual Network na diagramie) lub wirtualnego koncentratora sieci WAN (oznaczonego jako Azure Virtual WAN na diagramie).Hubs are built using either a virtual network peering hub (labeled as Hub Virtual Network in the diagram) or a Virtual WAN hub (labeled as Azure Virtual WAN in the diagram). Wirtualna sieć WAN platformy Azure została zaprojektowana w celu zapewnienia dużej ilości gałęzi do rozgałęzienia i rozgałęziania do platformy Azure, a także do unikania kompleksów kompilowania wszystkich składników osobno w koncentratorze komunikacji równorzędnej sieci wirtualnych.Azure Virtual WAN is designed for large-scale branch-to-branch and branch-to-Azure communications, or for avoiding the complexities of building all the components individually in a virtual networking peering hub. W niektórych przypadkach wymagania mogą wymagać projektu koncentratora komunikacji równorzędnej sieci wirtualnej, na przykład potrzeb sieciowych urządzeń wirtualnych w centrum.In some cases, your requirements might mandate a virtual network peering hub design, such as the need for network virtual appliances in the hub.

W obu topologiach Hub i szprych koncentrator jest centralną strefą sieci, która kontroluje i sprawdza cały ruch między różnymi strefami: Internet, lokalnie i szprych.In both of the hub and spoke topologies, the hub is the central network zone that controls and inspects all traffic between different zones: internet, on-premises, and the spokes. Topologia gwiazdy pomaga centralnie wymuszać zasady zabezpieczeń.The hub and spoke topology helps the IT department centrally enforce security policies. Minimalizuje również ryzyko błędnej konfiguracji i ekspozycji.It also reduces the potential for misconfiguration and exposure.

Koncentrator często zawiera wspólne składniki usługi używane przez szprychy.The hub often contains the common service components consumed by the spokes. Poniżej przedstawiono typowe usługi centralne:The following examples are common central services:

  • Infrastruktura Active Directory systemu Windows, wymagana do uwierzytelniania użytkowników innych firm, którzy uzyskują dostęp z niezaufanych sieci przed uzyskaniem dostępu do obciążeń w szprychie.The Windows Active Directory infrastructure, required for user authentication of third parties that access from untrusted networks before they get access to the workloads in the spoke. Obejmuje ona powiązane usługi Active Directory Federation Services (AD FS).It includes the related Active Directory Federation Services (AD FS).
  • Usługa rozproszonego systemu nazw (DNS) służąca do rozpoznawania nazw obciążeń w szprychach, do uzyskiwania dostępu do zasobów lokalnych i w Internecie, jeśli Azure DNS nie jest używana.A Distributed Name System (DNS) service to resolve naming for the workload in the spokes, to access resources on-premises and on the internet if Azure DNS isn't used.
  • Infrastruktura kluczy publicznych (PKI) do implementowania obciążeń logowania jednokrotnego.A public key infrastructure (PKI), to implement single sign-on on workloads.
  • Kontrola przepływu ruchu TCP i UDP między strefami sieciowymi szprych i Internetem.Flow control of TCP and UDP traffic between the spoke network zones and the internet.
  • Sterowanie przepływem między szprychami i środowiskiem lokalnym.Flow control between the spokes and on-premises.
  • W razie konieczności sterowanie przepływem między jedną szprychą a inną.If needed, flow control between one spoke and another.

Wirtualne centrum danych zmniejsza całkowity koszt przy użyciu infrastruktury centrum udostępnionej między wieloma szprychami.A virtual datacenter reduces overall cost by using the shared hub infrastructure between multiple spokes.

Rolą każdej szprychy może być hostowanie różnych typów obciążeń.The role of each spoke can be to host different types of workloads. Szprychy zapewniają również modularne podejście do powtarzających się wdrożeń tych samych obciążeń.The spokes also provide a modular approach for repeatable deployments of the same workloads. Przykłady obejmują tworzenie i testowanie, testowanie akceptacji przez użytkowników, przedprodukcyjne i produkcyjne.Examples include dev/test, user acceptance testing, preproduction, and production. Szprychy mogą również dzielić różne grupy w obrębie organizacji i umożliwiać ich tworzenie.The spokes can also segregate and enable different groups within your organization. Przykładem są grupy DevOps.An example is DevOps groups. Wewnątrz szprychy można wdrażać podstawowe obciążenia lub złożone obciążenia wielowarstwowe z kontrolą ruchu między warstwami.Inside a spoke, it's possible to deploy a basic workload or complex multitier workloads with traffic control between the tiers.

Ograniczenia subskrypcji i wiele piastSubscription limits and multiple hubs

Ważne

W zależności od wielkości wdrożeń platformy Azure może być konieczna strategia wielu centrów.Based on the size of your Azure deployments, a multiple hub strategy may be needed. Podczas projektowania strategii gwiazdy i gwiazdy "czy ta Skala projektu może korzystać z innej sieci wirtualnej centrum w tym regionie?", także "czy ta Skala projektu może obsługiwać wiele regionów?".When designing your hub and spoke strategy, ask "can this design scale to use another hub virtual network in this region?", also, "can this design scale to accommodate multiple regions?" Znacznie lepiej jest zaplanować projekt, który skaluje się i nie potrzebuje, niż nie można zaplanować go i potrzebować.It's far better to plan for a design that scales and not need it, than to fail to plan and need it.

Kiedy skalowanie do pomocniczego (lub więcej) centrum będzie zależeć od czynników wyposażono, zwykle opartych na ograniczeniach w skali.When to scale to a secondary (or more) hub will depend on myriad factors, usually based on inherent limits on scale. Zapoznaj się z limitami subskrypcji, sieci wirtualnych i maszyn wirtualnych podczas projektowania na potrzeby skalowania.Be sure to review the subscription, virtual network, and virtual machine limits when designing for scale.

Na platformie Azure każdy składnik, niezależnie od typu, jest wdrażany w ramach subskrypcji platformy Azure.In Azure, every component, whatever the type, is deployed in an Azure subscription. Izolacja składników platformy Azure w różnych subskrypcjach platformy Azure może spełniać różne wymagania biznesowe, takie jak konfigurowanie różnych poziomów dostępu i autoryzacji.The isolation of Azure components in different Azure subscriptions can satisfy the requirements of different lines of business, such as setting up differentiated levels of access and authorization.

Jedna implementacja VDC może skalować w górę do dużej liczby szprych, chociaż podobnie jak w przypadku każdego systemu IT, istnieją limity platformy.A single VDC implementation can scale up to large number of spokes, although, as with every IT system, there are platform limits. Wdrożenie centrum jest powiązane z określoną subskrypcją platformy Azure, która ma ograniczenia i limity (na przykład maksymalną liczbę wirtualnych sieci równorzędnych.The hub deployment is bound to a specific Azure subscription, which has restrictions and limits (for example, a maximum number of virtual network peerings. Aby uzyskać szczegółowe informacje, zobacz limity subskrypcji i usług platformy Azure, limity przydziału i ograniczenia).For details, see Azure subscription and service limits, quotas, and constraints). W przypadkach, gdy mogą to być problemy, architektura można skalować w górę, rozszerzając model z jednego piasty do klastra koncentratora i szprych.In cases where limits may be an issue, the architecture can scale up further by extending the model from a single hub-spokes to a cluster of hub and spokes. Za pomocą komunikacji równorzędnej sieci wirtualnej, ExpressRoute, wirtualnej sieci WAN lub sieci VPN typu lokacja-lokacja można podłączyć wiele centrów w jednym lub większej liczbie regionów świadczenia usługi Azure.Multiple hubs in one or more Azure regions can be connected using virtual network peering, ExpressRoute, Virtual WAN, or site-to-site VPN.

22

Wprowadzenie wielu centrów zwiększa koszty i nakłady pracy związane z zarządzaniem systemem.The introduction of multiple hubs increases the cost and management effort of the system. Jest to uzasadnione tylko z powodu skalowalności, limitów systemu, nadmiarowości, replikacji regionalnej dla wydajności użytkowników końcowych lub odzyskiwania po awarii.It is only justified due to scalability, system limits, redundancy, regional replication for end-user performance, or disaster recovery. W scenariuszach wymagających wielu centrów wszystkie centra powinny dążyć do zaoferowania tego samego zestawu usług w celu ułatwienia działania.In scenarios requiring multiple hubs, all the hubs should strive to offer the same set of services for operational ease.

Wzajemne połączenia między szprychamiInterconnection between spokes

W pojedynczym szprychie lub płaskim projekcie sieci można zaimplementować złożone obciążenia wielowarstwowe.Inside a single spoke, or a flat network design, it's possible to implement complex multitier workloads. Konfiguracje wielowarstwowe można zaimplementować przy użyciu podsieci, jednej dla każdej warstwy lub aplikacji w tej samej sieci wirtualnej.Multitier configurations can be implemented using subnets, one for every tier or application, in the same virtual network. Sterowanie ruchem i filtrowanie odbywa się przy użyciu sieciowych grup zabezpieczeń i tras zdefiniowanych przez użytkownika.Traffic control and filtering are done using network security groups and user-defined routes.

Architekt może chcieć wdrożyć obciążenie wielowarstwowe w wielu sieciach wirtualnych.An architect might want to deploy a multitier workload across multiple virtual networks. Za pomocą komunikacji równorzędnej sieci wirtualnych szprychy mogą łączyć się z innymi szprychami w tym samym koncentratorze lub różnych centrach.With virtual network peering, spokes can connect to other spokes in the same hub or different hubs. Typowym przykładem tego scenariusza jest przypadek, w którym serwery przetwarzania aplikacji znajdują się w jednej szprychie lub w sieci wirtualnej.A typical example of this scenario is the case where application processing servers are in one spoke, or virtual network. Baza danych jest wdrażana w innej szprychie lub w sieci wirtualnej.The database deploys in a different spoke, or virtual network. W takim przypadku można łatwo połączyć szprychy z sieciami równorzędnymi, a tym samym, aby uniknąć przesyłania danych przez centrum.In this case, it's easy to interconnect the spokes with virtual network peering and, by doing that, avoid transiting through the hub. Należy zachować ostrożną architekturę i Przegląd zabezpieczeń, aby upewnić się, że pominięcie centrum nie pomija ważnych punktów zabezpieczeń lub inspekcji, które mogą istnieć tylko w centrum.A careful architecture and security review should be done to ensure that bypassing the hub doesn't bypass important security or auditing points that might exist only in the hub.

