你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

虚拟数据中心:网络透视

  • 项目

从本地迁移的应用程序可能会受益于 Azure 安全且经济高效的基础结构,即使应用程序更改很少。 企业可能希望调整其体系结构以提高敏捷性并充分利用 Azure 的功能。

Microsoft Azure 提供超大规模的服务和基础结构、企业级的功能和可靠性。 这些服务和基础结构在混合连接中提供了多种选择,使客户能够通过 Internet 或专用网络连接访问它们。 Microsoft 合作伙伴还可以通过提供经过优化以在 Azure 中运行的安全服务和虚拟设备来实现增强的功能。

客户可以使用 Azure 将基础结构无缝扩展到云中并构建多层体系结构。

什么是虚拟数据中心?

云一开始是一个平台,用于托管面向公众的应用程序。 企业认识到云的价值,并开始迁移内部业务线应用程序。 这些应用程序带来了安全性、可靠性、性能和成本方面的其他考量,这就要求以更灵活的方式提供云服务。 新的基础结构和网络服务旨在提供灵活性。 新功能提供弹性缩放、灾难恢复和其他考量。

云解决方案最初设计为在公共范围中托管单个相对独立的应用程序,这些应用程序在数年内运行良好。 后来,云解决方案的优势日益明显,云上托管的大规模工作负载越来越多。 解决安全性、可靠性、性能和成本问题对于云服务的部署和生命周期至关重要。

在下面的示例云部署图中,红色框突出显示了一个安全漏洞。 黄色框显示了跨工作负载优化网络虚拟设备的机会。

Diagram that shows a cloud deployment and networking virtual datacenter.

虚拟数据中心可帮助实现企业工作负载所需的规模。 该规模必须解决在公有云中运行大型应用程序时引入的挑战。

虚拟数据中心实现不仅包括云中的应用程序工作负载。 它还提供网络、安全、管理、DNS 和 Active Directory 服务。 随着企业将更多工作负载迁移到 Azure,请考虑支持这些工作负载的基础结构和对象。 良好的资源管理有助于避免单独管理的“工作量孤岛”的增加,这些“工作量孤岛”具有独立的数据流、安全模型和合规性挑战。

虚拟数据中心概念为实现一组独立但相关的实体提供了建议和概要设计。 这些实体通常具有常见的支持功能、功能和基础结构。 将工作负载视为虚拟数据中心有助于通过规模经济降低成本。 它还通过组件和数据流集中化以及更轻松的操作、管理和合规性审计来帮助优化安全性。

注意

虚拟数据中心不是特定的 Azure 服务。 而是结合各种 Azure 特性和功能来满足你的要求。 使用虚拟数据中心,可以审视工作负载与 Azure 使用,以便在云中优化资源和功能。 它提供一种模块化方法,可以在履行企业的组织角色和责任的同时在 Azure 中建立 IT 服务。

虚拟数据中心可帮助企业在 Azure 中针对以下方案部署工作负载和应用程序:

  • 托管多个相关工作负荷
  • 将工作负荷从本地环境迁移到 Azure。
  • 跨工作负荷实现共享化或中心化的安全性和访问要求。
  • 为大型企业适当混合 DevOps 和中心化 IT。

谁应该实施虚拟数据中心?

任何已决定采用 Azure 的客户都可以配置一组供所有应用程序共同使用的资源,从而提高效率。 根据规模的不同,即使是单个应用程序也可以从使用用于构建 VDC 实现的模式和组件中受益。

一些组织拥有集中的 IT、网络、安全或合规性团队或部门。 实现 VDC 可以帮助实施策略点、分离职责并确保基础公共组件的一致性。 应用程序团队可以保留适合其要求的自由和控制。

采用 DevOps 方法的组织也可以使用 VDC 概念来提供一些授权的 Azure 资源。 这种方法确保 DevOps 组在订阅级别或公共订阅中的资源组内对该分组具有完全控制权。 同时,网络和安全边界保持合规。 合规性由中心网络和集中管理的资源组中的集中策略定义。

实现虚拟数据中心的注意事项

设计虚拟数据中心时,请考虑以下关键问题:

标识和目录服务

标识和目录服务是本地和云数据中心的关键功能。 标识涵盖 VDC 实现中服务访问和授权的所有方面。 为确保只有授权用户和进程才能访问你的 Azure 资源,Azure 使用多种类型的凭据进行身份验证,包括帐户密码、加密密钥、数字签名和证书。 Microsoft Entra 多重身份验证 为访问 Azure 服务提供了额外的安全层。 通过一系列简单的验证选项提供强身份验证(电话呼叫、短信或移动应用通知),客户可根据自己的偏好选择所需的方法。

大型企业都需要定义标识管理流程,说明如何在 VDC 内部或跨 VDC 管理各个标识、其身份验证、授权、角色和权限。 此流程的目标是在减少成本、停机时间和重复人工作业的同时提高安全性和工作效率。

企业组织可能会要求严格混合针对不同业务线的服务。 员工在参与不同的项目时通常会有不同的角色。 VDC 要求不同的团队(每个团队拥有特定的角色定义)精诚合作,确保系统运行并很好地监管。 责任、访问和权限矩阵可能很复杂。 VDC 中的标识管理是通过 Microsoft Entra ID 和 Azure 基于角色的访问控制(Azure RBAC)实现的。

目录服务是用于查找、控制、管理和组织日常项目和网络资源的共享信息基础结构。 这些资源包括卷、文件夹、文件、打印机、用户、组、设备和其他对象。 目录服务器将网络上的每个资源视作一个对象。 资源信息作为与该资源或对象相关的属性集合存储。

所有 Microsoft 联机业务服务都依赖于 Microsoft Entra ID 进行登录和其他标识需求。 Microsoft Entra ID 是一种全面的、高度可用的标识和访问管理解决方案,结合了核心目录服务、高级标识治理和应用程序访问管理。 Microsoft Entra ID 可以与本地 Active Directory集成,为所有基于云的本地托管本地应用程序启用单一登录。 本地 Active Directory的用户属性可以自动同步到 Microsoft Entra ID。

在 VDC 实施方案中分配所有权限不需要单个全局管理员。 与之相反,可以为目录服务中的每个具体部门、用户组或服务分配在 VDC 实现中管理其自己的资源所需的权限。 权限的结构化需要均衡。 权限过多会妨碍性能效率,权限过少或过松则会增加安全风险。 Azure 基于角色的访问控制 (Azure RBAC) 可以为 VDC 实现中的资源提供细致的访问管理,因此有助于解决此问题。

安全基础结构

安全基础结构是指 VDC 实现的特定虚拟网络段中的流量分离。 此基础结构指定如何在 VDC 实现中控制流入量和流出量。 Azure 基于多租户体系结构,该体系结构可防止部署间的未经授权流量和意外流量。 Azure 使用虚拟网络隔离、访问控制列表、负载均衡器、IP 筛选器和流量流策略。 网络地址转换 (NAT) 将内部网络流量与外部流量分开。

Azure 结构将基础结构资源分配到租户工作负荷,并管理与虚拟机 (VM) 的通信。 Azure 虚拟机监控程序会在 VM 之间强制实施内存和进程隔离,并将网络流量安全路由到来宾 OS 租户。

与云的连接

虚拟数据中心需要连接到外部网络才能为客户、合作伙伴或内部用户提供服务。 这里的需要连接是指不仅需要连接到 Internet,而且需要连接到本地网络和数据中心。

客户控制哪些服务可以从公共 Internet 进行访问。 此访问通过使用 Azure 防火墙或其他类型的虚拟网络设备 (NVA)、使用用户定义路由的自定义路由策略和使用网络安全组的网络筛选来控制。 我们建议所有面向 Internet 的资源都受 Azure DDoS 防护的保护

企业可能需要将其虚拟数据中心连接到本地数据中心或其他资源。 Azure 与本地网络的这种连接是设计高效体系结构的关键。 企业可以通过两种不同方式创建此互连:通过 Internet 或专用直接连接进行传输。

Azure 站点到站点 VPN 将本地网络连接到 Azure 中的虚拟数据中心。 该链接通过安全加密连接(IPsec 隧道)建立。 Azure 站点到站点 VPN 连接灵活、创建速度快,通常不需要采购任何额外的硬件。 根据行业标准协议,大多数当前网络设备可以通过 Internet 或现有连接路径创建到 Azure 的 VPN 连接。

ExpressRoute 可在虚拟数据中心和任何本地网络之间启用专用连接。 ExpressRoute 连接不通过公共 Internet,因此能提供更高的安全性、可靠性、更快的速度(最高 100 Gbps)和一致的延迟。 ExpressRoute 提供与专用连接相关的合规性规则的好处。 使用 ExpressRoute Direct,可以以 10 Gbps 或 100 Gbps 的速度直接连接到 Microsoft 路由器。

部署 ExpressRoute 连接通常需要与 ExpressRoute 服务提供商合作(ExpressRoute Direct 除外)。 对于需要快速入门的客户,通常先使用站点到站点 VPN 在虚拟数据中心与本地资源之间建立连接。 完成与服务提供商的物理互连后,通过 ExpressRoute 连接迁移连接。

使用大量的 VPN 或 ExpressRoute 连接时,Azure 虚拟 WAN 可充当网络服务,通过 Azure 提供经过优化的自动分支到分支连接。 使用虚拟 WAN 可以连接到分支设备,并将其配置为与 Azure 通信。 连接和配置可以通过手动方式来完成,也可以通过虚拟 WAN 合作伙伴使用首选的提供商设备来完成。 使用首选的提供商设备可以降低操作难度、简化连接和进行配置管理。 Azure WAN 的内置仪表板提供即时故障排除见解,可帮助你节省时间,以及方便地查看大规模的站点到站点连接。 虚拟 WAN 还通过虚拟 WAN 中心内的可选 Azure 防火墙和防火墙管理器提供安全服务。

云内的连接

Azure 虚拟网络虚拟网络对等互连是虚拟数据中心的基本网络组件。 虚拟网络保证了虚拟数据中心资源的隔离边界。 对等互连允许同一 Azure 区域内的不同虚拟网络、不同区域,甚至不同订阅中的不同网络相互通信。 可以通过为网络安全组、防火墙策略(Azure 防火墙网络虚拟设备)和自定义用户定义路由指定的安全规则集来控制虚拟同一网络内部以及不同虚拟网络之间的流量流。

虚拟网络是集成平台即服务 (PaaS) Azure 产品(如 Azure 存储Azure SQL 以及其他具有公共终结点的集成公共服务)的定位点。 通过服务终结点Azure 专用链接,你可以将公共服务与专用网络集成。 你甚至可以将公共服务转换为专用服务,但仍然可以享受 Azure 管理的 PaaS 服务的好处。

虚拟数据中心概述

拓扑

可根据需求和规模要求,使用以下高级拓扑之一构建虚拟数据中心:

在平面拓扑中,所有资源都部署在单个虚拟网络中。 子网可进行流控制和隔离。

11

在网格拓扑中,虚拟网络对等互连将所有虚拟网络直接相互连接起来

12

对等互连的中心和分支拓扑非常适合具有委派职责的分布式应用程序和团队

13

Azure 虚拟 WAN 拓扑可支持大型分支机构方案和全球 WAN 服务

14

对等互连的中心和分支拓扑以及 Azure 虚拟 WAN 拓扑均使用中心和分支设计,这对于通信、共享资源和集中式安全策略是最佳的。 中心使用虚拟网络对等互连中心(在图中标记为 Hub Virtual Network)或虚拟 WAN 中心(在图中标记为 Azure Virtual WAN)构建。 Azure 虚拟 WAN 专为大规模分支到分支和分支到 Azure 通信而设计,或者用于避免在虚拟网络对等互连中心内单独构建所有组件的复杂性。 在某些情况下,可能需要虚拟网络对等互连中心设计才能满足你的需求,例如在中心需要网络虚拟设备。

在中心和分支拓扑中,中心是控制和检查不同区域(如 Internet、本地和分支)之间所有流量的中心网络区域。 中心和分支拓扑有助于 IT 部门集中实施安全策略。 此外,还减少了配置错误和泄密的可能性。

中心通常包含分支使用的公共服务组件。 下面是常见中心服务的示例:

  • Windows Active Directory 基础结构:第三方从不受信任网络访问时,要求进行用户身份验证,验证通过后才可访问分支中的工作负荷。 这包括相关的 Active Directory 联合身份验证服务 (AD FS)
  • 分布式名称系统 (DNS) 服务用于解析分支中工作负载的命名,在不使用 Azure DNS 的情况下访问本地和 Internet 上的资源
  • 公钥基础结构 (PKI) 用于实现工作负荷的单一登录
  • 分支网络区域与 Internet 之间的 TCP 和 UDP 流量的流控制
  • 分支与本地之间的流控制
  • 根据需要在一个分支与另一个分支之间进行流控制

虚拟数据中心通过在多个分支之间使用共享中心基础结构来降低总体成本。

每个辐射的角色可以是托管不同类型的工作负荷。 辐射还可为同一工作负荷的可重复部署提供模块化方法。 示例包括开发/测试、用户验收测试、预生产和生产。 辐射还可用于隔离和启用组织内部的不同组。 DevOps 小组是分支功能的一个很好的例子。 在辐射内,可以通过各层之间的流量控制部署基本工作负荷或复杂的多层工作负荷。

订阅限制和多个中心

重要

根据 Azure 部署的规模,可能需要多中心策略。 设计中心和分支策略时,请询问“此设计是否可以扩展以使用该区域中的另一个中心虚拟网络?”和“这种设计可以扩展以适应多个区域吗?”。计划可扩展的设计但实际上并未用到此设计比没有计划但实际却需要的情况要好得多。

何时扩展到辅助(或更多)中心取决于多种因素,通常基于规模的固有限制。 在设计规模时,请务必查看订阅、虚拟网络和虚拟机限制

在 Azure 中,每个组件(无论何种类型)都通过 Azure 订阅进行部署。 不同 Azure 订阅中的 Azure 组件的隔离可满足不同业务线的需求,如设置不同级别的访问和授权。

单个 VDC 实施方案可纵向扩展到大量分支。 但是,与每个 IT 系统一样存在平台限制。 中心部署与特定的 Azure 订阅绑定,该订阅具有相关的约束和限制(如虚拟网络对等互连的最大数量。有关详细信息,请参阅 Azure 订阅和服务限制、配额和约束条件)。 如果出现限制问题,体系结构可以通过将模型从单个中心辐射型扩展为中心辐射群集实现进一步纵向扩展。 可以使用虚拟网络对等互连、ExpressRoute、虚拟 WAN 或站点到站点 VPN 连接一个或多个 Azure 区域中的多个中心。

2

引入多个中心会增加系统的成本和管理工作量。 引入的唯一原因在于可伸缩性、系统限制、冗余、确保最终用户性能的区域复制或灾难恢复。 在要求多个中心的情形下,所有中心应力图提供相同的服务集以方便操作。

辐射之间的互连

在单个分支或平面网络设计中,可以实现复杂的多层工作负载。 可以在同一虚拟网络中使用子网实现多层配置,每个层或应用程序一个。 流量控制和筛选使用网络安全组和用户定义的路由来完成。

架构师可能希望跨多个虚拟网络部署多层工作负荷。 使用虚拟网络对等互连,辐射可以连接到同一中心的其他辐射,也可连接到其他中心的其他辐射。 此方案的典型示例是应用程序处理服务器位于一个辐射或虚拟网络中。 数据库部署在另一个辐射或虚拟网络中。 在这种情况下,可以轻松实现分支与虚拟网络对等互连之间的互连,这可以避免通过中心传输。 请仔细审查体系结构和安全性,确保绕过中心并不会绕过可能只存在于中心的重要安全或审核点。

3

分支也可以与充当中心的分支互连。 这种方法创建了一个两级层次结构。 较高级别(级别 0)中的分支成为层次结构中较低级别分支(级别 1)的中心。 需要 VDC 实施的分支以将流量转发到中心。 流量随后可以在本地网络或公共 Internet 中传输到其目标。 具有两层中心的体系结构引入了复杂路由,该路由会消除简单中心分支关系的优势。

尽管 Azure 允许复杂拓扑,但 VDC 概念的核心原则之一是可重复性和简洁性。 为了尽量减少管理工作量,我们建议使用简单的中心辐射设计作为 VDC 参考体系结构。

组件

虚拟数据中心由四个基本组件类型构成:基础结构、外围网络、工作负载和监视

每个组件类型由各种 Azure 功能和资源组成。 VDC 实现由多个组件类型的实例和同一组件类型的多个变体构成。 例如,可能有许多逻辑上分离的不同工作负荷实例表示不同应用程序。 使用这些不同的组件类型和实例以生成 VDC。

4

上图中 VDC 的概览性概念体系结构显示了中心辐射型拓扑的不同区域使用的不同组件类型。 此关系图显示了该体系结构中各个部分的基础结构组件。

访问权限和特权可以基于组,这是常规情况下的适当做法。 使用组而不是单个用户可以简化访问策略的维护,因为可以跨团队对其进行一致的管理,并有助于最大程度地减少配置错误。 在相应的组中分配或删除用户有助于使特定用户的权限保持最新。

每个角色组的名称可以具有唯一的前缀。 参考此前缀可以轻松识别哪个组与哪个工作负荷相关联。 例如,托管身份验证服务的工作负荷应具有名为 AuthServiceNetOpsAuthServiceSecOpsAuthServiceDevOpsAuthServiceInfraOps 的组。 中心化角色或不与特定服务相关的角色的名称可以 Corp 开头,例如 CorpNetOps

许多组织都使用以下组的变体来提供主要角色细分:

  • 名为 Corp 的中心 IT 团队拥有控制基础结构组件的所有权。 示例包括网络和安全性。 该组需要在订阅中拥有参与者角色、拥有中心控制权,并在辐射中拥有网络参与者权限。 大型组织经常在多个团队之间划分这些管理责任。 例如,专门处理网络的网络操作 CorpNetOps 组,以及负责防火墙和安全策略的安全操作 CorpSecOps 组。 在这种特定情况下,需要创建两个不同的组,用于分配这些自定义角色。
  • 名为 AppDevOps 的开发/测试组负责部署应用或服务工作负载。 此组充当 IaaS 部署的虚拟机参与者角色或者一个或多个 PaaS 参与者角色。 有关详细信息,请参阅 Azure 内置角色。 (可选)开发/测试团队可能需要了解中心或特定分支内的安全策略(网络安全组)和路由策略(用户定义的路由)。 除了担任工作负荷参与者角色,此组也需要担任网络读取者角色。
  • 名为 CorpInfraOps 或 AppInfraOps 的操作和维护组负责管理生产中的工作负载。 此组必须是任何生产订阅中工作负荷的订阅参与者。 一些组织还可能评估他们是否需要在生产和中心订阅中担任订阅参与者角色的升级支持团队组。 该附加组修复生产环境中的潜在配置问题。

VDC 的设计旨在使管理中心的中央 IT 团队组在工作负载级别具有相应的组。 除了管理中心资源之外,只有中心 IT 团队能够在订阅中控制外部访问和最高权限。 工作负载组还可以独立于中心 IT 团队控制其虚拟网络的资源和权限。

将虚拟数据中心分区可以安全地托管跨不同业务线的多个项目。 所有项目都需要不同的独立环境(如开发、UAT 和生产)。 每个环境的各个 Azure 订阅自然隔离。

5

上方关系图显示组织中项目、用户、组以及部署 Azure 组件的环境之间的关系。

在 IT 中,环境(或层)通常是部署和执行多个应用程序的系统。 大型企业使用开发环境(做出更改和测试的环境)和生产环境(最终用户使用的环境)。 这些环境相互隔离,环境之间通常存在多个过渡环境,出现问题时可实现分阶段部署(推出)、测试和回退。 部署体系结构之间存在巨大差异,但通常遵循以下基本流程:始于开发 (DEV),终于生产 (PROD)。

此类多层环境的常见体系结构包括 Azure DevOps(用于开发和测试)、UAT(用于过渡)和生产环境。 组织可以使用单个或多个 Microsoft Entra 租户来定义对这些环境的访问权限和权限。 上图显示了使用两个不同的 Microsoft Entra 租户的情况:一个用于 DevOps 和 UAT,另一个专用于生产。

存在不同的 Microsoft Entra 租户会强制在环境之间分离。 同一组用户(例如中心 IT 团队)需要使用不同的 URI 进行身份验证才能访问不同的 Microsoft Entra 租户。 这允许团队修改项目的 DevOps 或生产环境的角色或权限。 通过不同的用户身份验证访问不同的环境可以减少人为失误可能导致的中断和其他问题。

组件类型:基础结构

大多数支持基础结构都位于此组件类型中。 中心化 IT、安全团队与合规团队的大部分时间花费在该类型上。

6

基础结构组件为 VDC 实现的不同组件提供互连,在中心和分支中都存在。 管理和维护基础结构组件的责任通常分配给中心 IT 或安全团队。

IT 基础结构团队的首要任务之一是保证整个企业 IP 地址架构的一致性。 分配给 VDC 实现的专用 IP 地址空间必须一致,并且不能与本地网络上分配的专用 IP 地址重叠。

NAT 在本地边缘路由器或 Azure 环境中时可避免 IP 地址冲突,但会增加基础结构组件的复杂性。 简化管理是 VDC 的关键目标之一。 使用 NAT 处理 IP 问题虽然是一种有效的解决方案,但不推荐这种解决方案。

基础结构组件提供以下功能:

  • 标识和目录服务:对 Azure 中的每种资源类型的访问都由目录服务中存储的标识控制。 目录服务不仅存储用户列表,也存储特定 Azure 订阅中资源的访问权限。 这些服务可存在于云中,也可以与 Active Directory 中存储的本地标识同步。
  • 虚拟网络:虚拟网络是 VDC 的主要组件之一,可以用来在 Azure 平台上创建流量隔离边界。 虚拟网络由单个或多个虚拟网络段构成,每个虚拟网络段都有一个特定的 IP 网络前缀(子网,IPv4 或双栈 IPv4/IPv6)。 虚拟网络定义内部外围区域,在该区域中 IaaS 虚拟机和 PaaS 服务可以建立专用通信。 一个虚拟网络中的 VM 和 PaaS 服务不能与另一个虚拟网络中的 VM 和 PaaS 服务直接通信。 即使两个虚拟网络都是由同一客户在同一订阅下创建的,也是如此。 隔离是一个非常关键的属性,可确保客户 VM 与通信在虚拟网络中保持私密性。 在需要跨网络连接的地方,以下功能描述了如何实现此目的。
  • 虚拟网络对等互连:用于创建 VDC 基础结构的基本功能是虚拟网络对等互连,它通过 Azure 数据中心网络或使用跨区域的 Azure 全球主干网络连接同一区域内的两个虚拟网络。 此连接通过 Azure 数据中心网络或使用跨区域的 Azure 全球主干进行。
  • 虚拟网络服务终结点:服务终结点可以扩展虚拟网络专用地址空间以包含 PaaS 空间。 这些终结点还可以通过直接连接将虚拟网络的标识扩展到 Azure 服务。 使用终结点可以保护虚拟网络的关键 Azure 服务资源。
  • 专用链接:使用 Azure 专用链接,可以通过虚拟网络中的专用终结点访问 Azure PaaS 服务(例如,Azure 存储Azure Cosmos DBAzure SQL 数据库)和 Azure 托管的客户/合作伙伴服务。 虚拟网络与服务之间的流量将通过 Microsoft 主干网络,因此不会从公共 Internet 泄露。 你还可以在虚拟网络中创建自己的专用链接服务,并将其专门提供给自己的客户。 使用 Azure 专用链接的设置和使用体验在 Azure PaaS、客户自有服务和共享合作伙伴服务中是一致的。
  • 用户定义的路由:虚拟网络中的流量默认基于系统路由表路由。 用户定义的路由是自定义路由表,网络管理员可以将该路由表关联到一个或多个子网,以覆盖系统路由表的行为并定义虚拟网络中的通信路径。 用户定义的路由保证分支的流量通过中心和分支中的特定自定义 VM 或虚拟网络设备以及负载均衡器传输。
  • 网络安全组:网络安全组是一系列安全规则,充当 IP 源、IP 目标、协议、IP 源端口和 IP 目标端口(也称为第 4 层五元组)的流量筛选器。 网络安全组可应用于子网和/或与 Azure VM 关联的虚拟 NIC。 网络安全组对在中心和分支中实现正确的流控制至关重要。 网络安全组提供的安全级别由出于何种原因打开哪个端口决定。 客户应通过基于主机的防火墙(如 IPtable 或 Windows 防火墙)对每个 VM 应用附加筛选器。
  • DNS:DNS 为虚拟数据中心内的资源提供名称解析。 Azure 提供 DNS 服务用于执行公共专用名称解析。 专用区域在虚拟网络内或虚拟网络之间提供名称解析功能。 专用区域可以跨越同一区域中的虚拟网络,也可以跨区域和订阅。 对于公用解析,Azure DNS 提供 DNS 域的托管服务,它使用 Microsoft Azure 基础结构提供名称解析。 通过在 Azure 中托管域,可以使用与其他 Azure 服务相同的凭据、API、工具和计费来管理 DNS 记录。
  • 管理组订阅资源组管理。 订阅定义在 Azure 创建多个资源组的自然边界。 这种分离可以用于功能、角色分离或计费。 订阅中的资源聚集在名为“资源组”的逻辑容器中。 资源组表示用于组织虚拟数据中心内的资源的逻辑组。 如果组织有多个订阅,则可能需要通过某种方式来高效管理这些订阅的访问权限、策略和合规性。 Azure 管理组提供高于订阅的范围级别。 可将订阅组织到名为“管理组”的容器中,并将治理条件应用于管理组。 管理组中的所有订阅都将自动继承应用于管理组的条件。 若要在层次结构视图中查看这三个功能,请参阅云采用框架中的组织资源
  • Azure 基于角色的访问控制 (Azure RBAC):Azure RBAC 可以映射组织角色和权限以访问特定的 Azure 资源。 这允许你将用户限制为仅操作的某个子集。 如果要将 Microsoft Entra ID 与本地 Active Directory同步,则可以在本地使用的 Azure 中使用同一 Active Directory 组。 使用 Azure RBAC,可以通过将相应的角色分配给相关范围内的用户、组和应用程序授予访问权限。 角色分配的范围可以是 Azure 订阅、资源组或单个资源。 Azure RBAC 允许继承权限。 分配在父范围内的角色也会将访问权限授予给其中所含的子范围。 使用 Azure RBAC,可以对职责进行分配,仅向用户授予执行作业所需的访问权限。 例如,让一个员工管理订阅中的虚拟机,让另一个员工管理同一订阅中的 SQL Server 数据库。

