Azure 虛擬資料中心:網路觀點

從內部部署移轉的應用程式可能會受益於 Azure 安全且具有成本效益的基礎結構,即使是最低限度的應用程式變更也是如此。 企業可能會想要調整其架構以改善靈活性,以利用 Azure 的功能。

Microsoft Azure 提供超大規模的服務和基礎結構,且具有企業級功能和可靠性。 這些服務和基礎結構提供許多混合式連線的選擇,可讓客戶透過網際網路或私人網路連線來進行存取。 Microsoft 夥伴也可以提供增強的功能,也就是提供最適合在 Azure 中執行的安全性服務和虛擬設備。

客戶可以使用 Azure 順暢地將基礎結構延伸至雲端並組建多層式架構。

什麼是虛擬資料中心?

雲端開始以平台形式裝載公眾對應的應用程式。 企業已辨識出雲端的價值,並開始移轉內部企業營運應用程式。 這些應用程式在提供雲端服務時,帶來更多的安全性、可靠性、效能和成本考慮,需要更多彈性。 新基礎結構和網路服務的設計目的在於提供彈性。 新功能可提供彈性的調整、災害復原和其他考量。

雲端解決方案一開始是設計成在公用頻譜中裝載單一且相對隔離的應用程式,這在幾年內的運作情況良好。 隨著雲端解決方案的效益日漸顯著,開始有人在雲端上裝載多個大規模工作負載。 解決安全性、可靠性、效能和成本考量,對於雲端服務的部署和生命週期而言相當重要。

在下方的範例雲端部署圖中,紅色方塊反白顯示安全性缺口。 黃色方塊顯示跨工作負載最佳化網路虛擬設備的機會。

Diagram that shows a cloud deployment and networking virtual datacenter.

虛擬資料中心有助於達成企業工作負載所需的規模。 調整規模必須處理在公用雲端中執行大規模應用程式時所遇到的挑戰。

虛擬資料中心實作包含的應用程式工作負載超過雲端。 其中也提供網路、安全性、管理、DNS 和 Active Directory 服務。 當企業將更多工作負載移轉至 Azure 時,請考慮支援這些工作負載的基礎結構和物件。 良好的資源管理有助於避免因獨立的資料流程、安全性模型和合規性挑戰而增加個別管理的「工作負載孤島」。

虛擬資料中心概念提供建議和高階設計,以實作個別但相關實體的集合。 這些實體通常具有一般支援能力、功能和基礎結構。 將工作負載視為虛擬資料中心,有助於實現規模經濟的成本降低。 它也可透過元件和資料流程集中化,以及更容易的作業、管理和合規性稽核,協助優化安全性。

注意

虛擬資料中心不是特定的 Azure 服務。 而是結合各種 Azure 特徵和功能以滿足您的需求。 虛擬資料中心是考慮工作負載和 Azure 使用量以最佳化雲端中資源和功能的方式。 這是在 Azure 中提供 IT 服務的模組化方法,同時還能顧及企業的組織角色和責任。

虛擬資料中心可協助企業在下列情況下,在 Azure 中部署工作負載和應用程式:

  • 裝載多個相關工作負載。
  • 將工作負載從內部部署環境移轉至 Azure。
  • 實作工作負載的共用或集中式安全性和存取需求。
  • 適當地針對大型企業混合使用 DevOps 和集中式 IT。

哪些人應實作虛擬資料中心?

任何決定採用 Azure 的客戶都可以受益于設定一組資源以供所有應用程式一般使用的效率。 根據大小,甚至單一應用程式也可以受益於使用來建置 VDC 實作的模式和元件。

某些組織具有 IT、網路、安全性或合規性的集中式小組或部門。 實作 VDC 有助於強制執行原則點、個別責任,並確保基礎萬用群組件的一致性。 應用程式小組可以保留適合其需求的自由和控制能力。

具有 DevOps 方法的組織也可以使用 VDC 概念來提供 Azure 資源的授權容器。 此方法可確保DevOps群組在訂用帳戶層級或一般訂用帳戶的資源群組內,在該群組內具有總控制權。 同時,網路和安全性界限保持相容。 合規性是由中樞網路和集中管理資源群組中的集中式原則所定義。

實作虛擬資料中心的考量

設計虛擬資料中心時,請考慮下列重要問題:

身分識別和目錄服務

身分識別和目錄服務是內部部署和雲端資料中心的關鍵功能。 身分識別涵蓋 VDC 實作內服務存取和授權的所有層面。 為了確保只有授權使用者和處理程序可以存取您的 Azure 資源,Azure 會使用數種類型的認證進行驗證,包括帳戶密碼、密碼編譯金鑰、數位簽章和憑證。 Azure Active Directory Multi-Factor Authentication提供額外的安全性層級來存取 Azure 服務。 具有各種簡單驗證選項的增強式驗證, (通話、簡訊或行動代理程式更新) 可讓客戶選擇他們偏好的方法。

大型企業需要定義身分識別管理程式,以描述個別身分識別的管理、其驗證、授權、角色,以及其 VDC 內或跨 VDC 的許可權。 此程式的目標可能會提高安全性和生產力,同時降低成本、停機時間和重複的手動工作。

Enterprise組織可能需要針對不同的企業營運要求混合服務。 當涉及不同的專案時,員工通常會有不同的角色。 VDC 需要不同小組之間的良好合作,每個小組都有特定的角色定義,才能讓系統以良好的治理方式執行。 責任、存取權和權限的矩陣可能會很複雜。 VDC 中的身分識別管理會透過 Azure Active Directory (Azure AD) 和 Azure 角色型存取控制 (Azure RBAC) 進行實作。

目錄服務是一種共用資訊基礎結構,用以尋找、管理和組織日常項目和網路資源。 這些資源可能包含磁碟區、資料夾、檔案、印表機、使用者、群組、裝置和其他物件。 目錄伺服器會將網路上的每個資源都視為物件。 資源的相關資訊會儲存為與該資源或物件建立關聯的屬性集合。

所有 Microsoft Online 商務服務都依賴 Azure Active Directory (Azure AD) 來進行登入和其他身分識別需求。 Azure Active Directory 是全方位、高可用性的身分識別和存取管理的雲端解決方案,它結合了核心目錄服務、進階身分識別管制及應用程式存取管理。 Azure AD 可以與內部部署 Active Directory 整合,以啟用所有雲端式和本機裝載 (內部部署) 應用程式的單一登入。 內部部署 Active Directory 的使用者屬性可以自動同步至 Azure AD。

