Sanal veri merkezi: ağ perspektifi

Şirket içinden geçirilen uygulamalar, en az uygulama değişiklikleriyle birlikte Azure 'un güvenli maliyetli altyapı özelliğinden faydalanır. Bu nedenle, kuruluşlar, çevikliği artırmak ve Azure 'un yeteneklerini avantajlarından yararlanmak için mimarilerini uyarmalıdır.

Microsoft Azure, kurumsal düzeyde yetenekler ve güvenilirlikle hiper ölçekli hizmetler ve altyapı sunar. Bu hizmetler ve altyapı karma bağlantı bölümünde çok sayıda seçenek sunar. böylece müşteriler bu kullanıcılara internet veya özel bir ağ bağlantısı üzerinden erişmeyi seçebilirler. Microsoft iş ortakları, Azure 'da çalışmak üzere iyileştirilmiş güvenlik hizmetleri ve sanal gereçler sunarak gelişmiş yetenekler de sağlayabilir.

Müşteriler, altyapısını buluta sorunsuz bir şekilde genişletmek ve çok katmanlı mimariler oluşturmak için Azure kullanabilirler.

Sanal veri merkezi nedir?

Bulut, herkese açık uygulamalar barındırmak için bir platform olarak başlamıştır. Kuruluşlar bulutun değerini kabul ve iç iş kolu uygulamalarını geçirmeye başladı. Bu uygulamalar, bulut hizmetleri sunarken daha fazla esneklik sağlayan ek güvenlik, güvenilirlik, performans ve maliyet değerlendirmeleri sağlar. Yeni altyapı ve ağ hizmetleri bu esnekliği sağlamak için tasarlandı ve elastik ölçek, olağanüstü durum kurtarma ve diğer konular için sunulan yeni özellikler.

Bulut çözümleri başlangıçta, genel spekte tek ve görece yalıtılmış uygulamaları barındırmak için tasarlanmıştır. Bu yaklaşım birkaç yıl boyunca iyi çalıştı. Bulut çözümlerinin avantajları net hale geldiğinden, bulutta birden çok büyük ölçekli iş yükü barındırılır. Bir veya daha fazla bölgedeki dağıtımların güvenlik, güvenilirlik, performans ve maliyet sorunlarını giderme, bulut hizmetinin yaşam döngüsü boyunca önemli hale gelmiştir.

Aşağıdaki örnek bulut dağıtım diyagramında, kırmızı kutu bir güvenlik boşluğu vurgulamaktadır. Sarı kutu, ağ sanal gereçlerini iş yükleri genelinde iyileştirmek için bir fırsat gösterir.

Sanal veri merkezleri, kurumsal iş yükleri için gereken ölçekte elde etmenize yardımcı olur. Bu ölçek, genel bulutta büyük ölçekli uygulamalar çalıştırırken tanıtılan zorlukları ele almalıdır.

Bir sanal veri merkezi (VDC) uygulaması, buluttaki uygulama iş yüklerinden daha fazlasını içerir. Ayrıca ağ, güvenlik, yönetim ve DNS ve Active Directory Hizmetleri gibi diğer altyapıyı de sağlar. Kuruluşlar Azure 'a ek iş yüklerini geçirirken, bu iş yüklerini destekleyen altyapıyı ve nesneleri göz önünde bulundurun. Kaynaklarınızı dikkatle yapılandırmak, bağımsız veri akışları, güvenlik modelleri ve uyumluluk güçlükleri ile yüzlerce ayrı yönetilen "iş yükü Adaları" kullanımını önlemeye yardımcı olur.

Sanal veri merkezi kavramı, ayrı ancak ilgili varlıkların bir koleksiyonunu uygulamak için öneriler ve üst düzey tasarımlar sağlar. Bu varlıkların genellikle yaygın destekleyici işlevleri, özellikleri ve altyapısı vardır. İş yüklerinizin bir sanal veri merkezi olarak görüntülenmesi, ölçek ekonomisinden daha düşük maliyetli, bileşen ve veri akışı merkezileşmeyi ile iyileştirilmiş güvenlik ve daha kolay işlemler, yönetim ve uyumluluk denetimleri sağlar.

Bir sanal veri merkezi, kuruluşların Azure 'da iş yüklerini ve uygulamaları dağıtarak aşağıdaki senaryolar için yardımcı olur:

• Birden çok ilgili iş yüklerini barındırın.
• Şirket içi bir ortamdan iş yüklerini Azure 'a geçirin.
• İş yükleri genelinde paylaşılan veya Merkezi güvenlik ve erişim gereksinimleri uygulayın.
• DevOps karıştırma ve büyük bir kuruluş için uygun şekilde merkezi hale getirilmiş.

Who bir sanal veri merkezi mi uygulamalıdır?

Azure 'ı benimsemeye karar veren müşteriler, tüm uygulamalar tarafından yaygın olarak kullanılan bir kaynak kümesini yapılandırmanın verimliliğine göre faydalanabilir. Boyuta bağlı olarak, tek uygulamalar sanal DC uygulaması oluşturmak için kullanılan desenleri ve bileşenleri kullanmaktan faydalanabilir.

Bazı kuruluşların BT, ağ, güvenlik veya uyumluluk için merkezi takımlar veya departmanları vardır. Bir VDC uygulamak, ilke noktalarının, ayrı sorumlulukların uygulanmasını ve temel alınan ortak bileşenlerin tutarlılığını sağlamanıza yardımcı olabilir. Uygulama takımları, gereksinimleri için uygun olan özgürlüğü ve denetimi koruyabilir.

DevOps yaklaşımı olan kuruluşlar, Azure kaynaklarına yetkili cep sağlamak için vdc kavramlarını da kullanabilir. bu yöntem, DevOps gruplarının, bu gruplandırma içinde, abonelik düzeyinde veya ortak bir abonelikteki kaynak gruplarında toplam denetime sahip olmasını sağlayabilir. Aynı zamanda, ağ ve güvenlik sınırları, hub ağı ve merkezi olarak yönetilen kaynak grubundaki merkezi bir ilke tarafından tanımlanan uyumlu kalır.

Sanal veri merkezini uygulamayla ilgili konular

Bir sanal veri merkezi tasarlarken, bu özette sorunları göz önünde bulundurun:

Kimlik ve dizin hizmeti

Kimlik ve Dizin Hizmetleri, hem şirket içi hem de bulut veri merkezlerinin önemli olanaklardır. Kimlik, bir VDC uygulamasındaki hizmetlere erişimin ve yetkilendirmenin tüm yönlerini ele alır. Azure kaynaklarınıza yalnızca yetkili kullanıcıların ve işlemlerin erişebildiğinden emin olmak için Azure, hesap parolaları, şifreleme anahtarları, dijital imzalar ve sertifikalar gibi çeşitli kimlik bilgileri türlerini kullanır. Azure Multi-Factor Authentication , müşterilerin tercih ettikleri yöntemi seçmesine izin veren bir dizi kolay doğrulama seçeneği (telefon araması, SMS mesajı veya mobil uygulama bildirimi) ile güçlü kimlik doğrulaması kullanarak Azure hizmetlerine erişmek için ek bir güvenlik katmanı sağlar.

Herhangi bir büyük kuruluşun, tek tek kimliklerin yönetimini, kimlik doğrulama, yetkilendirme, rol ve ayrıcalıklarını VDC 'ler içinde veya bunlar arasında tanımlayan bir kimlik yönetimi işlemi tanımlaması gerekir. Bu işlemin amaçları, maliyetleri, kapalı kalma süresini ve yinelenen el ile görevleri azaltırken güvenlik ve verimliliği artırmak için olmalıdır.

Enterprise kuruluşlar farklı iş hatları için yoğun bir hizmet karışımı gerektirebilir ve çalışanlar farklı projelere dahil edildiğinde genellikle farklı rollere sahip olabilir. VDC, her biri belirli rol tanımlarına sahip farklı takımlar arasında iyi bir işlem gerektirir. böylece, iyi idare ile çalışan sistemleri edinebilirsiniz. Sorumluluk matrisi, erişim ve haklar karmaşık olabilir. vdc 'de kimlik yönetimi Azure Active Directory (azure AD) ve Azure rol tabanlı erişim denetimi (azure RBAC) aracılığıyla uygulanır.

Dizin Hizmeti, günlük öğeleri ve ağ kaynaklarını bulan, yöneten, yöneten ve düzenleyen bir paylaşılan bilgi altyapısıdır. Bu kaynaklar birimler, klasörler, dosyalar, yazıcılar, kullanıcılar, gruplar, cihazlar ve diğer nesneleri içerebilir. Ağ üzerindeki her kaynak, dizin sunucusu tarafından bir nesne olarak kabul edilir. Bir kaynakla ilgili bilgiler, bu kaynak veya nesneyle ilişkili özniteliklerin bir koleksiyonu olarak depolanır.

tüm Microsoft online iş hizmetleri, oturum açma ve diğer kimlik ihtiyaçları için Azure Active Directory (Azure AD) kullanır. Azure Active Directory, temel dizin hizmetleri, gelişmiş kimlik yönetimi ve uygulama erişim yönetimi 'ni birleştiren kapsamlı, yüksek oranda kullanılabilir bir kimlik ve erişim yönetimi bulut çözümüdür. Azure AD, tüm bulut tabanlı ve yerel olarak barındırılan şirket içi uygulamalarda çoklu oturum açmayı etkinleştirmek için şirket içi Active Directory ile tümleştirilebilir. Şirket içi Active Directory Kullanıcı öznitelikleri Azure AD ile otomatik olarak eşitlenebilir.

