Поделиться через

Приватный канал Azure в сети со звездообразной топологией

В этой статье описывается, как использовать Приватный канал Azure в топологии сети концентратора и периферийной сети. Целевая аудитория включает архитекторов сети и архитекторов облачных решений. В этом руководстве описывается, как использовать частные конечные точки Azure для частного доступа к ресурсам платформы как услуга (PaaS).

Это руководство не охватывает интеграцию виртуальных сетей, конечные точки службы и другие решения для подключения компонентов инфраструктуры как службы (IaaS) к ресурсам Azure PaaS. Дополнительные сведения об этих решениях см. в статье "Интеграция служб Azure с виртуальными сетями для изоляции сети".

Топологии концентраторов и периферийных узлов Azure

Вы можете использовать топологию сети концентратора и периферийной сети в Azure для эффективного управления службами коммуникации и удовлетворения требований безопасности в масштабе. Дополнительные сведения см. в статье "Топология сети с концентраторами и периферийными устройствами".

Архитектура с концентраторами и периферийными устройствами обеспечивает следующие преимущества:

  • Развертывание отдельных рабочих нагрузок между центральными ИТ-командами и командами рабочей нагрузки
  • Экономия затрат путем минимизации избыточных ресурсов
  • Эффективное управление сетями путем централизованного использования служб, совместно использующих несколько рабочих нагрузок
  • Преодолевает ограничения, связанные с одной подпиской Azure

На следующей схеме показана обычная топология концентраторов и периферийных узлов, которую можно развернуть в Azure.

Схема архитектуры, показывающая виртуальную сеть концентратора и две сети спиц. Одна спица — это сеть локальной инфраструктуры. Другая — это виртуальная сеть зоны размещения.

Скачайте файл Visio для этой архитектуры.

Эта архитектура является одним из двух вариантов топологии сети, поддерживаемых Azure. В этой классической эталонной структуре используются базовые сетевые компоненты, такие как Azure виртуальная сеть, пиринг виртуальных сетей и определяемые пользователем маршруты (определяемые пользователем). При использовании топологии концентратора и периферийной сети необходимо настроить службы и убедиться, что сеть соответствует требованиям к безопасности и маршрутизации.

Azure Виртуальная глобальная сеть предоставляет альтернативу развертываниям в масштабе. Эта служба использует упрощенную сетевую структуру. Виртуальная глобальная сеть снижает нагрузку на конфигурацию, связанную с маршрутизацией и безопасностью.

Приватный канал поддерживает различные варианты традиционных сетей и периферийных сетей, а также для Виртуальная глобальная сеть сетей.

Приватный канал предоставляет доступ к службам через сетевой интерфейс частной конечной точки. Частная конечная точка использует частный IP-адрес из виртуальной сети. Вы можете получить доступ к различным службам по частному IP-адресу:

  • Службы Azure PaaS
  • Клиентские службы, на которые размещаются Azure
  • Партнерские службы, на которые размещаются Azure

Трафик между вашей виртуальной сетью и службой, к которой вы получаете доступ, проходит через магистральную сеть Azure. В результате вы больше не обращаетесь к службе через общедоступную конечную точку. Дополнительные сведения см. в разделе Private Link.

На следующей схеме показано, как локальные пользователи подключаются к виртуальной сети и используют приватный канал для доступа к ресурсам PaaS.

Схема архитектуры, показывающая, как Приватный канал Azure подключает виртуальную сеть к ресурсам PaaS.

Скачайте файл Visio для этой архитектуры.

Частные конечные точки можно развернуть в концентраторе или в периферийной сети. Некоторые факторы определяют, какое расположение лучше всего подходит для каждой ситуации. Рассмотрим следующие факторы, чтобы определить оптимальную конфигурацию служб Azure PaaS, а также для клиентских и партнерских служб, размещенных в Azure.

Определите, используется ли виртуальная глобальная сеть в качестве решения для подключения к сети

Если вы используете Виртуальная глобальная сеть, можно развернуть только частные конечные точки в периферийных виртуальных сетях, подключенных к виртуальному концентратору. Вы не можете развертывать ресурсы в виртуальном концентраторе или защищенном концентраторе.

Дополнительные сведения об интеграции частных конечных точек в сеть см. в следующих статьях:

Определение того, используется ли виртуальное сетевое устройство, например брандмауэр Azure

Трафик к частным конечным точкам использует магистраль сети Azure и шифруется. Возможно, потребуется записать или отфильтровать этот трафик. Кроме того, может потребоваться проанализировать трафик, который передается в частные конечные точки, если вы используете брандмауэр в следующих областях:

  • Через спицы
  • Между центром и периферийными устройствами
  • Между локальными компонентами и сетями Azure

В этом случае разверните частные конечные точки в центре в выделенной подсети. Эта настройка обеспечивает следующие преимущества:

  • Упрощает настройку правила преобразования безопасных сетевых адресов (SNAT). Вы можете создать одно правило SNAT в виртуальном сетевом устройстве (NVA) для трафика в выделенную подсеть, содержащую частные конечные точки. Трафик можно направлять в другие приложения без применения SNAT.