VDC 實作中的所有權限不一定要由單一全域管理員指派。 相反地,每個特定部門、使用者群組或目錄服務中的服務都可以有管理其在 VDC 實作內專屬資源所需的權限。 建構權限需要平衡。 權限太多可能會阻礙效能效率,而權限太少或鬆散可能會增加安全性風險。 Azure 角色型存取控制 (Azure RBAC) 藉由為 VDC 實作中的資源提供更細緻的存取管理,以協助解決此問題。

安全性基礎結構

安全性基礎結構是指在 VDC 實作的特定虛擬網路區段中區隔流量。 此基礎結構會指定在 VDC 實作中控制輸入和輸出的方式。 Azure 是以多租使用者架構為基礎,可防止部署之間未經授權的和非預期流量。 這是使用虛擬網路隔離、存取控制清單、負載平衡器、IP 篩選器和流量原則來完成。 網路位址轉譯 (NAT) 會區隔內部網路流量與外部流量。

Azure 網狀架構會將基礎結構資源配置給租使用者工作負載,以及管理與虛擬機器 (VM 之間的通訊) 。 Azure Hypervisor 會強制執行 VM 之間的記憶體和處理序區隔,並安全地將網路流量路由傳送至客體 OS 租用戶。

雲端的連線

虛擬資料中心需要與外部網路的連線,才能將服務提供給客戶、合作夥伴或內部使用者。 這不僅需要連線至網際網路,也需連線至內部部署網路和資料中心。

客戶可控制可從公用網際網路存取和存取的服務。 控制此存取的方法是使用 Azure 防火牆或其他類型的虛擬網路設備 (NVA)、使用使用者定義路由的自訂路由原則,以及使用網路安全性群組進行網路篩選。 我們建議所有網際網路面向的資源都受到 Azure DDoS 保護標準的保護

企業可能需要將其虛擬資料中心連線到內部部署資料中心或其他資源。 設計有效架構時,Azure 與內部部署網路之間的此連線是重要層面。 企業有兩種不同的方式可建立此互相連線:透過網際網路或私人直接連線的傳輸。

Azure 站對站 VPN會將內部部署網路連線至 Azure 中的虛擬資料中心。 此連結會透過安全加密連線 (IPsec 通道) 來建立。 Azure 站對站 VPN 連線具有彈性、快速建立,而且通常不需要更多硬體採購。 根據產業標準的通訊協定,最新的網路裝置可透過網際網路或現有的連線路徑來建立與 Azure 的 VPN 連線。

ExpressRoute 可讓您的虛擬資料中心與任何內部部署網路之間進行私人連線。 ExpressRoute 連線不會經過公用網際網路,而且會提供更高的安全性、可靠性、速度 (最高 100 Gbps),以及一致的延遲。 ExpressRoute 提供與私人連線相關相容性規則的優點。 透過 ExpressRoute Direct,您便能以 10 Gbps 或 100 Gbps 的速度直接連線至 Microsoft 路由器。

部署 ExpressRoute 連線通常包含加入 ExpressRoute 服務提供者 (ExpressRoute Direct 是例外狀況)。 針對需要快速啟動的客戶,一開始通常會使用站對站 VPN 建立虛擬資料中心與內部部署資源之間的連線。 一旦您的實體與服務提供者互相連線完成,請透過 ExpressRoute 連線移轉連線。

對於大量 VPN 或 ExpressRoute 連線,Azure 虛擬 WAN 可作為網路服務,透過 Azure 提供最佳且自動化的分支對分支連線。 虛擬 WAN 可讓您連線至 Azure,並設定與其通訊的分支裝置。 連線和設定也可手動完成,或透過虛擬 WAN 合作夥伴使用慣用的提供者裝置來執行。 使用慣用的提供者裝置不僅方便使用,還可簡化連線和管理組態。 Azure WAN 的內建儀表板提供即時的疑難排解深入解析,可協助您節省時間,並可讓您輕鬆地檢視大規模的站對站連線。 虛擬 WAN 也會在您的虛擬 WAN 中樞中,使用選用的 Azure 防火牆和防火牆管理員來提供安全性服務。

雲端內的連線

Azure 虛擬網路虛擬網路對等互連是虛擬資料中心內的基本網路元件。 虛擬網路可保證虛擬資料中心資源的隔離界限。 對等互連可讓相同 Azure 區域內、跨區域,甚至是不同訂用帳戶中網路之間的不同虛擬網路互相通訊。 您可以透過針對網路安全性群組、防火牆原則 (Azure 防火牆或網路虛擬裝置) 和自訂使用者定義路由所指定的安全性規則集,在虛擬網路內部和之間控制流量。

虛擬網路是將平臺即服務整合的錨點, (PaaS) Azure 產品,例如Azure 儲存體Azure SQL,以及其他具有公用端點的整合式公用服務。 您可以使用服務端點Azure Private Link 整合公用服務與私人網路。 您甚至可以將公用服務設為私人,但仍可享受 Azure 所管理 PaaS 服務的優點。

虛擬資料中心概觀

拓撲

您可以根據需求和規模需求,使用下列其中一種高階拓撲來建立虛擬資料中心:

在平面拓撲中,所有資源都會部署在單一虛擬網路中。 子網路允許流量控制和隔離。

11

在網狀拓撲中,虛擬網路對等互連會將所有虛擬網路直接彼此連線。

12

對等互連中樞和支點拓撲非常適合具有委派責任的分散式應用程式和小組。

13

Azure 虛擬 WAN 拓撲可支援大規模的分公司案例和全球 WAN 服務。

14

對等互連中樞與支點拓撲與 Azure 虛擬 WAN 拓撲都使用中樞和支點設計,這非常適合用於通訊、共用資源和集中式安全性原則。 建立中樞時會使用虛擬網路對等互連中樞 (標示為圖表中的 Hub Virtual Network) 或虛擬 WAN 中樞 (標示為圖表中的 Azure Virtual WAN)。 Azure 虛擬 WAN 的設計目的在於針對大規模分支對分支以及分支對 Azure 通訊,或為了避免在虛擬網路對等互連中樞中個別建立所有元件的複雜度。 在某些情況下,您的需求可能會強制使用虛擬網路對等互連中樞設計,例如中樞內的網路虛擬設備需求。

在中樞和輪輻拓撲中,中樞是中央網路區域,可控制及檢查不同區域之間的所有流量,例如網際網路、內部部署和輪輻。 中樞和支點拓撲可協助 IT 部門集中強制執行安全性原則。 此外也可降低設定錯誤和暴露的可能性。