Bir VDC uygulamasındaki tüm izinleri atamak için tek bir genel yönetici gerekli değildir. Bunun yerine, her belirli departman, Kullanıcı grubu veya dizin hizmetindeki hizmetler bir VDC uygulamasında kendi kaynaklarını yönetmek için gerekli izinlere sahip olabilir. Yapılandırma izinlerinin dengelenmesi gerekir. Çok fazla izin performansı verimliliği artırabilir ve çok az veya gevşek izinler güvenlik risklerini artırabilir. Azure rol tabanlı erişim denetimi (Azure RBAC), bir VDC uygulamasındaki kaynaklar için ayrıntılı erişim yönetimi sunarak bu sorunu ele almanıza yardımcı olur.

Güvenlik altyapısı

Güvenlik altyapısı, bir VDC uygulamasının belirli bir sanal ağ kesimindeki trafiği ayırmayı ifade eder. Bu altyapı, giriş ve çıkış işlemlerinin bir VDC uygulamasında nasıl denetlendiğini belirtir. Azure, sanal ağ yalıtımı, erişim denetim listeleri, yük dengeleyiciler, IP filtreleri ve trafik akışı ilkeleri kullanarak dağıtımlar arasında yetkisiz ve istemeyerek trafiği önleyen çok kiracılı bir mimariye dayanır. Ağ adresi çevirisi (NAT), iç ağ trafiğini dış trafikten ayırır.

Azure Fabric, kiracı iş yükleri için altyapı kaynaklarını ayırır ve sanal makinelere ve sanal makinelere (VM) yönelik iletişimleri yönetir. Azure Hiper Yöneticisi VM 'Ler arasında bellek ve işlem ayrımı uygular ve ağ trafiğini Konuk işletim sistemi kiracılarına güvenli bir şekilde yönlendirir.

Buluta bağlantı

Bir sanal veri merkezi, müşterilere, iş ortaklarına veya dahili kullanıcılara hizmet sunmak için dış ağlara bağlantı gerektirir. Bu bağlantı gereksinimi yalnızca Internet 'e değil, ayrıca şirket içi ağlar ve veri merkezleri için de geçerlidir.

Müşteriler, hangi hizmetlere erişebileceğini ve genel İnternet 'ten erişilebilir olduğunu denetler. Bu erişim, Azure Güvenlik Duvarı veya diğer türlerde sanal ağ gereçlerini (NVA 'lar), Kullanıcı tanımlı yollarkullanılarak özel yönlendirme ilkelerini ve ağ güvenlik gruplarıkullanılarak ağ filtrelemeyi kullanarak denetlenir. İnternet 'e yönelik tüm kaynakların de Azure DDoS koruma standardıtarafından korunmasını öneririz.

Kuruluşların sanal veri merkezini şirket içi veri merkezlerine veya diğer kaynaklara bağlanması gerekebilir. Azure ile şirket içi ağlar arasındaki bu bağlantı, etkili bir mimari tasarlarken önemli bir yönüdür. Kuruluşların bu iç bağlantı oluşturmak için iki farklı yolu vardır: Internet üzerinden veya özel doğrudan bağlantılar aracılığıyla geçiş.

Azure siteden sıteye VPN , şirket Içi ağları Azure 'daki sanal veri merkezinize bağlar. Bağlantı, güvenli şifreli bağlantılar (IPSec tünelleri) ile oluşturulur. Azure siteden siteye VPN bağlantıları esnektir, hızlı bir şekilde oluşturulur ve genellikle ek donanım tedariği gerektirmez. Endüstri standardı protokoller temel alınarak, geçerli ağ cihazlarının çoğu Internet veya mevcut bağlantı yolları üzerinden Azure 'a VPN bağlantıları oluşturabilir.

ExpressRoute , sanal veri merkeziniz ile şirket içi ağlar arasında özel bağlantılar sunar. ExpressRoute bağlantıları, genel Internet üzerinden geçmez ve tutarlı gecikme süresiyle birlikte daha yüksek güvenlik, güvenilirlik ve daha yüksek hız (100 Gbps 'ye kadar) sunar. ExpressRoute, özel bağlantılarla ilişkili uyumluluk kurallarının avantajlarını sağlar. ExpressRoute Directile, 10 gbps veya 100 Gbps 'de doğrudan Microsoft yönlendiricilerine bağlanabilirsiniz.

ExpressRoute bağlantılarını dağıtmak, genellikle bir ExpressRoute hizmet sağlayıcısı ile ilgilenir (ExpressRoute doğrudan özel duruma gelmiştir). Hızla başlaması gereken müşteriler için, bir sanal veri merkezi ve şirket içi kaynaklar arasında bağlantı kurmak üzere ilk olarak siteden siteye VPN kullanılması yaygındır. Hizmet sağlayıcınızla fiziksel bağlantı kurulduktan sonra, ExpressRoute bağlantınıza bağlantı geçirin.

Çok sayıda VPN veya ExpressRoute bağlantısı için Azure sanal WAN , Azure ile iyileştirilmiş ve otomatik olarak dallandırma bağlantısı sağlayan bir ağ hizmetidir. Sanal WAN, Azure ile iletişim kurmak için şube cihazlarına bağlanmanızı ve bunları yapılandırmanızı sağlar. Bağlama ve yapılandırma, el ile veya bir sanal WAN iş ortağı aracılığıyla tercih edilen sağlayıcı cihazları kullanılarak yapılabilir. Tercih edilen sağlayıcı cihazlarının kullanılması, kullanım kolaylığı, bağlantı basitleştirmesi ve yapılandırma yönetimi sağlar. Azure WAN yerleşik panosu, size zaman kazandırır ve büyük ölçekli siteden siteye bağlantıyı görüntülemenin kolay bir yolunu sunar. Sanal WAN Ayrıca sanal WAN hub 'ınızdaki isteğe bağlı bir Azure Güvenlik Duvarı ve güvenlik duvarı Yöneticisi ile güvenlik hizmetleri sağlar.

Bulut içinde bağlantı

Azure sanal ağları ve sanal ağ eşlemesi , bir sanal veri merkezindeki temel ağ bileşenleridir. Sanal ağ, sanal veri merkezi kaynakları için yalıtım sınırını garanti eder. Eşleme, aynı Azure bölgesi içindeki farklı sanal ağlar arasında, bölgeler arasında ve hatta farklı aboneliklerdeki ağlar arasında karşılıklı iletişim sağlar. Hem sanal ağlar içinde hem de arasında trafik akışları, ağ güvenlik grupları, güvenlik duvarı Ilkeleri (Azure Güvenlik Duvarı veya ağ sanal cihazları) ve Kullanıcı tanımlı özel yollariçin belirtilen güvenlik kuralları kümeleriyle denetlenebilir.

sanal ağlar ayrıca, hizmet olarak platform (paas) azure ürünlerini, azure Depolama, azure SQLve genel uç noktalarına sahip diğer tümleşik genel hizmetleri tümleştirmek için de yer alan bağlantı noktalarıdır. Hizmet uç noktaları ve Azure özel bağlantısıile, genel hizmetlerinizi özel ağınızla tümleştirebilirsiniz. Ortak hizmetlerinizi özel olarak da kullanabilirsiniz, ancak yine de Azure tarafından yönetilen PaaS hizmetlerinin avantajlarından yararlanabilirsiniz.

Sanal veri merkezine genel bakış

Topolojiler

Bir sanal veri merkezi, gereksinimlerinize ve ölçek gereksinimlerinize göre bu üst düzey topolojilerden biri kullanılarak oluşturulabilir:

Düz bir topolojide, tüm kaynaklar tek bir sanal ağda dağıtılır. Alt ağlar akış denetimi ve ayırma için izin verir.

Bir kafes topolojisinde, sanal ağ eşlemesi tüm sanal ağları doğrudan birbirlerine bağlar.

Bir eşleme hub 'ı ve bağlı bileşen topolojisi , sunulan sorumluluklara sahip dağıtılmış uygulamalar ve takımlar için uygun bir seçenektir.

Azure sanal WAN topolojisi , büyük ölçekli şube ofis senaryolarını ve küresel WAN hizmetlerini destekleyebilir.

Eşleme merkezi ve bağlı bileşen topolojisi ile Azure sanal WAN topolojisi, hem iletişim, paylaşılan kaynaklar hem de merkezi güvenlik ilkesi için ideal olan bir hub ve bağlı bileşen tasarımı kullanır. Hub 'lar bir sanal ağ eşleme hub 'ı (diyagramda olarak etiketlenir Hub Virtual Network ) veya bir sanal WAN hub 'ı (diyagramda olarak etiketlenir) kullanılarak oluşturulur Azure Virtual WAN . Azure sanal WAN, büyük ölçekli dallara ve daldan Azure iletişimine yönelik olarak tasarlanmıştır veya tüm bileşenlerin bir sanal ağ eşleme hub 'ında tek tek oluşturulması için karmaşıklıklardan kaçınmayı önler. Bazı durumlarda gereksinimleriniz, hub 'daki ağ sanal gereçlerinin ihtiyacı gibi bir sanal ağ eşleme merkezi tasarımını zorunlu kılabilir.

