Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как использовать Приватный канал Azure в топологии сети концентратора и периферийной сети. Целевая аудитория включает архитекторов сети и архитекторов облачных решений. В этом руководстве описывается, как использовать частные конечные точки Azure для приватного доступа к ресурсам платформы как услуги (PaaS).
Это руководство не охватывает интеграцию виртуальных сетей, конечные точки службы и другие решения для подключения компонентов инфраструктуры как службы (IaaS) к Azure ресурсам PaaS. Дополнительные сведения об этих решениях см. в разделе Интеграция служб Azure с виртуальными сетями для изоляции сети.
Azure топологии концентраторов и периферийных узлов
Вы можете использовать топологию сети концентратора и периферийной сети в Azure для эффективного управления службами коммуникации и удовлетворения требований безопасности в масштабе. Дополнительные сведения см. в статье "Топология сети с концентраторами и периферийными устройствами".
Архитектура с концентраторами и периферийными устройствами обеспечивает следующие преимущества:
- Развертывание отдельных рабочих нагрузок между центральными ИТ-командами и командами рабочей нагрузки
- Экономия затрат путем минимизации избыточных ресурсов
- Эффективное управление сетями путем централизованного использования служб, совместно использующих несколько рабочих нагрузок
- Преодолевает ограничения, связанные с одной подпиской Azure
На следующей схеме показана обычная топология концентраторов и периферийных узлов, которую можно развернуть в Azure.
Скачайте файл в формате Visio этой архитектуры.
Эта архитектура является одним из двух вариантов топологии сети, которые Azure поддерживаются. Эта классическая эталонный проект использует базовые сетевые компоненты, такие как Azure Virtual Network, пиринг виртуальных сетей и определяемые пользователем маршруты. При использовании топологии концентратора и периферийной сети необходимо настроить службы и убедиться, что сеть соответствует требованиям к безопасности и маршрутизации.
Виртуальная глобальная сеть Azure предоставляет альтернативу для массовых развертываний. Эта служба использует упрощенную сетевую структуру. Виртуальная глобальная сеть снижает затраты на конфигурацию, связанные с маршрутизацией и безопасностью.
Приватный канал поддерживает различные варианты для традиционных сетей с концентратором и спицами и сетей Виртуальная глобальная сеть.
Приватная ссылка
Приватный канал предоставляет доступ к службам через сетевой интерфейс частной конечной точки. Частная конечная точка использует частный IP-адрес из виртуальной сети. Вы можете получить доступ к различным службам по частному IP-адресу:
- службы PaaS Azure
- Службы, принадлежащие клиентам, размещаемые в Azure
- Партнерские службы, размещенные на Azure
Трафик между вашей виртуальной сетью и службой, к которой вы получаете доступ, проходит через магистраль сети Azure. В результате вы больше не обращаетесь к службе через общедоступную конечную точку. Дополнительные сведения см. в разделе Приватный канал.
На следующей схеме показано, как локальные пользователи подключаются к виртуальной сети и используют Приватный канал для доступа к ресурсам PaaS.
Скачайте файл в формате Visio этой архитектуры.
Выберите лучшую конфигурацию развертывания Приватный канал
Частные конечные точки можно развернуть в узле или в периферийной сети. Некоторые факторы определяют, какое расположение лучше всего подходит для каждой ситуации. Учитывайте следующие факторы, чтобы определить оптимальную конфигурацию для служб PaaS Azure, а также для клиентских и партнерских служб, размещенных на Azure.
Определите, используется ли Виртуальная глобальная сеть в качестве решения для сетевого подключения
Если вы используете Виртуальная глобальная сеть, вы можете развернуть только частные конечные точки в периферийных виртуальных сетях, которые подключены к вашему виртуальному концентратору. Вы не можете развертывать ресурсы в виртуальном концентраторе или защищенном концентраторе.
Дополнительные сведения об интеграции частных конечных точек в сеть см. в следующих статьях:
- Используйте Приватный канал в виртуальной WAN
- Настройка маршрутизации для виртуального концентратора
Определите, используется ли виртуальное сетевое устройство, например Брандмауэр Azure
Трафик к частным конечным точкам использует магистраль Azure сети и шифруется. Возможно, потребуется записать или отфильтровать этот трафик. Кроме того, может потребоваться проанализировать трафик, который передается в частные конечные точки, если вы используете брандмауэр в следующих областях:
- Через спицы
- Между хабом и спицами
- Между локальными компонентами и сетями Azure
В этом случае разверните частные конечные точки в центре в выделенной подсети. Эта настройка обеспечивает следующие преимущества:
Упрощает настройку правила преобразования сетевых адресов (SNAT). Вы можете создать одно правило SNAT в виртуальном сетевом устройстве (NVA) для трафика в выделенную подсеть, содержащую частные конечные точки. Трафик можно направлять в другие приложения без применения SNAT.
Упрощает конфигурацию таблицы маршрутов. Для трафика, который передается в частные конечные точки, можно добавить правило для маршрутизации трафика через NVA. Это правило можно повторно использовать во всех спицах, шлюзах виртуальных частных сетей (VPN) и шлюзах Azure ExpressRoute.
