Topologia e conectividade de rede

  • Artigo

A topologia de rede e a área de design de conectividade são fundamentais para estabelecer uma base para a conceção da rede na cloud.

Revisão da área de estrutura

Funções ou funções envolvidas: Esta área de design provavelmente requer suporte de uma ou mais funções de plataforma na cloud e centro de excelência da cloud para tomar e implementar decisões.

Âmbito: O objetivo da conceção de rede é alinhar a estrutura da rede na cloud com os planos gerais de adoção da cloud. Se os seus planos de adoção da cloud incluírem dependências híbridas ou multicloud, ou se precisar de conectividade por outros motivos, a estrutura da rede também deve incorporar essas opções de conectividade e padrões de tráfego esperados.

Fora do âmbito: Esta área de design estabelece a base para redes. Não resolve problemas relacionados com a conformidade, como segurança de rede avançada ou proteções de imposição automatizadas. Essa documentação de orientação surge quando revê as áreas de design de conformidade de segurança e governação . Adiar as discussões de segurança e governação permite que a equipa da plataforma cloud resolva os requisitos iniciais de rede antes de expandir a audiência para tópicos mais complexos.

Descrição geral da área de design

A topologia de rede e a conectividade são fundamentais para as organizações que estão a planear a conceção da zona de destino. A rede é central para quase tudo dentro de uma zona de destino. Permite a conectividade a outros serviços do Azure, utilizadores externos e infraestrutura no local. A topologia de rede e a conectividade estão no grupo ambiental das áreas de design da zona de destino do Azure. Este agrupamento baseia-se na sua importância nas decisões fundamentais de conceção e implementação.

Diagrama de áreas de rede da Hierarquia do Grupo de Gestão conceicional ALZ.

Na arquitetura conceptual da zona de destino do Azure, existem dois grupos de gestão principais que alojam cargas de trabalho: Corp e Online. Estes grupos de gestão servem objetivos distintos na organização e governação de subscrições do Azure. A relação de rede entre os vários grupos de gestão de zonas de destino do Azure depende dos requisitos específicos da organização e da arquitetura de rede. As secções seguintes abordam a relação de rede entre Corp, Online e os grupos de gestão de conectividade em relação ao que o acelerador de zonas de destino do Azure fornece.

Qual é o objetivo dos Grupos de Gestão de Conectividade, Corp e Online?

  • Grupo de gestão de conectividade: este grupo de gestão contém subscrições dedicadas para conectividade, normalmente uma subscrição única para a maioria das organizações. Estas subscrições alojam os recursos de rede do Azure necessários para a plataforma, como o Azure WAN Virtual, gateways de Rede Virtual, Azure Firewall e zonas privadas do DNS do Azure. É também onde a conectividade híbrida é estabelecida entre a cloud e os ambientes no local, utilizando serviços como o ExpressRoute, etc.
  • Grupo de gestão corp: o grupo de gestão dedicado para zonas de destino empresariais. Este grupo destina-se a conter subscrições que alojam cargas de trabalho que requerem conectividade de encaminhamento IP tradicional ou conectividade híbrida com a rede empresarial através do hub na subscrição de conectividade e, por conseguinte, fazem parte do mesmo domínio de encaminhamento. As cargas de trabalho, como os sistemas internos, não são expostas diretamente à Internet, mas podem ser expostas através de proxies inversos, etc., como Gateways de Aplicação.
  • Grupo de gestão online: o grupo de gestão dedicado para zonas de destino online. Este grupo destina-se a conter subscrições utilizadas para recursos destinados ao público, tais como sites, aplicações de comércio eletrónico e serviços destinados ao cliente. Por exemplo, as organizações podem utilizar o grupo de gestão Online para isolar recursos destinados ao público do resto do ambiente do Azure, reduzindo a superfície de ataque e garantindo que os recursos destinados ao público estão seguros e disponíveis para os clientes.

Por que razão criámos grupos de gestão Corp e Online para separar cargas de trabalho?

A diferença nas considerações de rede entre os grupos de gestão Corp e Online na arquitetura conceptual da zona de destino do Azure reside na utilização pretendida e no objetivo principal.

O grupo de gestão Corp é utilizado para gerir e proteger recursos e serviços internos, tais como aplicações de linha de negócio, bases de dados e gestão de utilizadores. As considerações de rede para o grupo de gestão corp estão focadas em fornecer conectividade segura e eficiente entre recursos internos, ao mesmo tempo que impõem políticas de segurança rigorosas para proteger contra o acesso não autorizado.

O grupo de gestão Online na arquitetura conceptual da zona de destino do Azure pode ser considerado como um ambiente isolado utilizado para gerir recursos e serviços destinados ao público acessíveis a partir da Internet. Ao utilizar o grupo de gestão Online para gerir recursos destinados ao público, a arquitetura da zona de destino do Azure fornece uma forma de isolar esses recursos de recursos internos, reduzindo assim o risco de acesso não autorizado e minimizando a superfície de ataque.

Na arquitetura conceptual da zona de destino do Azure, a rede virtual no grupo de gestão Online pode ser, opcionalmente, peering com redes virtuais no grupo de gestão Corp, direta ou indiretamente através do hub e dos requisitos de encaminhamento associados através de uma Azure Firewall ou NVA, permitindo que os recursos destinados ao público comuniquem com recursos internos de forma segura e controlada. Esta topologia garante que o tráfego de rede entre recursos destinados ao público e recursos internos é seguro e restrito, ao mesmo tempo que permite que os recursos comuniquem conforme necessário.

Dica

Também é importante compreender e rever as Políticas do Azure atribuídas e herdadas em cada um dos Grupos de Gestão como parte da zona de destino do Azure. À medida que estes ajudam a formatar, proteja e governe as cargas de trabalho implementadas nas subscrições que estão nestes Grupos de Gestão. As atribuições de políticas para zonas de destino do Azure podem ser encontradas aqui.