什麼是資料中心防火牆?What is Datacenter Firewall?

適用于: Azure Stack HCI、版本 20H2;Windows Server 2019Applies to: Azure Stack HCI, version 20H2; Windows Server 2019

資料中心防火牆是一種網路層、5元組 (通訊協定、來源與目的地埠號碼、來源與目的地 IP 位址) 、具狀態、多租使用者軟體定義網路 (SDN) 防火牆。Datacenter Firewall is a network layer, 5-tuple (protocol, source and destination port numbers, source and destination IP addresses), stateful, multitenant Software Defined Networking (SDN) firewall. 資料中心防火牆可保護虛擬網路與傳統 VLAN 網路網路層之間的東亞和北南部流量。The Datacenter Firewall protects east-west and north-south traffic flows across the network layer of virtual networks and traditional VLAN networks.

資料中心防火牆的運作方式How Datacenter Firewall works

您可以藉由建立套用至子網或網路介面 (Acl) 的存取控制清單,來啟用和設定資料中心防火牆。You enable and configure Datacenter Firewall by creating access control lists (ACLs) that get applied to a subnet or a network interface. 防火牆原則會在每個租使用者虛擬機器 (VM) 的 vSwitch 埠上強制執行。Firewall policies are enforced at the vSwitch port of each tenant virtual machine (VM). 原則會透過租使用者入口網站推送,而 網路控制 站會將它們散發到所有適用的主機。The policies are pushed through the tenant portal, and Network Controller distributes them to all applicable hosts.

租使用者系統管理員可以安裝和設定防火牆原則,以協助保護其網路免于來自網際網路和內部網路網路的不必要流量。Tenant administrators can install and configure firewall policies to help protect their networks from unwanted traffic originating from internet and intranet networks.

網路堆疊中的資料中心防火牆

服務提供者系統管理員或租使用者系統管理員可以透過網路控制站和 northbound Api 來管理資料中心防火牆原則。The service provider administrator or the tenant administrator can manage Datacenter Firewall policies via Network Controller and the northbound APIs. 您也可以使用 Windows Admin Center 來設定及管理資料中心防火牆原則。You can also configure and manage Datacenter Firewall policies using Windows Admin Center.

雲端服務提供者的優點Advantages for cloud service providers

資料中心防火牆為 Csp 提供下列優點:Datacenter Firewall offers the following advantages for CSPs:

  • 可提供給租使用者的可高度擴充、可管理及對付的軟體型防火牆解決方案A highly scalable, manageable, and diagnosable software-based firewall solution that can be offered to tenants

  • 自由將租使用者 Vm 移至不同的計算主機,而不中斷租使用者防火牆原則Freedom to move tenant VMs to different compute hosts without breaking tenant firewall policies

    • 部署為 vSwitch 埠主機代理程式防火牆Deployed as a vSwitch port host agent firewall

    • 租使用者 Vm 會取得指派給其 vSwitch 主機代理程式防火牆的原則Tenant VMs get the policies assigned to their vSwitch host agent firewall

    • 防火牆規則是在每個 vSwitch 埠中設定,與實際執行 VM 的主機無關Firewall rules are configured in each vSwitch port, independent of the actual host running the VM

  • 提供與租使用者客體作業系統無關的租使用者 Vm 保護Offers protection to tenant VMs independent of the tenant guest operating system

租使用者的優點Advantages for tenants

資料中心防火牆為租使用者提供下列優點:The Datacenter Firewall offers the following advantages for tenants:

  • 能夠定義防火牆規則,以協助保護網路上的網際網路對應工作負載和內部工作負載Ability to define firewall rules to help protect internet-facing workloads and internal workloads on networks

  • 能夠定義防火牆規則,以協助保護相同層級 2 (L2) 子網的 Vm 之間的流量,以及不同 L2 子網上的 Vm 之間的流量Ability to define firewall rules to help protect traffic between VMs on the same Layer 2 (L2) subnet as well as between VMs on different L2 subnets

  • 能夠定義防火牆規則,以協助保護及隔離租使用者內部部署網路與服務提供者的虛擬網路之間的網路流量Ability to define firewall rules to help protect and isolate network traffic between tenant on-premises networks and their virtual networks at the service provider

  • 能夠將防火牆原則套用至傳統 VLAN 網路和重迭式虛擬網路Ability to apply firewall policies to traditional VLAN networks and overlay-based virtual networks

後續步驟Next steps

如需相關資訊,另請參閱:For related information, see also: