Virtuellt Data Center: ett nätverks perspektivThe virtual datacenter: A network perspective

Program som migreras från lokala enheter drar nytta av Azures säkra kostnads effektiv infrastruktur, även om minimala program ändringar.Applications migrated from on-premises will benefit from Azure's secure cost-efficient infrastructure, even with minimal application changes. Dessutom bör företag anpassa sina arkitekturer för att förbättra flexibiliteten och dra nytta av Azures funktioner.Even so, enterprises should adapt their architectures to improve agility and take advantage of Azure's capabilities.

Microsoft Azure erbjuder storskaliga tjänster och infrastruktur med funktioner och tillförlitlighet i företags klass.Microsoft Azure delivers hyperscale services and infrastructure with enterprise-grade capabilities and reliability. Dessa tjänster och infrastruktur erbjuder många val i hybrid anslutning så att kunderna kan välja att få åtkomst till dem via Internet eller en privat nätverks anslutning.These services and infrastructure offer many choices in hybrid connectivity, so customers can choose to access them over the internet or a private network connection. Microsoft-partner kan också tillhandahålla förbättrade funktioner genom att erbjuda säkerhets tjänster och virtuella enheter som är optimerade för att köras i Azure.Microsoft partners can also provide enhanced capabilities by offering security services and virtual appliances that are optimized to run in Azure.

Kunder kan använda Azure för att sömlöst utöka sin infrastruktur till molnet och bygga på flera nivå arkitekturer.Customers can use Azure to seamlessly extend their infrastructure into the cloud and build multitier architectures.

Vad är ett virtuellt Data Center?What is a virtual datacenter?

Molnet började som en plattform för att vara värd för offentliga program.The cloud began as a platform for hosting public-facing applications. Företag känner igen molnets värde och började migrera interna affärs program.Enterprises recognized the value of the cloud and began migrating internal line-of-business applications. Dessa program medförde ytterligare säkerhet, tillförlitlighet, prestanda och kostnads överväganden som kräver ytterligare flexibilitet vid leverans av moln tjänster.These applications brought additional security, reliability, performance, and cost considerations that required additional flexibility when delivering cloud services. Nya infrastruktur-och nätverks tjänster har utformats för att ge den här flexibiliteten och nya funktioner som tillhandahålls för elastisk skalning, haveri beredskap och andra överväganden.New infrastructure and networking services were designed to provide this flexibility, and new features provided for elastic scale, disaster recovery, and other considerations.

Moln lösningar har ursprungligen utformats för att vara värdar för enkla, relativt isolerade program i det offentliga spektrumet.Cloud solutions were initially designed to host single, relatively isolated applications in the public spectrum. Den här metoden fungerade bra under några få år.This approach worked well for a few years. Eftersom fördelarna med moln lösningar blev klara, var flera storskaliga arbets belastningar baserade på molnet.As the benefits of cloud solutions became clear, multiple large-scale workloads were hosted on the cloud. Adressering av säkerhet, tillförlitlighet, prestanda och kostnader för distributioner i en eller flera regioner blev avgörande under hela livs cykeln för moln tjänsten.Addressing security, reliability, performance, and cost concerns of deployments in one or more regions became vital throughout the lifecycle of the cloud service.

I diagrammet exempel moln distribution nedan visar den röda rutan en säkerhets lucka.In the example cloud deployment diagram below, the red box highlights a security gap. Den gula rutan visar en möjlighet att optimera virtuella nätverks enheter över arbets belastningar.The yellow box shows an opportunity to optimize network virtual appliances across workloads.

00

Virtuella Data Center hjälper till att uppnå den skalning som krävs för företags arbets belastningar.Virtual datacenters help achieve the scale required for enterprise workloads. Den här skalan måste hantera utmaningarna som introducerades när du kör storskaliga program i det offentliga molnet.This scale must address the challenges introduced when running large-scale applications in the public cloud.

En virtuell Data Center (VDC)-implementering innehåller mer än program arbets belastningarna i molnet.A virtual datacenter (VDC) implementation includes more than the application workloads in the cloud. Den innehåller också nätverk, säkerhet, hantering och annan infrastruktur, till exempel DNS och Active Directory tjänster.It also provides the network, security, management, and other infrastructure such as DNS and Active Directory services. När företag migrerar ytterligare arbets belastningar till Azure bör du tänka på den infrastruktur och de objekt som har stöd för dessa arbets belastningar.As enterprises migrate additional workloads to Azure, consider the infrastructure and objects that support these workloads. Genom att strukturera resurserna noggrant kan du undvika spridning av hundratals separat hanterade "arbets belastnings öar" med oberoende data flöden, säkerhets modeller och utmaningar med efterlevnad.Carefully structuring your resources helps avoid proliferation of hundreds of separately managed "workload islands" with independent data flows, security models, and compliance challenges.

Det virtuella Data Center-konceptet ger rekommendationer och avancerade design funktioner för att implementera en samling separata men relaterade entiteter.The virtual datacenter concept provides recommendations and high-level designs for implementing a collection of separate but related entities. Dessa entiteter har ofta vanliga stöd för funktioner, funktioner och infrastruktur.These entities often have common supporting functions, features, and infrastructure. Genom att visa dina arbets belastningar som ett virtuellt Data Center kan du dra nytta av minskad kostnad från stor skala, optimerad säkerhet via komponent-och data flöde centralisering, samt enklare granskningar, hantering och efterlevnad.Viewing your workloads as a virtual datacenter helps realize reduced cost from economies of scale, optimized security via component and data flow centralization, and easier operations, management, and compliance audits.

Anteckning

Ett virtuellt Data Center är inte en enskild Azure-tjänst.A virtual datacenter is not a specific Azure service. I stället kombineras olika Azure-funktioner och-funktioner för att uppfylla dina krav.Rather, various Azure features and capabilities are combined to meet your requirements. Ett virtuellt Data Center är ett sätt att tänka på dina arbets belastningar och Azure-användning för att optimera dina resurser och funktioner i molnet.A virtual datacenter is a way of thinking about your workloads and Azure usage to optimize your resources and capabilities in the cloud. Det ger en modulär metod för att tillhandahålla IT-tjänster i Azure samtidigt som företagets organisatoriska roller och ansvars områden respekteras.It provides a modular approach to providing IT services in Azure while respecting the enterprise's organizational roles and responsibilities.

Ett virtuellt Data Center hjälper företag att distribuera arbets belastningar och program i Azure i följande scenarier:A virtual datacenter helps enterprises deploy workloads and applications in Azure for the following scenarios:

  • Var värd för flera relaterade arbets belastningar.Host multiple related workloads.
  • Migrera arbets belastningar från en lokal miljö till Azure.Migrate workloads from an on-premises environment to Azure.
  • Implementera delade eller centraliserade säkerhets-och åtkomst krav i arbets belastningar.Implement shared or centralized security and access requirements across workloads.
  • Blanda DevOps och centralisera den för ett stort företag.Mix DevOps and centralized IT appropriately for a large enterprise.

Vem ska implementera ett virtuellt Data Center?Who should implement a virtual datacenter?

Alla kunder som har beslutat att använda Azure kan dra nytta av effektiviteten i att konfigurera en uppsättning resurser för vanlig användning av alla program.Any customer that has decided to adopt Azure can benefit from the efficiency of configuring a set of resources for common use by all applications. Beroende på storleken kan även enskilda program dra nytta av de mönster och komponenter som används för att bygga en VDC-implementering.Depending on the size, even single applications can benefit from using the patterns and components used to build a VDC implementation.

Vissa organisationer har centraliserade team eller avdelningar för IT, nätverk, säkerhet eller efterlevnad.Some organizations have centralized teams or departments for IT, networking, security, or compliance. Implementering av en VDC kan hjälpa till att upprätthålla princip punkter, separata ansvars områden och se till att de underliggande komponenterna är konsekventa.Implementing a VDC can help enforce policy points, separate responsibilities, and ensure the consistency of the underlying common components. Program team kan behålla den frihet och kontroll som passar deras krav.Application teams can retain the freedom and control that is suitable for their requirements.

Organisationer med en DevOps metod kan också använda VDC-koncept för att tillhandahålla auktoriserade fickor för Azure-resurser.Organizations with a DevOps approach can also use VDC concepts to provide authorized pockets of Azure resources. Den här metoden kan se till att DevOps-grupperna har total kontroll i grupperingen, antingen på prenumerations nivå eller i resurs grupper i en gemensam prenumeration.This method can ensure the DevOps groups have total control within that grouping, at either the subscription level or within resource groups in a common subscription. Samtidigt förblir nätverks-och säkerhets gränserna kompatibla som definieras av en centraliserad princip i hubb nätverket och centralt hanterade resurs grupper.At the same time, the network and security boundaries stay compliant as defined by a centralized policy in the hub network and centrally managed resource group.

Överväganden för att implementera ett virtuellt Data CenterConsiderations for implementing a virtual datacenter

När du designar ett virtuellt Data Center bör du tänka på följande pivoterade problem:When designing a virtual datacenter, consider these pivotal issues:

Identitets-och katalog tjänstIdentity and directory service

Identitets-och katalog tjänster är viktiga funktioner i både lokala och molnbaserade Data Center.Identity and directory services are key capabilities of both on-premises and cloud datacenters. Identiteten omfattar alla aspekter av åtkomst och auktorisering av tjänster inom en VDC-implementering.Identity covers all aspects of access and authorization to services within a VDC implementation. För att säkerställa att endast auktoriserade användare och processer får åtkomst till dina Azure-resurser använder Azure flera typer av autentiseringsuppgifter för autentisering, inklusive konto lösen ord, kryptografiska nycklar, digitala signaturer och certifikat.To ensure that only authorized users and processes access your Azure resources, Azure uses several types of credentials for authentication, including account passwords, cryptographic keys, digital signatures, and certificates. Azure Multi-Factor Authentication ger ett extra säkerhets lager för åtkomst till Azure-tjänster med stark autentisering med en rad enkla verifierings alternativ (telefonsamtal, textmeddelande eller meddelande för mobilapp) som gör att kunderna kan välja den metod de föredrar.Azure Multi-Factor Authentication provides an additional layer of security for accessing Azure services using strong authentication with a range of easy verification options (phone call, text message, or mobile app notification) that allow customers to choose the method they prefer.

Alla stora företag behöver definiera en identitets hanterings process som beskriver hanteringen av enskilda identiteter, autentisering, auktorisering, roller och behörigheter inom eller över deras VDC.Any large enterprise needs to define an identity management process that describes the management of individual identities, their authentication, authorization, roles, and privileges within or across their VDC. Målen för den här processen bör vara att öka säkerheten och produktiviteten samtidigt som du minskar kostnaderna, stillestånds tiden och repetitiva manuella uppgifter.The goals of this process should be to increase security and productivity while reducing cost, downtime, and repetitive manual tasks.

Företags organisationer kan kräva en krävande blandning av tjänster för olika affärs linjer och anställda har ofta olika roller när de är involverade i olika projekt.Enterprise organizations may require a demanding mix of services for different lines of business, and employees often have different roles when involved with different projects. VDC kräver ett utmärkt samarbete mellan olika team, var och en med olika roll definitioner, för att få system som kör med en bättre styrning.The VDC requires good cooperation between different teams, each with specific role definitions, to get systems running with good governance. Matrisen med ansvar, åtkomst och rättigheter kan vara komplex.The matrix of responsibilities, access, and rights can be complex. Identitets hantering i VDC implementeras via Azure Active Directory (Azure AD) och rollbaserad åtkomst kontroll i Azure (Azure RBAC).Identity management in the VDC is implemented through Azure Active Directory (Azure AD) and Azure role-based access control (Azure RBAC).

En katalog tjänst är en infrastruktur för delad information som söker, hanterar, administrerar och ordnar de dagliga objekten och nätverks resurserna.A directory service is a shared information infrastructure that locates, manages, administers, and organizes everyday items and network resources. Dessa resurser kan omfatta volymer, mappar, filer, skrivare, användare, grupper, enheter och andra objekt.These resources can include volumes, folders, files, printers, users, groups, devices, and other objects. Varje resurs i nätverket betraktas som ett objekt av katalog servern.Each resource on the network is considered an object by the directory server. Information om en resurs lagras som en samling attribut som är associerade med resursen eller objektet.Information about a resource is stored as a collection of attributes associated with that resource or object.

Alla Microsoft Online Business Services förlitar sig på Azure Active Directory (Azure AD) för inloggning och andra identitets behov.All Microsoft online business services rely on Azure Active Directory (Azure AD) for sign-on and other identity needs. Azure Active Directory är en omfattande moln lösning för identitets-och åtkomst hantering med hög tillgänglighet som kombinerar kärn katalog tjänster, avancerad identitets styrning och program åtkomst hantering.Azure Active Directory is a comprehensive, highly available identity and access management cloud solution that combines core directory services, advanced identity governance, and application access management. Azure AD kan integreras med lokala Active Directory för att möjliggöra enkel inloggning för alla molnbaserade och lokalt värdbaserade program.Azure AD can integrate with on-premises Active Directory to enable single sign-on for all cloud-based and locally hosted on-premises applications. Användarattribut för lokala Active Directory kan synkroniseras automatiskt till Azure AD.The user attributes of on-premises Active Directory can be automatically synchronized to Azure AD.

En enda global administratör krävs inte för att tilldela alla behörigheter i en VDC-implementering.A single global administrator isn't required to assign all permissions in a VDC implementation. I stället kan varje enskild avdelning, grupp av användare eller tjänster i katalog tjänsten ha de behörigheter som krävs för att hantera sina egna resurser inom en VDC-implementering.Instead, each specific department, group of users, or services in the Directory Service can have the permissions required to manage their own resources within a VDC implementation. Strukturerings behörighet kräver balansering.Structuring permissions requires balancing. För många behörigheter kan hindra prestanda effektiviteten och för få eller lösa behörigheter kan öka säkerhets riskerna.Too many permissions can impede performance efficiency, and too few or loose permissions can increase security risks. Rollbaserad åtkomst kontroll i Azure (Azure RBAC) hjälper till att lösa det här problemet genom att erbjuda detaljerad åtkomst hantering för resurser i en VDC-implementering.Azure role-based access control (Azure RBAC) helps to address this problem, by offering fine-grained access management for resources in a VDC implementation.

Säkerhets infrastrukturSecurity infrastructure

Säkerhets infrastrukturen syftar på en uppdelning av trafiken i en VDC-implementerings angivna virtuella nätverks segment.Security infrastructure refers to the segregation of traffic in a VDC implementation's specific virtual network segment. Den här infrastrukturen anger hur ingress och utgående ska kontrol leras i en VDC-implementering.This infrastructure specifies how ingress and egress are controlled in a VDC implementation. Azure baseras på en arkitektur för flera innehavare som förhindrar obehörig och oavsiktlig trafik mellan distributioner med hjälp av virtuell nätverks isolering, åtkomst kontrol listor, belastningsutjämnare, IP-filter och principer för trafikflöde.Azure is based on a multitenant architecture that prevents unauthorized and unintentional traffic between deployments by using virtual network isolation, access control lists, load balancers, IP filters, and traffic flow policies. NAT (Network Address Translation) separerar intern nätverks trafik från extern trafik.Network address translation (NAT) separates internal network traffic from external traffic.

Azure-infrastrukturen allokerar infrastruktur resurser till klient arbets belastningar och hanterar kommunikation till och från virtuella datorer (VM).The Azure fabric allocates infrastructure resources to tenant workloads and manages communications to and from virtual machines (VMs). Azure-hypervisorn använder minnes-och process separationer mellan virtuella datorer och dirigerar nätverks trafik på ett säkert sätt till gäst operativ systemets klienter.The Azure hypervisor enforces memory and process separation between VMs and securely routes network traffic to guest OS tenants.

Anslutning till molnetConnectivity to the cloud

Ett virtuellt Data Center kräver anslutning till externa nätverk för att erbjuda tjänster till kunder, partner eller interna användare.A virtual datacenter requires connectivity to external networks to offer services to customers, partners, or internal users. Detta behov av anslutning avser inte bara Internet, utan även för lokala nätverk och data Center.This need for connectivity refers not only to the Internet, but also to on-premises networks and datacenters.

Kunderna styr vilka tjänster som har åtkomst till och kan nås från det offentliga Internet.Customers control which services can access and be accessed from the public internet. Den här åtkomsten styrs med hjälp av Azure-brandväggen eller andra typer av Virtual Network-installationer (NVA), anpassade principer för routning med hjälp av användardefinierade vägaroch nätverks filtrering med hjälp av nätverks säkerhets grupper.This access is controlled by using Azure Firewall or other types of virtual network appliances (NVAs), custom routing policies by using user-defined routes, and network filtering by using network security groups. Vi rekommenderar att alla resurser som är riktade mot Internet också skyddas av Azure DDoS Protection standard.We recommend that all internet-facing resources also be protected by the Azure DDoS Protection Standard.

Företag kan behöva ansluta sina virtuella Data Center till lokala data Center eller andra resurser.Enterprises may need to connect their virtual datacenter to on-premises datacenters or other resources. Den här anslutningen mellan Azure och lokala nätverk är en viktig aspekt när du utformar en effektiv arkitektur.This connectivity between Azure and on-premises networks is a crucial aspect when designing an effective architecture. Företag har två olika sätt att skapa denna sammanlänkning: överföring via Internet eller via privata direkta anslutningar.Enterprises have two different ways to create this interconnection: transit over the Internet or via private direct connections.

En Azure plats-till-plats-VPN ansluter lokala nätverk till ditt virtuella Data Center i Azure.An Azure Site-to-Site VPN connects on-premises networks to your virtual datacenter in Azure. Länken upprättas via säkra krypterade anslutningar (IPsec-tunnlar).The link is established through secure encrypted connections (IPsec tunnels). Azure plats-till-plats VPN-anslutningar är flexibla, snabbt att skapa och kräver vanligt vis ingen ytterligare maskin varu upphandling.Azure Site-to-Site VPN connections are flexible, quick to create, and typically don't require any additional hardware procurement. Baserat på bransch standard protokoll kan de flesta aktuella nätverks enheter skapa VPN-anslutningar till Azure via Internet eller befintliga anslutnings vägar.Based on industry standard protocols, most current network devices can create VPN connections to Azure over the internet or existing connectivity paths.

ExpressRoute aktiverar privata anslutningar mellan ditt virtuella Data Center och alla lokala nätverk.ExpressRoute enables private connections between your virtual datacenter and any on-premises networks. ExpressRoute-anslutningar går inte via det offentliga Internet och ger högre säkerhet, tillförlitlighet och högre hastigheter (upp till 100 Gbit/s) tillsammans med konsekvent svars tid.ExpressRoute connections don't go over the public Internet, and offer higher security, reliability, and higher speeds (up to 100 Gbps) along with consistent latency. ExpressRoute tillhandahåller fördelarna med regler för efterlevnad som är associerade med privata anslutningar.ExpressRoute provides the benefits of compliance rules associated with private connections. Med ExpressRoute Directkan du ansluta direkt till Microsoft-routrar på antingen 10 Gbit/s eller 100 Gbit/s.With ExpressRoute Direct, you can connect directly to Microsoft routers at either 10 Gbps or 100 Gbps.

Att distribuera ExpressRoute-anslutningar innebär vanligt vis att man engagerar sig hos en ExpressRoute-tjänst (ExpressRoute Direct är undantaget).Deploying ExpressRoute connections usually involves engaging with an ExpressRoute service provider (ExpressRoute Direct being the exception). För kunder som behöver starta snabbt, är det vanligt att först använda plats-till-plats-VPN för att upprätta anslutningar mellan ett virtuellt Data Center och lokala resurser.For customers that need to start quickly, it's common to initially use Site-to-Site VPN to establish connectivity between a virtual datacenter and on-premises resources. När din fysiska sammanlänkning med din tjänst leverantör är slutförd migrerar du anslutningen via din ExpressRoute-anslutning.Once your physical interconnection with your service provider is complete, then migrate connectivity over your ExpressRoute connection.

För stora mängder VPN-eller ExpressRoute-anslutningar är Azure Virtual WAN en nätverks tjänst som tillhandahåller optimerad och automatiserad anslutning från gren till gren via Azure.For large numbers of VPN or ExpressRoute connections, Azure Virtual WAN is a networking service that provides optimized and automated branch-to-branch connectivity through Azure. Med det virtuella WAN-nätverket kan du ansluta till och konfigurera avdelnings enheter för att kommunicera med Azure.Virtual WAN lets you connect to and configure branch devices to communicate with Azure. Anslutning och konfiguration kan göras antingen manuellt eller genom att använda prioriterade leverantörs enheter via en virtuell WAN-partner.Connecting and configuring can be done either manually or by using preferred provider devices through a Virtual WAN partner. Med prioriterade Provider-enheter kan du enkelt använda, förenkla anslutning och konfigurations hantering.Using preferred provider devices allows ease of use, simplification of connectivity, and configuration management. Den inbyggda Azure WAN-instrumentpanelen ger snabb fel söknings information som kan hjälpa dig att spara tid och ger dig ett enkelt sätt att visa en storskalig plats-till-plats-anslutning.The Azure WAN built-in dashboard provides instant troubleshooting insights that can help save you time, and gives you an easy way to view large-scale site-to-site connectivity. Virtuella WAN-nätverk tillhandahåller även säkerhets tjänster med en valfri Azure-brandvägg och brand Väggs hanterare i den virtuella WAN-hubben.Virtual WAN also provides security services with an optional Azure Firewall and Firewall Manager in your Virtual WAN hub.

Anslutning i molnetConnectivity within the cloud

Virtuella Azure-nätverk och peering för virtuella nätverk är de grundläggande nätverks komponenterna i ett virtuellt Data Center.Azure Virtual Networks and virtual network peering are the basic networking components in a virtual datacenter. Ett virtuellt nätverk garanterar en isolerings gränser för virtuella Data Center resurser.A virtual network guarantees an isolation boundary for virtual datacenter resources. Peering möjliggör kommunikation mellan olika virtuella nätverk inom samma Azure-region, mellan regioner och till och med mellan nätverk i olika prenumerationer.Peering allows intercommunication between different virtual networks within the same Azure region, across regions, and even between networks in different subscriptions. Både i och mellan virtuella nätverk kan trafikflöden styras av uppsättningar säkerhets regler som anges för nätverks säkerhets grupper, brand Väggs principer(Azure brand vägg eller nätverks-virtuella apparater) och anpassade användardefinierade vägar.Both inside and between virtual networks, traffic flows can be controlled by sets of security rules specified for network security groups, firewall policies (Azure Firewall or network virtual appliances), and custom user-defined routes.

Virtuella nätverk är också fäst punkter för att integrera PaaS (Platform as a Service) Azure-produkter som Azure Storage, Azure SQLoch andra integrerade offentliga tjänster som har offentliga slut punkter.Virtual networks are also anchor points for integrating platform as a service (PaaS) Azure products like Azure Storage, Azure SQL, and other integrated public services that have public endpoints. Med tjänst slut punkter och privat Azure-länkkan du integrera dina offentliga tjänster med ditt privata nätverk.With service endpoints and Azure Private Link, you can integrate your public services with your private network. Du kan till och med ta dina offentliga tjänster privata, men du får fortfarande nytta av fördelarna med Azure-hanterade PaaS-tjänster.You can even take your public services private, but still enjoy the benefits of Azure-managed PaaS services.

Översikt över Virtual Data CenterVirtual datacenter overview

TopologierTopologies

Ett virtuellt Data Center kan skapas med hjälp av en av dessa topologier på hög nivå, baserat på dina behov och skalnings krav:A virtual datacenter can be built using one of these high-level topologies, based on your needs and scale requirements:

I en plan med en plan distribueras alla resurser i ett enda virtuellt nätverk.In a Flat topology, all resources are deployed in a single virtual network. Undernät tillåter flödes kontroll och åtskillnad.Subnets allow for flow control and segregation.

1111

I en nättopologi ansluter det virtuella nätverkets peering samman alla virtuella nätverk direkt till varandra.In a Mesh topology, virtual network peering connects all virtual networks directly to each other.

1212

En peering Hub och eker-topologi passar bra för distribuerade program och team med delegerade ansvars områden.A Peering hub and spoke topology is well suited for distributed applications and teams with delegated responsibilities.

1313

En virtuell WAN-topologi i Azure kan stödja storskaliga scenarier för lokala kontor och globala WAN-tjänster.An Azure Virtual WAN topology can support large-scale branch office scenarios and global WAN services.

1414

Peering Hub och eker-topologin och den virtuella Azure-topologin använder båda en nav och eker-design, som är optimal för kommunikation, delade resurser och centraliserad säkerhets policy.The peering hub and spoke topology and the Azure Virtual WAN topology both use a hub and spoke design, which is optimal for communication, shared resources, and centralized security policy. Hubbar skapas med antingen ett virtuellt nätverk med peering-hubb (märkt som Hub Virtual Network i diagrammet) eller en virtuell WAN-hubb (märkt som Azure Virtual WAN i diagrammet).Hubs are built using either a virtual network peering hub (labeled as Hub Virtual Network in the diagram) or a Virtual WAN hub (labeled as Azure Virtual WAN in the diagram). Azure Virtual WAN har utformats för storskalig kommunikation mellan olika grenar och gren-till-Azure-kommunikation, eller för att undvika att utveckla alla komponenter individuellt i ett virtuellt nätverk med peering-hubb.Azure Virtual WAN is designed for large-scale branch-to-branch and branch-to-Azure communications, or for avoiding the complexities of building all the components individually in a virtual networking peering hub. I vissa fall kan dina krav göra en virtuell nätverk-peering Hub-design, till exempel behovet av virtuella nätverks enheter i hubben.In some cases, your requirements might mandate a virtual network peering hub design, such as the need for network virtual appliances in the hub.

I båda topologierna Hub och eker är hubben den centrala nätverks zon som styr och kontrollerar all trafik mellan olika zoner: Internet, lokalt och ekrar.In both of the hub and spoke topologies, the hub is the central network zone that controls and inspects all traffic between different zones: internet, on-premises, and the spokes. NAV-och eker-topologin hjälper IT-avdelningen att centralt tillämpa säkerhets principer.The hub and spoke topology helps the IT department centrally enforce security policies. Det minskar också risken för felaktig konfiguration och exponering.It also reduces the potential for misconfiguration and exposure.

Hubben innehåller ofta de gemensamma tjänst komponenter som används av ekrarna.The hub often contains the common service components consumed by the spokes. Följande exempel är gemensamma centrala tjänster:The following examples are common central services:

  • Windows Active Directory-infrastrukturen, som krävs för användarautentisering av tredje part som kommer åt från ej betrodda nätverk innan de får åtkomst till arbets belastningarna i ekern.The Windows Active Directory infrastructure, required for user authentication of third parties that access from untrusted networks before they get access to the workloads in the spoke. Det inkluderar relaterade Active Directory Federation Services (AD FS).It includes the related Active Directory Federation Services (AD FS).
  • En DNS-tjänst (Distributed Name System) för att matcha namn på arbets belastningen i ekrarna, för att komma åt resurser lokalt och på Internet om Azure DNS inte används.A Distributed Name System (DNS) service to resolve naming for the workload in the spokes, to access resources on-premises and on the internet if Azure DNS isn't used.
  • En PKI (Public Key Infrastructure) för att implementera enkel inloggning på arbetsbelastningar.A public key infrastructure (PKI), to implement single sign-on on workloads.
  • Flödeskontroll av TCP- och UDP-trafik mellan ekrarnas nätverkszoner och Internet.Flow control of TCP and UDP traffic between the spoke network zones and the internet.
  • Flödeskontroll mellan ekrar och lokalt.Flow control between the spokes and on-premises.
  • Vid behov, flödeskontroll mellan två ekrar.If needed, flow control between one spoke and another.

Ett virtuellt Data Center minskar totalkostnaden med hjälp av infrastrukturen för delad hubb mellan flera ekrar.A virtual datacenter reduces overall cost by using the shared hub infrastructure between multiple spokes.

Rollen för varje eker kan vara värd för olika typer av arbetsbelastningar.The role of each spoke can be to host different types of workloads. Ekrarna ger också en modulär metod för upprepningsbara distributioner av samma arbetsbelastningar.The spokes also provide a modular approach for repeatable deployments of the same workloads. Exempel på detta är utveckling/testning, testning av användar godkännande, för produktion och produktion.Examples include dev/test, user acceptance testing, preproduction, and production. Ekrarna kan också särskilja och aktivera olika grupper i din organisation.The spokes can also segregate and enable different groups within your organization. Ett exempel är DevOps-grupper.An example is DevOps groups. I en eker är det möjligt att distribuera en grundläggande arbetsbelastning eller komplexa arbetsbelastningar på flera nivåer med trafikkontroll mellan nivåerna.Inside a spoke, it's possible to deploy a basic workload or complex multitier workloads with traffic control between the tiers.

Prenumerationsbegränsningar och flera hubbarSubscription limits and multiple hubs

Viktigt

En strategi för flera hubbar kan behövas utifrån storleken på dina Azure-distributioner.Based on the size of your Azure deployments, a multiple hub strategy may be needed. När du designar din hubb och eker-strategi kan du be att "kan den här design skalan använda ett annat hubb virtuellt nätverk i den här regionen?", kan du också, "kunna hantera flera regioner?"When designing your hub and spoke strategy, ask "can this design scale to use another hub virtual network in this region?", also, "can this design scale to accommodate multiple regions?" Det är mycket bättre att planera för en design som kan skalas och inte behöver den, än att kunna planera och använda den.It's far better to plan for a design that scales and not need it, than to fail to plan and need it.

Vid skalning till en sekundär (eller flera) hubb är beroende av myriaden faktorer, vanligt vis baserat på inbyggda gränser i skala.When to scale to a secondary (or more) hub will depend on myriad factors, usually based on inherent limits on scale. Se till att granska prenumerationen, det virtuella nätverket och den virtuella datorns gränser när du utformar för skalning.Be sure to review the subscription, virtual network, and virtual machine limits when designing for scale.

I Azure distribueras alla komponenter, oavsett typ, i en Azure-prenumeration.In Azure, every component, whatever the type, is deployed in an Azure subscription. Isolering av Azure-komponenter i olika Azure-prenumerationer kan uppfylla kraven på olika affärslinjer, till exempel att ställa in differentierade nivåer av åtkomst och auktorisering.The isolation of Azure components in different Azure subscriptions can satisfy the requirements of different lines of business, such as setting up differentiated levels of access and authorization.

En enda VDC-implementering kan skala upp till ett stort antal ekrar, även om det finns plattforms gränser, precis som med varje IT-system.A single VDC implementation can scale up to large number of spokes, although, as with every IT system, there are platform limits. Hubb distributionen är kopplad till en Azure-prenumeration som har begränsningar och begränsningar (till exempel ett maximalt antal virtuella nätverks-peering.The hub deployment is bound to a specific Azure subscription, which has restrictions and limits (for example, a maximum number of virtual network peerings. Mer information finns i Azure-prenumeration och tjänst begränsningar, kvoter och begränsningar.For details, see Azure subscription and service limits, quotas, and constraints). I fall där gränser kan vara ett problem kan arkitekturen skalas upp ytterligare genom att modellen utökas från en enda hubb till ett kluster med hubb och ekrar.In cases where limits may be an issue, the architecture can scale up further by extending the model from a single hub-spokes to a cluster of hub and spokes. Flera hubbar i en eller flera Azure-regioner kan anslutas med hjälp av det virtuella nätverkets peering, ExpressRoute, virtuellt WAN eller plats-till-plats-VPN.Multiple hubs in one or more Azure regions can be connected using virtual network peering, ExpressRoute, Virtual WAN, or site-to-site VPN.

22

Introduktionen av flera hubbar ökar systemets kostnads-och hanterings ansträngning.The introduction of multiple hubs increases the cost and management effort of the system. Det är bara motiverat på grund av skalbarhet, system gränser, redundans, regional replikering för slut användar prestanda eller haveri beredskap.It is only justified due to scalability, system limits, redundancy, regional replication for end-user performance, or disaster recovery. I scenarier som kräver flera hubbar bör alla hubbar sträva efter att erbjuda samma uppsättning tjänster för drifts skull.In scenarios requiring multiple hubs, all the hubs should strive to offer the same set of services for operational ease.

Samtrafik mellan ekrarInterconnection between spokes

I en enskild eker, eller en platt nätverks design, är det möjligt att implementera komplexa arbets belastningar på flera nivåer.Inside a single spoke, or a flat network design, it's possible to implement complex multitier workloads. Konfigurationer med flera nivåer kan implementeras med undernät, en för varje nivå eller program, i samma virtuella nätverk.Multitier configurations can be implemented using subnets, one for every tier or application, in the same virtual network. Trafik kontroll och filtrering görs med hjälp av nätverks säkerhets grupper och användardefinierade vägar.Traffic control and filtering are done using network security groups and user-defined routes.

En arkitekt kan vilja distribuera en arbetsbelastning på flera nivåer i flera virtuella nätverk.An architect might want to deploy a multitier workload across multiple virtual networks. Med peering av virtuella nätverk kan ekrar ansluta till andra ekrar i samma hubb eller olika hubbar.With virtual network peering, spokes can connect to other spokes in the same hub or different hubs. Ett typiskt exempel på det här scenariot är fallet där program bearbetnings servrar finns i en eker eller ett virtuellt nätverk.A typical example of this scenario is the case where application processing servers are in one spoke, or virtual network. Databasen distribueras i ett annat eker-eller virtuellt nätverk.The database deploys in a different spoke, or virtual network. I det här fallet är det enkelt att koppla ekrarna med peering för virtuella nätverk och genom att göra det, Undvik att överföra genom hubben.In this case, it's easy to interconnect the spokes with virtual network peering and, by doing that, avoid transiting through the hub. En noggrann arkitektur och säkerhets granskning bör göras för att se till att kringgå navet inte kringgår viktiga säkerhets-och gransknings punkter som bara finns i hubben.A careful architecture and security review should be done to ensure that bypassing the hub doesn't bypass important security or auditing points that might exist only in the hub.

33

Ekrar kan också vara sammankopplade till en eker som fungerar som hubb.Spokes can also be interconnected to a spoke that acts as a hub. Den här metoden skapar en hierarki på två nivåer: ekern på den högre nivån (nivå 0) blir hubb för nedre ekrar (nivå 1) i hierarkin.This approach creates a two-level hierarchy: the spoke in the higher level (level 0) becomes the hub of lower spokes (level 1) of the hierarchy. Ekrarna för en VDC-implementering krävs för att vidarebefordra trafiken till den centrala hubben så att trafiken kan överföras till målet i antingen det lokala nätverket eller det offentliga Internet.The spokes of a VDC implementation are required to forward the traffic to the central hub so that the traffic can transit to its destination in either the on-premises network or the public internet. En arkitektur med två nivåer av hubbar introducerar komplex routning som tar bort fördelarna med en enkel hubb-eker-relation.An architecture with two levels of hubs introduces complex routing that removes the benefits of a simple hub-spoke relationship.

Även om Azure tillåter komplexa topologier är en av grund principerna för VDC-konceptet repeterbarhet och enkelhet.Although Azure allows complex topologies, one of the core principles of the VDC concept is repeatability and simplicity. För att minimera hanterings ansträngningen är den enkla nav-eker-designen den VDC-referens arkitektur som vi rekommenderar.To minimize management effort, the simple hub-spoke design is the VDC reference architecture that we recommend.

KomponenterComponents

Det virtuella data centret består av fyra grundläggande komponent typer: infrastruktur, perimeternätverk, arbets belastningar och övervakning.The virtual datacenter is made up of four basic component types: Infrastructure, Perimeter Networks, Workloads, and Monitoring.

Varje komponent typ består av olika Azure-funktioner och Azure-resurser.Each component type consists of various Azure features and resources. Din VDC-implementering består av instanser av flera typer av komponenter och flera varianter av samma komponent typ.Your VDC implementation is made up of instances of multiple components types and multiple variations of the same component type. Du kan till exempel ha många olika, logiskt åtskilda arbets belastnings instanser som representerar olika program.For instance, you may have many different, logically separated workload instances that represent different applications. Du kan använda dessa olika komponent typer och instanser för att slutligen bygga VDC.You use these different component types and instances to ultimately build the VDC.

44

Den föregående övergripande konceptuella arkitekturen i VDC visar olika komponent typer som används i olika zoner i topologin hubb-ekrar.The preceding high-level conceptual architecture of the VDC shows different component types used in different zones of the hub-spokes topology. Diagrammet visar infrastruktur komponenter i olika delar av arkitekturen.The diagram shows infrastructure components in various parts of the architecture.

Som bra praxis i allmänhet bör åtkomst rättigheter och behörigheter vara gruppbaserade.As good practice in general, access rights and privileges should be group-based. Att hantera grupper i stället för enskilda användare fören klar underhållet av åtkomst principer genom att tillhandahålla ett konsekvent sätt att hantera dem i olika grupper och hjälper till att minimera konfigurations fel.Dealing with groups rather than individual users eases maintenance of access policies, by providing a consistent way to manage it across teams, and aids in minimizing configuration errors. Genom att tilldela och ta bort användare till och från lämpliga grupper kan du se till att en speciell användare är uppdaterad.Assigning and removing users to and from appropriate groups helps keeping the privileges of a specific user up to date.

Varje roll grupp måste ha ett unikt prefix i sina namn.Each role group should have a unique prefix on their names. Det här prefixet gör det enkelt att identifiera vilken grupp som är associerad med vilken arbets belastning.This prefix makes it easy to identify which group is associated with which workload. Till exempel kan en arbets belastning som är värd för en autentiseringstjänst ha grupper med namnet AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps och AuthServiceInfraOps.For example, a workload hosting an authentication service might have groups named AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps, and AuthServiceInfraOps. Centraliserade roller eller roller som inte är relaterade till en speciell tjänst kan föregås av Corp. Ett exempel är CorpNetOps.Centralized roles, or roles not related to a specific service, might be prefaced with Corp. An example is CorpNetOps.

Många organisationer använder en variant av följande grupper för att ge en större uppdelning av roller:Many organizations use a variation of the following groups to provide a major breakdown of roles:

  • Det centrala IT-teamet som heter Corp har ägande rätt att kontrol lera infrastruktur komponenter.The central IT team named Corp has the ownership rights to control infrastructure components. Exempel är nätverk och säkerhet.Examples are networking and security. Gruppen måste ha rollen deltagare i prenumerationen, kontrollen av hubben och nätverks deltagar rättigheter i ekrarna.The group needs to have the role of contributor on the subscription, control of the hub, and network contributor rights in the spokes. Stora organisationer delar ofta upp dessa hanterings ansvars områden mellan flera team.Large organizations frequently split up these management responsibilities between multiple teams. Exempel är en nätverks åtgärd CorpNetOps -grupp med exklusiv fokus på nätverk och en säkerhets åtgärd CorpSecOps grupp som ansvarar för brand Väggs-och säkerhets principer.Examples are a network operations CorpNetOps group with exclusive focus on networking and a security operations CorpSecOps group responsible for the firewall and security policy. I det här fallet måste två olika grupper skapas för tilldelning av dessa anpassade roller.In this specific case, two different groups need to be created for assignment of these custom roles.
  • Utvecklings-/test gruppen med namnet AppDevOps har ansvaret för att distribuera appar eller tjänste arbets belastningar.The dev/test group named AppDevOps has the responsibility to deploy app or service workloads. Den här gruppen använder rollen som virtuell dator deltagare för IaaS-distributioner eller en eller flera PaaS-deltagares roller.This group takes the role of virtual machine contributor for IaaS deployments or one or more PaaS contributor's roles. Mer information finns i Inbyggda roller i Azure.For more information, see Azure built-in roles. Utvecklings-och test teamet kan dessutom behöva insyn i säkerhets principer (nätverks säkerhets grupper) och routningsprinciperna (användardefinierade vägar) inuti hubben eller en viss eker.Optionally, the dev/test team might need visibility on security policies (network security groups) and routing policies (user-defined routes) inside the hub or a specific spoke. Förutom rollen som deltagare för arbets belastningar behöver den här gruppen även rollen som nätverks läsare.In addition to the role of contributor for workloads, this group would also need the role of network reader.
  • Drift-och underhålls gruppen med namnet CorpInfraOps eller AppInfraOps har ansvaret för att hantera arbets belastningar i produktionen.The operation and maintenance group called CorpInfraOps or AppInfraOps has the responsibility of managing workloads in production. Den här gruppen måste vara en prenumerations deltagare för arbets belastningar i alla produktions prenumerationer.This group needs to be a subscription contributor on workloads in any production subscriptions. Vissa organisationer kan också utvärdera om de behöver en ytterligare grupp för eskalering av support med rollen prenumerations deltagare i produktion och den centrala Hub-prenumerationen.Some organizations might also evaluate if they need an additional escalation support team group with the role of subscription contributor in production and the central hub subscription. Den ytterligare gruppen åtgärdar potentiella konfigurations problem i produktions miljön.The additional group fixes potential configuration issues in the production environment.

VDC är utformad så att grupper som skapats för det centrala IT-teamet, hanterar hubben, har motsvarande grupper på arbets belastnings nivå.The VDC is designed so that groups created for the central IT team, managing the hub, have corresponding groups at the workload level. Förutom att hantera nav resurser kan det centrala IT-teamet kontrol lera åtkomsten till och toppnivå för prenumerationen.In addition to managing hub resources only, the central IT team can control external access and top-level permissions on the subscription. Arbets belastnings grupper kan också styra resurser och behörigheter för sina virtuella nätverk oberoende av det centrala IT-teamet.Workload groups can also control resources and permissions of their virtual network independently from the central IT team.

Det virtuella data centret är partitionerat för att på ett säkert sätt vara värd för flera projekt på olika verksamhets rader.The virtual datacenter is partitioned to securely host multiple projects across different lines of business. Alla projekt kräver olika isolerade miljöer (utveckling, UAT och produktion).All projects require different isolated environments (dev, UAT, and production). Separata Azure-prenumerationer för var och en av dessa miljöer kan tillhandahålla naturlig isolering.Separate Azure subscriptions for each of these environments can provide natural isolation.

55

Föregående diagram visar förhållandet mellan en organisations projekt, användare och grupper och de miljöer där Azure-komponenterna distribueras.The preceding diagram shows the relationship between an organization's projects, users, and groups and the environments where the Azure components are deployed.

Normalt är en miljö (eller-nivå) ett system där flera program distribueras och körs.Typically in IT, an environment (or tier) is a system in which multiple applications are deployed and executed. Stora företag använder en utvecklings miljö (där ändringar görs och testas) och en produktions miljö (vad slutanvändarna använder).Large enterprises use a development environment (where changes are made and tested) and a production environment (what end-users use). Dessa miljöer är åtskilda, ofta med flera mellanlagrings miljöer mellan dem för att tillåta stegvis distribution (distribution), testning och återställning om det uppstår problem.Those environments are separated, often with several staging environments in between them to allow phased deployment (rollout), testing, and rollback if problems arise. Distributions arkitekturer varierar kraftigt, men vanligt vis är den grundläggande processen för utveckling (utveckling) och slut vid produktion (PROD) fortfarande.Deployment architectures vary significantly, but usually the basic process of starting at development (DEV) and ending at production (PROD) is still followed.

En gemensam arkitektur för dessa typer av miljöer med flera nivåer består av DevOps för utveckling och testning, UAT för mellanlagring och produktions miljöer.A common architecture for these types of multitier environments consists of DevOps for development and testing, UAT for staging, and production environments. Organisationer kan använda en eller flera Azure AD-klienter för att definiera åtkomst och rättigheter till dessa miljöer.Organizations can use single or multiple Azure AD tenants to define access and rights to these environments. Föregående diagram visar ett fall där två olika Azure AD-klienter används: ett för DevOps och UAT, och det andra uteslutande för produktion.The previous diagram shows a case where two different Azure AD tenants are used: one for DevOps and UAT, and the other exclusively for production.

Förekomsten av olika Azure AD-klienter använder separationen mellan miljöer.The presence of different Azure AD tenants enforces the separation between environments. Samma grupp med användare, t. ex. det centrala IT-teamet, måste autentiseras med hjälp av en annan URI för att få åtkomst till en annan Azure AD-klient för att ändra roller eller behörigheter för antingen DevOps-eller produktions miljöer i ett projekt.The same group of users, such as the central IT team, need to authenticate by using a different URI to access a different Azure AD tenant to modify the roles or permissions of either the DevOps or production environments of a project. Förekomsten av olika användarautentisering för att få åtkomst till olika miljöer minskar eventuella avbrott och andra problem som orsakas av mänskliga fel.The presence of different user authentications to access different environments reduces possible outages and other issues caused by human errors.

Komponent typ: infrastrukturComponent type: Infrastructure

Den här komponent typen är där det mesta av den stödda infrastrukturen finns.This component type is where most of the supporting infrastructure resides. Det är också här som dina centraliserade IT-, säkerhets-och Compliance-team tillbringar det mesta av sin tid.It's also where your centralized IT, security, and compliance teams spend most of their time.

66

Infrastruktur komponenter ger en samman koppling för de olika komponenterna i en VDC-implementering och finns i både hubben och ekrarna.Infrastructure components provide an interconnection for the different components of a VDC implementation, and are present in both the hub and the spokes. Ansvaret för att hantera och underhålla infrastruktur komponenter tilldelas vanligt vis till centrala IT-teamet eller säkerhets teamet.The responsibility for managing and maintaining the infrastructure components is typically assigned to the central IT team or security team.

En av de viktigaste uppgifterna i IT-infrastrukturens team är att garantera konsekvensen av IP-adressens scheman i hela företaget.One of the primary tasks of the IT infrastructure team is to guarantee the consistency of IP address schemas across the enterprise. Det privata IP-adressutrymmet som tilldelas en VDC-implementering måste vara konsekvent och inte överlappa med privata IP-adresser som tilldelats till dina lokala nätverk.The private IP address space assigned to a VDC implementation must be consistent and NOT overlapping with private IP addresses assigned on your on-premises networks.

NAT på lokala Edge-routrar eller i Azure-miljöer kan undvika konflikter i IP-adresser, men det lägger till komplikationer i infrastruktur komponenterna.While NAT on the on-premises edge routers or in Azure environments can avoid IP address conflicts, it adds complications to your infrastructure components. Enkel hantering är en av de viktigaste målen i VDC, så med hjälp av NAT för att hantera IP-problem, medan en giltig lösning inte är en rekommenderad lösning.Simplicity of management is one of the key goals of the VDC, so using NAT to handle IP concerns, while a valid solution, is not a recommended solution.

Infrastruktur komponenter har följande funktioner:Infrastructure components have the following functionality:

  • Identitets-och katalog tjänster.Identity and directory services. Åtkomst till varje resurs typ i Azure styrs av en identitet som lagras i en katalog tjänst.Access to every resource type in Azure is controlled by an identity stored in a directory service. Katalog tjänsten lagrar inte bara listan över användare, utan även åtkomst rättigheterna till resurser i en enskild Azure-prenumeration.The directory service stores not only the list of users, but also the access rights to resources in a specific Azure subscription. Dessa tjänster kan endast finnas i molnet, eller så kan de synkroniseras med den lokala identiteten som lagras i Active Directory.These services can exist cloud-only, or they can be synchronized with on-premises identity stored in Active Directory.
  • Virtual Network.Virtual Network. Virtuella nätverk är en av huvud komponenterna i VDC och gör att du kan skapa en bindning för trafik isolering på Azure-plattformen.Virtual networks are one of main components of the VDC, and enable you to create a traffic isolation boundary on the Azure platform. Ett virtuellt nätverk består av ett eller flera virtuella nätverks segment, vart och ett med ett visst IP-nätverksprefix (ett undernät, antingen IPv4 eller Dual Stack IPv4/IPv6).A virtual network is composed of a single or multiple virtual network segments, each with a specific IP network prefix (a subnet, either IPv4 or dual stack IPv4/IPv6). Det virtuella nätverket definierar ett internt perimeternätverk där IaaS virtuella datorer och PaaS-tjänster kan upprätta privat kommunikation.The virtual network defines an internal perimeter area where IaaS virtual machines and PaaS services can establish private communications. Virtuella datorer (och PaaS-tjänster) i ett virtuellt nätverk kan inte kommunicera direkt med virtuella datorer (och PaaS-tjänster) i ett annat virtuellt nätverk, även om båda virtuella nätverken har skapats av samma kund, under samma prenumeration.VMs (and PaaS services) in one virtual network can't communicate directly to VMs (and PaaS services) in a different virtual network, even if both virtual networks are created by the same customer, under the same subscription. Isolering är en kritisk egenskap som garanterar att kunders virtuella datorer och kommunikation förblir privata i ett virtuellt nätverk.Isolation is a critical property that ensures customer VMs and communication remains private within a virtual network. Om det finns en anslutning mellan nätverk är följande funktioner som beskriver hur det kan utföras.Where cross-network connectivity is desired, the following features describe how that can be accomplished.
  • Peering för virtuella nätverk.Virtual network peering. Den grundläggande funktionen som används för att skapa infrastrukturen i en VDC är peering av virtuella nätverk, som ansluter två virtuella nätverk i samma region, antingen via Azure datacenter-nätverket eller med Azures globalt stamnät i flera regioner.The fundamental feature used to create the infrastructure of a VDC is virtual network peering, which connects two virtual networks in the same region, either through the Azure datacenter network or using the Azure worldwide backbone across regions.
  • Virtual Network tjänstens slut punkter.Virtual Network service endpoints. Tjänst slut punkter utökar det virtuella nätverkets privata adress utrymme för att inkludera ditt PaaS-utrymme.Service endpoints extend your virtual network private address space to include your PaaS space. Slut punkterna utökar också identiteten för ditt virtuella nätverk till Azure-tjänsterna via en direkt anslutning.The endpoints also extend the identity of your virtual network to the Azure services over a direct connection. Med slutpunkter kan du skydda dina kritiska Azure-tjänstresurser till endast dina virtuella nätverk.Endpoints allow you to secure your critical Azure service resources to only your virtual networks.
  • Privat länk.Private Link. Med Azures privata länk kan du komma åt Azure PaaS Services (till exempel Azure Storage, Azure Cosmos DBoch Azure SQL Database) och Azure-värdbaserade kund-/partner tjänster via en privat slut punkt i det virtuella nätverket.Azure Private Link enables you to access Azure PaaS Services (for example, Azure Storage, Azure Cosmos DB, and Azure SQL Database) and Azure hosted customer/partner services over a Private Endpoint in your virtual network. Trafik mellan ditt virtuella nätverk och tjänsten passerar över Microsofts stamnätverk, vilket eliminerar exponering från det offentliga Internet.Traffic between your virtual network and the service traverses over the Microsoft backbone network, eliminating exposure from the public Internet. Du kan också skapa en egen privat länk-tjänst i ditt virtuella nätverk och leverera den privat för kunderna.You can also create your own Private Link Service in your virtual network and deliver it privately to your customers. Installations-och användnings upplevelsen med Azure Private Link är konsekvent i Azure PaaS, kundägda och delade partner tjänster.The setup and consumption experience using Azure Private Link is consistent across Azure PaaS, customer-owned, and shared partner services.
  • Användardefinierade vägar.User-defined routes. Trafik i ett virtuellt nätverk dirigeras som standard baserat på tabellen system routning.Traffic in a virtual network is routed by default based on the system routing table. En användardefinierad väg är en anpassad routningstabell som nätverks administratörer kan koppla till ett eller flera undernät för att åsidosätta beteendet för system vägvals tabellen och definiera en kommunikations Sök väg inom ett virtuellt nätverk.A user-defined route is a custom routing table that network administrators can associate to one or more subnets to override the behavior of the system routing table and define a communication path within a virtual network. Förekomst av användardefinierade vägar garanterar att utgående trafik från eker-överföringen via vissa anpassade virtuella datorer eller virtuella nätverks apparater och belastningsutjämnare finns i både hubben och ekrarna.The presence of user-defined routes guarantees that egress traffic from the spoke transit through specific custom VMs or network virtual appliances and load balancers present in both the hub and the spokes.
  • Nätverks säkerhets grupper.Network security groups. En nätverks säkerhets grupp är en lista över säkerhets regler som fungerar som trafik filtrering på IP-källor, IP-adresser, protokoll, IP-källport och IP-mål portar (kallas även Layer 4 5-tuple).A network security group is a list of security rules that act as traffic filtering on IP sources, IP destinations, protocols, IP source ports, and IP destination ports (also called a Layer 4 five-tuple). Nätverks säkerhets gruppen kan tillämpas på ett undernät, ett virtuellt nätverkskort som är kopplat till en virtuell Azure-dator eller både och.The network security group can be applied to a subnet, a Virtual NIC associated with an Azure VM, or both. Nätverks säkerhets grupperna är nödvändiga för att implementera en korrekt flödes kontroll i hubben och i ekrarna.The network security groups are essential to implement a correct flow control in the hub and in the spokes. Den säkerhets nivå som ges av nätverks säkerhets gruppen är en funktion för vilka portar du öppnar och för vilket syfte.The level of security afforded by the network security group is a function of which ports you open, and for what purpose. Kunderna bör tillämpa ytterligare filter per virtuell dator med värdbaserade brand väggar som program varan iptables eller Windows-brandväggen.Customers should apply additional per-VM filters with host-based firewalls such as iptables or the Windows Firewall.
  • DNS.DNS. DNS ger namn matchning för resurser i ett virtuellt Data Center.DNS provides name resolution for resources in a virtual datacenter. Azure tillhandahåller DNS-tjänster för både offentlig och privat namn matchning.Azure provides DNS services for both public and private name resolution. Privata zoner ger namn matchning både i ett virtuellt nätverk och mellan virtuella nätverk.Private zones provide name resolution both within a virtual network and across virtual networks. Du kan ha privata zoner som inte bara sträcker sig över virtuella nätverk i samma region, utan även mellan regioner och prenumerationer.You can have private zones not only span across virtual networks in the same region, but also across regions and subscriptions. För offentlig lösning tillhandahåller Azure DNS en värd tjänst för DNS-domäner som ger namn matchning med hjälp av Microsoft Azure-infrastrukturen.For public resolution, Azure DNS provides a hosting service for DNS domains, providing name resolution using Microsoft Azure infrastructure. Genom att använda Azure som värd för dina domäner kan du hantera dina DNS-poster med samma autentiseringsuppgifter, API:er, verktyg och fakturering som för dina andra Azure-tjänster.By hosting your domains in Azure, you can manage your DNS records using the same credentials, APIs, tools, and billing as your other Azure services.
  • Hanterings grupp, prenumerationoch resurs grupps hantering.Management group, subscription, and resource group management. En prenumeration definierar en naturlig gränser för att skapa flera grupper av resurser i Azure.A subscription defines a natural boundary to create multiple groups of resources in Azure. Denna separation kan vara till exempel funktion, roll uppdelning eller fakturering.This separation can be for function, role segregation, or billing. Resurser i en prenumeration monteras tillsammans i logiska behållare som kallas resurs grupper.Resources in a subscription are assembled together in logical containers known as resource groups. Resurs gruppen representerar en logisk grupp för att organisera resurserna i ett virtuellt Data Center.The resource group represents a logical group to organize the resources in a virtual datacenter. Om din organisation har många prenumerationer kan det behövas ett effektivt sätt att hantera åtkomst, principer och efterlevnad för prenumerationerna.If your organization has many subscriptions, you may need a way to efficiently manage access, policies, and compliance for those subscriptions. Azure-hanteringsgrupper ger en omgångsnivå som omfattar prenumerationer.Azure management groups provide a level of scope above subscriptions. Du ordnar prenumerationer i behållare som kallas för hanterings grupper och tillämpar dina styrnings villkor i hanterings grupperna.You organize subscriptions into containers known as management groups and apply your governance conditions to the management groups. Alla prenumerationer i en hanteringsgrupp ärver automatiskt de villkor som tillämpas för hanteringsgruppen.All subscriptions within a management group automatically inherit the conditions applied to the management group. Om du vill se dessa tre funktioner i en hierarkisk vy, se organisera dina resurser i moln implementerings ramverket.To see these three features in a hierarchy view, see Organizing your resources in the Cloud Adoption Framework.
  • Rollbaserad åtkomst kontroll i Azure (Azure RBAC).Azure role-based access control (Azure RBAC). Azure RBAC kan mappa organisatoriska roller och rättigheter för att få åtkomst till specifika Azure-resurser, så att du kan begränsa användare till endast en viss del av åtgärder.Azure RBAC can map organizational roles and rights to access specific Azure resources, allowing you to restrict users to only a certain subset of actions. Om du synkroniserar Azure Active Directory med en lokal Active Directory kan du använda samma Active Directorys grupper i Azure som du använder lokalt.If you're synchronizing Azure Active Directory with an on-premises Active Directory, you can use the same Active Directory groups in Azure that you use on-premises. Med Azure RBAC kan du bevilja åtkomst genom att tilldela lämplig roll till användare, grupper och program inom relevant omfattning.With Azure RBAC, you can grant access by assigning the appropriate role to users, groups, and applications within the relevant scope. Omfånget för en roll tilldelning kan vara en Azure-prenumeration, en resurs grupp eller en enskild resurs.The scope of a role assignment can be an Azure subscription, a resource group, or a single resource. Med Azure RBAC kan du ärva behörigheter.Azure RBAC allows inheritance of permissions. En roll som tilldelas till en överordnad omfattning ger också åtkomst till de underordnade objekten i den.A role assigned at a parent scope also grants access to the children contained within it. Med hjälp av Azure RBAC kan du åtskilja uppgifter och ge endast åtkomst till användare som de behöver för att utföra sina jobb.Using Azure RBAC, you can segregate duties and grant only the amount of access to users that they need to perform their jobs. En medarbetare kan till exempel hantera virtuella datorer i en prenumeration medan en annan kan hantera SQL Server databaser i samma prenumeration.For example, one employee can manage virtual machines in a subscription, while another can manage SQL Server databases in the same subscription.

Komponent typ: perimeternätverkComponent Type: Perimeter Networks

Komponenter i ett perimeternätverk (kallas ibland ett DMZ nätverk) Anslut dina lokala eller fysiska data Center nätverk, tillsammans med alla Internet anslutningar.Components of a perimeter network (sometimes called a DMZ network) connect your on-premises or physical datacenter networks, along with any internet connectivity. Omkretsen kräver vanligt vis en betydande tid investering från dina nätverks-och säkerhets team.The perimeter typically requires a significant time investment from your network and security teams.

Inkommande paket ska flöda genom säkerhetsenheterna i hubben innan de når backend-servrar och-tjänster i ekrarna.Incoming packets should flow through the security appliances in the hub before reaching the back-end servers and services in the spokes. Exempel på detta är brand väggar, ID: n och IP-adresser.Examples include the firewall, IDS, and IPS. Innan de lämnar nätverket bör Internet-baserade paket från arbets belastningarna också flöda genom säkerhetsenheterna i perimeternätverket.Before they leave the network, internet-bound packets from the workloads should also flow through the security appliances in the perimeter network. Det här flödet aktiverar princip tillämpning, inspektion och granskning.This flow enables policy enforcement, inspection, and auditing.

Nätverks komponenter i perimeternätverket inkluderar:Perimeter network components include:

Vanligt vis har centrala IT-teamet och säkerhets teamen ansvar för krav definition och drift av perimeternätverket.Usually, the central IT team and security teams have responsibility for requirement definition and operation of the perimeter networks.

77

Föregående diagram visar verk ställandet av två perimeter med åtkomst till Internet och ett lokalt nätverk, både Resident i DMZ-hubben.The preceding diagram shows the enforcement of two perimeters with access to the internet and an on-premises network, both resident in the DMZ hub. I DMZ-hubben kan perimeternätverket på Internet skala upp till att stödja många affärs linjer, med hjälp av flera grupper av brand väggar för webbaserade program (WAF) eller Azure-brandväggar.In the DMZ hub, the perimeter network to internet can scale up to support many lines of business, using multiple farms of Web Application Firewalls (WAFs) or Azure Firewalls. Hubben tillåter också lokal anslutning via VPN eller ExpressRoute efter behov.The hub also allows for on-premises connectivity via VPN or ExpressRoute as needed.

Anteckning

I det föregående diagrammet i "DMZ Hub" kan många av följande funktioner paketeras tillsammans i ett virtuellt Azure-nav (t. ex. virtuella nätverk, användardefinierade vägar, nätverks säkerhets grupper, VPN-gatewayer, ExpressRoute-gatewayer, Azure-belastningsutjämnare, Azure-brandväggar, Firewall Manager och DDOS).In the preceding diagram, in the "DMZ Hub", many of the following features can be bundled together in an Azure Virtual WAN hub (such as virtual networks, user-defined routes, network security groups, VPN gateways, ExpressRoute gateways, Azure load balancers, Azure Firewalls, Firewall Manager, and DDOS). Genom att använda virtuella Azure-hubbar kan du skapa hubben i det virtuella hubb nätverket, vilket innebär att VDC är mycket enklare eftersom det mesta av den tekniska komplexiteten hanteras av Azure när du distribuerar en virtuell WAN-hubb i Azure.Using Azure Virtual WAN hubs can make the creation of the hub virtual network, and thus the VDC, much easier, since most of the engineering complexity is handled for you by Azure when you deploy an Azure Virtual WAN hub.

Virtuella nätverk.Virtual networks. Hubben bygger vanligt vis på ett virtuellt nätverk med flera undernät som är värdar för de olika typerna av tjänster som filtrerar och inspekterar trafik till eller från Internet via Azure Firewall, NVA, WAF och Azure Application Gateway-instanser.The hub is typically built on a virtual network with multiple subnets to host the different types of services that filter and inspect traffic to or from the internet via Azure Firewall, NVAs, WAF, and Azure Application Gateway instances.

Användardefinierade vägar.User-defined routes. Med hjälp av användardefinierade vägar kan kunder distribuera brand väggar, ID: n/IP-adresser och andra virtuella apparater och dirigera nätverks trafik genom dessa säkerhetsanordningar för tillämpning, granskning och inspektion av säkerhets gräns principen.Using user-defined routes, customers can deploy firewalls, IDS/IPS, and other virtual appliances, and route network traffic through these security appliances for security boundary policy enforcement, auditing, and inspection. Användardefinierade vägar kan skapas både i hubben och i ekrarna för att garantera att trafiktransiter via de speciella anpassade virtuella datorerna, virtuella nätverks installationer och belastningsutjämnare som används av en VDC-implementering.User-defined routes can be created in both the hub and the spokes to guarantee that traffic transits through the specific custom VMs, Network Virtual Appliances, and load balancers used by a VDC implementation. För att garantera att trafik som genereras från virtuella datorer som finns i eker-överföringarna till rätt virtuella enheter måste en användardefinierad väg anges i under näten i ekern genom att ställa in klient delens IP-adress för den interna belastningsutjämnaren som nästa hopp.To guarantee that traffic generated from virtual machines residing in the spoke transits to the correct virtual appliances, a user-defined route needs to be set in the subnets of the spoke by setting the front-end IP address of the internal load balancer as the next hop. Den interna belastningsutjämnaren distribuerar den interna trafiken till de virtuella datorerna (belastningsutjämnarens serverdelspool).The internal load balancer distributes the internal traffic to the virtual appliances (load balancer back-end pool).