组件类型:外围网络

外围网络(有时称为 DMZ 网络)的组件连接你的本地或物理数据中心网络,以及任何 Internet 连接。 外围通常要求网络和安全团队投入大量时间。

传入数据包应该在流经中心的安全设备之后才到达分支中的后端服务器。 示例包括防火墙、IDS 和 IPS。 来自工作负荷的 Internet 绑定数据包在离开网络之前,也可能流经外围网络中的安全设备。 此流启用策略强制执行、检查和审核。

外围网络组件包括:

通常,中心 IT 和安全团队负责外围网络的需求定义和操作。

7

上图显示了通过访问 Internet 和本地网络加强两个外围,这两个外围都位于 DMZ 中心。 在 DMZ 中心,可以使用 Web 应用程序防火墙 (WAF) 或 Azure 防火墙的多个场来纵向扩展连接到 Internet 的外围网络,以支持大量的业务线。 该中心还允许根据需要通过 VPN 或 ExpressRoute 进行本地连接。

注意

在上图中的 DMZ Hub 中,可以将以下许多功能捆绑在 Azure 虚拟 WAN 中心(例如虚拟网络、用户定义的路由、网络安全组、VPN 网关、ExpressRoute 网关、Azure 负载均衡器、Azure 防火墙、防火墙管理器和 DDOS)。 使用 Azure 虚拟 WAN 中心可以更轻松地创建中心虚拟网络和 VDC,因为在部署 Azure 虚拟 WAN 中心时,Azure 会为你处理大部分工程复杂性。

虚拟网络。 中心通常构建在具有多个子网的虚拟网络上,这些子网承载不同类型的服务。 这些服务通过 Azure 防火墙、NVA、WAF 和 Azure 应用程序网关实例筛选和检查传入或传出 Internet 的流量。

用户定义的路由。 通过使用用户定义路由,客户可以部署防火墙、IDS/IPS 和其他虚拟设备。 他们可以通过这些安全设备路由网络流量,以实施、审核和检查安全边界策略。 可以同时在中心和分支中创建用户定义的路由,保证流量通过 VDC 实现使用的特定自定义 VM、网络虚拟设备和负载均衡器传输。 为保证从分支中的虚拟机产生的流量传输到正确的虚拟设备,需要在分支的子网中设置用户定义的路由。 要完成此操作,可将内部负载均衡器的前端 IP 地址设置为下一跃点。 内部负载均衡器将内部流量分配到虚拟设备(负载均衡器后端池)。

Azure 防火墙是一种托管的网络安全服务,可保护 Azure 虚拟网络资源。 它是具有高可用性和云可伸缩性的有状态托管防火墙。 可以跨订阅和虚拟网络集中创建、实施和记录应用程序与网络连接策略。 Azure 防火墙对虚拟网络资源使用静态公共 IP 地址。 它允许外部防火墙识别源自虚拟网络的流量。 该服务与用于日志记录和分析的 Azure Monitor 完全集成。

如果使用 Azure 虚拟 WAN 拓扑,则 Azure 防火墙管理器是一项安全管理服务,可为基于云的安全边界提供集中安全策略和路由管理。 它适用于 Azure 虚拟 WAN 中心,后者是一种 Microsoft 托管资源,利用它可轻松创建中心和分支体系结构。 当安全和路由策略与中心相关联时,它被称为安全虚拟中心。

网络虚拟设备。 在中心内,可访问 Internet 的外围网络通常是通过 Azure 防火墙实例或防火墙或 Web 应用程序防火墙 (WAF) 的场管理的。

不同的业务线通常使用许多 Web 应用程序,这些应用程序易遭受各种漏洞和潜在攻击。 Web 应用程序防火墙是一种特殊产品,相较通用防火墙而言,它能够更高效地检测对 Web 应用程序 (HTTP/HTTPS) 的攻击。 与传统防火墙技术相比,WAF 拥有一组用于保护内部 Web 服务器免受威胁的特定功能。

