Что такое брандмауэр центра обработки данных?

Область применения: Azure Stack HCI версий 23H2 и 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

Брандмауэр центра обработки данных — это сетевой уровень, 5 кортежей (протокол, номера портов источника и назначения, IP-адреса источника и назначения), брандмауэр с отслеживанием состояния, мультитенантный программно-определяемой сетью (SDN). Брандмауэр центра обработки данных защищает потоки трафика "восток-запад" и "север-юг" через сетевой уровень виртуальных сетей и традиционных сетей виртуальной локальной сети.

Как работает брандмауэр центра обработки данных

Брандмауэр центра обработки данных включается и настраивается путем создания групп безопасности сети (NSG), которые применяются к подсети или сетевому интерфейсу. Политики брандмауэра применяются к порту vSwitch каждой виртуальной машины клиента. Политики отправляются через портал клиента, а сетевой контроллер распространяет их на все применимые узлы.

Администраторы клиентов могут устанавливать и настраивать политики брандмауэра, чтобы защитить свои сети от нежелательного трафика, поступающего из Интернета и сетей интрасети.

Администратор поставщика услуг или администратор клиента может управлять политиками брандмауэра центра обработки данных с помощью сетевого контроллера и API для северного трафика. Вы также можете настраивать политики брандмауэра центра обработки данных и управлять ими с помощью Windows Admin Center.

Преимущества для поставщиков облачных служб

Брандмауэр центра обработки данных предоставляет следующие преимущества для поставщиков облачных служб.

• Высокомасштабируемое, управляемое и диагностируемое программное решение брандмауэра, которое можно предложить клиентам.

• Свободное перемещение виртуальных машин клиента на разные вычислительные узлы без нарушения политик брандмауэра клиента

  • Развертывание в качестве брандмауэра агента узла порта vSwitch

  • Виртуальные машины клиента получают политики, назначенные брандмауэру агента узла vSwitch.

  • Правила брандмауэра настраиваются в каждом порту vSwitch независимо от фактического узла, на котором запущена виртуальная машина.

• Обеспечивает защиту виртуальных машин клиента независимо от операционной системы на виртуальной машине клиента

Преимущества для клиентов

Брандмауэр центра обработки данных обеспечивает следующие преимущества для клиентов:

• Возможность определения правил брандмауэра для защиты рабочих нагрузок с выходом в Интернет и внутренних рабочих нагрузок в сетях

• Возможность определения правил брандмауэра для защиты трафика между виртуальными машинами в одной подсети уровня 2 (L2) и между виртуальными машинами в разных подсетях L2

• Возможность определения правил брандмауэра для защиты и изоляции сетевого трафика между локальными сетями клиента и их виртуальными сетями у поставщика услуг

• Возможность применения политик брандмауэра к традиционным сетям виртуальной локальной сети и виртуальным сетям на основе наложения

Дальнейшие действия

Дополнительные сведения см. также в разделе:

• Настройка групп безопасности сети с помощью Windows Admin Center
• Настройка групп безопасности сети с помощью PowerShell
• SDN в Azure Stack HCI и Windows Server
• Модуль Learn: Реализация брандмауэра центра обработки данных и программного обеспечения Load Balancer в Azure Stack HCI