Hub ve bağlı olan topolojilerde hub, farklı bölgeler arasındaki tüm trafiği denetleyen ve denetleyen merkezi ağ bölgesidir: internet, şirket içi ve bağlı bileşenler. Hub ve bağlı bileşen topolojisi, BT bölümünün güvenlik ilkelerini merkezi olarak zorlayacağı yardımcı olur. Ayrıca, yanlış yapılandırma ve risklere maruz kalma olasılığını da azaltır.

Hub, genellikle bağlı bileşenler tarafından tüketilen ortak hizmet bileşenlerini içerir. Ortak merkezi hizmetlere ait örnekler aşağıdadır:

• şirket içindeki iş yüklerine erişmeden önce güvenilmeyen ağlardan erişen üçüncü tarafların kullanıcı kimlik doğrulaması için gerekli Windows Active Directory altyapısı. İlgili Active Directory Federasyon Hizmetleri’ni (AD FS) içerir.
• Azure DNS kullanılmıyorsa Şirket içindeki ve internet üzerindeki kaynaklara erişmek için, bağlı bileşenler üzerinde iş yükü için adlandırmayı çözümlemek üzere dağıtılmış bir ad SISTEMI (DNS) hizmeti.
• İş yüklerinde çoklu oturum açmayı uygulamaya yönelik ortak anahtar altyapısı (PKI).
• Uç ağ bölgeleri ile İnternet arasında TCP ve UDP trafiğinin akış denetimi.
• Uçlar ve şirket içi arasında akış denetimi.
• Gerekirse, bir uç ile diğeri arasında akış denetimi.

Bir sanal veri merkezi, birden çok bağlı bileşen arasındaki paylaşılan hub altyapısını kullanarak genel maliyeti azaltır.

Her uç rolü farklı iş yükü türlerini barındırabilir. Uçlar ayrıca aynı iş yüklerinin yinelenebilir dağıtımlarına yönelik modüler bir yaklaşım sağlar. Örnek geliştirme/test, Kullanıcı kabul testi, ön üretim ve üretim sayılabilir. Uçlar ayrıca, kuruluşunuzdaki farklı grupları da ayırt edebilir ve etkinleştirebilir. bir örnek DevOps gruplarıdır. Uç içinde, temel iş yükü dağıtmak veya katmanlar arasında trafik denetimiyle karmaşık, çok katmanlı iş yüklerini dağıtmak mümkündür.

Abonelik limitleri ve birden çok merkez

Azure’da, türü ne olursa olsun her bileşen bir Azure aboneliğinde dağıtılır. Farklı Azure aboneliklerindeki Azure bileşenlerinin yalıtımı, farklı erişim ve yetkilendirme düzeylerini ayarlama gibi farklı iş kolu gereksinimlerini karşılayabilir.

Tek bir VDC uygulamasının ölçeği, her BT sisteminde olduğu gibi çok sayıda tekerlek halinde ölçeklendirebilir, ancak platform sınırları vardır. Hub dağıtımı, kısıtlama ve sınırlara (örneğin, en fazla sayıda sanal ağ eşlemesi) sahip belirli bir Azure aboneliğine bağlıdır. Ayrıntılar için bkz. Azure aboneliği ve hizmet limitleri, Kotalar ve kısıtlamalar. Limitlerin bir sorun olabileceği durumlarda, modeli tek bir hub 'dan, hub ve bağlı bileşenler kümesine genişleterek bu mimari daha fazla ölçeklendirebilir. Bir veya daha fazla Azure bölgesindeki birden çok hub, sanal ağ eşlemesi, ExpressRoute, sanal WAN veya siteden siteye VPN kullanılarak bağlanabilir.

Birden çok hub 'ın tanıtımı sistemin maliyet ve yönetim çabasıyla artar. Yalnızca ölçeklenebilirlik, sistem sınırları, yedeklilik, Son Kullanıcı performansı için bölgesel çoğaltma veya olağanüstü durum kurtarma nedeniyle bu şekilde bloklanıyor. Birden çok hub gerektiren senaryolarda, tüm Hub 'lar operasyonel kolaylaştırmak için aynı hizmet kümesini sunmaya çalışır.

Uçlar arasında bağlantı

Tek bir bağlı bileşen veya düz ağ tasarımı içinde karmaşık çok katmanlı iş yükleri uygulamak mümkündür. Çoklu katman yapılandırması, aynı sanal ağdaki her katman veya uygulama için bir tane olmak üzere alt ağlar kullanılarak uygulanabilir. Trafik denetimi ve filtreleme, ağ güvenlik grupları ve Kullanıcı tanımlı rotalar kullanılarak yapılır.

Bir mimar, çok katmanlı iş yükünü birden çok sanal ağa dağıtmak isteyebilir. Sanal ağ eşlemesi ile, ışınsal ler aynı hub 'daki veya farklı hub 'lardaki diğer ışınsal 'lara bağlanabilir. Bu senaryonun tipik bir örneği, uygulama işleme sunucularının tek bir bağlı veya sanal ağ içinde olduğu durumdur. Veritabanı farklı bir bağlı bileşen veya sanal ağ ile dağıtılır. Bu durumda, sanal ağ eşlemesi ile bağlı bileşen bağlantısı yapmak kolaydır ve bunu yaparak hub 'dan geçişli bir geçiş yapmaktan kaçının. Hub 'ın atlanıp yalnızca Hub 'da mevcut olabilecek önemli güvenlik veya denetim noktalarını atmasını sağlamak için dikkatli bir mimari ve güvenlik incelemesi yapılmalıdır.

Uçlar ayrıca merkez gibi davranan bir uca da bağlanabilir. Bu yaklaşım iki düzeyli bir hiyerarşi oluşturur: Daha üst düzeydeki (düzey 0) uç, hiyerarşinin alt uçlarındaki (düzey 1) merkezi olur. Trafiğin şirket içi ağda veya genel İnternet 'te hedefine iletileceği şekilde trafiği merkezi Huba iletmek için VDC uygulamasının geçiş uçlarından biri gereklidir. İki hub düzeyi olan bir mimari, basit bir hub-ışınsal ilişkisinin avantajlarını kaldıran karmaşık yönlendirme sağlar.

Azure karmaşık Topolojilerine izin verse de, VDC kavramının temel prensiklarından biri yinelenebilirlik ve basitlik olur. Yönetim çabalarını en aza indirmek için, basit Merkez-uç tasarımı, önerdiğimiz VDC başvuru mimarisidir.

Bileşenler

Sanal veri merkezi, dört temel bileşen türünden oluşur: altyapı, çevre ağları, iş yüklerive izleme.

Her bileşen türü çeşitli Azure özelliklerinden ve kaynaklarından oluşur. VDC uygulamanız birden çok bileşen türünün örneklerinden ve aynı bileşen türünde birden çok çeşitliliğe sahiptir. Örneğin, farklı uygulamaları temsil eden birçok farklı, mantıksal olarak ayrılmış iş yükü örneği olabilir. Bu farklı bileşen türlerini ve örneklerini, son olarak VDC oluşturmak için kullanırsınız.

VDC 'nin önceki üst düzey kavramsal mimarisi, hub-tekerlek topolojisinin farklı bölgelerinde kullanılan farklı bileşen türlerini gösterir. Diyagramda altyapı bileşenleri mimarinin çeşitli bölümlerinde gösterilmektedir.

Genel bir yöntem olarak, erişim hakları ve ayrıcalıklar grup tabanlı olmalıdır. Bireysel kullanıcılar yerine gruplar ile ilgilenirken, ekip genelinde yönetmek için tutarlı bir yol sağlayarak ve yapılandırma hatalarını en aza indirmek için, erişim ilkelerinin bakımını kolaylaştırır. Kullanıcıları uygun gruplara atamak ve kaldırmak, belirli bir kullanıcının ayrıcalıklarını güncel tutmaya yardımcı olur.

Her rol grubunun adlarında benzersiz bir ön eki olmalıdır. Bu ön ek, hangi grubun hangi iş yüküyle ilişkilendirildiğini tanımlamanızı kolaylaştırır. Örneğin, bir kimlik doğrulama hizmetini barındıran iş yükünün Authserviceneüstler, authservicesecops, Authservicedevopsve AuthServiceInfraOpsadlı gruplar olabilir. Merkezi roller veya belirli bir hizmetle ilgili olmayan roller, Corpile önceden ortaya çıkmış olabilir. Bir örnek, Corpneupdir.

Birçok kuruluş, rollerin önemli bir dökümünü sağlamak için aşağıdaki grupların bir çeşidini kullanır:

• Corp ADLı merkezi BT ekibinin, altyapı bileşenlerini denetlemek için sahiplik hakları vardır. Ağ ve güvenlik örnekleri verilmiştir. Grubun, abonelik üzerinde katkıda bulunan rolü, hub denetimi ve bağlı olan ağ katılımcısı haklarının olması gerekir. Büyük kuruluşlar genellikle bu yönetim sorumluluklarını birden çok takım arasında böler. Ağ iletişimi ve güvenlik ilkesinden sorumlu bir güvenlik işlemleri Corpsecops grubu ve ağ üzerinde özel odağa sahip bir ağ Işlemleri corpneupa grubu örnekleri verilmiştir. Bu özel durumda, bu özel rollerin atanması için iki farklı grubun oluşturulması gerekir.
• Appdevops adlı geliştirme ve test grubunun uygulama veya hizmet iş yüklerini dağıtma sorumluluğu vardır. Bu grup, IaaS dağıtımları veya bir veya daha fazla PaaS katılımcısı 'nın rollerinin sanal makine katılımcısı rolünü alır. Daha fazla bilgi için bkz. Azure yerleşik rolleri. İsteğe bağlı olarak, geliştirme ve test ekibi, hub içindeki güvenlik ilkeleri (ağ güvenlik grupları) ve yönlendirme ilkeleri (Kullanıcı tanımlı yollar) üzerinde görünürlük gerektirebilir. İş yükleri için katkıda bulunan rolün yanı sıra, bu grubun da ağ okuyucu rolüne ihtiyacı vardır.
• CorpInfraOps veya AppInfraOps adlı işlem ve bakım grubu, üretimde iş yüklerini yönetme sorumluluğuna sahiptir. Bu grubun herhangi bir üretim aboneliklerinde iş yükleri üzerinde bir abonelik katılımcısı olması gerekir. Bazı kuruluşlar, üretimde ve merkezi hub aboneliğinde abonelik katılımcısı rolü ile ek bir yükseltme desteği ekibi grubuna ihtiyaç duyduklarında da değerlendirme sağlayabilir. Ek grup, üretim ortamındaki olası yapılandırma sorunlarını düzeltir.

VDC, merkezi BT ekibi için oluşturulan grupların iş yükü düzeyinde karşılık gelen gruplar olmasını sağlayacak şekilde tasarlanmıştır. Merkezi BT ekibi, yalnızca Hub kaynaklarını yönetmeye ek olarak, abonelikte dış erişimi ve en üst düzey izinleri denetleyebilir. İş yükü grupları, merkezi BT takımlarından bağımsız olarak sanal ağının kaynaklarını ve izinlerini de denetleyebilir.

Sanal veri merkezi, farklı iş hatları genelinde birden fazla projeyi güvenli bir şekilde barındırmak üzere bölümlenir. Tüm projeler farklı yalıtılmış ortamlar (dev, UAT ve üretim) gerektirir. Bu ortamların her biri için ayrı Azure abonelikleri, doğal yalıtım sağlayabilir.

Yukarıdaki diyagramda, bir kuruluşun projeleri, kullanıcıları ve grupları ile Azure bileşenlerinin dağıtıldığı ortamlar arasındaki ilişki gösterilmektedir.

Genellikle, bir ortam (veya katman), birden fazla uygulamanın dağıtıldığı ve yürütüldüğü bir sistemdir. Büyük kuruluşlar bir geliştirme ortamı (değişikliklerin yapıldığı ve test edildiği) ve bir üretim ortamının (son kullanıcıların kullanması) kullanır. Bu ortamlar, genellikle aralarında aşamalı dağıtım (dağıtım), test ve geri alma gibi birçok hazırlama ortamı ile ayrılır. Dağıtım mimarileri önemli ölçüde farklılık gösterir, ancak genellikle geliştirme (geliştirme) ve üretimde (üretim) sona ermek üzere temel işlem yine de izlenir.

bu çok katmanlı ortamlar için ortak bir mimari, geliştirme ve test, hazırlık ve üretim ortamları için DevOps oluşur. Kuruluşlar, bu ortamlara erişimi ve hakları tanımlamak için tek veya birden çok Azure AD kiracılarını kullanabilir. önceki diyagramda iki farklı Azure AD kiracısının kullanıldığı bir durum gösterilir: biri DevOps ve uat için ve diğeri üretim için özel olarak.

Farklı Azure AD kiracılarının varlığı, ortamlar arasında ayrımı zorlar. merkezi bt ekibi gibi aynı kullanıcı grubu, bir projenin DevOps veya üretim ortamlarının rollerini veya izinlerini değiştirmek için farklı bir Azure AD kiracısına erişmek üzere farklı bir urı kullanarak kimlik doğrulaması yapması gerekir. Farklı ortamlara erişmek için farklı Kullanıcı kimlik doğrulamaları mevcut olduğunda, olası kesintiler ve insan hatalarından kaynaklanan diğer sorunlar azalır.

Bileşen türü: altyapı

Bu bileşen türü, destekleyici altyapının çoğunun bulunduğu yerdir. Ayrıca, merkezi BT, güvenlik ve uyumluluk ekiplerinizin çoğu zaman harcayacağı yerdir.

Altyapı bileşenleri, bir VDC uygulamasının farklı bileşenlerine yönelik bir bağlantı sağlar ve hem hub 'da hem de bağlı bileşenlerinde bulunur. Altyapı bileşenlerini yönetme ve sürdürme sorumluluğu genellikle merkezi BT ekibine veya güvenlik ekibine atanır.

BT altyapısı ekibinin birincil görevlerinin biri, kuruluş genelinde IP adresi şemaları tutarlılığını güvence altına almak için kullanılır. Bir VDC uygulamasına atanan özel IP adresi alanı, şirket içi ağlarınızda atanan özel IP adresleriyle tutarlı ve çakışmayan olmalıdır.

Şirket içi Edge yönlendiricilerinde veya Azure ortamlarında NAT, IP adresi çakışmalarını önleyebileceğiniz için altyapı bileşenlerinizi karmaşıklıkları ekler. Yönetimin basitliği, VDC 'nin temel amaçlarından biridir. bu nedenle, IP sorunlarını işlemek için NAT kullanılması önerilen bir çözüm değildir.

Altyapı bileşenleri aşağıdaki işlevlere sahiptir:

• Kimlik ve Dizin Hizmetleri. Azure 'daki her kaynak türüne erişim, bir dizin hizmetinde depolanan bir kimlik tarafından denetlenir. Dizin hizmeti yalnızca kullanıcıların listesini değil, belirli bir Azure aboneliğindeki kaynaklara erişim haklarını da depolar. Bu hizmetler yalnızca bulutta bulunabilir veya Active Directory ' de depolanan şirket içi kimlikle eşitlenebilir.
• Sanal ağ. Sanal ağlar VDC 'nin ana bileşenlerinden biridir ve Azure platformunda trafik yalıtımı sınırı oluşturmanızı sağlar. Bir sanal ağ, her biri belirli bir IP ağ önekine (IPv4 veya çift yığın IPv4/IPv6) sahip olan tek veya birden çok sanal ağ kesiminden oluşur. Sanal ağ, IaaS sanal makinelerinin ve PaaS hizmetlerinin özel iletişimler kurabilbileceği bir iç çevre alanını tanımlar. Tek bir sanal ağdaki VM 'Ler (ve PaaS hizmetleri), aynı müşteri tarafından her iki sanal ağ da aynı abonelik kapsamında oluşturulmuş olsa bile, farklı bir sanal ağdaki VM 'Ler (ve PaaS hizmetleri) doğrudan iletişim kuramaz. Yalıtım, bir sanal ağ içinde müşteri VM 'lerinin ve iletişimin özel kalmasını sağlayan kritik bir özelliktir. Çapraz ağ bağlantısının istendiği yerde, aşağıdaki özellikler nasıl gerçekleştirebileceğini açıklamaktadır.
• Sanal ağ eşlemesi. VDC altyapısını oluşturmak için kullanılan temel özellik, aynı bölgedeki iki sanal ağı, Azure veri merkezi ağı aracılığıyla veya bölgelerde dünya genelindeki Azure omurgasını kullanarak bağlayan sanal ağ eşlemesi 'dir.
• Sanal ağ hizmeti uç noktaları. Hizmet uç noktaları, sanal ağınızın özel adres alanınızı PaaS alanınızı içerecek şekilde genişletir. Uç noktalar Ayrıca, sanal ağınızın kimliğini doğrudan bağlantı üzerinden Azure hizmetlerine genişletir. Uç noktalar kritik Azure hizmeti kaynaklarınızı sanal ağlarınızla sınırlayarak güvenliğini sağlamanıza imkan verir.
• Özel bağlantı. azure özel bağlantısı, azure paas hizmetlerine (örneğin, azure Depolama, Azure Cosmos DBve Azure SQL Veritabanı) ve azure 'da barındırılan müşteri/iş ortağı hizmetlerine sanal ağınızdaki özel bir uç nokta üzerinden erişmenizi sağlar. Sanal ağınız ve hizmet arasındaki trafik, Microsoft omurga ağı üzerinden geçer ve genel İnternet’ten etkilenme olasılığı ortadan kaldırılır. Ayrıca, kendi özel bağlantı hizmetinizi sanal ağınızda oluşturup müşterilerinize özel olarak iletebilirsiniz. Azure özel bağlantısı kullanılarak kurulum ve tüketim deneyimi Azure PaaS, müşteriye ait ve paylaşılan iş ortağı hizmetleri arasında tutarlıdır.
• Kullanıcı tanımlı yollar. Bir sanal ağdaki trafik, sistem yönlendirme tablosuna göre varsayılan olarak yönlendirilir. Kullanıcı tanımlı yol, ağ yöneticilerinin sistem yönlendirme tablosunun davranışını geçersiz kılmak ve bir sanal ağ içinde bir iletişim yolu tanımlamak için bir veya daha fazla alt ağla ilişkilendirebileceğiniz özel bir yönlendirme tablosudur. Kullanıcı tanımlı yolların varlığı, belirli özel VM 'Ler veya ağ sanal gereçlerinin yanı sıra hub ve tekerlek uçlarında bulunan yük dengeleyiciler üzerinden bağlı olan çıkış trafiğini garanti eder.
• Ağ güvenlik grupları. Ağ güvenlik grubu, IP kaynakları, IP hedefleri, protokoller, IP kaynak bağlantı noktaları ve IP hedef bağlantı noktaları (katman 4 5 grubu olarak da adlandırılır) üzerinde trafik filtrelemesi gibi davranan güvenlik kurallarının bir listesidir. Ağ güvenlik grubu, bir alt ağa, bir Azure VM ile ilişkili bir sanal NIC veya her ikisiyle uygulanabilir. Ağ güvenlik grupları, hub 'da ve bağlı ışınsal içinde doğru akış denetimi uygulamak için gereklidir. Ağ güvenlik grubu tarafından uygun güvenlik düzeyi, açtığınız bağlantı noktalarına ve ne amaçla bir işlevdir. müşteriler, ıptables veya Windows güvenlik duvarı gibi ana bilgisayar tabanlı güvenlik duvarlarıyla VM başına ek filtreler uygulamalıdır.
• DNS. DNS, bir sanal veri merkezindeki kaynaklar için ad çözümlemesi sağlar. Azure, hem genel hem de özel ad çözümlemesi için DNS hizmetleri sağlar. Özel bölgeler, hem sanal ağ hem de sanal ağlar arasında ad çözümlemesi sağlar. Özel bölgelere yalnızca aynı bölgedeki sanal ağlarda ve aynı zamanda bölgeler ve abonelikler arasında yer alan bir şekilde yer kalmaz. genel çözüm için Azure DNS, DNS etki alanları için bir barındırma hizmeti sağlar ve Microsoft Azure altyapısını kullanarak ad çözümlemesi sağlar. Etki alanlarınızı Azure'da barındırarak DNS kayıtlarınızı diğer Azure hizmetlerinde kullandığınız kimlik bilgileri, API’ler, araçlar ve faturalarla yönetebilirsiniz.
• Yönetim grubu, abonelikve kaynak grubu yönetimi. Abonelik, Azure 'da birden çok kaynak grubu oluşturmak için doğal bir sınır tanımlar. Bu ayrım, işlev, rol ayrımı veya faturalandırma için olabilir. Bir abonelikteki kaynaklar, kaynak grupları olarak bilinen mantıksal kapsayıcılarda birlikte toplanır. Kaynak grubu, bir sanal veri merkezinde kaynakları düzenlemek için bir mantıksal grubu temsil eder. Kuruluşunuzda birden fazla abonelik varsa bu abonelikler için verimli bir şekilde erişim, ilke ve uyumluluk yönetimi gerçekleştirmek isteyebilirsiniz. Azure yönetim grupları aboneliklerin üzerinde bir kapsam düzeyi sağlar. Abonelikleri yönetim grupları olarak bilinen kapsayıcılar halinde düzenler ve idare koşullarınızı yönetim gruplarına uygularsınız. Bir yönetim grubu içindeki aboneliklerin tümü otomatik olarak yönetim grubuna uygulanmış olan koşulları devralır. Bu üç özelliği bir hiyerarşi görünümünde görmek için bkz. bulut benimseme çerçevesindeki kaynaklarınızı düzenleme .
• Azure rol tabanlı erişim denetimi (Azure RBAC). Azure RBAC, belirli Azure kaynaklarına erişmek için kurumsal rolleri ve hakları eşleyebilir, böylece kullanıcıları yalnızca belirli bir eylem alt kümesiyle kısıtlayabilirsiniz. Azure Active Directory şirket içi Active Directory ile eşitliyorsanız, Azure 'da şirket içinde kullandığınız Active Directory gruplarının aynısını kullanabilirsiniz. Azure RBAC ile ilgili kapsam içindeki kullanıcılara, gruplara ve uygulamalara uygun rolü atayarak erişim izni verebilirsiniz. Rol atamasının kapsamı, bir Azure aboneliği, bir kaynak grubu veya tek bir kaynak olabilir. Azure RBAC, izinlerin devralınmasını sağlar. Bir üst kapsamda atanan bir rol de içindeki alt öğelere erişim verir. Azure RBAC 'yi kullanarak, görevleri ve yalnızca işlerini gerçekleştirmesi için ihtiyaç duydukları kullanıcılara erişim miktarına izin verebilirsiniz. örneğin, bir çalışan sanal makineleri bir abonelikte yönetebilir, diğeri aynı abonelikte SQL Server veritabanlarını yönetebilir.

Bileşen türü: çevre ağları

Bir çevre ağının bileşenleri (bazen DMZ Network olarak da adlandırılır) Şirket içi veya fiziksel veri merkezi ağlarınızı internet bağlantısıyla birlikte bağlayın. Çevre genellikle ağınız ve güvenlik Takımlarınızdan önemli bir zaman yatırımı gerektirir.

Gelen paketlerin, bağlı bileşenler üzerinde arka uç sunucularına ve hizmetlerine ulaşmadan önce hub 'daki güvenlik gereçlerine akamalıdır. Güvenlik Duvarı, KIMLIKLER ve IP 'ler örnekleri bulunur. Ağdan çıkmadan önce, iş yüklerindeki internet 'e ait paketlerin çevre ağındaki güvenlik gereçlerine de akamalıdır. Bu akış, ilke zorlaması, İnceleme ve denetim imkanı sunar.

Çevre ağ bileşenleri şunları içerir:

• Sanal ağlar, kullanıcı tanımlı yollar ve ağ güvenlik grupları
• Ağ sanal gereçleri
• Azure Load Balancer
• Web uygulaması güvenlik duvarı (WAF) ile Azure Application Gateway
• Genel IP'ler
• Web uygulaması güvenlik duvarı (WAF) Ile Azure ön kapısı
• Azure Güvenlik Duvarı ve Azure Güvenlik Duvarı Yöneticisi
• Standart DDoS koruması

Genellikle, merkezi BT ekibi ve güvenlik ekipleri, çevre ağlarının gereksinim tanımı ve çalışması için sorumluluğa sahiptir.

Yukarıdaki diyagramda, her ikisi de DMZ hub 'ında bulunan Internet 'e ve şirket içi ağa erişimi olan iki duvarlar zorlaması gösterilmektedir. DMZ hub 'ında, çevre ağı birçok iş satırını desteklemek için ölçeklendirilebilir ve birden çok Web uygulaması güvenlik duvarı (WAFs) veya Azure Güvenlik Duvarı grubu kullanarak ölçeklenebilir. Hub Ayrıca gerektiğinde VPN veya ExpressRoute aracılığıyla şirket içi bağlantıya izin verir.

Sanal ağlar. Merkez genellikle, Azure Güvenlik Duvarı, NVA 'lar, WAF ve Azure Application Gateway örnekleri aracılığıyla internet 'e/giden trafiği filtreleyip denetleyen farklı türlerde Hizmetleri barındırmak için birden çok alt ağa sahip bir sanal ağ üzerinde oluşturulmuştur.

Kullanıcı tanımlı yollar. Müşteriler, Kullanıcı tanımlı yollar kullanarak güvenlik duvarları, KIMLIKLER/IP 'ler ve diğer sanal gereçler dağıtımını yapabilir ve ağ trafiğini güvenlik sınırı ilkesi zorlaması, denetim ve İnceleme için bu güvenlik gereçlerine yönlendirebilir. Trafiğin belirli özel VM 'Ler, ağ sanal gereçler ve VDC uygulamasının kullandığı yük dengeleyiciler üzerinden geçiş yapmasına olanak sağlamak için hem hub 'da hem de bağlı bileşenler üzerinde Kullanıcı tanımlı yollar oluşturulabilir. Bağlı ağdaki sanal makinelerden oluşturulan trafiğin doğru sanal gereçilere karşı geçiş yaptığı garantilemek için, iç yük dengeleyicinin ön uç IP adresini sonraki atlama olarak ayarlayarak, Kullanıcı tanımlı bir yol, bağlı olan alt ağlarda ayarlanmalıdır. Dahili yük dengeleyici, dahili trafiği sanal aletlere (yük dengeleyici arka uç havuzu) dağıtır.

Azure Güvenlik Duvarı , Azure sanal ağ kaynaklarınızı koruyan bir yönetilen ağ güvenlik hizmetidir. Yüksek kullanılabilirlik ve bulut ölçeklenebilirliği olan, durum bilgisi olan bir yönetilen güvenlik duvarıdır. Aboneliklerle sanal ağlarda uygulama ve ağ bağlantısı ilkelerini merkezi olarak oluşturabilir, zorlayabilir ve günlüğe alabilirsiniz. Azure Güvenlik Duvarı, sanal ağ kaynaklarınız için statik bir genel IP adresi kullanır. Dış güvenlik duvarlarının sanal ağınızdan gelen trafiği belirlemesini sağlar. Hizmet, günlük ve analiz için Azure İzleyici ile tamamen tümleşik çalışır.

Azure sanal WAN topolojisi kullanıyorsanız, Azure Güvenlik Duvarı Yöneticisi , bulut tabanlı güvenlik perimeters için merkezi güvenlik ilkesi ve Yönlendirme yönetimi sağlayan bir güvenlik yönetim hizmetidir. Hub ve bağlı bileşen mimarilerini kolayca oluşturmanıza olanak tanıyan, Microsoft tarafından yönetilen bir kaynak olan Azure sanal WAN hub ile birlikte çalışmaktadır. Güvenlik ve yönlendirme ilkeleri böyle bir hub ile ilişkilendirildiğinde, bu, güvenli bir sanal hub olarak adlandırılır.