Azure 防火墙或 NVA 防火墙使用通用的管理平面,提供一组安全规则来保护分支中托管的工作负荷,并控制对本地网络的访问。 Azure 防火墙内置了可伸缩性,对于 NVA 防火墙,可在负载均衡器后面手动进行缩放。 一般而言,与 WAF 相比,防火墙场的专用软件更少,但应用范围广泛,可以筛选和检查出口和入口的任何流量类型。 如果使用 NVA 方法,可以在 Azure 市场中查找和部署相关软件。

我们建议对源自 Internet 的流量使用一组 Azure 防火墙实例或 NVA。 对源自本地的流量使用另一组 Azure 防火墙或 NVA。 仅对两组网络流量使用一组防火墙会存在安全风险,因为它不会在两组网络流量之间提供安全外围。 使用不同防火墙层可以降低检查安全规则的复杂性,并指明哪项规则与哪项传入网络请求对应。

Azure 负载均衡器提供了高可用性第 4 层 (TCP/UDP) 服务,此服务可以在负载均衡集中定义的服务实例之间分配传入流量。 可以将由前端终结点(公共 IP 终结点或专用 IP 终结点)发送到负载均衡器的流量重新分配(通过或不通过地址转换)到一组后端 IP 地址池(如网络虚拟设备或虚拟机)。

Azure 负载均衡器可以探测各种服务器实例的运行状况。 当实例无法响应探测时,负载均衡器就会停止向运行不正常的实例发送流量。 在虚拟数据中心,外部负载均衡器部署到中心和分支。 在中心内,负载均衡器用于跨防火墙实例有效地路由流量。 在分支中,负载均衡器用于管理应用程序流量。

Azure Front Door (AFD) 是 Microsoft 提供的高度可用且可缩放的 Web 应用程序加速平台、全局 HTTP 负载均衡器、应用程序防护和内容分发网络。 AFD 在 Microsoft 全球网络边缘中的 100 多个位置运行,可用于构建、运行和横向扩展动态 Web 应用程序和静态内容。 AFD 为应用程序提供一流的最终用户性能、统一的区域/戳维护自动化、BCDR 自动化、统一的客户端/用户信息、缓存和服务见解。

该平台提供:

  • 性能、可靠性和支持服务水平协议 (SLA)。
  • 合规性认证。
  • Azure 开发、实施和原生支持的可审核安全做法。

Azure Front Door 还提供 Web 应用程序防火墙 (WAF),它可以避免 Web 应用程序遭受常见的漏洞和暴露攻击。

Azure 应用程序网关是一种专用虚拟设备,提供托管应用程序交付控制器。 它为应用程序提供各种第 7 层负载均衡功能。 你可以使用它来将 CPU 密集型 SSL 终点卸载到应用程序网关,以优化 Web 场的性能。 它还提供其他第 7 层路由功能,包括传入流量的轮循机制分配、基于 Cookie 的会话相关性、基于 URL 路径的路由,以及在一个应用程序网关后面托管多个网站。 Web 应用程序防火墙 (WAF) 也作为 WAF SKU 应用程序网关的一部分提供。 此 SKU 可保护 Web 应用程序免受 Web 常见漏洞和攻击的影响。 可以将应用程序网关配置为面向 Internet 的网关和/或仅内部网关。

公共 IP。 使用一些 Azure 功能,可以将服务终结点关联到公共 IP 地址,确保可从 Internet 访问资源。 该终结点使用 NAT 将流量路由到 Azure 虚拟网络上的内部地址和端口。 此路径是外部流量进入虚拟网络的主要方式。 可以配置公共 IP 地址,以确定可以传入哪种流量、如何在虚拟网络上转换该流量以及要将它路由到何处。

Azure DDoS 防护 针对 专门优化到 Azure 虚拟网络资源的基本服务 层提供了更多缓解功能。 DDoS 防护非常简单,无需更改应用程序。 通过专用流量监视和机器学习算法调整保护策略。 策略应用到与虚拟网络中部署的资源关联的公共 IP 地址。 示例包括 Azure 负载均衡器、Azure 应用程序网关和 Azure Service Fabric 实例。 在攻击期间,可通过 Azure Monitor 视图获得准实时的系统生成日志,并可查看历史记录。 可通过 Azure 应用程序网关 Web 应用程序防火墙来添加应用程序层保护。 为 IPv4 和 IPv6 Azure 公共 IP 地址提供保护。

中心和分支拓扑使用虚拟网络对等互连和用户定义的路由来正确路由流量。

8

在图中,用户定义的路由确保流量先从分支流到防火墙,再通过 ExpressRoute 网关传递到本地(如果防火墙策略允许该流量流)。

组件类型:监视

监视组件可以监视所有其他组件类型并发出报警。 所有团队都有权监视他们有权访问的组件和服务。 如果你拥有中心化支持人员或操作团队,他们需要对这些组件提供的数据进行集成访问。

Azure 提供不同类型的记录和监视服务,跟踪 Azure 托管资源的行为。 对 Azure 中工作负荷的管理和控制不仅只基于收集日志数据,也基于根据特定报告事件触发操作的能力。

Azure Monitor。 Azure 包括多项可以在监视空间单独执行特定角色或任务的服务。 这些服务组合在一起就可以提供一个全面的解决方案,用于从应用程序以及支持应用程序的 Azure 资源收集系统生成的日志,对这些日志进行分析并执行操作。 这些服务还监视关键的本地资源,以提供混合监视环境。 为应用程序开发完整监视策略的第一步是了解可用的工具和数据。

Azure Monitor 中有两种基本类型的日志:

  • 指标是数字值,用于描述系统某些方面在特定时间点的情况。 指标是轻型数据,可以支持准实时方案。 Azure 门户中的“概述”页会直接显示 Azure Monitor 针对许多 Azure 资源收集的数据。 例如,在查看任一虚拟机时,多个图表会显示性能指标。 选择任一图形会在 Azure 门户上的指标资源管理器中打开数据,你可在其中绘制多个指标随时间变化的值。 可以通过交互方式查看图表,也可以将其固定到某个仪表板,与其他可视化效果一起查看。