Azure-brandväggen är en hanterad nätverks säkerhets tjänst som skyddar dina Azure Virtual Network-resurser.Azure Firewall is a managed network security service that protects your Azure Virtual Network resources. Det är en tillstånds känslig hanterad brand vägg med hög tillgänglighet och skalbarhet i molnet.It's a stateful managed firewall with high availability and cloud scalability. Du kan centralt skapa, framtvinga och logga principer för tillämpning och nätverksanslutning över prenumerationer och virtuella nätverk.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Azure Firewall använder en statisk offentlig IP-adress för dina virtuella nätverksresurser.Azure Firewall uses a static public IP address for your virtual network resources. Det gör att externa brandväggar kan identifiera trafiken från ditt virtuella nätverk.It allows outside firewalls to identify traffic that originates from your virtual network. Tjänsten är helt integrerad med Azure Monitor för loggning och analys.The service is fully integrated with Azure Monitor for logging and analytics.

Om du använder Azure Virtual WAN-topologin är Azure Firewall Manager en säkerhets hanterings tjänst som tillhandahåller Central säkerhets policy och väg hantering för molnbaserade säkerhetsperimetern.If you use the Azure Virtual WAN topology, the Azure Firewall Manager is a security management service that provides central security policy and route management for cloud-based security perimeters. Det fungerar med Azure Virtual WAN Hub, en Microsoft-hanterad resurs som gör att du enkelt kan skapa Hubbs-och eker-arkitekturer.It works with Azure Virtual WAN hub, a Microsoft-managed resource that lets you easily create hub and spoke architectures. När säkerhets-och routningsprinciperna är associerade med en sådan hubb kallas den för en säker virtuell hubb.When security and routing policies are associated with such a hub, it's referred to as a secured virtual hub.

Virtuella nätverks enheter.Network virtual appliances. I hubben hanteras perimeternätverket med åtkomst till Internet normalt via en Azure Firewall-instans eller en grupp med brand väggar eller brand vägg för webbaserade program (WAF).In the hub, the perimeter network with access to the internet is normally managed through an Azure Firewall instance or a farm of firewalls or web application firewall (WAF).

Olika affärs områden använder ofta många webb program, som tenderar att drabbas av olika sårbarheter och potentiella sårbarheter.Different lines of business commonly use many web applications, which tend to suffer from various vulnerabilities and potential exploits. Brand väggar för webb program är en särskild typ av produkt som används för att identifiera attacker mot webb program, HTTP/HTTPS, i större djup än en allmän brand vägg.Web application firewalls are a special type of product used to detect attacks against web applications, HTTP/HTTPS, in more depth than a generic firewall. Jämfört med tradition Firewall Technology har WAF en uppsättning funktioner för att skydda interna webb servrar mot hot.Compared with tradition firewall technology, WAFs have a set of specific features to protect internal web servers from threats.

En Azure Firewall-eller NVA-brandvägg använder båda ett gemensamt administrations plan med en uppsättning säkerhets regler för att skydda de arbets belastningar som finns i ekrarna och kontrol lera åtkomsten till lokala nätverk.An Azure Firewall or NVA firewall both use a common administration plane, with a set of security rules to protect the workloads hosted in the spokes, and control access to on-premises networks. Azure-brandväggen har inbyggd skalbarhet, medan NVA-brandväggar kan skalas manuellt bakom en belastningsutjämnare.The Azure Firewall has scalability built in, whereas NVA firewalls can be manually scaled behind a load balancer. Vanligt vis har en brand Väggs grupp mindre specialiserad program vara jämfört med en WAF, men har en bredare programdefinition för att filtrera och inspektera alla typer av trafik i utgående och ingångs händelser.Generally, a firewall farm has less specialized software compared with a WAF, but has a broader application scope to filter and inspect any type of traffic in egress and ingress. Om en NVA metod används kan de hittas och distribueras från Azure Marketplace.If an NVA approach is used, they can be found and deployed from Azure Marketplace.

Vi rekommenderar att du använder en uppsättning Azure Firewall-instanser, eller NVA, för trafik som kommer från Internet.We recommend that you use one set of Azure Firewall instances, or NVAs, for traffic originating on the internet. Använd en annan för trafik som kommer från lokala platser.Use another for traffic originating on-premises. Att bara använda en uppsättning brand väggar för båda är en säkerhets risk eftersom den inte ger någon säkerhetsperimeter mellan de två uppsättningarna nätverks trafik.Using only one set of firewalls for both is a security risk as it provides no security perimeter between the two sets of network traffic. Genom att använda separata brand Väggs lager minskar du komplexiteten vid kontroll av säkerhets regler och gör det tydligt vilka regler som motsvarar vilken inkommande nätverksbegäran som begärs.Using separate firewall layers reduces the complexity of checking security rules and makes it clear which rules correspond to which incoming network request.

Azure Load Balancer erbjuder en tjänst för hög tillgänglighet Layer 4 (TCP/UDP) som kan distribuera inkommande trafik mellan tjänst instanser som definierats i en belastningsutjämnad uppsättning.Azure Load Balancer offers a high availability Layer 4 (TCP/UDP) service, which can distribute incoming traffic among service instances defined in a load-balanced set. Trafik som skickas till belastningsutjämnaren från frontend-slutpunkter (offentliga IP-slutpunkter eller privata IP-slutpunkter) kan distribueras om med eller utan adress översättning till en uppsättning backend-IP-adresspool (till exempel virtuella nätverks enheter eller virtuella datorer).Traffic sent to the load balancer from front-end endpoints (public IP endpoints or private IP endpoints) can be redistributed with or without address translation to a set of back-end IP address pool (such as network virtual appliances or virtual machines).

Azure Load Balancer kan avsöka hälso tillståndet för de olika Server instanserna och när en instans inte svarar på en avsökning slutar belastningsutjämnaren att skicka trafik till den felaktiga instansen.Azure Load Balancer can probe the health of the various server instances as well, and when an instance fails to respond to a probe, the load balancer stops sending traffic to the unhealthy instance. I ett virtuellt Data Center distribueras en extern belastningsutjämnare till hubben och ekrarna.In a virtual datacenter, an external load balancer is deployed to the hub and the spokes. I hubben används belastningsutjämnaren för att effektivt dirigera trafik mellan brand Väggs instanser och i ekrarna används belastnings utjämning för att hantera program trafik.In the hub, the load balancer is used to efficiently route traffic across firewall instances, and in the spokes, load balancers are used to manage application traffic.

Azure -AFD (Azure-frontend) är Microsofts hög tillgängliga och skalbara plattform för webb programs acceleration, global HTTP-load balancer, program skydd och Content Delivery Network.Azure Front Door (AFD) is Microsoft's highly available and scalable Web Application Acceleration Platform, Global HTTP Load Balancer, Application Protection, and Content Delivery Network. Genom att köra på fler än 100 platser på kanten av Microsofts globala nätverk kan du använda AFD för att bygga, driva och skala ut ditt dynamiska webb program och statiskt innehåll.Running in more than 100 locations at the edge of Microsoft's Global Network, AFD enables you to build, operate, and scale out your dynamic web application and static content. AFD tillhandahåller ditt program med slutanvändarens prestanda i världs klass, enhetlig regional/stämplad underhålls automatisering, BCDR Automation, enhetlig klient/användar information, cachelagring och service insikter.AFD provides your application with world-class end-user performance, unified regional/stamp maintenance automation, BCDR automation, unified client/user information, caching, and service insights. Plattformen erbjuder:The platform offers:

  • Service nivå avtal (service avtal) för prestanda, tillförlitlighet och support.Performance, reliability, and support service-level agreements (SLAs).
  • Certifiering av efterlevnad.Compliance certifications.
  • Gransknings bara säkerhets metoder som utvecklas, drivs och internt stöds av Azure.Auditable security practices that are developed, operated, and natively supported by Azure.

Azures front dörr tillhandahåller också en brand vägg för webbaserade program (WAF) som skyddar webb program mot vanliga sårbarheter och sårbarheter.Azure Front Door also provides a web application firewall (WAF), which protects web applications from common vulnerabilities and exploits.

Azure Application Gateway är en dedikerad virtuell installation som tillhandahåller en leverans kontroll enhet för hanterade program.Azure Application Gateway is a dedicated virtual appliance providing a managed application delivery controller. Det erbjuder olika nivåer för belastnings utjämning för ditt program.It offers various Layer 7 load-balancing capabilities for your application. Det gör att du kan optimera webb server gruppens prestanda genom att avlasta CPU-intensiv SSL-avslutning till Application Gateway.It allows you to optimize web farm performance by offloading CPU-intensive SSL termination to the application gateway. Det ger också andra funktioner för Layer 7-routning, till exempel resursallokering-distribution av inkommande trafik, cookie-baserad sessionsgräns, URL-vägs-baserad Routning och möjligheten att vara värd för flera webbplatser bakom en enda Programgateway.It also provides other Layer 7 routing capabilities, such as round-robin distribution of incoming traffic, cookie-based session affinity, URL-path-based routing, and the ability to host multiple websites behind a single application gateway. En brandvägg för webbaserade program (WAF) ingår också som en del av programgatewayens WAF SKU.A web application firewall (WAF) is also provided as part of the application gateway WAF SKU. Den här SKU:n skyddar webbprogram mot vanliga säkerhetsrisker och sårbarheter på webben.This SKU provides protection to web applications from common web vulnerabilities and exploits. Application Gateway kan konfigureras som en Internetbaserad Gateway, en intern gateway eller en kombination av båda.Application Gateway can be configured as internet-facing gateway, internal-only gateway, or a combination of both.

Offentliga IP-adresser.Public IPs. Med vissa Azure-funktioner kan du associera tjänstens slut punkter till en offentlig IP-adress så att din resurs kan nås från Internet.With some Azure features, you can associate service endpoints to a public IP address so that your resource is accessible from the internet. Den här slut punkten använder NAT för att dirigera trafik till den interna adressen och porten på det virtuella nätverket i Azure.This endpoint uses NAT to route traffic to the internal address and port on the virtual network in Azure. Den här vägen är det primära sättet för extern trafik att skickas till det virtuella nätverket.This path is the primary way for external traffic to pass into the virtual network. Du kan konfigurera offentliga IP-adresser för att avgöra vilken trafik som skickas och hur och var den översätts till det virtuella nätverket.You can configure public IP addresses to determine which traffic is passed in and how and where it's translated onto the virtual network.

Azure DDoS Protection standard ger ytterligare funktioner för minskning av de grundläggande tjänst nivåer som är specifika för Azure Virtual Network-resurser.Azure DDoS Protection Standard provides additional mitigation capabilities over the Basic service tier that are tuned specifically to Azure Virtual Network resources. DDoS Protection Standard är enkelt att aktivera och kräver inga ändringar i programmet.DDoS Protection Standard is simple to enable and requires no application changes. Skyddsprinciperna justeras via särskilda algoritmer för trafikövervakning och maskininlärning.Protection policies are tuned through dedicated traffic monitoring and machine learning algorithms. Principer tillämpas på offentliga IP-adresser som är kopplade till resurser som har distribuerats i virtuella nätverk.Policies are applied to public IP addresses associated to resources deployed in virtual networks. Exempel på detta är Azure Load Balancer, Azure Application Gateway och Azure Service Fabric-instanser.Examples include Azure Load Balancer, Azure Application Gateway, and Azure Service Fabric instances. I nära real tid är systemgenererade loggar tillgängliga via Azure Monitor vyer under ett angrepp och för historik.Near real-time, system-generated logs are available through Azure Monitor views during an attack and for history. Program skikts skydd kan läggas till via brand väggen för webbaserade Azure Application Gateway.Application layer protection can be added through the Azure Application Gateway web application firewall. Skydd tillhandahålls för IPv4-och IPv6 offentliga IP-adresser i Azure.Protection is provided for IPv4 and IPv6 Azure public IP addresses.

NAV-och eker-topologin använder virtuella nätverks-peering och användardefinierade vägar för att dirigera trafik korrekt.The hub and spoke topology uses virtual network peering and user-defined routes to route traffic properly.

88

I diagrammet säkerställer den användardefinierade vägen att trafiken flödar från ekern till brand väggen innan den skickas till lokalt via ExpressRoute-gatewayen (om brand Väggs principen tillåter det flödet).In the diagram, the user-defined route ensures that traffic flows from the spoke to the firewall before passing to on-premises through the ExpressRoute gateway (if the firewall policy allows that flow).