中樞通常包含輪輻所耗用的一般服務元件。 以下是常用中央服務的範例:

  • 需要Windows Active Directory 基礎結構,才能從不受信任的網路存取協力廠商的使用者驗證,才能存取輪輻中的工作負載。 其中包含相關的 AD FS Active Directory 同盟服務 ()
  • 分散式名稱系統 (DNS) 服務可用來解析輪輻中工作負載的命名,並在未使用 Azure DNS 時存取內部部署和網際網路上的資源
  • 公開金鑰基礎結構 (PKI) 用來實作單一登入工作負載
  • Flow輪輻網路區域與網際網路之間的 TCP 和 UDP 流量控制
  • Flow輪輻與內部部署之間的控制
  • 如有需要,一個輪輻與另一個輪輻之間的流量控制

虛擬資料中心透過在多個支點之間使用共用中樞基礎結構,以減少整體成本。

每個支點的角色都可以裝載不同類型的工作負載。 輪輻也提供適用的模組化方法,供相同的工作負載進行可重複的部署。 範例包括開發/測試、使用者驗收測試、生產階段前環境和生產環境。 輪輻也可區隔和啟用組織內的不同群組。 DevOps群組是輪輻可以執行的好範例。 在輪輻內部,可以使用各層之間的流量控制來部署基本工作負載或複雜的多層式工作負載。

訂用帳戶限制和多個中樞

重要

根據 Azure 部署的大小,您可能需要多個中樞策略。 設計中樞和輪輻策略時,詢問「此設計規模是否可以在此區域中使用另一個中樞虛擬網路?」和「此設計規模是否可以容納多個區域?」規劃規模和不需要的設計,比起無法規劃並需要它,會更好。

何時調整為次要 (或更多) 中樞取決於數個因素,通常是根據規模上的固有限制。 針對調整進行設計時,請務必檢查訂用帳戶、虛擬網路和虛擬機器的限制

在 Azure 中,每個任何類型的元件都會部署在 Azure 訂用帳戶中。 不同 Azure 訂用帳戶中的 Azure 元件隔離可以滿足不同企業營運的需求,例如設定不同層級的存取和授權。

單一 VDC 實作可以相應增加大量的輪輻。 雖然與每個 IT 系統一樣,還是有平臺限制。 中樞部署會繫結至特定的 Azure 訂用帳戶,此訂用帳戶具有各種限制 (例如,虛擬網路對等互連的最大數目。 如需詳細資料,請參閱 Azure 訂用帳戶和服務限制、配額與限制)。 如果限制可能是問題,架構可以藉由將模型從單一中樞輪輻擴充至中樞和輪輻叢集,進一步相應增加。 您可以使用虛擬網路對等互連、ExpressRoute、虛擬 WAN 或站對站 VPN,來連線一或多個 Azure 區域中的多個中樞。

2

導入多個中樞會增加系統的成本和管理工作。 它只會因延展性、系統限制、備援、使用者效能的區域複寫或災害復原而合理。 在需要多個中樞的案例中,所有中樞都應該致力於提供一組相同的易操作服務。

支點之間的互相連線

在單一支點或平面網路設計中,可以實作複雜的多層式工作負載。 您可以使用子網來實作多層組態,這是相同虛擬網路中每一層或應用程式的一個。 使用網路安全性群組和使用者定義路由來完成流量控制和篩選。

架構設計人員可能會想要跨多個虛擬網路部署一個多層式工作負載。 透過虛擬網路對等互連,輪輻可以連線至相同中樞或不同中樞內的其他輪輻。 此案例的常見範例是,應用程式處理伺服器位於一個輪輻 (或虛擬網路) 中。 資料庫則部署在多個輪輻 (或虛擬網路) 中。 在此情況下,可以輕鬆地將輪輻與虛擬網路對等互連互連,以避免透過中樞傳輸。 完成仔細的架構和安全性檢閱,以確保略過中樞不會略過可能只存在於中樞的重要安全性或稽核點。

3

輪輻也可以與作為中樞的輪輻互連。 此方法會建立兩層階層。 較高層級 (層級 0 的輪輻) 會成為階層層級) 1 (層級 1 中樞的中樞。 需要 VDC 實作的輪輻,才能將流量轉送至中央中樞。 然後,流量就可以在內部部署網路或公用網際網路中傳輸至其目的地。 具有雙層中樞的架構引進複雜路由,以移除簡單中樞支點關聯性的優點。

雖然 Azure 允許複雜拓撲,但是 VDC 概念的其中一個核心準則是重複性和簡單性。 若要將管理投入時間降到最低,我們建議採用 VDC 參考架構這種簡單的中樞輪輻設計。

單元

虛擬資料中心是由四種基本元件類型所構成:[基礎結構]、[周邊網路]、[工作負載] 和 [監視]。

每種元件類型都是由各種 Azure 功能和資源所組成。 您的 VDC 實作是由多個元件類型實例和相同元件類型的多個變化所組成。 例如,您可能有代表不同應用程式的許多不同邏輯分隔的工作負載執行個體。 您可以使用這些不同的元件類型和實例來建置 VDC。

4

VDC 的上述高階概念架構顯示不同中樞輪輻拓撲區域中所使用的不同元件類型。 此圖顯示架構各種組件中的基礎結構元件。

一般而言,存取權限和許可權可以是群組型。 處理群組,而不是個別使用者可藉由提供一致的方式來管理整個小組的存取原則,藉此簡化存取原則的維護,這有助於將設定錯誤降至最低。 在適當的群組中指派和移除使用者,有助於讓特定使用者的許可權保持在最新狀態。

每個角色群組的名稱都可以有唯一的前置詞。 此前置詞可讓您輕鬆地識別群組相關聯的工作負載。 例如,裝載驗證服務的工作負載可能會名為 AuthServiceNetOpsAuthServiceSecOpsAuthServiceDevOpsAuthServiceInfraOps。 集中式角色 (或與特定服務無關的角色) 前面可能會加上 Corp。例如 CorpNetOps

許多組織都會使用下列群組的一種變化,以提供角色的主要分析:

  • 名為 Corp 的中央 IT 小組具有控制基礎結構元件的擁有權。 例如網路和安全性。 群組必須具有訂用帳戶的參與者角色、中樞的控制權,以及輪輻中的網路參與者權限。 大型組織常會將這些管理職責劃分到多個小組間。 例如,網路作業 CorpNetOps 群組 (具有網路的獨佔焦點),和安全性作業 CorpSecOps 群組 (負責防火牆和安全性原則)。 在這種特定情況下,需要建立兩個不同的群組,才能指派這些自訂角色。
  • 名為 AppDevOps 的開發/測試群組負責部署應用程式或服務工作負載。 此群組針對 IaaS 部署扮演虛擬機器參與者的角色,或一或多個 PaaS 參與者的角色。 如需詳細資訊,請參閱 Azure 內建角色。 (選擇性) 開發測試小組可能需要檢視中樞或特定支點內的安全性原則 (網路安全性群組) 和路由原則 (使用者定義路由)。 除了工作負載參與者角色之外,此群組也需要網路讀取者角色。
  • 作業和維護群組 (CorpInfraOpsAppInfraOps) 負責管理生產中的工作負載。 此群組必須是任何生產訂用帳戶中工作負載的訂用帳戶參與者。 有些組織也可能會評估他們是否需要在生產環境和中央中樞訂用帳戶中具有訂用帳戶參與者角色的呈報支援小組群組。 另一個群組會修正生產環境中的潛在設定問題。

VDC 的設計目的是讓管理中樞的中央 IT 小組群組在工作負載層級具有對應的群組。 除了管理中樞資源之外,中央 IT 小組還可以控制訂用帳戶的外部存取權和最上層許可權。 工作負載群組也可以在中央 IT 小組上單獨控制其虛擬網路的資源和權限。

虛擬資料中心可分割,以跨不同的企業營運應用程式安全地裝載多個專案。 所有專案則都需要不同的隔離環境 (開發、UAT 和生產)。 其中每個環境的不同 Azure 訂用帳戶都可以提供自然隔離。

5

上圖顯示組織的專案、使用者、群組與 Azure 元件部署所在環境之間的關聯性。

通常,在 IT 中,環境 (或層) 是部署和執行多個應用程式的系統。 大型企業使用開發環境 (進行和測試變更的位置) 和生產環境 (使用者所使用的環境)。 這些環境通常會在兩者之間區隔數個預備環境,以便在發生問題時允許階段式部署 (推出) 、測試和復原。 部署架構極大,但通常仍會遵循開始開發環境 (DEV) 和結束生產環境 (PROD) 的基本程序。

這些多層式環境的常見架構包括開發與測試DevOps、預備環境的 UAT,以及生產環境。 組織可以使用單一或多個 Azure AD 租用戶,來定義對這些環境的存取權和權限。 上圖顯示使用兩個不同 Azure AD 租用戶的情況:一個適用於 DevOps 和 UAT,另一個則專用於生產環境。

具有不同的 Azure AD 租用戶會強制執行環境之間的區隔。 相同的使用者群組,例如中央 IT 小組,需要使用不同的 URI 來存取不同的Azure AD租使用者來進行驗證。 這可讓小組修改專案DevOps或生產環境的角色或許可權。 具有存取不同環境的不同使用者驗證可降低可能的中斷以及人為錯誤所導致的其他問題。

元件類型:基礎結構

此元件類型是大部分支援基礎結構所在的位置。 它也是您的集中式 IT、安全性和合規小組花費最多時間的位置。

6

基礎結構元件提供不同 VDC 實作元件的互相連線,並且存在於中樞和輪輻中。 管理和維護基礎結構元件的責任通常會指派給中央 IT 小組或安全性小組。

IT 基礎結構小組的其中一個主要工作是確保整個企業的 IP 位址結構描述一致性。 指派給 VDC 實作的私人 IP 位址空間需要一致,而且不會與內部部署網路上指派的私人 IP 位址重疊。

雖然內部部署邊際路由器或 Azure 環境中的 NAT 可以避免 IP 位址衝突,但是會增加基礎結構元件的複雜性。 管理簡化是 VDC 的主要目標之一。 使用 NAT 來處理 IP 考慮,雖然是有效的解決方案,但不是建議的解決方案。

基礎結構元件具有下列功能:

  • 身分識別和目錄服務:Azure 中每個資源類型的存取權是由儲存在目錄服務的身分識別所控制。 目錄服務不只會儲存使用者清單,也會儲存對特定 Azure 訂用帳戶中資源的存取權。 這些服務可以存在於雲端中,也可以與儲存在 Active Directory 中的內部部署身分識別進行同步處理。
  • 虛擬網路:虛擬網路是 VDC 的其中一個主要元件,可讓您在 Azure 平臺上建立流量隔離界限。 虛擬網路是由單一或多個虛擬網路區段所組成,而每個區段都有特定 IP 網路前置詞 (子網路,可以是 IPv4 或雙重堆疊 IPv4/IPv6)。 虛擬網路定義 IaaS 虛擬機器和 PaaS 服務可建立私人通訊的內部周邊區域。 一個虛擬網路中的 VM (和 PaaS 服務) 無法直接與不同虛擬網路中的 VM 通訊 (和 PaaS 服務) 。 即使這兩個虛擬網路都是由相同客戶在同一個訂用帳戶下建立,也是如此。 隔離是很重要的屬性,可確保客戶 VM 和通訊仍然隱蔽於虛擬網路內。 需要跨網路連線的位置,下列功能會說明如何完成。
  • 虛擬網路對等互連:用來建立 VDC 基礎結構的基本功能是虛擬網路對等互連,這會連接相同區域中的兩個虛擬網路。 此連線會透過 Azure 資料中心網路或使用跨區域的 Azure 全球骨幹進行。
  • 虛擬網路服務端點:服務端點會擴充虛擬網路專用位址空間,以包含 PaaS 空間。 端點也會透過直接連線,將您虛擬網路的身分識別延伸至 Azure 服務。 使用终结点可以保护虚拟网络的关键 Azure 服务资源。
  • Private Link:Azure Private Link可讓您透過虛擬中的私人端點存取 Azure PaaS Services (,例如,Azure 儲存體Azure Cosmos DBAzure SQL Database) 和 Azure 裝載的客戶/合作夥伴服務網路。 虛擬網路和服務間的流量會在通過 Microsoft 骨幹網路時隨之減少,降低資料在網際網路中公開的風險。 您也可以在虛擬網路中建立自己的 Private Link 服務,並私下提供給您的客戶。 使用 Azure Private Link 的設定和取用體驗在 Azure PaaS、客戶自有服務和共用合作夥伴服務之間是一致的。
  • 使用者定義的路由:根據系統路由表,預設會路由傳送虛擬網路中的流量。 使用者定義的路由是自訂路由表,網路系統管理員可以與一或多個子網建立關聯,以覆寫系統路由表的行為,並定義虛擬網路內的通訊路徑。 使用者定義路由的存在可確保來自輪輻的流量會透過特定的自訂 VM 或網路虛擬裝置,以及中樞和輪輻中的負載平衡器來傳輸。
  • 網路安全性群組:網路安全性群組是一份安全性規則清單,可作為 IP 來源、IP 目的地、通訊協定、IP 來源埠和 IP 目的地埠的流量篩選清單, (也稱為第 4 層五元組) 。 網路安全性群組可以套用至子網路和/或與 Azure VM 建立關聯的虛擬 NIC。 若要實作中樞和支點中的正確流量控制,網路安全性群組是不可或缺的。 網路安全性群組所提供的安全性層級,將決定您所應開啟的連接埠及其用途。 客戶可以使用主機型防火牆來套用更多個別 VM 篩選器,例如 iptables 或 Windows 防火牆。
  • DNS:DNS提供虛擬資料中心資源的名稱解析。 Azure 可提供 DNS 服務,以進行公用私人名稱解析。 私人區域提供虛擬網路內和跨虛擬網路的名稱解析。 私人區域可以跨越相同區域中的虛擬網路,以及跨區域和訂用帳戶。 至於公用解析,Azure DNS 可提供 DNS 網域的主機服務,使用 Microsoft Azure 基礎結構提供名稱解析。 只要將您的網域裝載於 Azure,就可以像管理其他 Azure 服務一樣,使用相同的認證、API、工具和計費方式來管理 DNS 記錄。
  • 管理群組訂用帳戶以及資源群組管理。 訂用帳戶定義自然界限,以在 Azure 中建立多個資源群組。 這種分隔可用於函數、角色隔離或計費。 訂用帳戶中的資源會在稱為資源群組的邏輯容器中組合在一起。 資源群組代表可組織虛擬資料中心內資源的邏輯群組。 如果您的組織有許多訂用帳戶,則可能需要有效管理這些訂用帳戶的存取權、原則與合規性方法。 Azure 管理群組可以在訂用帳戶之上提供範圍層級。 您要將訂用帳戶整理到稱為管理群組的容器中,並將治理條件套用至管理群組。 管理群組內的所有訂用帳戶都會自動繼承套用到管理群組的條件。 若要查看階層視圖中的這三個功能,請參閱在雲端採用架構中的組織您的資源
  • Azure 角色型存取控制 (Azure RBAC) :Azure RBAC 可以對應組織角色和存取特定 Azure 資源的許可權。 這可讓您將使用者限制為只有特定動作子集。 如果您要同步處理 Azure Active Directory 與內部部署 Active Directory,則可以在使用內部部署的 Azure 中,使用相同的 Active Directory 群組。 透過 Azure RBAC,您可以將適當的角色指派給相關範圍內的使用者、群組和應用程式,來授與存取權。 角色指派的範圍可以是 Azure 訂用帳戶、資源群組或單一資源。 Azure RBAC 允許繼承權限。 在父範圍指派的角色也會授與其內含子系的存取權。 使用 Azure RBAC,您可以區隔職責,並只授與他們執行其作業所需的使用者存取權。 例如,讓一位員工可以管理某個訂用帳戶中的虛擬機器,而讓另一位員工管理相同訂用帳戶中的 SQL Server 資料庫。

元件類型:周邊網路

周邊網路的元件 (有時稱為 DMZ 網路) 連線您的內部部署或實體資料中心網路,以及任何網際網路連線。 周邊通常需要從您的網路和安全性小組投入大量的時間投資。

傳入封包可以流經中樞的安全性設備,再到達輪輻中的後端伺服器和服務。 範例包括防火牆、IDS 和 IPS。 在離開網路之前,來自工作負載的網際網路系結封包也可以流經周邊網路中的安全性設備。 此流程可進行原則強制執行、檢查和稽核。

周邊網路元件包括:

通常,中央 IT 小組和安全性小組會負責周邊網路的需求定義和作業。

7

上圖顯示如何強制執行兩個具有網際網路存取權的周邊網路以及一個內部部署網路,而這些都位在 DMZ 中樞中。 在 DMZ 中樞中,連線至網際網路的周邊網路可以使用 Web 應用程式防火牆 (WAF) 或 Azure 防火牆的多個伺服器陣列進行擴大,以支援許多企業營運。 中樞也可以視需要透過 VPN 或 ExpressRoute 進行內部部署連線。

注意

在上圖中 DMZ Hub ,下列許多功能都可以組合在 Azure Virtual WAN 中樞 (,例如虛擬網路、使用者定義路由、網路安全性群組、VPN 閘道、ExpressRoute 閘道、Azure Load Balancers、Azure 防火牆、防火牆管理員和 DDOS) 。 使用 Azure Virtual WAN中樞可讓您更輕鬆地建立中樞虛擬網路和 VDC,因為當您部署 Azure Virtual WAN 中樞時,Azure 會為您處理大部分的工程複雜度。

虛擬網路。 中樞通常會建置在具有多個子網的虛擬網路上,這些子網裝載不同類型的服務。 這些服務會透過Azure 防火牆、NVA、WAF 和 Azure 應用程式閘道 實例來篩選和檢查網際網路的流量。

使用者定義路由。 藉由使用使用者定義的路由,客戶可以部署防火牆、IDS/IPS 和其他虛擬設備。 他們可以透過這些安全性設備來路由網路流量,以強制執行安全性界限原則、稽核和檢查。 使用者定義路由可以建立於中樞和輪輻中,保證流量傳輸到 VDC 實作所使用的特定自訂 VM、網路虛擬設備和負載平衡器。 若要保證從輪輻中的虛擬機器產生的流量會傳輸至正確的虛擬裝置,則必須在輪輻的子網中設定使用者定義的路由。 這是藉由將內部負載平衡器的前端 IP 位址設定為下一個躍點來完成。 內部負載平衡器會將內部流量分散到虛擬設備 (負載平衡器後端集區)。

Azure 防火牆是受控網路安全性服務,可以保護您的 Azure 虛擬網路資源。 其是具狀態的受控防火牆,具有高可用性和雲端可擴縮性。 您可以橫跨訂用帳戶和虛擬網路集中建立、強制執行以及記錄應用程式和網路連線原則。 Azure 防火牆會為您的虛擬網路資源提供靜態公用 IP 位址。 這可讓外部防火牆識別來自您虛擬網路的流量。 此服務與 Azure 監視器會完全整合,以進行記錄和分析。

若您使用 Azure 虛擬 WAN 拓撲,Azure 防火牆管理員是一種安全性管理服務,能為雲端式安全界限提供集中的安全性原則及路由管理。 其適用於 Azure 虛擬 WAN 中樞,這是一項由 Microsoft 管理的資源,可讓您輕鬆建立中樞和支點架構。 當安全性和路由原則與中樞相關聯時,稱為安全虛擬中樞。

網路虛擬設備。 在中樞內,具有網際網路存取的周邊網路通常會透過 Azure 防火牆執行個體或是防火牆伺服器陣列或 Web 應用程式防火牆 (WAF) 的伺服器陣列進行管理。

不同的企業營運通常會使用許多 Web 應用程式,而這些應用程式通常很容易受到各種弱點和潛在攻擊的攻擊。 Web 應用程式防火牆是一種特殊類型的產品,用來偵測 Web 應用程式和 HTTP/HTTPS 的攻擊比一般防火牆更有效率。 相較於傳統防火牆技術,WAF 有一組特定功能可保護內部網頁伺服器不受威脅。

Azure 防火牆或 NVA 防火牆會使用一般管理平面,並搭配一組安全性規則來保護輪輻中所裝載的工作負載,以及控制內部部署網路的存取。 Azure 防火牆具有內建延展性,然而 NVA 防火牆可以在負載平衡器後方手動擴充。 一般而言,防火牆伺服器陣列具有比 WAF 還不特殊的軟體,但具有廣泛應用程式範圍可篩選和檢查任何類型的輸出和輸入流量。 如果使用 NVA 方法,則可從 Azure Marketplace 找到並部署這類防火牆。

建議您針對來自網際網路的流量使用一組 Azure 防火牆執行個體。 對於來自內部部署的流量則使用另一組執行個體。 對兩者僅使用一組防火牆會造成安全性風險,因為這並未提供兩組網路流量之間的安全性周邊。 使用個別的防火牆層可減少檢查安全性規則的複雜度,這可讓您清楚識別哪些規則對應至哪些傳入的網路要求。

Azure Load Balancer 提供高可用性層級 4 (TCP、UDP) 服務,可將連入流量分散到負載平衡組中所定義的服務執行個體。 從前端端點傳送至負載平衡器的流量, (公用 IP 端點或私人 IP 端點) 可以轉散發至一組後端 IP 位址池, (例如網路虛擬裝置或虛擬機器) 。

Azure Load Balancer可以探查各種伺服器實例的健康情況。 當執行個體無法回應探查時,負載平衡器會停止將流量傳送至狀況不良的執行個體。 在虛擬資料中心內,外部負載平衡器會部署到中樞和輪輻中。 在中樞中,負載平衡器可用來有效率地跨防火牆實例路由傳送流量。 在輪輻中,負載平衡器是用來管理應用程式流量。

Azure Front Door (AFD) 是 Microsoft 的高可用性且可調整的 Web 應用程式加速平臺、全域 HTTP 負載平衡器、應用程式保護和內容傳遞網路。 AFD 會在 Microsoft 全球網路邊緣 100 個以上的位置執行,可讓您建置、操作及擴增您的動態 Web 應用程式和靜態內容。 AFD 為您的應用程式提供世界級使用者效能、統一地區/戳記維護自動化、BCDR 自動化、統一用戶端/使用者資訊、快取和服務見解。

該平台提供了:

  • 效能、可靠性且支援服務等級協定 (SLA)。
  • 合規性認證
  • Azure 開發、操作和原生支援的可稽核安全性做法。

Azure Front Door 也會提供 Web 應用程式防火牆 (WAF),以保護 Web 應用程式免於發生常見的弱點和漏洞。

Azure 應用程式閘道是專用的虛擬設備,可提供受控應用程式傳遞控制器。 此設備會為您的應用程式提供各種第 7 層負載平衡功能。 其會將 CPU 密集 SSL 終止卸載至應用程式閘道,讓您最佳化 Web 伺服器陣列的產能。 其中也提供其他第 7 層路由功能,例如循環配置傳入流量、以 Cookie 為基礎的工作階段同質性、URL 路徑型路由,以及在單一應用程式閘道背後代管多個網站的能力。 Web 應用程式防火牆 (WAF) 也是提供為應用程式閘道 WAF SKU 的一部分。 此 SKU 會保護 Web 應用程式免於遭遇常見的 Web 弱點和攻擊。 應用程式閘道可以設定為網際網路對向閘道、僅限內部閘道或兩者的組合。

公用 IP。 您可以利用某些 Azure 功能建立服務端點與公用 IP 位址的關聯,以便從網際網路存取資源。 此端點會使用 NAT 將流量路由至 Azure 中虛擬網路的內部位址和連接埠。 這個路徑是外部流量進入虛擬網路的主要方式。 您可以設定公用 IP 位址以決定要傳入的流量,以及該流量在虛擬網路上的轉譯方式和目的地。

Azure DDoS 保護標準 可透過特別針對 Azure 虛擬網路資源調整 的基本服務 層級,提供更多緩和功能。 DDoS 保護標準很容易啟用,而且不需要變更應用程式。 保護原則會透過專用的流量監視和機器學習演算法進行調整。 原則會套用至與虛擬網路中部署的資源相關聯的公用 IP 位址。 範例包括 Azure 負載平衡器、Azure 應用程式閘道和 Azure Service Fabric 實例。 近乎即時的系統產生的記錄可透過 Azure 監視器檢視在攻擊期間和歷程記錄取得。 您可以透過 Azure 應用程式閘道 Web 應用程式防火牆來新增應用層保護。 針對 IPv4 和 IPv6 Azure 公用 IP 位址提供保護。

中樞和支點拓撲使用虛擬網路對等互連和使用者定義路由來適當地路由傳送流量。

8

在此圖中,使用者定義的路由可確保流量會從支點流向防火牆,然後再透過 ExpressRoute 閘道傳遞給內部部署 (如果防火牆原則允許該流量)。

元件類型:監視

監視元件提供來自所有其他元件類型的可見度和警示。 所有小組都可以存取其可存取的元件和服務監視。 如果您有集中式技術支援中心或作業小組,則他們需要具有這些元件所提供資料的整合式存取權。

Azure 提供不同類型的記錄和監視服務,以追蹤 Azure 裝載資源的行為。 Azure 中工作負載的治理和控制不僅以收集記錄資料為基礎,也以根據特定報告事件觸發動作的能力為基礎。

Azure 監視器。 Azure 包含多項服務,能在監視空間內個別執行特定的角色或工作。 這些服務共同提供一套全面性解決方案,可從您的應用程式和提供支援的 Azure 資源收集系統產生記錄資料,然後進行分析並採取行動。 他們也可以監視重要的內部部署資源,以提供混合式監視環境。 瞭解可用的工具和資料是開發完整應用程式監視策略的第一步。

Azure 監視器有兩種基本類型的記錄:

  • 計量為數值,可描述系統在特定時間點的某個方面。 它們是輕量型且能夠支援近乎即時的案例。 對於許多 Azure 資源,您會在Azure 入口網站的 [概觀] 頁面中,看到 Azure 監視器所收集的資料。 比方說,查看一下任何虛擬機器,您會看到數個顯示效能計量的圖表。 選取任何圖表,以在 Azure 入口網站的計量瀏覽器中開啟資料,可讓您將一段時間的多個計量值繪製成圖表。 您可以互動方式檢視圖表,或將其釘選到儀表板,利用其他視覺效果進行檢視。

  • 記錄包含不同類型的資料,而資料會針對每個類型組織成不同的屬性集。 事件和追蹤會儲存為記錄以及效能資料,而這些資料可以合併以進行分析。 可以使用查詢分析 Azure 監視器收集的記錄資料,以快速擷取、彙總和分析收集的資料。 記錄會從 記錄分析進行儲存和查詢。 您可以在Azure 入口網站中使用記錄分析來建立及測試查詢,並使用這些工具直接分析資料,或儲存查詢以搭配視覺效果或警示規則使用。

9

Azure 監視器可從各種來源收集資料。 您可以考慮為各層中的應用程式監視資料,範圍從您的應用程式、它所倚賴的任何作業系統和服務,以至 Azure 平台本身。 Azure 監視器會從下列各層收集資料:

  • 應用程式監視資料: 無論您的平臺為何,您撰寫之程式碼的效能和功能相關資料。
  • 客體 OS 監視資料:有關執行應用程式之作業系統的資料。 此 OS 可以在 Azure、其他雲端或內部部署中執行。
  • Azure 資源監視資料:有關 Azure 資源作業的資料。
  • Azure 訂用帳戶監視資料: 關於 Azure 訂用帳戶作業和管理的資料,以及 Azure 本身的健康情況和作業。
  • Azure 租用戶監視資料:有關租用戶層級 Azure 服務 (例如 Azure Active Directory) 作業的資料。
  • 自訂來源:也可以包括從內部部署來源傳送的記錄。 範例包括內部部署伺服器事件或網路裝置 Syslog 輸出。

如果監視資料可以提高您對於運算環境作業的可見性,監視資料才有用處。 Azure 監視器包含數個功能和工具,可提供您應用程式及其相依之其他資源的寶貴見解。 適用于容器的 Application Insights 和 Azure 監視器等監視解決方案和功能,可提供您應用程式和特定 Azure 服務不同層面的深入解析。

Azure 監視器中的監視解決方案是幾組封裝的邏輯,可提供特定應用程式或服務的深入解析。 其中包括了用來為應用程式或服務收集監視資料的查詢,以及可用於視覺化的檢視 您可以從 Microsoft 及合作夥伴取得監視解決方案,為各種 Azure 服務和其他應用程式提供監視功能。

有了這類豐富的資料集合,請務必主動採取行動處理環境中發生的事件,特別是手動查詢本身無法足夠的地方。 Azure 監視器中的警示會主動通知您重大情況,並可能嘗試採取矯正措施。 以計量為基礎的警示規則會根據數值提供近乎即時的警示。 根據記錄的警示規則,允許跨多個來源的資料進行複雜的邏輯。 Azure 監視器中的警示規則會使用動作群組,其中包含幾組獨特的收件人以及多個規則可共用的動作。 根據您的需求,動作群組可以使用導致警示啟動外部動作或與您的 ITSM 工具整合的 Webhook。

Azure 監視器也可讓您建立自訂儀表板。 Azure 儀表板可讓您將不同種類的資料 (包括計量和記錄) 結合至 Azure 入口網站的單一窗格中。 您可以選擇性地與其他 Azure 使用者共用儀表板。 您可以將 Azure 監視器的元素新增至 Azure 儀表板 (任何記錄查詢或計量圖表的輸出除外)。 例如,您可以建立儀表板,結合顯示計量圖表、活動記錄資料表、application insights 的使用圖表,以及記錄查詢的輸出。

最後,Azure 監視器資料是 Power BI 的原生來源。 Power BI是一項商務分析服務,可在各種資料來源之間提供互動式視覺效果。 這也是讓組織內外其他人能夠使用資料的有效方式。 您可以將Power BI設定為從 Azure 監視器自動匯入記錄資料,以利用這些更多視覺效果。

Azure 網路監看員提供了相關工具,可對 Azure 中的虛擬網路中的資源進行監視、診斷、檢視計量,以及啟用或停用記錄。 這是一項多元的服務,可提供下列功能和更多效用:

  • 監視虛擬機器與端點之間的通訊。
  • 檢視虛擬網路中的資源及其關聯性。
  • 診斷進出於 VM 的網路流量篩選問題。
  • 診斷來自 VM 的網路路由問題。
  • 診斷來自 VM 的輸出連線。
  • 擷取進出於 VM 的封包。
  • 診斷虛擬網路閘道和連線的問題。
  • 判斷 Azure 區域和網際網路服務提供者之間的相對延遲。
  • 檢視網路介面的安全性規則。
  • 檢視網路計量。
  • 分析網路安全性群組的輸入或輸出流量。
  • 檢視網路資源的診斷記錄。

元件類型:工作負載

工作負載元件是實際應用程式和服務所在的位置。 應用程式開發小組花費最多時間在處理這些問題。

工作負載有各式各樣的可能性。 以下只是一些可能的工作負載類型:

內部應用程式:企業營運應用程式對於企業營運而言是不可或缺的。 這些應用程式具有一些共同特性:

  • 互動式:輸入資料後,系統會傳回結果或報告。
  • 資料區段:具資料密集性,需頻繁存取資料庫或其他儲存體。
  • 整合:可與組織內部或外部的其他系統整合。

客戶對應網站 (網際網路對應或內部對應):多數網際網路應用程式都是網站。 Azure 可透過 IaaS 虛擬機器或 Azure Web Apps 網站 (PaaS) 來執行網站。 Azure Web 應用程式會與虛擬網路整合,以在輪輻網路區域中部署 Web 應用程式。 內部對應的網站不需要公開公用網際網路端點,因為可透過可路由的非網際網路私人位址,從私人的虛擬網路存取資源。

巨量資料分析: 當資料需要相應增加至較大的磁片區時,關係資料庫在資料的極端負載或非結構化本質下可能無法正常執行。 Azure HDInsight 是雲端中供企業使用的受控、全方位的開放原始碼分析服務。 您可以使用 Hadoop、Apache Spark、Apache Hive、LLAP、Apache Kafka、Apache Storm 和 R 等開放原始碼架構。 這支援部署到以位置為基礎的虛擬網路,其可部署到虛擬資料中心輪輻中的叢集。

事件和傳訊:Azure 事件中樞是巨量資料串流平臺和事件擷取服務。 它每秒可接收和處理數百萬個事件。 其中提供低延遲和可設定的時間保留,可讓您將大量資料內嵌至 Azure,並從多個應用程式來讀取資料。 單一串流就可以同時支援即時和批次型管道。

您可以透過 Azure 服務匯流排在應用程式與服務之間實作高度可靠的雲端傳訊服務。 此方法可提供用戶端與伺服器之間的非同步代理傳訊、結構化的先進先出 (FIFO) 傳訊,以及發佈和訂閱功能。

10

這些範例幾乎只是在 Azure 中建立之工作負載類型的表面。 您可以從基本 Web 和SQL應用程式建立所有專案,到 IoT、巨量資料、機器學習、AI 等等。

高可用性:多個虛擬資料中心

目前為止,本文的聚焦於單一 VDC 的設計,並描述構成復原的基本元件和架構。 Azure 功能,例如Azure Load Balancer、NVA、可用性區域、可用性設定組、擴展集和其他功能,可協助您將穩固 SLA 層級納入生產服務。

不過,由於虛擬資料中心通常會在單一區域內執行,因此可能會發生影響整個區域的中斷。 需要高可用性的客戶,必須透過在部署至不同區域的兩個以上 VDC 實作中部署相同專案來保護服務。

除了 SLA 考慮,有數個常見的案例可受益於執行多個虛擬資料中心:

  • 使用者或合作夥伴的區域或全域顯示狀態。
  • 災害復原需求。
  • 可針對負載或效能在資料中心之間轉移流量的機制。

地區/全球支援

Azure 資料中心存在於全球的許多區域中。 選取多個 Azure 資料中心時,請考慮兩個相關因素:地理距離和延遲。 若要優化使用者體驗,請評估每個虛擬資料中心與每個虛擬資料中心與終端使用者之間的距離。

裝載虛擬資料中心的 Azure 區域必須符合您組織營運所在任何法律管轄區的法規需求。

災害復原

災害復原方案的設計取決於工作負載類型,以及同步不同 VDC 實作之間工作負載狀態的能力。 在理想情況下,大部分的客戶都需要快速容錯移轉機制,而且這項需求可能需要在多個 VDC 實作中執行的部署之間同步處理應用程式資料。 不過,在設計災害復原方案時,務必考慮到延遲對大部分的應用程式而言可能都很敏感,而此資料同步可能會造成延遲。

不同 VDC 實作中的應用程式同步和活動訊號監視,都需要 VDC 實作透過網路進行通訊。 不同區域中的多個 VDC 實作可透過下列方式連線:

  • 跨相同虛擬 WAN 區域內區域 Azure 虛擬 WAN 中樞內建的中樞對中樞通訊。
  • 虛擬網路對等互連可跨區域連線各個中樞。
  • 若要讓每個 VDC 實作中的中樞連線至相同 ExpressRoute 循環,應使用 ExpressRoute 私人對等互連
  • 透過公司骨幹所連線的多個 ExpressRoute 循環以及連線至 ExpressRoute 循環的多個 VDC 實作。
  • 在每個 Azure 區域中,VDC 實作中樞區域之間的站對站 VPN 連線。

通常,由於透過 Microsoft 骨幹傳輸時的較高頻寬和一致的延遲層級,因此虛擬 WAN 中樞、虛擬網路對等互連或 ExpressRoute 連線是慣用的網路連線類型。

請執行網路資格測試來驗證這些連線的延遲和頻寬,並根據結果決定是否適合同步或非同步資料複寫。 務必也要以最佳復原時間目標 (RTO) 的角度來衡量這些結果。

災害復原:將流量從一個區域轉移到另一個區域

Azure 流量管理員Azure Front Door都會定期檢查不同 VDC 實作中接聽端點的服務健康情況。 如果這些端點失敗,Azure 流量管理員和 Azure Front Door 路由會自動路由至下一個最接近的 VDC。 流量管理員會使用即時使用者測量和 DNS,將使用者路由傳送至最接近的目標 (或失敗時則為下一個最接近的目標)。 Azure Front Door 是 100 Microsoft 骨幹邊緣網站上的反向 Proxy,使用任一傳播功能將使用者路由傳送至最接近的接聽端點。

摘要

移轉的虛擬資料中心方法是建立可調整的架構,以優化 Azure 資源使用、降低成本,以及簡化系統控管。 虛擬資料中心通常是以中樞和支點網路拓撲為基礎 (使用虛擬網路對等互連或虛擬 WAN 中樞)。 中樞內提供的一般共用服務,以及特定的應用程式和工作負載會部署在支點中。 虛擬資料中心也會符合公司角色的結構,其中不同的部門,例如中央 IT、DevOps,以及作業和維護一起運作,同時執行其特定角色。 虛擬資料中心支援將現有的內部部署工作負載移轉至 Azure,但也提供雲端原生部署的許多優點。

參考資料

深入瞭解本文件中討論的 Azure 功能。

後續步驟

  • 深入瞭解虛擬網路對等互連,也就是中樞和支點拓撲的核心技術。
  • 執行Azure Active Directory 以使用 Azure 角色型存取控制
  • 使用 Azure 角色型存取控制來開發訂用帳戶和資源管理模型,以符合您組織的結構、需求和原則。 正在規劃最重要的活動。 分析重組、合併、新的產品線和其他考量將如何影響您的初始模型,以確保您可以調整規模以符合未來的需求和成長。