  • Упрощает конфигурацию таблицы маршрутов. Для трафика, который передается в частные конечные точки, можно добавить правило для маршрутизации трафика через NVA. Это правило можно повторно использовать для всех спиц, шлюзов виртуальной частной сети (VPN) и шлюзов Azure ExpressRoute.

  • Позволяет применять правила группы безопасности сети для входящего трафика в подсети, которую вы выделяете в частную конечную точку. Эти правила фильтруют трафик к ресурсам. Они предоставляют одно место для управления доступом к ресурсам.

  • Централизованное управление частными конечными точками. При развертывании всех частных конечных точек в одном месте можно более эффективно управлять ими во всех виртуальных сетях и подписках.

Используйте эту конфигурацию, если всем рабочим нагрузкам требуется доступ к каждому ресурсу PaaS, который защищает приватный канал. Если рабочие нагрузки обращаются к разным ресурсам PaaS, не развертывайте частные конечные точки в выделенной подсети. Вместо этого улучшайте безопасность, следуя принципу наименьших привилегий:

  • Поместите каждую частную конечную точку в отдельную подсеть.
  • Предоставляют только рабочие нагрузки, использующие защищенный доступ к ресурсу.

Определение того, используется ли частная конечная точка из локальной системы

Если вы планируете использовать частные конечные точки для доступа к ресурсам из локальной системы, разверните конечные точки в центре. Эта настройка обеспечивает следующие преимущества:

  • Группы безопасности сети можно использовать для управления доступом к ресурсам.
  • Вы можете управлять частными конечными точками в централизованном расположении.

Если вы планируете получить доступ к ресурсам из приложений, развернутых в Azure, применяются следующие факторы:

  • Если только одному приложению требуется доступ к ресурсам, разверните частную конечную точку в этом приложении.
  • Если нескольким приложениям требуется доступ к ресурсам, разверните частную конечную точку в центре.

Flowchart

В следующей блок-схеме приведены общие сведения о параметрах и рекомендациях. У каждого клиента есть уникальная среда, поэтому при выборе места для частных конечных точек следует учитывать требования вашей системы.

Блок-схема, которая поможет вам решить, следует ли разместить Private Link на луче или в концентраторе топологии сети типа

Скачайте файл Visio для этой архитектуры.

Considerations

Следующие факторы могут повлиять на реализацию частной конечной точки. Они применяются к службам Azure PaaS и клиентским и партнерским службам, размещенным в Azure.

Networking

При использовании частных конечных точек в периферийной виртуальной сети таблица маршрутов по умолчанию подсети включает /32 маршрут с типом следующего прыжка InterfaceEndpoint.

Маршрут /32 распространяется на следующие области:

  • Любое пиринговое соединение виртуальной сети, которое вы настраиваете
  • Любое ПОДКЛЮЧЕНИЕ VPN или ExpressRoute к локальной системе

Чтобы ограничить доступ от концентратора или локальной системы к частной конечной точке, используйте группу безопасности сети в подсети, в которой развертывается частная конечная точка. Настройте соответствующие правила для входящего трафика.

Разрешение имен

Компоненты в виртуальной сети связывают частный IP-адрес с каждой частной конечной точкой. Эти компоненты могут разрешать только частный IP-адрес, если вы используете определенную настройку системы доменных имен (DNS). Если вы используете пользовательское решение DNS, используйте группы зон DNS. Интегрируйте частную конечную точку с централизованной частной DNS-зоной Azure, независимо от того, развертываете ли ресурсы в центральной точке или в периферийной. Свяжите частную зону DNS со всеми виртуальными сетями, которые должны разрешать DNS-имя вашей частной конечной точки.

В этом подходе локальные и DNS-клиенты Azure могут разрешать имя и получать доступ к частному IP-адресу. Сведения о эталонной реализации см. в Приватный канал и интеграции DNS в большом масштабе.

Costs

  • При использовании частных конечных точек в пиринге региональной виртуальной сети плата за пиринг не применяется к трафику и из частных конечных точек.

  • Затраты на пиринг применяются к другому трафику ресурсов инфраструктуры, который передается через пиринг виртуальной сети.

  • При развертывании частных конечных точек в разных регионах применяются ставки Private Link, а также входящие и исходящие ставки глобального пиринга.

Дополнительные сведения см. в разделе о ценах на пропускную способность.

Contributors

Корпорация Майкрософт поддерживает эту статью. Следующие авторы написали эту статью.

Основной автор:

  • Хосе Анджел Фернандес Родригес | Старший специалист GBB

Другой участник:

Чтобы просмотреть неопубликованные профили LinkedIn, войдите в LinkedIn.

Дальнейшие шаги

  • Last updated on