Nätverkstopologi och anslutning

  • Artikel

Nätverkstopologin och anslutningsdesignområdet är viktiga för att upprätta en grund för din molnnätverksdesign.

Designområdesgranskning

Berörda roller eller funktioner: Det här designområdet kräver förmodligen stöd från en eller flera molnplattforms - och molncenter med utmärkthetsfunktioner för att fatta och implementera beslut.

Omfattning: Målet med nätverksdesign är att anpassa din molnnätverksdesign till övergripande molnimplementeringsplaner. Om dina molnimplementeringsplaner inkluderar hybrid- eller flermolnsberoenden, eller om du behöver anslutning av andra skäl, bör din nätverksdesign även innehålla dessa anslutningsalternativ och förväntade trafikmönster.

Utanför omfånget: Det här designområdet skapar grunden för nätverk. Den hanterar inte efterlevnadsrelaterade problem som avancerad nätverkssäkerhet eller automatiska skyddsmekanismer för efterlevnad. Den vägledningen kommer när du granskar designområdena för säkerhets- och styrningsefterlevnad. Genom att skjuta upp diskussioner om säkerhet och styrning kan molnplattformsteamet hantera de inledande nätverkskraven innan de utökar sin målgrupp för mer komplexa ämnen.

Översikt över designområde

Nätverkstopologi och anslutning är grundläggande för organisationer som planerar sin design av landningszoner. Nätverk är centralt för nästan allt i en landningszon. Det möjliggör anslutning till andra Azure-tjänster, externa användare och lokal infrastruktur. Nätverkstopologi och anslutning finns i miljögruppen för designområden för Azure-landningszoner. Den här grupperingen baseras på deras betydelse i grundläggande design- och implementeringsbeslut.

Diagram över nätverksområden i ALZ-hierarkin för befruktningshanteringsgrupper.

I den konceptuella Azure-landningszonarkitekturen finns det två huvudsakliga hanteringsgrupper som är värdar för arbetsbelastningar: Corp och Online. Dessa hanteringsgrupper har olika syften när det gäller att organisera och styra Azure-prenumerationer. Nätverksrelationen mellan de olika hanteringsgrupperna för Azure-landningszoner beror på organisationens specifika krav och nätverksarkitektur. I de följande avsnitten beskrivs nätverksrelationen mellan Corp, Online och anslutningshanteringsgrupperna i förhållande till vad Acceleratorn för Azure-landningszoner tillhandahåller.

Vad är syftet med anslutnings-, corp- och onlinehanteringsgrupper?

  • Anslutningshanteringsgrupp: Den här hanteringsgruppen innehåller dedikerade prenumerationer för anslutning, vanligtvis en enda prenumeration för de flesta organisationer. Dessa prenumerationer är värdar för de Azure-nätverksresurser som krävs för plattformen, till exempel Azure Virtual WAN, Virtual Network Gateways, Azure Firewall och privata Azure DNS-zoner. Det är också där hybridanslutningar upprättas mellan molnet och lokala miljöer, med hjälp av tjänster som ExpressRoute osv.
  • Företagshanteringsgrupp: Den dedikerade hanteringsgruppen för företagets landningszoner. Den här gruppen är avsedd att innehålla prenumerationer som är värdar för arbetsbelastningar som kräver traditionell IP-routningsanslutning eller hybridanslutning med företagsnätverket via hubben i anslutningsprenumerationen och därför ingår i samma routningsdomän. Arbetsbelastningar som interna system exponeras inte direkt för Internet, men kan exponeras via omvända proxyservrar osv., till exempel Application Gateways.
  • Onlinehanteringsgrupp: Den dedikerade hanteringsgruppen för onlinelandningszoner. Den här gruppen är avsedd att innehålla prenumerationer som används för offentliga resurser, till exempel webbplatser, e-handelsprogram och kundriktade tjänster. Organisationer kan till exempel använda onlinehanteringsgruppen för att isolera offentliga resurser från resten av Azure-miljön, minska attackytan och se till att offentliga resurser är säkra och tillgängliga för kunder.

Varför skapade vi Corp- och Online-hanteringsgrupper för att separera arbetsbelastningar?

Skillnaden i nätverksöverväganden mellan Corp- och Online-hanteringsgrupperna i den konceptuella Azure-landningszonarkitekturen ligger i deras avsedda användning och primära syfte.

Corp-hanteringsgruppen används för att hantera och skydda interna resurser och tjänster, till exempel verksamhetsspecifika program, databaser och användarhantering. Nätverksövervägandena för corp-hanteringsgruppen fokuserar på att tillhandahålla säker och effektiv anslutning mellan interna resurser, samtidigt som strikta säkerhetsprinciper tillämpas för att skydda mot obehörig åtkomst.

Onlinehanteringsgruppen i den konceptuella Azure-landningszonarkitekturen kan betraktas som en isolerad miljö som används för att hantera offentliga resurser och tjänster som är tillgängliga från Internet. Med hjälp av onlinehanteringsgruppen för att hantera offentliga resurser ger Azure-landningszonsarkitekturen ett sätt att isolera dessa resurser från interna resurser, vilket minskar risken för obehörig åtkomst och minimerar attackytan.

I den konceptuella Azure-landningszonarkitekturen kan det virtuella nätverket i onlinehanteringsgruppen eventuellt peerkopplas med virtuella nätverk i corp-hanteringsgruppen, antingen direkt eller indirekt via hubben och associerade routningskrav via en Azure Firewall eller NVA, vilket gör att offentliga resurser kan kommunicera med interna resurser på ett säkert och kontrollerat sätt. Den här topologin säkerställer att nätverkstrafiken mellan offentliga resurser och interna resurser är säker och begränsad, samtidigt som resurserna kan kommunicera efter behov.

Tips

Det är också viktigt att förstå och granska de Azure-principer som har tilldelats och ärvts för var och en av hanteringsgrupperna som en del av Azure-landningszonen. När dessa hjälper till att forma, skyddar och styr du de arbetsbelastningar som distribueras i de prenumerationer som finns i dessa hanteringsgrupper. Principtilldelningarna för Azure-landningszoner finns här.