33

Szprychy mogą być również połączone ze szprychą, która pełni rolę piasty.Spokes can also be interconnected to a spoke that acts as a hub. Takie podejście tworzy hierarchię dwupoziomową: szprycha na wyższym poziomie (poziom 0) staje się piastą dla małych szprych (poziom 1) w hierarchii.This approach creates a two-level hierarchy: the spoke in the higher level (level 0) becomes the hub of lower spokes (level 1) of the hierarchy. Szprychy implementacji VDC są wymagane do przekazywania ruchu do centralnego koncentratora, dzięki czemu ruch może być przesyłany do miejsca docelowego w sieci lokalnej lub w publicznym Internecie.The spokes of a VDC implementation are required to forward the traffic to the central hub so that the traffic can transit to its destination in either the on-premises network or the public internet. Architektura z dwoma poziomami koncentratorów zawiera złożone Routing, który usuwa zalety prostej relacji gwiazdy.An architecture with two levels of hubs introduces complex routing that removes the benefits of a simple hub-spoke relationship.

Mimo że platforma Azure umożliwia złożone topologie, jedną z podstawowych zasad koncepcji VDC jest powtarzalność i prostota.Although Azure allows complex topologies, one of the core principles of the VDC concept is repeatability and simplicity. Aby zminimalizować nakład pracy związany z zarządzaniem, prosta konstrukcja gwiazdy jest architekturą referencyjną VDC, którą zalecamy.To minimize management effort, the simple hub-spoke design is the VDC reference architecture that we recommend.

SkładnikiComponents

Wirtualne centrum danych składa się z czterech podstawowych typów składników: infrastruktury, sieci obwodowej, obciążeń i monitorowania.The virtual datacenter is made up of four basic component types: Infrastructure, Perimeter Networks, Workloads, and Monitoring.

Każdy typ składnika składa się z różnych funkcji i zasobów platformy Azure.Each component type consists of various Azure features and resources. Implementacja VDC składa się z wystąpień wielu typów składników i wielu odmian tego samego typu składnika.Your VDC implementation is made up of instances of multiple components types and multiple variations of the same component type. Na przykład może istnieć wiele różnych logicznie oddzielonych wystąpień obciążeń, które reprezentują różne aplikacje.For instance, you may have many different, logically separated workload instances that represent different applications. Te różne typy składników i wystąpienia są używane do ostatecznego kompilowania VDC.You use these different component types and instances to ultimately build the VDC.

44

Powyższa architektura koncepcyjna wysokiego poziomu VDC pokazuje różne typy składników używane w różnych strefach topologii gwiazdy.The preceding high-level conceptual architecture of the VDC shows different component types used in different zones of the hub-spokes topology. Diagram przedstawia składniki infrastruktury w różnych częściach architektury.The diagram shows infrastructure components in various parts of the architecture.

Ogólnie rzecz biorąc, prawa dostępu i uprawnienia powinny być oparte na grupach.As good practice in general, access rights and privileges should be group-based. Zajmowanie się grupami, a nie indywidualnymi użytkownikami, ułatwia konserwację zasad dostępu przez zapewnienie spójnego sposobu zarządzania nim w zespołach i pomaga w minimalizacji błędów konfiguracji.Dealing with groups rather than individual users eases maintenance of access policies, by providing a consistent way to manage it across teams, and aids in minimizing configuration errors. Przypisanie i usunięcie użytkowników do i z odpowiednich grup pomaga w zachowaniu Aktualności uprawnień określonego użytkownika.Assigning and removing users to and from appropriate groups helps keeping the privileges of a specific user up to date.

Każda grupa ról powinna mieć unikatowy prefiks dla swoich nazw.Each role group should have a unique prefix on their names. Ten prefiks ułatwia ustalenie, która grupa jest skojarzona z tym obciążeniem.This prefix makes it easy to identify which group is associated with which workload. Na przykład obciążenie obsługujące usługę uwierzytelniania może mieć grupy o nazwach AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps i AuthServiceInfraOps.For example, a workload hosting an authentication service might have groups named AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps, and AuthServiceInfraOps. Scentralizowane role lub role niepowiązane z konkretną usługą mogą być poprzedzone firmowymi. Przykładem jest CorpNetOps.Centralized roles, or roles not related to a specific service, might be prefaced with Corp. An example is CorpNetOps.

Wiele organizacji używa odmian następujących grup w celu zapewnienia głównych podziałów ról:Many organizations use a variation of the following groups to provide a major breakdown of roles:

  • Centralny zespół IT o nazwie Corp ma prawa własności do sterowania składnikami infrastruktury.The central IT team named Corp has the ownership rights to control infrastructure components. Przykładami są sieci i zabezpieczenia.Examples are networking and security. Grupa musi mieć rolę współautora w ramach subskrypcji, kontroli centrum i uprawnień współautora sieci w szprychach.The group needs to have the role of contributor on the subscription, control of the hub, and network contributor rights in the spokes. Duże organizacje często dzielą te obowiązki związane z zarządzaniem między wieloma zespołami.Large organizations frequently split up these management responsibilities between multiple teams. Przykładami jest Grupa CorpNetOps operacji sieciowych z wyłącznym koncentracją w sieci i grupami operacji zabezpieczeń CorpSecOps , odpowiedzialnych za zaporę i zasady zabezpieczeń.Examples are a network operations CorpNetOps group with exclusive focus on networking and a security operations CorpSecOps group responsible for the firewall and security policy. W tym konkretnym przypadku należy utworzyć dwie różne grupy do przypisywania ról niestandardowych.In this specific case, two different groups need to be created for assignment of these custom roles.
  • Grupa tworzenia i testowania o nazwie AppDevOps jest odpowiedzialna za wdrażanie obciążeń aplikacji lub usług.The dev/test group named AppDevOps has the responsibility to deploy app or service workloads. Ta grupa przyjmuje rolę współautora maszyny wirtualnej dla wdrożeń IaaS lub co najmniej jedną rolę współautora PaaS.This group takes the role of virtual machine contributor for IaaS deployments or one or more PaaS contributor's roles. Aby uzyskać więcej informacji, zobacz Role wbudowane platformy Azure.For more information, see Azure built-in roles. Opcjonalnie zespół deweloperów i testów może potrzebować widoczności zasad zabezpieczeń (sieciowych grup zabezpieczeń) i zasad routingu (zdefiniowanych przez użytkownika tras) w centrum lub w konkretnym szprychie.Optionally, the dev/test team might need visibility on security policies (network security groups) and routing policies (user-defined routes) inside the hub or a specific spoke. Oprócz roli współautora dla obciążeń, ta grupa powinna również mieć rolę czytnika sieci.In addition to the role of contributor for workloads, this group would also need the role of network reader.
  • Operacja i Grupa obsługi o nazwie CorpInfraOps lub AppInfraOps odpowiadają za zarządzanie obciążeniami w środowisku produkcyjnym.The operation and maintenance group called CorpInfraOps or AppInfraOps has the responsibility of managing workloads in production. Ta grupa musi być współautorem subskrypcji na obciążeniach w dowolnych subskrypcjach produkcyjnych.This group needs to be a subscription contributor on workloads in any production subscriptions. Niektóre organizacje mogą również oszacować, czy potrzebują dodatkowej grupy zespołu pomocy technicznej z rolą współautor subskrypcji w środowisku produkcyjnym i centralną subskrypcją centrum.Some organizations might also evaluate if they need an additional escalation support team group with the role of subscription contributor in production and the central hub subscription. Dodatkowa grupa rozwiązuje potencjalne problemy z konfiguracją w środowisku produkcyjnym.The additional group fixes potential configuration issues in the production environment.

VDC jest zaprojektowana tak, aby grupy utworzone dla centralnych zespołów IT zarządzali centrum, mieć odpowiednie grupy na poziomie obciążenia.The VDC is designed so that groups created for the central IT team, managing the hub, have corresponding groups at the workload level. Poza zarządzaniem tylko zasobami centrum centralny zespół IT może kontrolować dostęp zewnętrzny i uprawnienia najwyższego poziomu do subskrypcji.In addition to managing hub resources only, the central IT team can control external access and top-level permissions on the subscription. Grupy obciążeń mogą również kontrolować zasoby i uprawnienia do ich sieci wirtualnych niezależnie od centralnych zespołów IT.Workload groups can also control resources and permissions of their virtual network independently from the central IT team.

Wirtualne centrum danych jest podzielone na partycje, aby bezpiecznie hostować wiele projektów w różnych branżach.The virtual datacenter is partitioned to securely host multiple projects across different lines of business. Wszystkie projekty wymagają różnych środowisk izolowanych (dev, przeprowadzających i Production).All projects require different isolated environments (dev, UAT, and production). Osobne subskrypcje platformy Azure dla każdego z tych środowisk mogą zapewnić naturalną izolację.Separate Azure subscriptions for each of these environments can provide natural isolation.

55

Na powyższym diagramie przedstawiono relację między projektami, użytkownikami i grupami organizacji oraz środowiskami, w których są wdrażane składniki platformy Azure.The preceding diagram shows the relationship between an organization's projects, users, and groups and the environments where the Azure components are deployed.

Zwykle w tym środowisku (lub warstwie) jest system, w którym wiele aplikacji jest wdrażanych i wykonywanych.Typically in IT, an environment (or tier) is a system in which multiple applications are deployed and executed. Duże przedsiębiorstwa wykorzystują środowisko programistyczne (gdzie zmiany są wprowadzane i testowane) oraz środowisko produkcyjne (które są używane przez użytkowników końcowych).Large enterprises use a development environment (where changes are made and tested) and a production environment (what end-users use). Te środowiska są oddzielane, często z kilkoma środowiskami przejściowymi między nimi, aby umożliwić wdrażanie stopniowe (wdrażanie), testowanie i wycofywanie w przypadku wystąpienia problemów.Those environments are separated, often with several staging environments in between them to allow phased deployment (rollout), testing, and rollback if problems arise. Architektury wdrażania różnią się znacznie, ale zazwyczaj jest to podstawowy proces rozpoczynający się od projektowania (DEV) i kończący się w środowisku produkcyjnym.Deployment architectures vary significantly, but usually the basic process of starting at development (DEV) and ending at production (PROD) is still followed.

Wspólna architektura dla tych typów środowisk wielowarstwowych składa się z DevOps na potrzeby projektowania i testowania, przeprowadzających dla środowisk przejściowych i produkcyjnych.A common architecture for these types of multitier environments consists of DevOps for development and testing, UAT for staging, and production environments. Organizacje mogą używać jednego lub wielu dzierżawców usługi Azure AD do definiowania dostępu i praw do tych środowisk.Organizations can use single or multiple Azure AD tenants to define access and rights to these environments. Poprzedni diagram przedstawia przypadek, w którym są używane dwa różne dzierżawy usługi Azure AD: jeden dla DevOps i przeprowadzających, a drugi wyłącznie dla środowiska produkcyjnego.The previous diagram shows a case where two different Azure AD tenants are used: one for DevOps and UAT, and the other exclusively for production.

Obecność różnych dzierżawców usługi Azure AD wymusza rozdzielenie między środowiskami.The presence of different Azure AD tenants enforces the separation between environments. Ta sama Grupa użytkowników, taka jak centralny zespół IT, musi uwierzytelniać się przy użyciu innego identyfikatora URI w celu uzyskania dostępu do innej dzierżawy usługi Azure AD w celu zmodyfikowania ról lub uprawnień dla środowisk DevOps lub produkcyjnych projektu.The same group of users, such as the central IT team, need to authenticate by using a different URI to access a different Azure AD tenant to modify the roles or permissions of either the DevOps or production environments of a project. Obecność różnych uwierzytelnień użytkowników w celu uzyskania dostępu do różnych środowisk zmniejsza potencjalne przerwy i inne problemy spowodowane błędami ludzkimi.The presence of different user authentications to access different environments reduces possible outages and other issues caused by human errors.

Typ składnika: infrastrukturaComponent type: Infrastructure

Ten typ składnika to miejsce, w którym znajduje się większość infrastruktury pomocniczej.This component type is where most of the supporting infrastructure resides. Jest to również miejsce, w którym scentralizowane zespoły IT, bezpieczeństwa i zgodności spędzają najwięcej czasu.It's also where your centralized IT, security, and compliance teams spend most of their time.

66

Składniki infrastruktury zapewniają połączenie z różnymi składnikami implementacji VDC oraz znajdują się zarówno w centrum, jak i szprych.Infrastructure components provide an interconnection for the different components of a VDC implementation, and are present in both the hub and the spokes. Odpowiedzialność za zarządzanie i utrzymywanie składników infrastruktury jest zwykle przypisana do centralnego zespołu IT lub zespołu ds. zabezpieczeń.The responsibility for managing and maintaining the infrastructure components is typically assigned to the central IT team or security team.

Jednym z podstawowych zadań zespołu infrastruktury IT jest zagwarantowanie spójności schematów adresów IP w całym przedsiębiorstwie.One of the primary tasks of the IT infrastructure team is to guarantee the consistency of IP address schemas across the enterprise. Prywatna przestrzeń adresów IP przypisana do implementacji VDC musi być spójna i nie pokrywa się z prywatnymi adresami IP przypisanymi do sieci lokalnych.The private IP address space assigned to a VDC implementation must be consistent and NOT overlapping with private IP addresses assigned on your on-premises networks.

Podczas gdy translator adresów sieciowych na lokalnych routerach granicznych lub w środowiskach platformy Azure może uniknąć konfliktów adresów IP, dodaje komplikacje do składników infrastruktury.While NAT on the on-premises edge routers or in Azure environments can avoid IP address conflicts, it adds complications to your infrastructure components. Prostota zarządzania to jeden z najważniejszych celów VDC, więc użycie translatora adresów sieciowych do obsługi zagadnień związanych z adresami IP, podczas gdy prawidłowe rozwiązanie nie jest zalecanym rozwiązaniem.Simplicity of management is one of the key goals of the VDC, so using NAT to handle IP concerns, while a valid solution, is not a recommended solution.

Składniki infrastruktury mają następujące funkcje:Infrastructure components have the following functionality:

  • Tożsamości i usługi katalogowe.Identity and directory services. Dostęp do każdego typu zasobu na platformie Azure jest kontrolowany przez tożsamość przechowywaną w usłudze katalogowej.Access to every resource type in Azure is controlled by an identity stored in a directory service. Usługa katalogowa przechowuje nie tylko listę użytkowników, ale również prawa dostępu do zasobów w określonej subskrypcji platformy Azure.The directory service stores not only the list of users, but also the access rights to resources in a specific Azure subscription. Te usługi mogą istnieć tylko w chmurze lub mogą być synchronizowane z tożsamością lokalną przechowywaną w Active Directory.These services can exist cloud-only, or they can be synchronized with on-premises identity stored in Active Directory.
  • Virtual Network.Virtual Network. Sieci wirtualne są jednym z głównych składników VDC i umożliwiają utworzenie granicy izolacji ruchu na platformie Azure.Virtual networks are one of main components of the VDC, and enable you to create a traffic isolation boundary on the Azure platform. Sieć wirtualna składa się z jednego lub wielu segmentów sieci wirtualnej, z których każdy ma określony prefiks sieci IP (podsieć, IPv4 lub dwubajtowy protokół IPv4/IPv6).A virtual network is composed of a single or multiple virtual network segments, each with a specific IP network prefix (a subnet, either IPv4 or dual stack IPv4/IPv6). Sieć wirtualna definiuje wewnętrzny obszar obwodu, w którym IaaS maszyny wirtualne i usługi PaaS mogą nawiązywać prywatną komunikację.The virtual network defines an internal perimeter area where IaaS virtual machines and PaaS services can establish private communications. Maszyny wirtualne (i usługi PaaS Services) w jednej sieci wirtualnej nie mogą komunikować się bezpośrednio z maszynami wirtualnymi (i usługami PaaS) w innej sieci wirtualnej, nawet jeśli obie sieci wirtualne są tworzone przez tego samego klienta w ramach tej samej subskrypcji.VMs (and PaaS services) in one virtual network can't communicate directly to VMs (and PaaS services) in a different virtual network, even if both virtual networks are created by the same customer, under the same subscription. Izolacja jest właściwością krytyczną, która zapewnia, że maszyny wirtualne klienta i komunikacja pozostają prywatne w ramach sieci wirtualnej.Isolation is a critical property that ensures customer VMs and communication remains private within a virtual network. W przypadku pożądanej łączności między sieciami poniższe funkcje opisują, jak można to osiągnąć.Where cross-network connectivity is desired, the following features describe how that can be accomplished.
  • Komunikacja równorzędna sieci wirtualnej.Virtual network peering. Podstawową funkcją służącą do tworzenia infrastruktury VDC jest Komunikacja równorzędna sieci wirtualnych, która łączy dwie sieci wirtualne w tym samym regionie, za pośrednictwem sieci centrum danych platformy Azure lub w całym regionie platformy Azure na całym świecie.The fundamental feature used to create the infrastructure of a VDC is virtual network peering, which connects two virtual networks in the same region, either through the Azure datacenter network or using the Azure worldwide backbone across regions.
  • Virtual Network punkty końcowe usługi.Virtual Network service endpoints. Punkty końcowe usługi zwiększają prywatną przestrzeń adresową sieci wirtualnej, aby uwzględnić miejsce PaaS.Service endpoints extend your virtual network private address space to include your PaaS space. Punkty końcowe również zwiększają tożsamość sieci wirtualnej do usług platformy Azure za pośrednictwem bezpośredniego połączenia.The endpoints also extend the identity of your virtual network to the Azure services over a direct connection. Punkty końcowe umożliwiają zabezpieczanie krytycznych zasobów usługi platformy Azure tylko do sieci wirtualnych.Endpoints allow you to secure your critical Azure service resources to only your virtual networks.
  • Link prywatny.Private Link. Link prywatny platformy Azure umożliwia dostęp do usług Azure PaaS Services (na przykład Azure Storage, Azure Cosmos DBi Azure SQL Database) oraz hostowanych usług klienta i partnerskich platformy Azure za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej.Azure Private Link enables you to access Azure PaaS Services (for example, Azure Storage, Azure Cosmos DB, and Azure SQL Database) and Azure hosted customer/partner services over a Private Endpoint in your virtual network. Ruch między siecią wirtualną a usługą odbywa się za pośrednictwem sieci szkieletowej firmy Microsoft, eliminując ekspozycję z publicznego Internetu.Traffic between your virtual network and the service traverses over the Microsoft backbone network, eliminating exposure from the public Internet. Możesz również utworzyć własną prywatną usługę linku w sieci wirtualnej i dostarczyć ją prywatnie do klientów.You can also create your own Private Link Service in your virtual network and deliver it privately to your customers. Środowisko instalacji i użycia korzystające z prywatnego linku platformy Azure jest spójne w przypadku usługi Azure PaaS, należącej do klienta i udostępnionych usług partnerskich.The setup and consumption experience using Azure Private Link is consistent across Azure PaaS, customer-owned, and shared partner services.
  • Trasy zdefiniowane przez użytkownika.User-defined routes. Ruch w sieci wirtualnej jest domyślnie kierowany na podstawie tabeli routingu systemowego.Traffic in a virtual network is routed by default based on the system routing table. Zdefiniowana przez użytkownika trasa jest niestandardową tabelą routingu, którą Administratorzy sieci mogą skojarzyć z co najmniej jedną podsiecią, aby zastąpić zachowanie tabeli routingu systemu i zdefiniować ścieżkę komunikacji w ramach sieci wirtualnej.A user-defined route is a custom routing table that network administrators can associate to one or more subnets to override the behavior of the system routing table and define a communication path within a virtual network. Obecność tras zdefiniowanych przez użytkownika gwarantuje, że ruch wychodzący z tranzytu szprych przez określone niestandardowe maszyny wirtualne lub wirtualne urządzenia sieciowe i moduły równoważenia obciążenia obecne zarówno w centrum, jak i szprych.The presence of user-defined routes guarantees that egress traffic from the spoke transit through specific custom VMs or network virtual appliances and load balancers present in both the hub and the spokes.
  • Sieciowe grupy zabezpieczeń.Network security groups. Grupa zabezpieczeń sieci to lista reguł zabezpieczeń, które działają jako Filtrowanie ruchu dla źródeł IP, miejsc docelowych adresów IP, protokołów, portów źródłowych IP i portów docelowych IP (nazywanych również warstwą 4 5-krotką).A network security group is a list of security rules that act as traffic filtering on IP sources, IP destinations, protocols, IP source ports, and IP destination ports (also called a Layer 4 five-tuple). Sieciową grupę zabezpieczeń można zastosować do podsieci, wirtualnej karty sieciowej skojarzonej z maszyną wirtualną platformy Azure lub obu tych usług.The network security group can be applied to a subnet, a Virtual NIC associated with an Azure VM, or both. Sieciowe grupy zabezpieczeń są niezbędne do wdrożenia prawidłowej kontroli przepływu w centrum i szprych.The network security groups are essential to implement a correct flow control in the hub and in the spokes. Poziom zabezpieczeń zapewniany przez grupę zabezpieczeń sieci to funkcja, z której otwierane są porty i w jakim celu.The level of security afforded by the network security group is a function of which ports you open, and for what purpose. Klienci powinni stosować dodatkowe filtry na maszynę wirtualną z użyciem zapór opartych na hoście, takich jak dołączenie iptables lub Zapora systemu Windows.Customers should apply additional per-VM filters with host-based firewalls such as iptables or the Windows Firewall.
  • DNS.DNS. System DNS zapewnia rozpoznawanie nazw zasobów w wirtualnym centrum danych.DNS provides name resolution for resources in a virtual datacenter. Platforma Azure udostępnia usługi DNS do rozpoznawania nazw publicznych i prywatnych .Azure provides DNS services for both public and private name resolution. Strefy prywatne zapewniają rozpoznawanie nazw zarówno w sieci wirtualnej, jak i w sieciach wirtualnych.Private zones provide name resolution both within a virtual network and across virtual networks. Strefy prywatne mogą nie tylko obejmować sieci wirtualne w tym samym regionie, ale również między regionami i subskrypcjami.You can have private zones not only span across virtual networks in the same region, but also across regions and subscriptions. Do publicznej rozdzielczości Azure DNS zapewnia usługi hostingu dla domen DNS, zapewniając rozpoznawanie nazw przy użyciu infrastruktury Microsoft Azure.For public resolution, Azure DNS provides a hosting service for DNS domains, providing name resolution using Microsoft Azure infrastructure. Dzięki hostowaniu swoich domen na platformie Azure możesz zarządzać rekordami DNS z zastosowaniem tych samych poświadczeń, interfejsów API, narzędzi i rozliczeń co w przypadku innych usług platformy Azure.By hosting your domains in Azure, you can manage your DNS records using the same credentials, APIs, tools, and billing as your other Azure services.
  • Zarządzanie grupami, subskrypcjamii grupami zasobów .Management group, subscription, and resource group management. Subskrypcja definiuje naturalną granicę, aby utworzyć wiele grup zasobów na platformie Azure.A subscription defines a natural boundary to create multiple groups of resources in Azure. Ta separacja może dotyczyć funkcji, podziału ról lub rozliczeń.This separation can be for function, role segregation, or billing. Zasoby w ramach subskrypcji są łączone razem z kontenerami logicznymi znanymi jako grupy zasobów.Resources in a subscription are assembled together in logical containers known as resource groups. Grupa zasobów reprezentuje grupę logiczną, aby zorganizować zasoby w wirtualnym centrum danych.The resource group represents a logical group to organize the resources in a virtual datacenter. Jeśli Twoja organizacja ma wiele subskrypcji, możesz potrzebować sposobu na wydajne zarządzanie dostępem, zasadami i zgodnością dla tych subskrypcji.If your organization has many subscriptions, you may need a way to efficiently manage access, policies, and compliance for those subscriptions. Grupy zarządzania platformy Azure zapewniają poziom zakresu powyżej subskrypcji.Azure management groups provide a level of scope above subscriptions. Subskrypcje są organizowane w kontenerach znanych jako grupy zarządzania i stosują swoje warunki ładu do grup zarządzania.You organize subscriptions into containers known as management groups and apply your governance conditions to the management groups. Wszystkie subskrypcje w grupie zarządzania automatycznie dziedziczą warunki zastosowane do tej grupy zarządzania.All subscriptions within a management group automatically inherit the conditions applied to the management group. Aby wyświetlić te trzy funkcje w widoku hierarchii, zobacz organizowanie zasobów w strukturze wdrażania w chmurze.To see these three features in a hierarchy view, see Organizing your resources in the Cloud Adoption Framework.
  • Kontrola dostępu oparta na rolach (Azure RBAC).Azure role-based access control (Azure RBAC). Usługa Azure RBAC może mapować role organizacyjne i prawa dostępu do określonych zasobów platformy Azure, co pozwala ograniczyć użytkowników tylko do określonego podzestawu akcji.Azure RBAC can map organizational roles and rights to access specific Azure resources, allowing you to restrict users to only a certain subset of actions. W przypadku synchronizowania Azure Active Directory z lokalnym Active Directory można używać tych samych grup Active Directory na platformie Azure, które są używane lokalnie.If you're synchronizing Azure Active Directory with an on-premises Active Directory, you can use the same Active Directory groups in Azure that you use on-premises. Za pomocą usługi Azure RBAC można udzielić dostępu, przypisując odpowiednią rolę użytkownikom, grupom i aplikacjom w odpowiednim zakresie.With Azure RBAC, you can grant access by assigning the appropriate role to users, groups, and applications within the relevant scope. Zakres przypisania roli może być subskrypcją platformy Azure, grupą zasobów lub pojedynczym zasobem.The scope of a role assignment can be an Azure subscription, a resource group, or a single resource. Usługa Azure RBAC umożliwia dziedziczenie uprawnień.Azure RBAC allows inheritance of permissions. Rola przypisana w zakresie nadrzędnym również przyznaje dostęp do elementów podrzędnych zawartych w nim.A role assigned at a parent scope also grants access to the children contained within it. Korzystając z funkcji RBAC systemu Azure, można oddzielić cła i przyznać dostęp tylko do użytkowników, których potrzebują do wykonywania swoich zadań.Using Azure RBAC, you can segregate duties and grant only the amount of access to users that they need to perform their jobs. Na przykład jeden pracownik może zarządzać maszynami wirtualnymi w ramach subskrypcji, podczas gdy inna może zarządzać bazami danych SQL Server w tej samej subskrypcji.For example, one employee can manage virtual machines in a subscription, while another can manage SQL Server databases in the same subscription.

Typ składnika: sieci obwodoweComponent Type: Perimeter Networks

Składniki sieci obwodowej (nazywane czasem siecią DMZ) łączą lokalne lub fizyczne sieci centrów danych oraz łączność z Internetem.Components of a perimeter network (sometimes called a DMZ network) connect your on-premises or physical datacenter networks, along with any internet connectivity. Obwód zazwyczaj wymaga znaczących inwestycji w sieć i zespoły ds. zabezpieczeń.The perimeter typically requires a significant time investment from your network and security teams.

Pakiety przychodzące powinny przechodzić przez urządzenia zabezpieczające w centrum przed osiągnięciem serwerów zaplecza i usług w szprychach.Incoming packets should flow through the security appliances in the hub before reaching the back-end servers and services in the spokes. Przykłady obejmują zaporę, identyfikatory i adresy IP.Examples include the firewall, IDS, and IPS. Zanim opuszczą sieć, pakiety powiązane z Internetem z obciążeń powinny również przepływać przez urządzenia zabezpieczeń w sieci obwodowej.Before they leave the network, internet-bound packets from the workloads should also flow through the security appliances in the perimeter network. Ten przepływ umożliwia wymuszanie zasad, inspekcję i inspekcję.This flow enables policy enforcement, inspection, and auditing.

Składniki sieci obwodowej obejmują:Perimeter network components include:

Zazwyczaj centralny zespół IT i zespoły ds. zabezpieczeń są odpowiedzialne za definicje wymagań i eksploatację sieci obwodowej.Usually, the central IT team and security teams have responsibility for requirement definition and operation of the perimeter networks.

77

Na powyższym diagramie przedstawiono wymuszanie dwóch obwodów z dostępem do Internetu i sieci lokalnej, które znajdują się w centrum DMZ.The preceding diagram shows the enforcement of two perimeters with access to the internet and an on-premises network, both resident in the DMZ hub. W centrum DMZ sieć obwodowa z Internetem może być skalowalna w górę w celu zapewnienia obsługi wielu linii gospodarczych przy użyciu wielu Farm zapór aplikacji sieci Web (sieciowi) lub zapór platformy Azure.In the DMZ hub, the perimeter network to internet can scale up to support many lines of business, using multiple farms of Web Application Firewalls (WAFs) or Azure Firewalls. Koncentrator umożliwia również lokalne połączenie za pośrednictwem sieci VPN lub ExpressRoute.The hub also allows for on-premises connectivity via VPN or ExpressRoute as needed.

Uwaga

Na powyższym diagramie, w "centrum DMZ", wiele następujących funkcji można powiązać ze sobą w wirtualnym Centrum sieci WAN platformy Azure (na przykład w przypadku sieci wirtualnych, tras zdefiniowanych przez użytkownika, sieciowych grup zabezpieczeń, bram sieci VPN, bram ExpressRoute, modułów równoważenia obciążenia platformy Azure, zapory platformy Azure, Menedżera zapory i DDOS).In the preceding diagram, in the "DMZ Hub", many of the following features can be bundled together in an Azure Virtual WAN hub (such as virtual networks, user-defined routes, network security groups, VPN gateways, ExpressRoute gateways, Azure load balancers, Azure Firewalls, Firewall Manager, and DDOS). Przy użyciu wirtualnych centrów sieci Azure można utworzyć centralną sieć wirtualną, a tym samym VDC, znacznie łatwiej, ponieważ większość złożoności inżynieryjnej jest obsługiwana przez platformę Azure podczas wdrażania wirtualnego centrum sieci WAN platformy Azure.Using Azure Virtual WAN hubs can make the creation of the hub virtual network, and thus the VDC, much easier, since most of the engineering complexity is handled for you by Azure when you deploy an Azure Virtual WAN hub.

Sieci wirtualne.Virtual networks. Koncentrator jest zazwyczaj zbudowany w sieci wirtualnej z wieloma podsieciami, aby hostować różne typy usług, które filtrują i sprawdzają ruch do lub z Internetu za pośrednictwem zapory platformy Azure, urządzeń WUS, WAF i Azure Application Gateway wystąpienia.The hub is typically built on a virtual network with multiple subnets to host the different types of services that filter and inspect traffic to or from the internet via Azure Firewall, NVAs, WAF, and Azure Application Gateway instances.

Trasy zdefiniowane przez użytkownika.User-defined routes. Korzystając z tras zdefiniowanych przez użytkownika, klienci mogą wdrażać zapory, identyfikatory/adresy IP i inne urządzenia wirtualne oraz kierować ruchem sieciowym za pośrednictwem tych urządzeń zabezpieczeń w celu wymuszania, inspekcji i inspekcji zasad granicy zabezpieczeń.Using user-defined routes, customers can deploy firewalls, IDS/IPS, and other virtual appliances, and route network traffic through these security appliances for security boundary policy enforcement, auditing, and inspection. Trasy zdefiniowane przez użytkownika mogą być tworzone zarówno w centrum, jak i szprychy w celu zagwarantowania, że ruch przesyłany przez określone niestandardowe maszyny wirtualne, wirtualne urządzenia sieciowe i moduły równoważenia obciążenia używane przez implementację VDC.User-defined routes can be created in both the hub and the spokes to guarantee that traffic transits through the specific custom VMs, Network Virtual Appliances, and load balancers used by a VDC implementation. W celu zagwarantowania, że ruch wygenerowany z maszyn wirtualnych znajdujących się w tranzycie szprych do właściwych urządzeń wirtualnych, w podsieciach satelity należy ustawić trasę zdefiniowaną przez użytkownika, ustawiając adres IP frontonu wewnętrznego modułu równoważenia obciążenia jako następny przeskok.To guarantee that traffic generated from virtual machines residing in the spoke transits to the correct virtual appliances, a user-defined route needs to be set in the subnets of the spoke by setting the front-end IP address of the internal load balancer as the next hop. Wewnętrzny moduł równoważenia obciążenia rozkłada ruch wewnętrzny na urządzenia wirtualne (pula wewnętrznej bazy danych modułu równoważenia obciążenia).The internal load balancer distributes the internal traffic to the virtual appliances (load balancer back-end pool).