Ağ sanal cihazları. Hub 'da, internet erişimi olan çevre ağı normalde bir Azure Güvenlik Duvarı örneği veya bir güvenlik duvarı veya Web uygulaması güvenlik duvarı (WAF) ile yönetilir.

Farklı iş hatları, yaygın olarak birçok Web uygulaması kullanır ve bu da çeşitli güvenlik açıklarına ve potansiyel saldırılara karşı risklidir. Web uygulaması güvenlik duvarları, genel bir güvenlik duvarından daha ayrıntılı bir şekilde Web uygulamalarına yönelik saldırıları algılamak için kullanılan özel bir ürün türüdür. Gelenek güvenlik duvarı teknolojisi ile karşılaştırıldığında, WAFs, iç Web sunucularını tehditlere karşı korumak için belirli bir özellik kümesine sahiptir.

Azure Güvenlik Duvarı veya NVA güvenlik duvarı her ikisi de ortak bir yönetim düzlemi kullanır ve bu arada, bağlı bileşenler üzerinde barındırılan iş yüklerini korumak ve şirket içi ağlara erişimi denetlemek için bir dizi güvenlik kuralı vardır. Azure Güvenlik duvarının içinde yerleşik ölçeklenebilirlik vardır, ancak NVA güvenlik duvarları bir yük dengeleyicinin arkasında el ile ölçeklenebilirler. Genellikle, bir güvenlik duvarı grubunda WAF ile karşılaştırıldığında daha az özelleştirilmiş yazılım bulunur, ancak çıkış ve giriş içinde herhangi bir türde trafiği filtrelemek ve incelemek için daha geniş bir uygulama kapsamına sahiptir. Bir NVA yaklaşımı kullanılırsa, bunlar Azure Marketi 'nden bulunabilir ve dağıtılabilir.

İnternet 'ten kaynaklanan trafik için bir dizi Azure Güvenlik Duvarı örneğini veya NVA 'lar kullanmanızı öneririz. Şirket içinde kaynaklı trafik için başka bir tane kullanın. Her ikisi için yalnızca bir güvenlik duvarı kümesi kullanılması, iki ağ trafiği kümesi arasında güvenlik çevre alanı sağladığından bir güvenlik riskidir. Ayrı güvenlik duvarı katmanlarının kullanılması, güvenlik kurallarının denetim karmaşıklığını azaltır ve hangi kuralların hangi gelen ağ isteğine karşılık geldiğini temizlemenizi sağlar.

Azure Load Balancer , gelen trafiği yük dengeli bir küme içinde tanımlanan hizmet örnekleri arasında dağıtabilecek yüksek oranda kullanılabilir bir katman 4 (TCP/UDP) hizmeti sunar. Ön uç uç noktalarından (genel IP uç noktaları veya özel IP uç noktaları) yük dengeleyiciye gönderilen trafik, bir arka uç IP adresi havuzuna (ağ sanal gereçleri veya sanal makineler gibi) adres çevirisi ile veya bu küme olmadan yeniden dağıtılabilir.

Azure Load Balancer, çeşitli sunucu örneklerinin sistem durumunu da araştırmasına ve bir örneğin bir araştırmasına yanıt veremediğinde, yük dengeleyici sağlıksız örneğe trafik göndermeyi durduruyor. Bir sanal veri merkezinde, hub ve bağlı bileşen için dış yük dengeleyici dağıtılır. Hub 'da yük dengeleyici, trafiği güvenlik duvarı örnekleri arasında verimli bir şekilde yönlendirmek için kullanılır ve bağlı cihazlarda, uygulama trafiğini yönetmek için yük dengeleyiciler kullanılır.

Azure ön kapısı (AFD), Microsoft 'un yüksek oranda kullanılabilir ve ölçeklenebilir Web uygulaması hızlandırma platformu, genel http Load Balancer, uygulama koruması ve Content Delivery Network. Microsoft 'un küresel ağının kenarında 100 ' den fazla konumda çalışan AFD, dinamik Web uygulamanızı ve statik içeriğinizi oluşturmanıza, çalıştırmanıza ve ölçeklendirmenize olanak sağlar. AFD, uygulamanızı birinci sınıf Son Kullanıcı performansı, Birleşik bölgesel/damga Bakımı Otomasyonu, BCDR Otomasyonu, Birleşik istemci/kullanıcı bilgileri, önbelleğe alma ve Service Insights ile birlikte sağlar. Platform şunları sunar:

• Performans, güvenilirlik ve destek hizmet düzeyi sözleşmeleri (SLA 'Lar).
• Uyumluluk sertifikaları.
• Azure tarafından geliştirilen, çalıştırılan ve yerel olarak desteklenen denetlenebilir güvenlik uygulamaları.

Azure ön kapısının yanı sıra, Web uygulamalarını ortak güvenlik açıklarından ve Etkilenmeler 'dan koruyan bir Web uygulaması güvenlik duvarı (WAF) de sağlanır.

Azure Application Gateway , yönetilen bir uygulama teslim denetleyicisi sağlayan adanmış bir sanal gereç. Uygulamanız için çeşitli katman 7 yük dengeleme özellikleri sunar. Uygulama ağ geçidine CPU yoğun SSL sonlandırmasını boşaltarak Web grubu performansını iyileştirmenize olanak tanır. Ayrıca, gelen trafiğin hepsini bir kez deneme dağıtımı, tanımlama bilgisi tabanlı oturum benzeşimi, URL yolu tabanlı Yönlendirme ve tek bir Application Gateway arkasında birden fazla Web sitesi barındırma yeteneği gibi diğer katman 7 yönlendirme özelliklerini de sağlar. Application gateway WAF SKU’su kapsamında bir web uygulaması güvenlik duvarı da (WAF) sağlanır. Bu SKU, web uygulamaları için yaygın web güvenlik açıklarına ve açıklardan yararlanmaya karşı koruma sağlar. Application Gateway, internet 'e yönelik ağ geçidi, yalnızca dahili ağ geçidi veya her ikisinin bir birleşimi olarak yapılandırılabilir.

Genel IP 'ler. Bazı Azure özellikleriyle, kaynağınızın internet 'ten erişilebilmesi için hizmet uç noktalarını genel bir IP adresiyle ilişkilendirebilirsiniz. Bu uç nokta, trafiği Azure 'daki sanal ağ üzerindeki iç adrese ve bağlantı noktasına yönlendirmek için NAT kullanır. Bu yol, dış trafiğin sanal ağa geçmesi için birincil yoldur. Hangi trafiğin geçtiğini ve sanal ağa nasıl ve nerede çevrildiğini belirleyen genel IP adreslerini yapılandırabilirsiniz.

Azure DDoS koruması standardı , Azure sanal ağ kaynaklarına özel olarak ayarlanan temel hizmet katmanı üzerinden ek risk azaltma özellikleri sağlar. Standart DDoS Korumasını etkinleştirmek kolaydır ve bunun için uygulamada değişiklik yapılmasına gerek yoktur. Koruma ilkeleri adanmış trafik izleme ve makine öğrenimi algoritmalarıyla düzenlenir. İlkeler, sanal ağlarda dağıtılan kaynaklarla ilişkili genel IP adreslerine uygulanır. örnek olarak Azure Load Balancer, azure Application Gateway ve azure Service Fabric örnekleri sayılabilir. Neredeyse gerçek zamanlı, sistem tarafından oluşturulan Günlükler, bir saldırı sırasında Azure Izleyici görünümleri aracılığıyla ve geçmiş için kullanılabilir. Uygulama katmanı koruması Azure Application Gateway Web uygulaması güvenlik duvarı aracılığıyla eklenebilir. IPv4 ve IPv6 Azure genel IP adresleri için koruma sağlanır.

Hub ve bağlı bileşen topolojisi, trafiği doğru şekilde yönlendirmek için sanal ağ eşlemesi ve Kullanıcı tanımlı yollar kullanır.

Diyagramda, Kullanıcı tanımlı yol, ExpressRoute ağ geçidi (güvenlik duvarı ilkesi bu akışa izin veriyorsa) üzerinden şirket içine geçirmeden önce trafiğin bağlı olarak güvenlik duvarından akmasını sağlar.

Bileşen türü: Izleme

İzleme bileşenleri , diğer tüm bileşen türlerinden görünürlük ve uyarı sağlar. Tüm ekipler, erişimleri olan bileşenleri ve hizmetleri izlemeye yönelik erişime sahip olmalıdır. Merkezi bir yardım masasına veya operasyon takımlarınız varsa, bu bileşenler tarafından sağlanan verilere tümleşik erişim gerekir.

Azure, Azure 'da barındırılan kaynakların davranışını izlemek için farklı türlerde günlük ve izleme hizmetleri sunar. Azure 'da iş yüklerinin idaresi ve denetimi yalnızca günlük verilerinin toplanmasına değil, Ayrıca, bildirilen belirli olaylara göre eylemleri tetikleyebilme olanağıdır.

Azure İzleyici. Azure, izleme alanında belirli bir rolü veya görevi tek tek gerçekleştiren birden çok hizmet içerir. Bu hizmetler birlikte, uygulamalarınızdan ve bunları destekleyen Azure kaynaklarından sistem tarafından oluşturulan günlükleri toplama, çözümleme ve üzerinde işlem yapmaya yönelik kapsamlı bir çözüm sunar. Karma bir izleme ortamı sağlamak için kritik şirket içi kaynakları izlemek için de çalışır. Kullanabileceğiniz araçları ve verileri anlamak, uygulamalarınız için kapsamlı bir izleme stratejisi geliştirmedeki ilk adımdır.

Azure Izleyici 'de iki temel günlük türü vardır:

• Ölçümler , belirli bir noktadaki sistemin bazı yönlerini tanımlayan sayısal değerlerdir. Bunlar hafif ve neredeyse gerçek zamanlı senaryolar desteklenebilecek bir şekilde kullanılabilir. Birçok Azure kaynağı için, Azure Izleyici tarafından toplanan verileri Azure portal genel bakış sayfasında görürsünüz. Örnek olarak, herhangi bir sanal makineye göz atın ve performans ölçümlerini görüntüleyen birkaç grafik görürsünüz. Azure portal, verileri Ölçüm Gezgini 'nde açmak için herhangi bir grafiği seçin. Bu, zaman içinde birden çok ölçümün değerlerini grafik oluşturmanıza olanak sağlar. Grafikleri etkileşimli olarak görüntüleyebilir veya diğer görselleştirmelerle görüntülemek için bunları bir panoya sabitleyebilirsiniz.

• Günlükler , her tür için farklı özellik kümelerine sahip kayıtlarla düzenlenmiş farklı türlerde veriler içerir. Olaylar ve izlemeler, tüm analiz için birleştirilebilen performans verileriyle birlikte Günlükler olarak depolanır. Azure Izleyici tarafından toplanan günlük verileri, toplanan verileri hızlı bir şekilde almak, birleştirmek ve analiz etmek için sorgularla analiz edilebilir. Günlükler Log Analyticsdepolanır ve sorgulanır. Azure portal Log Analytics kullanarak sorgular oluşturup test edebilir ve ardından bu araçları kullanarak verileri doğrudan çözümleyebilir ya da görselleştirmeler veya uyarı kurallarıyla kullanılacak sorguları kaydedebilirsiniz.

Azure İzleyici, farklı kaynaklardan veri toplayabilir. Uygulamalarınızın verilerini uygulamanız, herhangi bir işletim sistemi ve onun dayandığı hizmetlerden, Azure platformunun kendisine kadar olan katmanlarda izleyebilirsiniz. Azure İzleyici aşağıdaki katmanların her birinden veri toplar:

• Uygulama izleme verileri: Platformundan bağımsız olarak yazdığınız kodun performansı ve işlevselliği hakkında veriler.
• Konuk işletim sistemi izleme verileri: Uygulamanızın üzerinde çalıştığı işletim sistemiyle ilgili veriler. Bu işletim sistemi Azure 'da, başka bir bulutta veya şirket içinde çalışıyor olabilir.
• Azure Kaynak izleme verileri: Bir Azure kaynağının işlemiyle ilgili veriler.
• Azure aboneliği izleme verileri: Azure aboneliğinin işlemi ve yönetimiyle ilgili veriler, ayrıca Azure 'un sistem durumu ve işlemi hakkındaki veriler.
• Azure kiracı izleme verileri: Azure Active Directory gibi kiracı düzeyinde Azure hizmetlerinin çalışması hakkındaki veriler.
• Özel kaynaklar: Şirket içi kaynaklardan gönderilen Günlükler de dahil edilebilir. Örnek olarak şirket içi sunucu olayları veya ağ aygıtı Syslog çıkışı verilebilir.

İzleme verileri yalnızca, bilgi işlem ortamınızın işlemine ilişkin görünürlüğünüzü artırabilmesini sağlar. Azure Izleyici, uygulamalarınız ve bağımlı oldukları diğer kaynaklarla ilgili değerli Öngörüler sağlayan çeşitli özellikler ve araçlar içerir. kapsayıcılar için Application Insights ve azure izleyici gibi çözüm izleme çözümleri ve özellikleri, uygulamanızın ve belirli azure hizmetlerinizin farklı yönlerine ayrıntılı öngörüler sağlar.

Azure Izleyici 'de izleme çözümleri, belirli bir uygulama veya hizmet için Öngörüler sağlayan paketlenmiş bir mantık kümesidir. Bunlar uygulama veya hizmete ilişkin izleme verilerini toplama mantığını, verileri çözümlemek için sorguları ve görselleştirme için görünümleri içerir. Çeşitli Azure hizmetleri ve diğer uygulamalar için izleme sağlamak üzere Microsoft ve iş ortakları tarafından sağlanan izleme çözümleri vardır.

Bu zengin verilerin tümü toplandığında ortamınızda gerçekleşen olaylar üzerinde, el ile yapılan sorguların tek başına yeterli olmadığı durumlarda öngörülü eylemler yapmak önemlidir. Azure Izleyici 'deki uyarılar, kritik koşullar ve potansiyel olarak düzeltici eylem gerçekleştirmeye yönelik olarak size bir bildirim gönderir. Ölçümleri temel alan uyarı kuralları, sayısal değerlere göre neredeyse gerçek zamanlı uyarı sağlar ve Günlükler temelinde kurallar, birden fazla kaynaktan gelen veriler arasında karmaşık mantık sağlar. Azure Izleyici 'deki uyarı kuralları, birden çok kural arasında paylaşılabilen benzersiz alıcı kümeleri ve Eylemler içeren eylem gruplarını kullanır. Gereksinimlerinize bağlı olarak, eylem grupları, uyarıları dış eylemleri başlatmaya veya ıTSM araçlarınızla tümleştirmelerine neden olan Web kancalarını kullanarak bu eylemleri gerçekleştirebilir.

Azure Izleyici Ayrıca özel panolar oluşturulmasına da izin verir. Azure panoları, hem ölçümler hem de Günlükler dahil olmak üzere farklı türlerdeki verileri Azure portal tek bir bölmede birleştirmenizi sağlar. İsterseniz panoyu diğer Azure kullanıcılarıyla paylaşabilirsiniz. Azure Izleyici genelinde öğeler, herhangi bir günlük sorgusunun veya ölçüm grafiğinin çıktısının yanı sıra bir Azure panosuna eklenebilir. örneğin, bir ölçüm grafiği, etkinlik günlüklerinin bir tablosu, Application Insights bir kullanım grafiği ve günlük sorgusunun çıkışı gösteren kutucukları birleştiren bir pano oluşturabilirsiniz.

Son olarak, Azure Izleyici verileri Power BI için yerel bir kaynaktır. Power BI, çeşitli veri kaynakları genelinde etkileşimli görselleştirmeler sağlayan ve kuruluşunuzun içindeki ve dışındaki başkalarının kullanımına yönelik etkili bir yol sunan bir iş analizi hizmetidir. bu ek görselleştirmelerin avantajlarından yararlanmak için Azure izleyici 'den günlük verilerini otomatik olarak içeri aktarmak üzere Power BI yapılandırabilirsiniz.

Azure Ağ İzleyicisi , Azure 'daki bir sanal ağdaki kaynakları izleme, tanılama ve görüntüleme ve günlükleri etkinleştirme ya da devre dışı bırakma araçları sağlar. Bu, aşağıdaki işlevlere ve daha fazlasına izin veren bir atmanın hizmetidir:

• Bir sanal makine ve uç nokta arasındaki iletişimi izleyin.
• Bir sanal ağdaki kaynakları ve bunların ilişkilerini görüntüleyin.
• Bir VM 'ye veya bir VM 'ye yönelik ağ trafiği Filtreleme sorunlarını tanılayın.
• Bir VM 'den ağ yönlendirme sorunlarını tanılayın.
• Bir VM 'den giden bağlantıları tanılayın.
• Bir VM 'ye/sanal makineye paket yakalama.
• Bir sanal ağ geçidi ve bağlantılarla ilgili sorunları tanılayın.
• Azure bölgeleri ve Internet hizmet sağlayıcıları arasındaki göreli gecikme sürelerini belirleme.
• Bir ağ arabirimi için güvenlik kurallarını görüntüleyin.
• Ağ ölçümlerini görüntüleyin.
• Ağ güvenlik grubundan gelen veya giden trafiği analiz edin.
• Ağ kaynakları için tanılama günlüklerini görüntüleyin.

Bileşen türü: Iş yükleri

İş yükü bileşenleri, gerçek uygulamalarınızın ve hizmetlerinizin bulunduğu yerdir. Uygulama geliştirme ekiplerinizin çoğu zaman harcadıkları yerdir.

İş yükü olanakları sınırsızdır. Olası iş yükü türlerinden yalnızca birkaçı aşağıda verilmiştir:

İç uygulamalar: İş kolu uygulamaları, kurumsal işlemlerde kritik öneme sahiptir. Bu uygulamalarda bazı ortak özellikler vardır:

• Etkileşimli: Veriler girilir, sonuçlar veya raporlar döndürülür.
• Veri odaklı: Veritabanları veya diğer depolama için sık erişimli verilerle yoğun veri kullanımı.
• Tümleşik: Kuruluşun içindeki veya dışındaki sistemlerle tümleştirme sunar.