  • 日志包含不同类型的已经整理成记录的数据,每种类型都有不同的属性集。 事件和跟踪与性能数据一起存储为日志,所有这些都可以结合起来进行分析。 可以使用查询来分析 Azure Monitor 收集的日志数据,这些查询可以快速检索、合并和分析所收集的数据。 从 Log Analytics 存储和查询日志。 可以使用 Azure 门户中的 Log Analytics 创建和测试查询,然后可以直接使用这些工具分析数据,或者保存查询以便与可视化效果或警报规则配合使用。

9

Azure Monitor 可以从多个源收集数据。 可将应用程序的监视数据视为划分了层次,范围从应用程序、应用程序依赖的任何操作系统和服务,直到 Azure 平台本身。 Azure Monitor 从以下每个层收集数据:

  • 应用程序监视数据:有关编写的代码的性能和功能的数据,不管平台是什么。
  • 来宾 OS 监视数据:有关运行应用程序的操作系统的数据。 此 OS 可以在 Azure 中运行,也可以在其他云中或本地运行。
  • Azure 资源监视数据:有关 Azure 资源操作的数据。
  • Azure 订阅监控数据:有关 Azure 订阅的操作和管理的数据,以及 Azure 本身运行状况和操作。
  • Azure 租户监视数据:有关租户级 Azure 服务(例如 Microsoft Entra ID)的操作的数据
  • 自定义源:还可以包括从本地源发送的日志。 示例包括本地服务器事件或网络设备 syslog 输出。

仅当能够有利于洞察计算环境的操作时,监视数据才有作用。 Azure Monitor 包含多种功能和工具,可以提供应用程序及其依赖的其他资源的有用见解。 监视解决方案和 Application Insights 与用于容器的 Azure Monitor 等功能在应用程序和特定 Azure 服务的不同方面提供深入见解。

Azure Monitor 中的监视解决方案是打包的逻辑集,提供有关特定应用程序或服务的见解。 它们包括了用于为应用或服务收集监视数据的逻辑、用于分析该数据的查询,以及用于提供可视化效果的视图。 监视解决方案由 Microsoft 或合作伙伴提供,可针对各种 Azure 服务和其他应用程序提供监视。

收集到所有这些丰富的数据后,对环境中发生的事件采取主动行动非常重要,而特别是仅靠手动查询不够的情况下。 Azure Monitor 中的警报会主动发送有关关键状况的通知,并可能尝试采取纠正措施。 基于指标的预警规则根据数值提供准实时警报。 基于日志的警报规则允许使用跨多个来源中的数据的复杂逻辑。 Azure Monitor 中的警报规则使用操作组,其中包含可在多个规则之间共享的独特接收者和操作集。 根据你的要求,操作组可以使用导致警报启动外部操作或与你的 ITSM 工具集成的 Webhook。

Azure Monitor 还允许创建自定义仪表板。 使用 Azure 仪表板可将不同类型的数据(包括指标和日志)合并到 Azure 门户的单个窗格中。 可以选择与其他 Azure 用户共享仪表板。 除了任何日志查询或指标图表的输出以外,还可将整个 Azure Monitor 中的元素添加到 Azure 仪表板。 例如,可以创建一个包含多个磁贴的仪表板,这些磁贴分别用于显示指标图、活动日志表、Application Insights 的使用情况图表,以及日志查询的输出。

最后,Azure Monitor 数据是 Power BI 的原生源。 Power BI 是业务分析服务,可提供跨各种数据源的交互式可视化效果。 它也是将数据提供给组织内外的其他人的有效方法。 可将 Power BI 配置为自动从 Azure Monitor 导入日志数据,以利用这些额外的可视化效果。

Azure 网络观察程序提供所需的工具用于监视、诊断 Azure 虚拟网络中的资源、查看其指标,以及为其启用或禁用日志。 它是一个多面性的服务,可以实现下述和其他功能:

  • 监视虚拟机与终结点之间的通信。
  • 查看虚拟网络中的资源及其关系。
  • 诊断传入或传出 VM 的网络流量筛选问题。
  • 诊断 VM 的网络路由问题。
  • 诊断 VM 的出站连接。
  • 捕获传入和传出 VM 的数据包。
  • 诊断虚拟网络网关和连接的问题。
  • 确定 Azure 区域与 Internet 服务提供商之间的相对延迟。
  • 查看网络接口的安全规则。
  • 查看网络指标。
  • 分析传入或传出网络安全组的流量。
  • 查看网络资源的诊断日志。

组件类型:工作负荷

工作负荷组件是实际应用程序和服务所在的位置。 应用程序开发团队也将其大部分时间花在此处。

工作负荷的可能性是无限的。 以下是几种可能的工作负荷类型:

内部应用程序:业务线应用程序对于企业运营至关重要。 这些应用程序具有以下常见特征:

  • 交互:输入数据,然后返回结果或报告。
  • 数据驱动:数据密集型,需要频繁访问数据库或其他存储。
  • 集成:可与组织内外的其他系统集成。

面向客户的网站(面向 Internet 或内部):大多数 Internet 应用程序都是网站。 Azure 可以通过 IaaS 虚拟机或 Azure Web 应用站点 (PaaS) 运行网站。 Azure Web 应用与虚拟网络集成,以在分支网络区域中部署 Web 应用。 面向内部的网站不需公开公共 Internet 终结点,因为可以从专用虚拟网络通过不可经 Internet 路由的专用地址访问资源。

大数据分析:当数据需要纵向扩展到更大的卷时,由于数据的极端负载或非结构化性质,关系数据库可能无法正常运行。 Azure HDInsight 是面向企业的云中的托管、全方位、开源分析服务。 可以使用开源框架,例如 Hadoop、Apache Spark、Apache Hive、LLAP、Apache Kafka、Apache Storm 和 R. HDInsight。 这支持部署到基于位置的虚拟网络中,该网络可以部署到虚拟数据中心分支中的群集中。