Zapora systemu Azure to zarządzana usługa zabezpieczeń sieci chroniąca zasoby Virtual Network platformy Azure.Azure Firewall is a managed network security service that protects your Azure Virtual Network resources. Jest to zarządzana przez stanowa Zapora, która zapewnia wysoką dostępność i skalowalność chmury.It's a stateful managed firewall with high availability and cloud scalability. Możesz centralnie tworzyć, wymuszać i rejestrować zasady łączności aplikacji i sieci w subskrypcjach i sieciach wirtualnych.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Usługa Azure Firewall używa statycznego publicznego adresu IP do zasobów sieci wirtualnej.Azure Firewall uses a static public IP address for your virtual network resources. Umożliwia to zewnętrznym zaporom identyfikowanie ruchu pochodzącego z danej sieci wirtualnej.It allows outside firewalls to identify traffic that originates from your virtual network. Usługa jest w pełni zintegrowana z usługą Azure Monitor na potrzeby rejestrowania i analiz.The service is fully integrated with Azure Monitor for logging and analytics.

Jeśli używasz topologii wirtualnej sieci WAN platformy Azure, Menedżer zapory platformy Azure to usługa zarządzania zabezpieczeniami, która zapewnia centralne zasady zabezpieczeń i Zarządzanie trasami dla obwodów zabezpieczeń opartych na chmurze.If you use the Azure Virtual WAN topology, the Azure Firewall Manager is a security management service that provides central security policy and route management for cloud-based security perimeters. Współpracuje z Centrum sieci wirtualnej platformy Azure, zasobem zarządzanym przez firmę Microsoft, który umożliwia łatwe tworzenie architektur Hub i szprych.It works with Azure Virtual WAN hub, a Microsoft-managed resource that lets you easily create hub and spoke architectures. Gdy zasady zabezpieczeń i routingu są skojarzone z tym centrum, jest ono nazywane bezpiecznym koncentratorem wirtualnym.When security and routing policies are associated with such a hub, it's referred to as a secured virtual hub.

Wirtualne urządzenia sieciowe.Network virtual appliances. W centrum sieć obwodowa mająca dostęp do Internetu jest zazwyczaj zarządzana za pomocą wystąpienia zapory platformy Azure lub farmy zapory lub zapory aplikacji sieci Web (WAF).In the hub, the perimeter network with access to the internet is normally managed through an Azure Firewall instance or a farm of firewalls or web application firewall (WAF).

Różne branże biznesowe często korzystają z wielu aplikacji sieci Web, które mają wpływ na różne luki w zabezpieczeniach i potencjalną lukę w zabezpieczeniach.Different lines of business commonly use many web applications, which tend to suffer from various vulnerabilities and potential exploits. Zapory aplikacji sieci Web to specjalny typ produktu służący do wykrywania ataków na aplikacje sieci Web, protokół HTTP/HTTPS, bardziej szczegółowo niż w przypadku zapory ogólnej.Web application firewalls are a special type of product used to detect attacks against web applications, HTTP/HTTPS, in more depth than a generic firewall. W porównaniu z tradycją technologii zapory sieciowi mają zestaw określonych funkcji do ochrony wewnętrznych serwerów sieci Web przed zagrożeniami.Compared with tradition firewall technology, WAFs have a set of specific features to protect internal web servers from threats.

Zapora platformy Azure lub Zapora urządzenie WUS korzystają ze wspólnej płaszczyzny administracyjnej z zestawem reguł zabezpieczeń, aby chronić obciążenia hostowane w szprychach i kontrolować dostęp do sieci lokalnych.An Azure Firewall or NVA firewall both use a common administration plane, with a set of security rules to protect the workloads hosted in the spokes, and control access to on-premises networks. Zapora platformy Azure ma wbudowaną skalowalność, podczas gdy zapory urządzenie WUS można ręcznie skalować za modułem równoważenia obciążenia.The Azure Firewall has scalability built in, whereas NVA firewalls can be manually scaled behind a load balancer. Ogólnie rzecz biorąc, Farma zapory ma mniej wyspecjalizowane oprogramowanie w porównaniu z WAF, ale ma szerszy zakres aplikacji do filtrowania i kontrolowania dowolnego typu ruchu wyjściowego i przychodzącego.Generally, a firewall farm has less specialized software compared with a WAF, but has a broader application scope to filter and inspect any type of traffic in egress and ingress. Jeśli jest używane podejście urządzenie WUS, można je znaleźć i wdrożyć z portalu Azure Marketplace.If an NVA approach is used, they can be found and deployed from Azure Marketplace.

Zalecamy użycie jednego zestawu wystąpień zapory platformy Azure lub urządzeń WUS dla ruchu pochodzącego z Internetu.We recommend that you use one set of Azure Firewall instances, or NVAs, for traffic originating on the internet. Użyj innego dla ruchu pochodzącego z lokalnego.Use another for traffic originating on-premises. Używanie tylko jednego zestawu zapór w obu przypadkach stanowi zagrożenie bezpieczeństwa, ponieważ nie zapewnia on obwodu zabezpieczeń między dwoma zestawami ruchu sieciowego.Using only one set of firewalls for both is a security risk as it provides no security perimeter between the two sets of network traffic. Użycie osobnych warstw zapory zmniejsza złożoność sprawdzania reguł zabezpieczeń i pozwala wyczyścić, które reguły odnoszą się do tych, które są przychodzące żądania sieciowe.Using separate firewall layers reduces the complexity of checking security rules and makes it clear which rules correspond to which incoming network request.

Azure Load Balancer oferuje usługę warstwy 4 (TCP/UDP) o wysokiej dostępności, która może dystrybuować ruch przychodzący między wystąpieniami usługi zdefiniowanymi w zestawie o zrównoważonym obciążeniu.Azure Load Balancer offers a high availability Layer 4 (TCP/UDP) service, which can distribute incoming traffic among service instances defined in a load-balanced set. Ruch wysyłany do modułu równoważenia obciążenia z punktów końcowych frontonu IP lub prywatnych punktów końcowych IP może być rozpowszechniany z lub bez translacji adresów do zestawu puli adresów IP zaplecza (takich jak wirtualne urządzenia sieciowe lub maszyny wirtualne).Traffic sent to the load balancer from front-end endpoints (public IP endpoints or private IP endpoints) can be redistributed with or without address translation to a set of back-end IP address pool (such as network virtual appliances or virtual machines).

Azure Load Balancer może również sondować kondycję różnych wystąpień serwera, a gdy wystąpienie nie odpowiada na sondę, moduł równoważenia obciążenia zatrzymuje wysyłanie ruchu do wystąpienia złej kondycji.Azure Load Balancer can probe the health of the various server instances as well, and when an instance fails to respond to a probe, the load balancer stops sending traffic to the unhealthy instance. W wirtualnym centrum danych zewnętrzny moduł równoważenia obciążenia jest wdrażany w centrum i szprych.In a virtual datacenter, an external load balancer is deployed to the hub and the spokes. Moduł równoważenia obciążenia jest używany do wydajnego kierowania ruchu między wystąpieniami zapory, a w szprychach usługi równoważenia obciążenia są używane do zarządzania ruchem aplikacji.In the hub, the load balancer is used to efficiently route traffic across firewall instances, and in the spokes, load balancers are used to manage application traffic.

Azure Front drzwiczks (AFD) to wysoce dostępna i skalowalna platforma Microsoft Web Application Acceleration platform, globalne Load Balancer http, ochrona aplikacji i Content Delivery Network.Azure Front Door (AFD) is Microsoft's highly available and scalable Web Application Acceleration Platform, Global HTTP Load Balancer, Application Protection, and Content Delivery Network. W przypadku ponad 100 lokalizacji na granicy sieci globalnej firmy Microsoft AFD umożliwia tworzenie, obsługiwanie i skalowanie dynamicznej aplikacji sieci Web oraz zawartości statycznej.Running in more than 100 locations at the edge of Microsoft's Global Network, AFD enables you to build, operate, and scale out your dynamic web application and static content. Usługa AFD udostępnia swoją aplikację dzięki światowej klasy wydajności użytkowników końcowych, ujednoliconej automatyzacji konserwacji/sygnatury konserwacyjnej, automatyzacji BCDR, ujednoliconej informacji o kliencie/użytkowniku, buforowaniu i usłudze Service Insights.AFD provides your application with world-class end-user performance, unified regional/stamp maintenance automation, BCDR automation, unified client/user information, caching, and service insights. Platforma oferuje następujące funkcje:The platform offers:

  • Wydajność, niezawodność i obsługa umów dotyczących poziomu usług (umowy SLA).Performance, reliability, and support service-level agreements (SLAs).
  • Certyfikaty zgodności.Compliance certifications.
  • Poddawane inspekcji praktyki zabezpieczeń, które są opracowywane, eksploatowane i natywnie obsługiwane przez platformę Azure.Auditable security practices that are developed, operated, and natively supported by Azure.

Drzwi frontonu platformy Azure udostępniają również zaporę aplikacji sieci Web (WAF), która chroni aplikacje sieci Web przed typowymi lukami w zabezpieczeniach i atakami.Azure Front Door also provides a web application firewall (WAF), which protects web applications from common vulnerabilities and exploits.

Usługa Azure Application Gateway to dedykowane urządzenie wirtualne udostępniające zarządzany kontroler dostarczania aplikacji.Azure Application Gateway is a dedicated virtual appliance providing a managed application delivery controller. Oferuje różne możliwości równoważenia obciążenia warstwy 7 dla Twojej aplikacji.It offers various Layer 7 load-balancing capabilities for your application. Pozwala zoptymalizować wydajność kolektywu serwerów sieci Web przez odciążenie zakończenia protokołu SSL intensywnie korzystających z procesora CPU do bramy aplikacji.It allows you to optimize web farm performance by offloading CPU-intensive SSL termination to the application gateway. Zapewnia także inne możliwości routingu warstwy 7, takie jak dystrybucja okrężna ruchu przychodzącego, koligacja sesji na podstawie plików cookie, routing oparty na ścieżkach URL i możliwość hostowania wielu witryn sieci Web za pojedynczą bramą aplikacji.It also provides other Layer 7 routing capabilities, such as round-robin distribution of incoming traffic, cookie-based session affinity, URL-path-based routing, and the ability to host multiple websites behind a single application gateway. Zapora aplikacji internetowych jest również udostępniana w ramach jednostki SKU zapory aplikacji internetowych w usłudze Application Gateway.A web application firewall (WAF) is also provided as part of the application gateway WAF SKU. Zapewnia ona ochronę aplikacji internetowych przed typowymi internetowymi lukami w zabezpieczeniach.This SKU provides protection to web applications from common web vulnerabilities and exploits. Application Gateway można skonfigurować jako bramę internetową, bramę tylko wewnętrzną lub kombinację obu tych elementów.Application Gateway can be configured as internet-facing gateway, internal-only gateway, or a combination of both.

Publiczne adresy IP.Public IPs. Niektóre funkcje platformy Azure umożliwiają kojarzenie punktów końcowych usługi z publicznym adresem IP, dzięki czemu zasób jest dostępny z Internetu.With some Azure features, you can associate service endpoints to a public IP address so that your resource is accessible from the internet. Ten punkt końcowy używa translatora adresów sieciowych do kierowania ruchu do wewnętrznego adresu i portu w sieci wirtualnej na platformie Azure.This endpoint uses NAT to route traffic to the internal address and port on the virtual network in Azure. Ta ścieżka stanowi podstawową metodę przekazywania ruchu zewnętrznego do sieci wirtualnej.This path is the primary way for external traffic to pass into the virtual network. Można skonfigurować publiczne adresy IP, aby określić, który ruch jest przesyłany i jak i w jaki sposób i gdzie jest tłumaczony do sieci wirtualnej.You can configure public IP addresses to determine which traffic is passed in and how and where it's translated onto the virtual network.

Usługa Azure DDoS Protection Standard zapewnia dodatkowe możliwości ograniczania funkcjonalności w ramach podstawowej warstwy usług , która jest dostrajana specjalnie do zasobów usługi Azure Virtual Network.Azure DDoS Protection Standard provides additional mitigation capabilities over the Basic service tier that are tuned specifically to Azure Virtual Network resources. Usługę DDoS Protection w warstwie Standardowa można łatwo włączyć i nie wymaga to wprowadzania zmian w aplikacji.DDoS Protection Standard is simple to enable and requires no application changes. Zasady ochrony są dostosowywane za pośrednictwem dedykowanych algorytmów monitorowania ruchu i uczenia maszynowego.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms. Zasady są stosowane do publicznych adresów IP skojarzonych z zasobami wdrożonymi w sieciach wirtualnych.Policies are applied to public IP addresses associated to resources deployed in virtual networks. Przykłady obejmują Azure Load Balancer, Application Gateway platformy Azure i wystąpienia Service Fabric platformy Azure.Examples include Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances. Dzienniki generowane przez system w czasie niemal rzeczywistym są dostępne za pośrednictwem Azure Monitor widoków podczas ataku i historii.Near real-time, system-generated logs are available through Azure Monitor views during an attack and for history. Ochronę warstwy aplikacji można dodać za pomocą zapory aplikacji sieci Web platformy Azure Application Gateway.Application layer protection can be added through the Azure Application Gateway web application firewall. Zapewniona jest ochrona dla publicznych adresów IP platformy Azure IPv4 i IPv6.Protection is provided for IPv4 and IPv6 Azure public IP addresses.

Topologia gwiazdy używa komunikacji równorzędnej sieci wirtualnej i tras zdefiniowanych przez użytkownika do prawidłowego kierowania ruchu.The hub and spoke topology uses virtual network peering and user-defined routes to route traffic properly.

88

Na diagramie zdefiniowana przez użytkownika trasa zapewnia, że ruch z satelity do zapory przed przekazaniem go do lokalizacji lokalnej za pośrednictwem bramy ExpressRoute (Jeśli zasady zapory umożliwiają ten przepływ).In the diagram, the user-defined route ensures that traffic flows from the spoke to the firewall before passing to on-premises through the ExpressRoute gateway (if the firewall policy allows that flow).

Typ składnika: monitorowanieComponent type: Monitoring

Składniki monitorowania zapewniają widoczność i alerty ze wszystkich typów składników.Monitoring components provide visibility and alerting from all the other component types. Wszystkie zespoły powinny mieć dostęp do monitorowania dla składników i usług, do których mają dostęp.All teams should have access to monitoring for the components and services they have access to. Jeśli masz scentralizowaną pomoc techniczną lub zespoły operacyjne, wymagają zintegrowanego dostępu do danych dostarczanych przez te składniki.If you have a centralized help desk or operations teams, they require integrated access to the data provided by these components.

Platforma Azure oferuje różne typy usług rejestrowania i monitorowania, które umożliwiają śledzenie zachowania zasobów hostowanych na platformie Azure.Azure offers different types of logging and monitoring services to track the behavior of Azure-hosted resources. Zarządzanie i kontrola obciążeń na platformie Azure opiera się nie tylko na zbieraniu danych dzienników, ale również o możliwości wyzwalania akcji na podstawie określonych zgłoszonych zdarzeń.Governance and control of workloads in Azure is based not just on collecting log data but also on the ability to trigger actions based on specific reported events.

Azure monitor.Azure Monitor. Platforma Azure obejmuje wiele usług, które indywidualnie wykonują określoną rolę lub zadanie w obszarze monitorowania.Azure includes multiple services that individually perform a specific role or task in the monitoring space. Razem te usługi zapewniają kompleksowe rozwiązanie do zbierania, analizowania i działania dzienników generowanych przez system z aplikacji i zasobów platformy Azure, które je obsługują.Together, these services deliver a comprehensive solution for collecting, analyzing, and acting on system-generated logs from your applications and the Azure resources that support them. Mogą one również służyć do monitorowania krytycznych zasobów lokalnych, aby zapewnić hybrydowe środowisko monitorowania.They can also work to monitor critical on-premises resources in order to provide a hybrid monitoring environment. Zrozumienie dostępnych narzędzi i danych to pierwszy krok w opracowaniu kompletnej strategii monitorowania dla aplikacji.Understanding the tools and data that are available is the first step in developing a complete monitoring strategy for your applications.

Istnieją dwa podstawowe typy dzienników w Azure Monitor:There are two fundamental types of logs in Azure Monitor:

  • Metryki to wartości liczbowe, które opisują część systemu w konkretnym momencie.Metrics are numerical values that describe some aspect of a system at a particular point in time. Są one lekkie i mogą obsługiwać niemal scenariusze w czasie rzeczywistym.They are lightweight and capable of supporting near real-time scenarios. W przypadku wielu zasobów platformy Azure zobaczysz dane zebrane przez Azure Monitor bezpośrednio na stronie Przegląd w Azure Portal.For many Azure resources, you'll see data collected by Azure Monitor right in their Overview page in the Azure portal. Na przykład poszukaj dowolnej maszyny wirtualnej i zobaczysz kilka wykresów, które wyświetlają metryki wydajności.As an example, look at any virtual machine and you'll see several charts displaying performance metrics. Wybierz dowolne wykresy, aby otworzyć dane w Eksploratorze metryk w Azure Portal, co pozwala na wykres wartości wielu metryk w czasie.Select any of the graphs to open the data in metrics explorer in the Azure portal, which allows you to chart the values of multiple metrics over time. Możesz wyświetlić wykresy interaktywnie lub przypiąć je do pulpitu nawigacyjnego, aby wyświetlić inne wizualizacje.You can view the charts interactively or pin them to a dashboard to view them with other visualizations.

  • Dzienniki zawierają różne rodzaje danych zorganizowanych w rekordy z różnymi zestawami właściwości dla każdego typu.Logs contain different kinds of data organized into records with different sets of properties for each type. Zdarzenia i ślady są przechowywane jako dzienniki wraz z danymi dotyczącymi wydajności, które można łączyć w celu analizy.Events and traces are stored as logs along with performance data, which can all be combined for analysis. Dane dziennika zbierane przez Azure Monitor mogą być analizowane za pomocą zapytań, aby szybko pobierać, konsolidować i analizować zebrane dane.Log data collected by Azure Monitor can be analyzed with queries to quickly retrieve, consolidate, and analyze collected data. Dzienniki są przechowywane i wysyłane z log Analytics.Logs are stored and queried from Log Analytics. Możesz tworzyć i testować zapytania przy użyciu Log Analytics w Azure Portal, a następnie bezpośrednio analizować dane przy użyciu tych narzędzi lub zapisywać zapytania do użycia z wizualizacjami lub regułami alertów.You can create and test queries using Log Analytics in the Azure portal and then either directly analyze the data using these tools or save queries for use with visualizations or alert rules.

99

Usługa Azure Monitor może zbierać dane z różnych źródeł.Azure Monitor can collect data from a variety of sources. Dane monitorowania aplikacji można traktować w warstwach od aplikacji, dowolnego systemu operacyjnego i usług, na których bazują na platformie Azure.You can think of monitoring data for your applications in tiers ranging from your application, any operating system, and the services it relies on, down to the Azure platform itself. Usługa Azure Monitor zbiera dane z każdej z następujących warstw:Azure Monitor collects data from each of the following tiers:

  • Dane monitorowania aplikacji: Dane dotyczące wydajności i funkcjonalności kodu, który zapisano, niezależnie od jego platformy.Application monitoring data: Data about the performance and functionality of the code you have written, regardless of its platform.
  • Dane monitorowania systemu operacyjnego gościa: Dane dotyczące systemu operacyjnego, w którym działa aplikacja.Guest OS monitoring data: Data about the operating system on which your application is running. Ten system operacyjny może działać na platformie Azure, w innej chmurze lub lokalnie.This OS could be running in Azure, another cloud, or on-premises.
  • Dane monitorowania zasobów platformy Azure: Dane dotyczące operacji zasobu platformy Azure.Azure resource monitoring data: Data about the operation of an Azure resource.
  • Dane monitorowania subskrypcji platformy Azure: Dane dotyczące operacji i zarządzania subskrypcją platformy Azure, a także dane dotyczące kondycji i działania samej platformy Azure.Azure subscription monitoring data: Data about the operation and management of an Azure subscription, as well as data about the health and operation of Azure itself.
  • Dane monitorowania dzierżawy platformy Azure: Dane dotyczące działania usług platformy Azure na poziomie dzierżawy, takie jak Azure Active Directory.Azure tenant monitoring data: Data about the operation of tenant-level Azure services, such as Azure Active Directory.
  • Źródła niestandardowe: Można również dołączać dzienniki wysyłane z źródeł lokalnych.Custom sources: Logs sent from on-premises sources can be included as well. Przykładami mogą być lokalne zdarzenia serwera lub dane wyjściowe dziennika systemowego urządzenia sieciowego.Examples include on-premises server events or network device syslog output.

Dane monitorowania są przydatne tylko wtedy, gdy mogą zwiększyć widoczność do działania środowiska obliczeniowego.Monitoring data is only useful if it can increase your visibility into the operation of your computing environment. Azure Monitor obejmuje kilka funkcji i narzędzi, które zapewniają cenne informacje dotyczące aplikacji i innych zasobów, od których zależą.Azure Monitor includes several features and tools that provide valuable insights into your applications and other resources that they depend on. Monitorowanie rozwiązań i funkcji, takich jak Application Insights i Azure Monitor dla kontenerów, zapewnia szczegółowe informacje o różnych aspektach aplikacji i określonych usługach platformy Azure.Monitoring solutions and features such as Application Insights and Azure Monitor for containers provide deep insights into different aspects of your application and specific Azure services.