Müşteriye yönelik Web siteleri (internet 'e yönelik veya dahili olarak kullanıma sunulacak): Çoğu Internet uygulaması web siteleridir. Azure, bir Web sitesini IaaS sanal makinesi ya da azure Web Apps sitesi (PaaS) aracılığıyla çalıştırabilir. Azure Web Apps, Web uygulamalarını bir bağlı ağ bölgesinde dağıtmak için sanal ağlarla tümleştirilir. Şirket içi olarak kullanıma sunulacak Web siteleri, özel sanal ağdan internet 'e ait özel olarak yönlendirilebilen adresler aracılığıyla erişilebildiğinden, genel bir internet uç noktası kullanıma sunmalıdır.

Büyük veri analizi: Verilerin daha büyük birimlere ölçeklendirilmesi gerektiğinde ilişkisel veritabanları, verilerin aşırı yük veya yapılandırılmamış doğası altında iyi bir şekilde gerçekleştirilemeyebilir. Azure HDInsight , kuruluşlar için bulutta yönetilen, tam bir açık kaynaklı analiz hizmetidir. Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm ve R gibi açık kaynaklı çerçeveleri kullanabilirsiniz. HDInsight, konum temelli bir sanal ağa dağıtımı destekler, sanal veri merkezinin bir bağlı alanındaki bir kümeye dağıtılabilir.

Olaylar ve mesajlaşma:Azure Event Hubs , büyük bir veri akışı platformu ve olay alma hizmetidir. Saniyede milyonlarca olayı alabilir ve işleyebilir. Düşük gecikme süresi ve yapılandırılabilir zaman saklama sağlar ve çok büyük miktarlarda verileri Azure 'a alıp birden çok uygulamadan okuyabilir. Tek bir akış, hem gerçek zamanlı hem de toplu işlem tabanlı işlem hatlarını destekleyebilir.

Azure Service Busaracılığıyla uygulamalar ve hizmetler arasında son derece güvenilir bir bulut mesajlaşma hizmeti uygulayabilirsiniz. İstemci ve sunucu arasında zaman uyumsuz Aracılı mesajlaşma, yapılandırılmış ilk ilk çıkar (FıFO) mesajlaşma ve yayınlar ve abone olma özellikleri sunar.

bu örnekler, Azure 'da oluşturabileceğiniz iş yüklerinin türlerini (temel bir Web ve SQL uygulamadan ıot, büyük veri, makine öğrenimi, aı ve çok daha fazlasını) en son sürüme doğru bir şekilde açabilir.

Yüksek kullanılabilirlik: çoklu sanal veri merkezleri

Şimdiye kadar, bu makale, dayanıklılık 'e katkıda bulunan temel bileşenleri ve mimarileri açıklayan tek bir VDC tasarımına odaklanmıştır. Azure yük dengeleyici, NVA 'lar, kullanılabilirlik alanları, kullanılabilirlik kümeleri, ölçek kümeleri ve üretim hizmetlerinize katı SLA düzeylerini dahil etmenize yardımcı olacak diğer yetenekler gibi Azure özellikleri.

Ancak, bir sanal veri merkezi genellikle tek bir bölge içinde uygulandığından, tüm bölgeyi etkileyen kesintilere karşı savunmasız olabilir. Yüksek kullanılabilirlik gerektiren müşteriler, farklı bölgelere dağıtılan iki veya daha fazla VDC uygulamasında aynı projenin dağıtımları aracılığıyla Hizmetleri korumalıdır.

SLA kaygılarına ek olarak, çeşitli yaygın senaryolar birden çok sanal veri merkezini çalıştırmanın avantajlarından yararlanır:

• Son kullanıcılarınızın veya iş ortaklarınızın bölgesel veya genel varlığı.
• Olağanüstü durum kurtarma gereksinimleri.
• Yükleme veya performans için veri merkezleri arasında trafiği atlama mekanizması.

Bölgesel/genel varlık

Dünya çapındaki birçok bölgede Azure veri merkezleri mevcuttur. Birden çok Azure veri merkezi seçerken, iki ilgili faktörü göz önünde bulundurun: coğrafi uzaklıklar ve gecikme. Kullanıcı deneyimini iyileştirmek için, her bir sanal veri merkezi arasındaki mesafeyi ve her bir sanal veri merkezinden son kullanıcılara olan mesafeyi değerlendirin.

Sanal veri merkezinizi barındıran bir Azure bölgesi, kuruluşunuzun üzerinde çalıştığı yasal kurumların yasal gereksinimlerine uygun olmalıdır.

Olağanüstü durum kurtarma

Olağanüstü durum kurtarma planının tasarımı, iş yüklerinin türlerine ve bu iş yüklerinin durumunu farklı VDC uygulamaları arasında eşitleme özelliğine bağlıdır. İdeal olarak, müşterilerin çoğu hızlı bir yük devretme mekanizmasını isteğindedir ve bu gereksinim birden çok VDC uygulamasında çalışan dağıtımlar arasında uygulama veri eşitlemesi gerektirebilir. Ancak, olağanüstü durum kurtarma planları tasarlarken, çoğu uygulamanın bu veri eşitlemenin neden olduğu gecikme süresine duyarlı olduğunu göz önünde bulundurabilirsiniz.

Farklı VDC uygulamalarında uygulamaların eşitleme ve sinyal izlemesi, ağ üzerinden iletişim kurmalarını gerektirir. Farklı bölgelerdeki birden çok VDC uygulaması şu şekilde bağlanabilir:

• Aynı Sanal WAN'daki bölgeler arasında Azure Sanal WAN hub'larda yerleşik olarak hub'lar arasında iletişim.
• Bölgeler arasında hub'ları bağlamak için sanal ağ eşlemesi.
• Her VDC uygulamasındaki hub'lar aynı ExpressRoute bağlantı hattına bağlandığında ExpressRoute özel eşlemesi.
• Kurumsal omurganız aracılığıyla bağlanan birden çok ExpressRoute bağlantı hattı ve ExpressRoute bağlantı hatlarına bağlı birden çok VDC uygulamanız.
• Her Azure bölgesinde VDC uygulamalarınızı merkez bölgesi arasında Siteden Siteye VPN bağlantıları.

Genellikle, Microsoft omurgası üzerinden geçerken daha yüksek bant genişliği ve tutarlı gecikme süresi düzeyleri nedeniyle sanal WAN hub'ları, sanal ağ eşlemesi veya ExpressRoute bağlantıları ağ bağlantısı için tercih edilir.

Bu bağlantıların gecikme süresini ve bant genişliğini doğrulamak için ağ nitelik testleri çalıştırın ve sonucu temel alarak zaman uyumlu veya zaman uyumsuz veri çoğaltmanın uygun olup olmadığını karar verin. Ayrıca bu sonuçları en uygun kurtarma süresi hedefi (RTO) açısından değerlendirmeniz de önemlidir.

Olağanüstü durum kurtarma: Trafiği bir bölgeden diğerine yönlendirme

Hem Azure Traffic ManagerAzure Front Door farklı VDC uygulamalarına dinleme uç noktalarının hizmet durumunu düzenli aralıklarla kontrol edin ve bu uç noktalar başarısız olursa otomatik olarak bir sonraki en yakın VDC'ye yönlendirin. Traffic Manager kullanıcıları en yakına (veya hata sırasında bir sonraki en yakına) yönlendiren gerçek zamanlı kullanıcı ölçümlerini ve DNS'yi kullanır. Azure Front Door, 100'den fazla Microsoft omurga uç sitesinde kullanıcıları en yakın dinleme uç noktasına yönlendiren herhangi bir yayın kullanarak ters proxy'dir.

Özet

Veri merkezi geçişi için sanal veri merkezi yaklaşımı, Azure kaynak kullanımını iyileştiren, maliyetleri düşüren ve sistem yönetimini kolaylaştıran ölçeklenebilir bir mimari oluşturur. Sanal veri merkezi, merkez-bağlı sunucu ağ topolojilerine (sanal ağ eşlemesi veya Sanal WAN hub'ları kullanılarak) göre tipiktir. Merkezde sağlanan ortak paylaşılan hizmetler ve belirli uygulamalar ve iş yükleri, uzmlara dağıtılır. Sanal veri merkezi ayrıca Merkezi IT, DevOps ve Operasyon ve Bakım gibi farklı departmanların belirli rolleri yaparken birlikte çalışabildikleri şirket rollerinin yapısıyla da eştir. Sanal veri merkezi, mevcut şirket içi iş yüklerinin Azure'a nasıl geçeceği desteklemektedir, ancak buluta özel dağıtımlar için birçok avantaj da sağlar.

Başvurular

Bu belgede ele alınacak Azure özellikleri hakkında daha fazla bilgi edinin.

Sonraki adımlar

• Merkez-bağlı sunucu topolojilerinintemel teknolojisi olan sanal ağ eşlemesi hakkında daha fazla bilgi edinebilirsiniz.
• Azure Azure Active Directory erişim denetimi kullanmak için uygulama.
• Azure rol tabanlı erişim denetimi kullanarak, kuruluşun yapısına, gereksinimlerine ve ilkelerine uygun bir abonelik ve kaynak yönetimi modeli geliştirin. En önemli etkinlik planlamadır. Yeniden düzenlemelerin, birleşmelerin, yeni ürün hatlarının ve diğer konuların ilk modellerinizi nasıl etkileyeceğini analiz edip gelecekteki ihtiyaçları ve büyümeyi karşılayacak şekilde ölçeklendirebilirsiniz.