Позволяет применять правила группы безопасности сети для входящего трафика в подсети, которую вы выделяете в частную конечную точку. Эти правила фильтруют трафик к ресурсам. Они предоставляют одно место для управления доступом к ресурсам.
Централизованное управление частными конечными точками. При развертывании всех частных конечных точек в одном месте можно более эффективно управлять ими во всех виртуальных сетях и подписках.
Используйте эту конфигурацию, если всем рабочим нагрузкам требуется доступ к каждому ресурсу PaaS, который Приватный канал защищает. Если рабочие нагрузки обращаются к разным ресурсам PaaS, не развертывайте частные конечные точки в выделенной подсети. Вместо этого улучшайте безопасность, следуя принципу наименьших привилегий:
- Поместите каждую частную конечную точку в отдельную подсеть.
- Предоставляйте доступ к защищенному ресурсу только тем рабочим нагрузкам, которые его используют.
Определение того, используется ли частная конечная точка из локальной системы
Если вы планируете использовать частные конечные точки для доступа к ресурсам из локальной системы, разверните конечные точки в центре. Эта настройка обеспечивает следующие преимущества:
- Группы безопасности сети можно использовать для управления доступом к ресурсам.
- Вы можете управлять частными конечными точками в централизованном расположении.
Если вы планируете получить доступ к ресурсам из приложений, развернутых в Azure, применяются следующие факторы:
- Если только одному приложению требуется доступ к ресурсам, разверните частную конечную точку в этом приложении.
- Если нескольким приложениям требуется доступ к ресурсам, разверните частную конечную точку в центре.
Flowchart
В следующей блок-схеме приведены общие сведения о параметрах и рекомендациях. У каждого клиента есть уникальная среда, поэтому при выборе места для частных конечных точек следует учитывать требования вашей системы.
Скачайте файл в формате Visio этой архитектуры.
Considerations
Следующие факторы могут повлиять на реализацию частной конечной точки. Они применяются к службам PaaS от Azure и к службам, принадлежащим клиентам и партнерам, размещенным в Azure.
Networking
При использовании частных конечных точек в периферийной виртуальной сети таблица маршрутов по умолчанию подсети включает /32 маршрут с типом следующего прыжка InterfaceEndpoint.
Если вы используете традиционную топологию концентратора и периферийных узлов, вы можете просмотреть этот эффективный маршрут на уровне сетевого интерфейса виртуальных машин (виртуальных машин). Дополнительные сведения см. в разделе "Диагностика проблемы маршрутизации виртуальных машин".
Если вы используете Виртуальная глобальная сеть, вы можете просмотреть этот маршрут в эффективных маршрутах виртуального концентратора. Дополнительные сведения см. в разделе "Просмотр эффективных маршрутов виртуального концентратора".
Маршрут /32 распространяется на следующие области:
- Любое пиринговое соединение виртуальной сети, которое вы настраиваете
- Любое подключение VPN или ExpressRoute к внутренней системе организации
Чтобы ограничить доступ от концентратора или локальной системы к частной конечной точке, используйте группу безопасности сети в подсети, в которой развертывается частная конечная точка. Настройте соответствующие правила для входящего трафика.
Разрешение имен
Компоненты в виртуальной сети связывают частный IP-адрес с каждой частной конечной точкой. Эти компоненты могут разрешать именно частный IP-адрес только в случае использования определенной настройки системы доменных имен (DNS). Если вы используете пользовательское решение DNS, используйте группы зон DNS. Интегрируйте частную конечную точку с централизованной частной зоной DNS Azure, независимо от того, развертываете ли вы ресурсы в концентраторе или в периферийной сети. Свяжите частную зону DNS со всеми виртуальными сетями, которые должны разрешать DNS-имя вашей частной конечной точки.
В этом подходе локальные клиенты DNS и Azure могут разрешать имя и получать доступ к частному IP-адресу. Эталонная реализация см. в разделе Приватный канал и интеграция DNS в масштабе.
Costs
При использовании частных конечных точек в пиринге региональной виртуальной сети плата за пиринг не применяется к трафику и из частных конечных точек.
Затраты на пиринг применяются к другому трафику ресурсов инфраструктуры, который передается через пиринг виртуальной сети.
При развертывании частных конечных точек в разных регионах применяются ставки Приватный канал, а также ставки на входящий и исходящий трафик глобального пиринга.
Дополнительные сведения см. в разделе о ценах на пропускную способность.
Contributors
Корпорация Майкрософт поддерживает эту статью. Следующие авторы написали эту статью.
Основной автор:
- Хосе Анджел Фернандес Родригес | Старший специалист GBB
Другой участник:
- Ivens Applyrs | Product Manager 2
Чтобы просмотреть закрытые профили LinkedIn, войдите в LinkedIn.
Дальнейшие шаги
- доступность Приватный канал
- Приватные конечные точки
- Виртуальная сеть Azure
- Azure DNS
- Частная зона Azure DNS
- Use Брандмауэр Azure для проверки трафика, предназначенного для частной конечной точки
- Как группы безопасности сети фильтруют сетевой трафик