Rozwiązania do monitorowania w Azure Monitor są spakowanymi zestawami logiki, które zapewniają wgląd w konkretną aplikację lub usługę.Monitoring solutions in Azure Monitor are packaged sets of logic that provide insights for a particular application or service. Obejmują one logikę zbierania danych monitorowania dla aplikacji lub usługi, zapytania do analizy tych danych i widoki do wizualizacji.They include logic for collecting monitoring data for the application or service, queries to analyze that data, and views for visualization. Rozwiązania do monitorowania są dostępne od firmy Microsoft i partnerów w celu zapewnienia monitorowania różnych usług platformy Azure i innych aplikacji.Monitoring solutions are available from Microsoft and partners to provide monitoring for various Azure services and other applications.

Wszystkie zebrane bogate dane są ważne do podjęcia aktywnej akcji na zdarzeniach w danym środowisku, w których ręczne zapytania same nie wystarczą.With all of this rich data collected, it's important to take proactive action on events happening in your environment where manual queries alone won't suffice. Alerty w usłudze Azure Monitor aktywnie powiadamiać użytkownika o warunkach krytycznych i potencjalnie podejmować działania naprawcze.Alerts in Azure Monitor proactively notify you of critical conditions and potentially attempt to take corrective action. Reguły alertów w oparciu o metryki zapewniają generowanie alertów niemal w czasie rzeczywistym na podstawie wartości liczbowych, natomiast reguły oparte na dziennikach umożliwiają użycie złożonej logiki w danych z wielu źródeł.Alert rules based on metrics provide near real-time alerting based on numeric values, while rules based on logs allow for complex logic across data from multiple sources. Reguły alertów w Azure Monitor używają grup akcji, które zawierają unikatowe zestawy odbiorców i akcje, które mogą być współużytkowane przez wiele reguł.Alert rules in Azure Monitor use action groups, which contain unique sets of recipients and actions that can be shared across multiple rules. W zależności od wymagań grupy akcji mogą wykonywać takie działania jak korzystanie z elementów webhook, które powodują uruchamianie alertów zewnętrznych lub integrację z narzędziami narzędzia ITSM.Based on your requirements, action groups can perform such actions as using webhooks that cause alerts to start external actions or to integrate with your ITSM tools.

Azure Monitor również umożliwia tworzenie niestandardowych pulpitów nawigacyjnych.Azure Monitor also allows the creation of custom dashboards. Pulpity nawigacyjne platformy Azure umożliwiają łączenie różnych rodzajów danych, w tym metryk i dzienników, w jednym okienku w Azure Portal.Azure dashboards allow you to combine different kinds of data, including both metrics and logs, into a single pane in the Azure portal. Opcjonalnie możesz udostępnić pulpit nawigacyjny innym użytkownikom platformy Azure.You can optionally share the dashboard with other Azure users. Elementy w Azure Monitor można dodać do pulpitu nawigacyjnego platformy Azure oprócz danych wyjściowych zapytania dziennika lub wykresu metryk.Elements throughout Azure Monitor can be added to an Azure dashboard in addition to the output of any log query or metrics chart. Można na przykład utworzyć pulpit nawigacyjny, który łączy kafelki przedstawiające wykres metryk, tabelę dzienników aktywności, wykres użycia Application Insights i dane wyjściowe zapytania dziennika.For example, you could create a dashboard that combines tiles that show a graph of metrics, a table of activity logs, a usage chart from Application Insights, and the output of a log query.

Na koniec Azure Monitor dane są źródłem natywnym Power BI.Finally, Azure Monitor data is a native source for Power BI. Power BI to usługa analizy biznesowej, która zapewnia interaktywne wizualizacje w różnych źródłach danych i jest skutecznym sposobem udostępniania danych innym osobom w organizacji i poza nią.Power BI is a business analytics service that provides interactive visualizations across a variety of data sources and is an effective means of making data available to others within and outside your organization. Power BI można skonfigurować do automatycznego importowania danych dziennika z Azure Monitor, aby skorzystać z tych dodatkowych wizualizacji.You can configure Power BI to automatically import log data from Azure Monitor to take advantage of these additional visualizations.

Usługa azure Network Watcher udostępnia narzędzia do monitorowania, diagnozowania i wyświetlania metryk oraz włączania i wyłączania dzienników dla zasobów w sieci wirtualnej na platformie Azure.Azure Network Watcher provides tools to monitor, diagnose, and view metrics and enable or disable logs for resources in a virtual network in Azure. Jest to usługa wieloaspektowe, która umożliwia korzystanie z następujących funkcji i nie tylko:It's a multifaceted service that allows the following functionalities and more:

  • Monitoruj komunikację między maszyną wirtualną a punktem końcowym.Monitor communication between a virtual machine and an endpoint.
  • Wyświetl zasoby w sieci wirtualnej i ich relacje.View resources in a virtual network and their relationships.
  • Diagnozuj problemy z filtrowaniem ruchu sieciowego do lub z maszyny wirtualnej.Diagnose network traffic filtering problems to or from a VM.
  • Diagnozuj problemy z routingiem sieciowym z maszyny wirtualnej.Diagnose network routing problems from a VM.
  • Diagnozuj połączenia wychodzące z maszyny wirtualnej.Diagnose outbound connections from a VM.
  • Przechwyć pakiety do i z maszyny wirtualnej.Capture packets to and from a VM.
  • Diagnozuj problemy z bramą sieci wirtualnej i połączeniami.Diagnose problems with an virtual network gateway and connections.
  • Określanie względnych opóźnień między regionami platformy Azure i dostawcami usług internetowych.Determine relative latencies between Azure regions and internet service providers.
  • Wyświetlanie reguł zabezpieczeń dla interfejsu sieciowego.View security rules for a network interface.
  • Wyświetl metryki sieci.View network metrics.
  • Analizuj ruch do lub z sieciowej grupy zabezpieczeń.Analyze traffic to or from a network security group.
  • Wyświetlanie dzienników diagnostycznych dla zasobów sieciowych.View diagnostic logs for network resources.

Typ składnika: obciążeniaComponent type: Workloads

Składniki obciążenia to miejsce, w którym znajdują się rzeczywiste aplikacje i usługi.Workload components are where your actual applications and services reside. Jest to miejsce, w którym zespoły deweloperów aplikacji spędzają najwięcej czasu.It's where your application development teams spend most of their time.

Możliwości obciążeń są nieograniczone.The workload possibilities are endless. Poniżej przedstawiono zaledwie kilka możliwych typów obciążeń:The following are just a few of the possible workload types:

Aplikacje wewnętrzne: Aplikacje biznesowe mają kluczowe znaczenie dla operacji w przedsiębiorstwie.Internal applications: Line-of-business applications are critical to enterprise operations. Te aplikacje mają kilka typowych cech:These applications have some common characteristics:

  • Interaktywny: Wprowadzono dane i są zwracane wyniki lub raporty.Interactive: Data is entered, and results or reports are returned.
  • Oparte na danych: Intensywna dostęp do baz danych lub innych magazynów.Data-driven: Data intensive with frequent access to databases or other storage.
  • Zintegrowane: Oferuj integrację z innymi systemami w organizacji lub poza nią.Integrated: Offer integration with other systems within or outside the organization.

Witryny sieci Web dostępne dla klientów (dostępne w Internecie lub wewnętrznie): Większość aplikacji internetowych to witryny sieci Web.Customer-facing web sites (internet-facing or internally facing): Most internet applications are web sites. Na platformie Azure można uruchomić witrynę sieci Web za pośrednictwem maszyny wirtualnej IaaS lub witryny Azure Web Apps site (PaaS).Azure can run a web site via either an IaaS virtual machine or an Azure Web Apps site (PaaS). Usługa Azure Web Apps integruje się z sieciami wirtualnymi w celu wdrażania aplikacji sieci Web w strefie sieci szprych.Azure Web Apps integrates with virtual networks to deploy web apps in a spoke network zone. Udostępnione wewnętrznie witryny sieci Web nie muszą ujawniać publicznego internetowego punktu końcowego, ponieważ zasoby są dostępne za pośrednictwem prywatnych adresów IP, które nie są trasowane z prywatnej sieci wirtualnej.Internally facing web sites don't need to expose a public internet endpoint because the resources are accessible via private non-internet routable addresses from the private virtual network.

Analiza danych Big Data: Gdy dane wymagają skalowania do dużych woluminów, relacyjne bazy danych mogą nie działać prawidłowo w przypadku skrajnego obciążenia lub bez struktury danych.Big data analytics: When data needs to scale up to larger volumes, relational databases may not perform well under the extreme load or unstructured nature of the data. Azure HDInsight to zarządzana usługa analizy typu open source w chmurze dla przedsiębiorstw.Azure HDInsight is a managed, full-spectrum, open-source analytics service in the cloud for enterprises. Można używać platform typu open source, takich jak Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm i R. Usługa HDInsight obsługuje wdrażanie w sieci wirtualnej opartej na lokalizacji, można wdrożyć w klastrze w szprychie wirtualnego centrum danych.You can use open-source frameworks such as Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm, and R. HDInsight supports deploying into a location-based virtual network, can be deployed to a cluster in a spoke of the virtual datacenter.

Zdarzenia i obsługa komunikatów: platforma Azure Event Hubs to usługa pozyskiwania danych Big Data i usług pozyskiwania zdarzeń.Events and Messaging: Azure Event Hubs is a big data streaming platform and event ingestion service. Może odbierać i przetwarzać miliony zdarzeń na sekundę.It can receive and process millions of events per second. Zapewnia ona małe opóźnienia i możliwość konfigurowania czasu przechowywania, dzięki czemu można pozyskiwanie ogromnych ilości danych na platformie Azure i odczytywać je z wielu aplikacji.It provides low latency and configurable time retention, enabling you to ingest massive amounts of data into Azure and read it from multiple applications. Pojedynczy strumień może obsługiwać zarówno potoki w czasie rzeczywistym, jak i oparte na partiach.A single stream can support both real-time and batch-based pipelines.

Możesz zaimplementować wysoce niezawodną usługę do obsługi komunikatów w chmurze między aplikacjami i usługami za pomocą Azure Service Bus.You can implement a highly reliable cloud messaging service between applications and services through Azure Service Bus. Oferuje asynchroniczne komunikaty obsługiwane przez brokera między klientem i serwerem, strukturalną funkcją pierwszej pierwszej wyewidencjonowywania (FIFO) i publikowaniem i subskrybowaniem funkcji.It offers asynchronous brokered messaging between client and server, structured first-in-first-out (FIFO) messaging, and publishes and subscribe capabilities.