Komponent typ: övervakningComponent type: Monitoring

Övervaknings komponenter ger synlighet och aviseringar från alla andra komponent typer.Monitoring components provide visibility and alerting from all the other component types. Alla team bör ha åtkomst till övervakning för de komponenter och tjänster som de har åtkomst till.All teams should have access to monitoring for the components and services they have access to. Om du har en central supportavdelning eller drift team, kräver de integrerad åtkomst till de data som tillhandahålls av dessa komponenter.If you have a centralized help desk or operations teams, they require integrated access to the data provided by these components.

Azure erbjuder olika typer av loggnings-och övervaknings tjänster för att spåra beteendet för Azure-värdbaserade resurser.Azure offers different types of logging and monitoring services to track the behavior of Azure-hosted resources. Styrning och kontroll av arbets belastningar i Azure baseras inte bara på insamling av loggdata, utan även på möjlighet att utlösa åtgärder baserat på enskilda rapporterade händelser.Governance and control of workloads in Azure is based not just on collecting log data but also on the ability to trigger actions based on specific reported events.

Azure Monitor.Azure Monitor. Azure innehåller flera tjänster som utför en specifik roll eller aktivitet individuellt i övervakningsutrymmet.Azure includes multiple services that individually perform a specific role or task in the monitoring space. Tillsammans levererar de här tjänsterna en omfattande lösning för att samla in, analysera och agera på systemgenererade loggar från dina program och de Azure-resurser som har stöd för dem.Together, these services deliver a comprehensive solution for collecting, analyzing, and acting on system-generated logs from your applications and the Azure resources that support them. De kan också användas för att övervaka kritiska lokala resurser så att du får en hybridövervakningsmiljö.They can also work to monitor critical on-premises resources in order to provide a hybrid monitoring environment. Att förstå vilka verktyg och data som är tillgängliga är det första steget när du utvecklar en komplett övervaknings strategi för dina program.Understanding the tools and data that are available is the first step in developing a complete monitoring strategy for your applications.

Det finns två grundläggande typer av loggar i Azure Monitor:There are two fundamental types of logs in Azure Monitor:

  • Mått är numeriska värden som beskriver någon aspekt av ett system vid en viss tidpunkt.Metrics are numerical values that describe some aspect of a system at a particular point in time. De är lätta och stöder nästan real tids scenarier.They are lightweight and capable of supporting near real-time scenarios. För många Azure-resurser kommer du att se data som samlas in av Azure Monitor direkt på sidan Översikt i Azure Portal.For many Azure resources, you'll see data collected by Azure Monitor right in their Overview page in the Azure portal. Som exempel kan du titta på en virtuell dator och se flera diagram som visar prestanda mått.As an example, look at any virtual machine and you'll see several charts displaying performance metrics. Välj något av diagrammen för att öppna data i mått Utforskaren i Azure Portal, vilket gör att du kan skapa diagram över värdena för flera mått över tid.Select any of the graphs to open the data in metrics explorer in the Azure portal, which allows you to chart the values of multiple metrics over time. Du kan visa diagrammen interaktivt eller fästa dem på en instrument panel för att visa dem med andra visualiseringar.You can view the charts interactively or pin them to a dashboard to view them with other visualizations.

  • Loggar innehåller olika typer av data som är ordnade i poster med olika uppsättningar egenskaper för varje typ.Logs contain different kinds of data organized into records with different sets of properties for each type. Händelser och spår lagras som loggar tillsammans med prestanda data, som alla kan kombineras för analys.Events and traces are stored as logs along with performance data, which can all be combined for analysis. Loggdata som samlas in av Azure Monitor kan analyseras med frågor för att snabbt hämta, konsolidera och analysera insamlade data.Log data collected by Azure Monitor can be analyzed with queries to quickly retrieve, consolidate, and analyze collected data. Loggar lagras och efter frågas från Log Analytics.Logs are stored and queried from Log Analytics. Du kan skapa och testa frågor med Log Analytics i Azure Portal och sedan antingen analysera data med hjälp av dessa verktyg eller spara frågor för användning med visualiseringar eller varnings regler.You can create and test queries using Log Analytics in the Azure portal and then either directly analyze the data using these tools or save queries for use with visualizations or alert rules.

99

Azure Monitor kan samla in data från olika källor.Azure Monitor can collect data from a variety of sources. Du kan tänka på att övervaka data för dina program på nivåer som sträcker sig från ditt program, alla operativ system och de tjänster som den använder, ned till själva Azure-plattformen.You can think of monitoring data for your applications in tiers ranging from your application, any operating system, and the services it relies on, down to the Azure platform itself. Azure Monitor samlar in data från följande nivåer:Azure Monitor collects data from each of the following tiers:

  • Program övervaknings data: Data om prestanda och funktioner i den kod som du har skrivit, oavsett plattform.Application monitoring data: Data about the performance and functionality of the code you have written, regardless of its platform.
  • Övervaknings data för gäst operativ system: Data om det operativ system som programmet körs på.Guest OS monitoring data: Data about the operating system on which your application is running. Detta operativ system kan köras i Azure, ett annat moln eller lokalt.This OS could be running in Azure, another cloud, or on-premises.
  • Azure-resurs övervaknings data: Data om driften av en Azure-resurs.Azure resource monitoring data: Data about the operation of an Azure resource.
  • Övervaknings data för Azure-prenumeration: Data om drift och hantering av en Azure-prenumeration, samt data om hälsa och drift av själva Azure.Azure subscription monitoring data: Data about the operation and management of an Azure subscription, as well as data about the health and operation of Azure itself.
  • Azure-klient övervaknings data: Data om driften av Azure-tjänster på klient nivå, t. ex. Azure Active Directory.Azure tenant monitoring data: Data about the operation of tenant-level Azure services, such as Azure Active Directory.
  • Anpassade källor: Loggar som skickas från lokala källor kan också inkluderas.Custom sources: Logs sent from on-premises sources can be included as well. Exempel på detta är lokala server händelser eller nätverks enheter syslog-utdata.Examples include on-premises server events or network device syslog output.

Övervaknings data är bara användbara om det kan öka din insyn i driften av din dator miljö.Monitoring data is only useful if it can increase your visibility into the operation of your computing environment. Azure Monitor innehåller flera funktioner och verktyg som ger värdefulla insikter om dina program och andra resurser som de är beroende av.Azure Monitor includes several features and tools that provide valuable insights into your applications and other resources that they depend on. Övervakning av lösningar och funktioner som Application Insights och Azure Monitor för behållare ger djupgående insikter om olika aspekter av programmet och specifika Azure-tjänster.Monitoring solutions and features such as Application Insights and Azure Monitor for containers provide deep insights into different aspects of your application and specific Azure services.

Övervaknings lösningar i Azure Monitor är paketerade uppsättningar av logik som ger insikter om ett visst program eller en viss tjänst.Monitoring solutions in Azure Monitor are packaged sets of logic that provide insights for a particular application or service. De innehåller logik för insamling av övervaknings data för programmet eller tjänsten, frågor för att analysera data och vyer för visualisering.They include logic for collecting monitoring data for the application or service, queries to analyze that data, and views for visualization. Övervaknings lösningar är tillgängliga från Microsoft och partners för att tillhandahålla övervakning för olika Azure-tjänster och andra program.Monitoring solutions are available from Microsoft and partners to provide monitoring for various Azure services and other applications.

Med alla dessa omfattande data som samlas in är det viktigt att vidta förebyggande åtgärder för händelser i din miljö där manuella frågor inte räcker.With all of this rich data collected, it's important to take proactive action on events happening in your environment where manual queries alone won't suffice. Aviseringar i Azure Monitor proaktivt meddela dig om kritiska villkor och eventuellt försök att vidta lämpliga åtgärder.Alerts in Azure Monitor proactively notify you of critical conditions and potentially attempt to take corrective action. Varnings regler som baseras på mått ger nära aviseringar i real tid baserat på numeriska värden, medan regler som baseras på loggar möjliggör komplex logik över data från flera källor.Alert rules based on metrics provide near real-time alerting based on numeric values, while rules based on logs allow for complex logic across data from multiple sources. Varnings regler i Azure Monitor använda åtgärds grupper som innehåller unika uppsättningar av mottagare och åtgärder som kan delas över flera regler.Alert rules in Azure Monitor use action groups, which contain unique sets of recipients and actions that can be shared across multiple rules. Utifrån dina krav kan åtgärds grupper utföra sådana åtgärder som att använda Webhooks som gör att aviseringar startar externa åtgärder eller integreras med dina ITSM-verktyg.Based on your requirements, action groups can perform such actions as using webhooks that cause alerts to start external actions or to integrate with your ITSM tools.

Azure Monitor kan också skapa anpassade instrument paneler.Azure Monitor also allows the creation of custom dashboards. Med Azure-instrumentpaneler kan du kombinera olika typer av data, inklusive både mått och loggar, i ett enda fönster i Azure Portal.Azure dashboards allow you to combine different kinds of data, including both metrics and logs, into a single pane in the Azure portal. Du kan välja att dela instrument panelen med andra Azure-användare.You can optionally share the dashboard with other Azure users. Element i hela Azure Monitor kan läggas till i en Azure-instrumentpanel förutom utdata från eventuella logg frågor eller mått diagram.Elements throughout Azure Monitor can be added to an Azure dashboard in addition to the output of any log query or metrics chart. Du kan till exempel skapa en instrument panel som kombinerar paneler som visar ett diagram över mått, en tabell med aktivitets loggar, ett användnings diagram från Application Insights och utdata från en logg fråga.For example, you could create a dashboard that combines tiles that show a graph of metrics, a table of activity logs, a usage chart from Application Insights, and the output of a log query.

Slutligen är Azure Monitor data en ursprunglig källa för Power BI.Finally, Azure Monitor data is a native source for Power BI. Power BI är en Business Analytics-tjänst som tillhandahåller interaktiva visualiseringar över flera olika data källor och är ett effektivt sätt att göra data tillgängliga för andra inom och utanför din organisation.Power BI is a business analytics service that provides interactive visualizations across a variety of data sources and is an effective means of making data available to others within and outside your organization. Du kan konfigurera Power BI att automatiskt importera logg data från Azure Monitor för att dra nytta av dessa ytterligare visualiseringar.You can configure Power BI to automatically import log data from Azure Monitor to take advantage of these additional visualizations.

Azure Network Watcher innehåller verktyg för att övervaka, diagnostisera och visa mått och aktivera eller inaktivera loggar för resurser i ett virtuellt nätverk i Azure.Azure Network Watcher provides tools to monitor, diagnose, and view metrics and enable or disable logs for resources in a virtual network in Azure. Det är en mångfacetterat-tjänst som gör det möjligt att använda följande funktioner:It's a multifaceted service that allows the following functionalities and more:

  • Övervaka kommunikation mellan en virtuell dator och en slut punkt.Monitor communication between a virtual machine and an endpoint.
  • Visa resurser i ett virtuellt nätverk och deras relationer.View resources in a virtual network and their relationships.
  • Diagnostisera problem med nätverks trafik filtrering till eller från en virtuell dator.Diagnose network traffic filtering problems to or from a VM.
  • Diagnostisera problem med nätverks routning från en virtuell dator.Diagnose network routing problems from a VM.
  • Diagnostisera utgående anslutningar från en virtuell dator.Diagnose outbound connections from a VM.
  • Avbilda paket till och från en virtuell dator.Capture packets to and from a VM.
  • Diagnostisera problem med en virtuell nätverksgateway och anslutningar.Diagnose problems with an virtual network gateway and connections.
  • Bestäm relativ fördröjning mellan Azure-regioner och Internet leverantörer.Determine relative latencies between Azure regions and internet service providers.
  • Visa säkerhets regler för ett nätverks gränssnitt.View security rules for a network interface.
  • Visa nätverks mått.View network metrics.
  • Analysera trafik till eller från en nätverks säkerhets grupp.Analyze traffic to or from a network security group.
  • Visa diagnostikloggar för nätverks resurser.View diagnostic logs for network resources.

Komponent typ: arbets belastningarComponent type: Workloads

Arbets belastnings komponenter är där dina faktiska program och tjänster finns.Workload components are where your actual applications and services reside. Det är där program utvecklings teamen tillbringar det mesta av sin tid.It's where your application development teams spend most of their time.

Arbets belastnings möjligheterna är oändliga.The workload possibilities are endless. Följande är bara några av de möjliga arbets belastnings typerna:The following are just a few of the possible workload types:

Interna program: Branschspecifika program är viktiga för företags åtgärder.Internal applications: Line-of-business applications are critical to enterprise operations. Dessa program har några gemensamma egenskaper:These applications have some common characteristics:

  • Interaktiv: Data har angetts och resultat eller rapporter returneras.Interactive: Data is entered, and results or reports are returned.
  • Data driven: Data intensiv med frekvent åtkomst till databaser eller annan lagring.Data-driven: Data intensive with frequent access to databases or other storage.
  • Integrerad: Erbjud integrering med andra system inom eller utanför organisationen.Integrated: Offer integration with other systems within or outside the organization.

Kundinriktade webbplatser (Internet-riktad eller internt riktad): De flesta Internet program är webbplatser.Customer-facing web sites (internet-facing or internally facing): Most internet applications are web sites. Azure kan köra en webbplats via antingen en virtuell IaaS-dator eller en Azure Web Apps -plats (PaaS).Azure can run a web site via either an IaaS virtual machine or an Azure Web Apps site (PaaS). Azure Web Apps integreras med virtuella nätverk för att distribuera webbappar i en eker-nätverks zon.Azure Web Apps integrates with virtual networks to deploy web apps in a spoke network zone. Internt riktade webbplatser behöver inte exponera en offentlig Internet-slutpunkt eftersom resurserna är tillgängliga via privata adresser som inte är från Internet från det privata virtuella nätverket.Internally facing web sites don't need to expose a public internet endpoint because the resources are accessible via private non-internet routable addresses from the private virtual network.

Big data analys: När data behöver skala upp till större volymer, kanske Relations databaser inte fungerar bra under extrem belastning eller ostrukturerad typ av data.Big data analytics: When data needs to scale up to larger volumes, relational databases may not perform well under the extreme load or unstructured nature of the data. Azure HDInsight är en hanterad analys tjänst med full spektrum, öppen källkod i molnet för företag.Azure HDInsight is a managed, full-spectrum, open-source analytics service in the cloud for enterprises. Du kan använda ramverk med öppen källkod, till exempel Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm och R. HDInsight stöder distribution till ett platsbaserade virtuella nätverk, kan distribueras till ett kluster i en eker i ett virtuellt Data Center.You can use open-source frameworks such as Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm, and R. HDInsight supports deploying into a location-based virtual network, can be deployed to a cluster in a spoke of the virtual datacenter.

Händelser och meddelanden: Azure Event Hubs är en stor data strömnings plattform och händelse inmatnings tjänst.Events and Messaging: Azure Event Hubs is a big data streaming platform and event ingestion service. Den kan ta emot och behandla miljoner händelser per sekund.It can receive and process millions of events per second. Den ger låg latens och konfigurerbar tids kvarhållning, så att du kan mata in stora mängder data i Azure och läsa dem från flera program.It provides low latency and configurable time retention, enabling you to ingest massive amounts of data into Azure and read it from multiple applications. En enda data ström kan stödja både real tids-och batch-baserade pipeliner.A single stream can support both real-time and batch-based pipelines.

Du kan implementera en mycket tillförlitlig moln meddelande tjänst mellan program och tjänster via Azure Service Bus.You can implement a highly reliable cloud messaging service between applications and services through Azure Service Bus. Den erbjuder asynkrona asynkrona meddelanden mellan klient och Server, strukturerade först in-First (FIFO)-meddelanden och publicerings-och prenumerations funktioner.It offers asynchronous brokered messaging between client and server, structured first-in-first-out (FIFO) messaging, and publishes and subscribe capabilities.

1010

De här exemplen är nästan grunden för de typer av arbets belastningar som du kan skapa i Azure — allt från en grundläggande webb-och SQL-app till den senaste i IoT, Big data, Machine Learning, AI och så mycket mer.These examples barely scratch the surface of the types of workloads you can create in Azure—everything from a basic Web and SQL app to the latest in IoT, big data, machine learning, AI, and so much more.

Hög tillgänglighet: flera virtuella Data CenterHighly availability: multiple virtual datacenters

Den här artikeln har hittills fokuserat på utformningen av en enda VDC, som beskriver de grundläggande komponenter och arkitekturer som bidrar till återhämtning.So far, this article has focused on the design of a single VDC, describing the basic components and architectures that contribute to resiliency. Azure-funktioner som Azure Load Balancer, NVA, tillgänglighets zoner, tillgänglighets uppsättningar, skalnings uppsättningar och andra funktioner som hjälper dig att inkludera solid SLA-nivåer i produktions tjänsterna.Azure features such as Azure load balancer, NVAs, availability zones, availability sets, scale sets, and other capabilities that help you include solid SLA levels into your production services.

Men eftersom ett virtuellt Data Center vanligt vis implementeras inom en enda region kan det vara utsatt för avbrott som påverkar hela regionen.However, because a virtual datacenter is typically implemented within a single region, it might be vulnerable to outages that affect the entire region. Kunder som behöver hög tillgänglighet måste skydda tjänsterna genom distributioner av samma projekt i två eller flera VDC-implementeringar som distribueras till olika regioner.Customers that require high availability must protect the services through deployments of the same project in two or more VDC implementations deployed to different regions.

Utöver SLA-problem kan flera vanliga scenarier köra flera virtuella Data Center:In addition to SLA concerns, several common scenarios benefit from running multiple virtual datacenters:

  • Regional eller global närvaro av slutanvändare eller partner.Regional or global presence of your end users or partners.
  • Krav för haveri beredskap.Disaster recovery requirements.
  • En mekanism för att avleda trafik mellan data Center för belastning eller prestanda.A mechanism to divert traffic between datacenters for load or performance.

Regional/global närvaroRegional/global presence

Azure-datacenter finns i många regioner över hela världen.Azure datacenters exist in many regions worldwide. När du väljer flera Azure-datacenter bör du tänka på två relaterade faktorer: geografiska avstånd och svars tid.When selecting multiple Azure datacenters, consider two related factors: geographical distances and latency. Optimera användar upplevelsen genom att utvärdera avståndet mellan varje virtuellt Data Center och avståndet från varje virtuellt Data Center till slutanvändarna.To optimize user experience, evaluate the distance between each virtual datacenter as well as the distance from each virtual datacenter to the end users.

En Azure-region som är värd för ditt virtuella Data Center måste följa myndighets krav i juridiska jurisdiktioner som organisationen arbetar under.An Azure region that hosts your virtual datacenter must conform with regulatory requirements of any legal jurisdiction under which your organization operates.

HaveriberedskapDisaster recovery

Utformningen av en katastrof återställnings plan beror på typerna av arbets belastningar och möjligheten att synkronisera status för dessa arbets belastningar mellan olika VDC-implementeringar.The design of a disaster recovery plan depends on the types of workloads and the ability to synchronize state of those workloads between different VDC implementations. De flesta kunder vill ha en snabb funktion för redundans och det här kravet kan kräva programsynkronisering av data mellan distributioner som körs i flera VDC-implementeringar.Ideally, most customers desire a fast fail-over mechanism, and this requirement may need application data synchronization between deployments running in multiple VDC implementations. Men vid utformning av katastrof återställnings planer är det viktigt att tänka på att de flesta program är känsliga för den svars tid som kan orsakas av den här datasynkroniseringen.However, when designing disaster recovery plans, it's important to consider that most applications are sensitive to the latency that can be caused by this data synchronization.

Synkronisering och pulsslags övervakning av program i olika VDC-implementeringar kräver att de kommunicerar via nätverket.Synchronization and heartbeat monitoring of applications in different VDC implementations requires them to communicate over the network. Flera VDC-implementeringar i olika regioner kan anslutas via:Multiple VDC implementations in different regions can be connected through:

  • NAV-till-hubb-kommunikation inbyggd i virtuella WAN-hubbar i Azure mellan regioner i samma virtuella WAN-nätverk.Hub-to-hub communication built into Azure Virtual WAN hubs across regions in the same Virtual WAN.
  • Virtuell nätverks-peering för att ansluta hubbar mellan regioner.Virtual network peering to connect hubs across regions.
  • ExpressRoute privata peering när hubbarna i varje VDC-implementering är anslutna till samma ExpressRoute-krets.ExpressRoute private peering, when the hubs in each VDC implementation are connected to the same ExpressRoute circuit.
  • Flera ExpressRoute-kretsar som är anslutna via företagets stamnät och dina flera VDC-implementeringar anslutna till ExpressRoute-kretsarna.Multiple ExpressRoute circuits connected via your corporate backbone, and your multiple VDC implementations connected to the ExpressRoute circuits.
  • Plats-till-plats-VPN-anslutningar mellan nav zonen för dina VDC-implementeringar i varje Azure-region.Site-to-site VPN connections between the hub zone of your VDC implementations in each Azure region.

Vanligt vis är virtuella WAN-hubbar, peering av virtuella nätverk eller ExpressRoute anslutningar önskade för nätverks anslutning, på grund av den högre bandbredden och konsekvent latens nivåer när de passerar genom Microsofts stamnät.Typically, Virtual WAN hubs, virtual network peering, or ExpressRoute connections are preferred for network connectivity, due to the higher bandwidth and consistent latency levels when passing through the Microsoft backbone.

Kör tester för nätverks kvalificering för att kontrol lera svars tiden och bandbredden för anslutningarna och bestäm om synkron eller asynkron datareplikering är lämplig baserat på resultatet.Run network qualification tests to verify the latency and bandwidth of these connections, and decide whether synchronous or asynchronous data replication is appropriate based on the result. Det är också viktigt att väga de här resultaten med tanke på det optimala återställnings tids målet (RTO).It's also important to weigh these results in view of the optimal recovery time objective (RTO).

Haveri beredskap: avleda trafik från en region till en annanDisaster recovery: diverting traffic from one region to another

Både azure Traffic Manager och Azures front dörr kontrollerar regelbundet tjänst hälsan för lyssnande slut punkter i olika VDC-implementeringar och, om dessa slut punkter fungerar, dirigera automatiskt till nästa närmaste VDC.Both Azure Traffic Manager and Azure Front Door periodically check the service health of listening endpoints in different VDC implementations and, if those endpoints fail, route automatically to the next closest VDC. Traffic Manager använder användar mätningar i real tid och DNS för att dirigera användare till närmaste (eller nästa närmast under ett haveri).Traffic Manager uses real-time user measurements and DNS to route users to the closest (or next closest during failure). Azures front dörr är en omvänd proxy på över 100 Microsoft stamnät Edge-platser med anycast för att dirigera användare till den närmast lyssnande slut punkten.Azure Front Door is a reverse proxy at over 100 Microsoft backbone edge sites, using anycast to route users to the closest listening endpoint.

SammanfattningSummary

En virtuell Data Center metod för migrering av data Center skapar en skalbar arkitektur som optimerar användningen av Azure-resurser, sänker kostnaderna och fören klar system styrningen.A virtual datacenter approach to datacenter migration creates a scalable architecture that optimizes Azure resource use, lowers costs, and simplifies system governance. Det virtuella data centret är vanligt vis baserat på NAV-och ekrarnas nätverkstopologier (med antingen virtuella nätverks-peering eller virtuella WAN-hubbar).The virtual datacenter is typical based on hub and spoke network topologies (using either virtual network peering or Virtual WAN hubs). Delade tjänster som tillhandahålls i hubben och vissa program och arbets belastningar distribueras i ekrarna.Common shared services provided in the hub, and specific applications and workloads are deployed in the spokes. Det virtuella data centret matchar även företags rollernas struktur, där olika avdelningar, till exempel central IT, DevOps och drift och underhåll fungerar tillsammans samtidigt som de utför sina egna roller.The virtual datacenter also matches the structure of company roles, where different departments such as Central IT, DevOps, and Operations and Maintenance all work together while performing their specific roles. Det virtuella data centret stöder migrering av befintliga lokala arbets belastningar till Azure, men ger även många fördelar för molnbaserade distributioner.The virtual datacenter supports migrating existing on-premises workloads to Azure, but also provides many advantages to cloud-native deployments.

ReferenserReferences

Lär dig mer om de Azure-funktioner som beskrivs i det här dokumentet.Learn more about the Azure capabilities discussed in this document.

Nästa stegNext steps

  • Lär dig mer om peering för virtuella nätverk, kärn tekniken för nav-och eker-topologier.Learn more about virtual network peering, the core technology of hub and spoke topologies.
  • Implementera Azure Active Directory att använda rollbaserad åtkomst kontroll i Azure.Implement Azure Active Directory to use Azure role-based access control.
  • Utveckla en prenumerations-och resurs hanterings modell med hjälp av rollbaserad åtkomst kontroll i Azure som passar organisationens struktur, krav och principer.Develop a subscription and resource management model using Azure role-based access control that fits the structure, requirements, and policies of your organization. Den viktigaste aktiviteten är planering.The most important activity is planning. Analysera hur omstrukturer, fusioner, nya produkt linjer och andra överväganden kommer att påverka dina ursprungliga modeller för att säkerställa att du kan skalas för att möta framtida behov och tillväxt.Analyze how reorganizations, mergers, new product lines, and other considerations will affect your initial models to ensure you can scale to meet future needs and growth.