事件和消息传送:Azure 事件中心是一种大数据流式处理平台和事件引入服务。 它可以每秒接收和处理数百万个事件。 它提供低延迟和可配置的时间保留,使你能够将大量数据引入 Azure 并从多个应用程序读取数据。 单个流可以同时支持实时和基于批处理的管道。

可以通过 Azure 服务总线在应用程序与服务之间实施高度可靠的云消息传送服务。 它提供客户端与服务器之间的异步中转消息传送、结构化先进先出 (FIFO) 消息传送以及发布和订阅功能。

10

这些示例只是很浅显地介绍了可以在 Azure 中创建的工作负载类型。 可以创建从基本的 Web 和 SQL 应用程序到物联网、大数据、机器学习、人工智能等最新应用程序的所有内容。

高可用性:多个虚拟数据中心

到目前为止,本文一直在重点讲述如何设计单个 VDC,介绍形成复原能力的基本组件和体系结构。 Azure 功能(如 Azure 负载均衡器、NVA、可用性区域、可用性集、规模集及其他功能)可帮助你将可靠的 SLA 级别包含到生产服务中。

但是,由于虚拟数据中心通常在单个区域内实现,它可能容易受到影响整个区域的中断的影响。 需要高可用性的客户必须通过将同一项目部署在不同区域的两个或更多个 VDC 实现中来保护服务。

除了 SLA 问题之外,以下几个常见方案还受益于运行多个虚拟数据中心:

  • 你的最终用户或合作伙伴的区域或全球状态。
  • 灾难恢复要求。
  • 用于在数据中心之间转移流量以实现负载或性能的一种机制。

区域/全球影响力

Azure 数据中心遍布全球多个区域。 选择多个 Azure 数据中心时,需要考虑两个相关因素:地理距离和延迟。 为了优化用户体验,请评估每个虚拟数据中心之间的距离以及每个虚拟数据中心到最终用户的距离。

托管虚拟数据中心的 Azure 区域必须符合组织运营所在任何法律管辖区的法规要求。

灾难恢复

灾难恢复计划的设计取决于工作负载的类型以及能否在不同 VDC 实现之间同步这些工作负载的状态。 理想情况下,大多数客户希望使用快速故障转移机制,这就要求在运行多个 VDC 实现的部署之间同步应用程序数据。 但是,在设计灾难恢复计划时,必须考虑到大多数应用程序对该数据同步可能导致的延迟很敏感。

在不同 VDC 实现中对应用程序进行同步和检测信号监视时,这些实现必须通过网络通信。 可通过以下方式连接不同区域中的两个 VDC 实现:

  • 同一虚拟 WAN 中跨区域 Azure 虚拟 WAN 中心内置的中心到中心通信。
  • 虚拟网络对等互连,以跨区域连接多个中心。
  • ExpressRoute 专用对等互连:在每个 VDC 实现中的多个中心连接到同一 ExpressRoute 线路时使用。
  • 通过企业主干连接的多个 ExpressRoute 线路,以及连接到 ExpressRoute 线路的多个 VDC 实现。
  • 每个 Azure 区域的 VDC 实现的中心区域之间的站点到站点 VPN 连接。

通常情况下,虚拟 WAN 中心、虚拟网络对等互联或 ExpressRoute 连接是首选的网络连接类型,因为通过 Microsoft 主干传输时的带宽更高,且延迟程度也一致。

通过运行网络资格测试来验证这些连接的延迟和带宽,然后根据结果来确定是适合同步数据复制还是异步数据复制。 此外还必须根据最佳恢复时间目标 (RTO) 来衡量这些结果。

灾难恢复:将流量从一个区域转移到另一个区域

Azure 流量管理器Azure Front Door 都会定期检查不同 VDC 实现中侦听终结点的服务运行状况。 如果这些终结点出现故障,Azure 流量管理器和 Azure Front Door 会自动路由到下一个最近的 VDC。 流量管理器使用实时用户测量和 DNS 将用户路由到最近的(或故障期间下一个最近的)终结点。 Azure Front Door 是 100 多个 Microsoft 主干边缘站点的反向代理,使用任播将用户路由到最近的侦听终结点。

总结

用于迁移的虚拟数据中心方法是创建一个可扩展的体系结构,可优化 Azure 资源的使用、降低成本并简化系统治理。 虚拟数据中心通常基于中心和分支网络拓扑(使用虚拟网络对等互连或虚拟 WAN 中心)。 中心提供公共共享服务,分支部署特定的应用程序和工作负载。 虚拟数据中心还与公司角色的结构匹配,中心 IT、DevOps 以及运营和维护等不同的部门在执行其特定角色时协同工作。 虚拟数据中心支持将现有的本地工作负载迁移到 Azure,但也为云原生部署提供了许多优势。

参考

详细了解本文档中讨论的 Azure 功能。

网络功能
Azure 虚拟网络
网络安全组
服务终结点
专用链接
用户定义的路由
网络虚拟设备
公共 IP 地址
Azure DNS

负载均衡
Azure Front Door
Azure 负载均衡器(第 4 层)
应用程序网关(第 7 层)
Azure 流量管理器

连接
虚拟网络对等互连
虚拟专用网络
虚拟 WAN
ExpressRoute
ExpressRoute Direct

标识
Microsoft Entra ID
Microsoft Entra 多重身份验证
Azure 基于角色的访问控制
Azure 内置角色

监视
网络观察程序
Azure Monitor
Log Analytics

最佳实践
管理组
订阅管理
资源组管理
Azure 订阅限制

安全性
Azure 防火墙
防火墙管理器
应用程序网关 WAF
Front Door WAF
Azure DDoS

其他 Azure 服务
Azure 存储
Azure SQL
Azure Web 应用
Azure Cosmos DB
HDInsight
事件中心
服务总线
Azure IoT
Azure 机器学习

后续步骤

  • 详细了解中心和分支拓扑的核心技术虚拟网络对等互连
  • 实现 Microsoft Entra ID 以使用 Azure 基于角色的访问控制
  • 使用 Azure 基于角色的访问控制开发符合组织结构、要求和策略的订阅和资源管理模型。 最重要的活动是计划。 分析重组、合并、新产品线和其他考虑因素会对你的初始模型造成什么影响,确保能够扩展以满足未来的需求和增长。