1010

Te przykłady stanowią jedynie ułameką powierzchnię typów obciążeń, które można utworzyć na platformie Azure — — wszystko to od podstawowej aplikacji sieci Web i programu SQL Server do najnowszej wersji, danych Big Data, uczenia maszynowego, systemu AI i tak dużo więcej.These examples barely scratch the surface of the types of workloads you can create in Azure—everything from a basic Web and SQL app to the latest in IoT, big data, machine learning, AI, and so much more.

Wysoka dostępność: wiele wirtualnych centrów danychHighly availability: multiple virtual datacenters

Do tej pory ten artykuł koncentruje się na projektowaniu jednego VDC, opisującym podstawowe składniki i architektury, które przyczyniają się do odporności.So far, this article has focused on the design of a single VDC, describing the basic components and architectures that contribute to resiliency. Funkcje platformy Azure, takie jak Azure load module, urządzeń WUS, strefy dostępności, zestawy dostępności, zestawy skalowania i inne funkcje, które ułatwiają uwzględnienie stałych poziomów umów SLA w usługach produkcyjnych.Azure features such as Azure load balancer, NVAs, availability zones, availability sets, scale sets, and other capabilities that help you include solid SLA levels into your production services.

Jednak ze względu na to, że wirtualne centrum danych jest zwykle zaimplementowane w jednym regionie, może być narażony na awarie, które mają wpływ na cały region.However, because a virtual datacenter is typically implemented within a single region, it might be vulnerable to outages that affect the entire region. Klienci wymagający wysokiej dostępności muszą chronić usługi za pomocą wdrożeń tego samego projektu w co najmniej dwóch implementacjach VDC wdrożonych w różnych regionach.Customers that require high availability must protect the services through deployments of the same project in two or more VDC implementations deployed to different regions.

Oprócz zagadnień związanych z umową SLA kilka typowych scenariuszy korzysta z wielu wirtualnych centrów danych:In addition to SLA concerns, several common scenarios benefit from running multiple virtual datacenters:

  • Regionalne lub globalne obecność użytkowników końcowych lub partnerów.Regional or global presence of your end users or partners.
  • Wymagania dotyczące odzyskiwania po awarii.Disaster recovery requirements.
  • Mechanizm do przekierowywania ruchu między centrami danych w celu załadowania lub wydajności.A mechanism to divert traffic between datacenters for load or performance.

Obecność regionalna/globalnaRegional/global presence

Centra danych platformy Azure istnieją w wielu regionach na całym świecie.Azure datacenters exist in many regions worldwide. Podczas wybierania wielu centrów danych platformy Azure należy wziąć pod uwagę dwa czynniki pokrewne: odległości geograficzne i opóźnienie.When selecting multiple Azure datacenters, consider two related factors: geographical distances and latency. Aby zoptymalizować środowisko użytkownika, należy oszacować odległość między poszczególnymi centrami wirtualnymi, a także odległość od każdego wirtualnego centrum danych do użytkowników końcowych.To optimize user experience, evaluate the distance between each virtual datacenter as well as the distance from each virtual datacenter to the end users.

Region świadczenia usługi Azure, który hostuje wirtualne centrum danych, musi być zgodny z wymaganiami prawnymi obowiązującymi w danej organizacji.An Azure region that hosts your virtual datacenter must conform with regulatory requirements of any legal jurisdiction under which your organization operates.

Odzyskiwanie po awariiDisaster recovery

Projekt planu odzyskiwania po awarii zależy od typów obciążeń i możliwości synchronizacji stanu tych obciążeń między różnymi implementacjami VDC.The design of a disaster recovery plan depends on the types of workloads and the ability to synchronize state of those workloads between different VDC implementations. W idealnym przypadku większość klientów potrzebuje szybkiego mechanizmu pracy awaryjnej i wymaga synchronizacji danych aplikacji między wdrożeniami działającymi w wielu implementacjach VDC.Ideally, most customers desire a fast fail-over mechanism, and this requirement may need application data synchronization between deployments running in multiple VDC implementations. Jednak podczas projektowania planów odzyskiwania po awarii należy wziąć pod uwagę, że większość aplikacji jest wrażliwa na opóźnienia, które może być spowodowane tą synchronizacją danych.However, when designing disaster recovery plans, it's important to consider that most applications are sensitive to the latency that can be caused by this data synchronization.

Synchronizacja i monitorowanie pulsu aplikacji w różnych implementacjach VDC wymaga ich komunikacji za pośrednictwem sieci.Synchronization and heartbeat monitoring of applications in different VDC implementations requires them to communicate over the network. Wiele implementacji VDC w różnych regionach można połączyć za poorednictwem:Multiple VDC implementations in different regions can be connected through:

  • Komunikacja między centrami jest wbudowana w wirtualne centra sieci WAN platformy Azure między regionami w tej samej wirtualnej sieci WAN.Hub-to-hub communication built into Azure Virtual WAN hubs across regions in the same Virtual WAN.
  • Komunikacja równorzędna sieci wirtualnych w celu połączenia centrów w różnych regionach.Virtual network peering to connect hubs across regions.
  • Prywatna Komunikacja równorzędna ExpressRoute, gdy centra w każdej implementacji VDC są połączone z tym samym obwodem ExpressRoute.ExpressRoute private peering, when the hubs in each VDC implementation are connected to the same ExpressRoute circuit.
  • Wiele obwodów usługi ExpressRoute połączonych za pośrednictwem sieci szkieletowej firmy oraz wiele implementacji VDC podłączonych do obwodów usługi ExpressRoute.Multiple ExpressRoute circuits connected via your corporate backbone, and your multiple VDC implementations connected to the ExpressRoute circuits.
  • Połączenia sieci VPN typu lokacja-lokacja między strefą centrum implementacji VDC w każdym regionie świadczenia usługi Azure.Site-to-site VPN connections between the hub zone of your VDC implementations in each Azure region.

Zwykle wirtualne centra sieci WAN, wirtualne sieci równorzędne lub połączenia ExpressRoute są preferowane dla połączeń sieciowych ze względu na wyższą przepustowość i spójne poziomy opóźnienia podczas przekazywania przez sieć szkieletową firmy Microsoft.Typically, Virtual WAN hubs, virtual network peering, or ExpressRoute connections are preferred for network connectivity, due to the higher bandwidth and consistent latency levels when passing through the Microsoft backbone.

Uruchom testy kwalifikacji sieci, aby sprawdzić opóźnienia i przepustowość tych połączeń i zdecydować, czy synchroniczna lub asynchroniczna replikacja danych jest odpowiednia w oparciu o wynik.Run network qualification tests to verify the latency and bandwidth of these connections, and decide whether synchronous or asynchronous data replication is appropriate based on the result. Ważne jest również, aby zważyć te wyniki w widoku optymalnego celu czasu odzyskiwania (RTO).It's also important to weigh these results in view of the optimal recovery time objective (RTO).

Odzyskiwanie po awarii: przekierowywanie ruchu z jednego regionu do innegoDisaster recovery: diverting traffic from one region to another

Zarówno usługa azure Traffic Manager , jak i drzwi platformy Azure okresowo sprawdzają kondycję usługi punktów końcowych nasłuchiwania w różnych implementacjach VDC i, jeśli te punkty końcowe zakończą się niepowodzeniem, są automatycznie kierowane do następnego najbliższej VDCBoth Azure Traffic Manager and Azure Front Door periodically check the service health of listening endpoints in different VDC implementations and, if those endpoints fail, route automatically to the next closest VDC. Traffic Manager używa pomiarów użytkownika w czasie rzeczywistym i systemu DNS, aby kierować użytkowników do najbliższego (lub następnego najbliższego wystąpienia błędu).Traffic Manager uses real-time user measurements and DNS to route users to the closest (or next closest during failure). Drzwi frontonu platformy Azure to zwrotny serwer proxy o ponad 100 lokacjach brzegowych firmy Microsoft, przy użyciu emisji pojedynczej do kierowania użytkowników do najbliższego punktu końcowego nasłuchiwania.Azure Front Door is a reverse proxy at over 100 Microsoft backbone edge sites, using anycast to route users to the closest listening endpoint.

PodsumowanieSummary

Wirtualne podejście do migracji do centrum danych tworzy skalowalną architekturę, która optymalizuje użycie zasobów platformy Azure, obniża koszty i upraszcza zarządzanie systemem.A virtual datacenter approach to datacenter migration creates a scalable architecture that optimizes Azure resource use, lowers costs, and simplifies system governance. Wirtualne centrum danych jest typowe w oparciu o topologie sieci Hub i szprych (za pomocą wirtualnych sieci równorzędnych lub wirtualnych koncentratorów WAN).The virtual datacenter is typical based on hub and spoke network topologies (using either virtual network peering or Virtual WAN hubs). Wspólne usługi udostępnione udostępniane w centrum, a określone aplikacje i obciążenia są wdrażane w szprychach.Common shared services provided in the hub, and specific applications and workloads are deployed in the spokes. Wirtualne centrum danych jest również zgodne ze strukturą ról firmy, w której różne działy, takie jak centralne IT, DevOps i Operations and Maintenance, działają razem podczas wykonywania ich określonych ról.The virtual datacenter also matches the structure of company roles, where different departments such as Central IT, DevOps, and Operations and Maintenance all work together while performing their specific roles. Wirtualne centrum danych obsługuje Migrowanie istniejących obciążeń lokalnych na platformę Azure, ale również zapewnia wiele korzyści dla wdrożeń natywnych w chmurze.The virtual datacenter supports migrating existing on-premises workloads to Azure, but also provides many advantages to cloud-native deployments.

DokumentacjaReferences

Dowiedz się więcej na temat możliwości platformy Azure omówionych w tym dokumencie.Learn more about the Azure capabilities discussed in this document.

Następne krokiNext steps

  • Dowiedz się więcej o komunikacji równorzędnej sieci wirtualnych, podstawowej technologii topologii gwiazdy i szprych.Learn more about virtual network peering, the core technology of hub and spoke topologies.
  • Zaimplementuj Azure Active Directory , aby korzystać z kontroli dostępu opartej na rolach na platformie Azure.Implement Azure Active Directory to use Azure role-based access control.
  • Utwórz model zarządzania subskrypcjami i zasobami przy użyciu kontroli dostępu opartej na rolach na platformie Azure, która pasuje do struktury, wymagań i zasad organizacji.Develop a subscription and resource management model using Azure role-based access control that fits the structure, requirements, and policies of your organization. Planowanie najważniejszych działań.The most important activity is planning. Analizuj, w jaki sposób reorganizacja, fuzje, nowe linie produktów i inne zagadnienia wpłyną na początkowe modele, aby zapewnić możliwość skalowania w celu spełnienia przyszłych potrzeb i wzrostu.Analyze how reorganizations, mergers, new product lines, and other considerations will affect your initial models to ensure you can scale to meet future needs and growth.