Приватный канал Azure в центральной и периферийной сети

В этой статье описывается, как использовать Приватный канал Azure в топологии сети концентратора и периферийной сети. Целевая аудитория включает архитекторов сети и архитекторов облачных решений. В этом руководстве описывается, как использовать частные конечные точки Azure для приватного доступа к ресурсам платформы как услуги (PaaS).

Это руководство не охватывает интеграцию виртуальных сетей, конечные точки службы и другие решения для подключения компонентов инфраструктуры как службы (IaaS) к Azure ресурсам PaaS. Дополнительные сведения об этих решениях см. в разделе Интеграция служб Azure с виртуальными сетями для изоляции сети.

Azure топологии концентраторов и периферийных узлов

Вы можете использовать топологию сети концентратора и периферийной сети в Azure для эффективного управления службами коммуникации и удовлетворения требований безопасности в масштабе. Дополнительные сведения см. в статье "Топология сети с концентраторами и периферийными устройствами".

Архитектура с концентраторами и периферийными устройствами обеспечивает следующие преимущества:

  • Развертывание отдельных рабочих нагрузок между центральными ИТ-командами и командами рабочей нагрузки
  • Экономия затрат путем минимизации избыточных ресурсов
  • Эффективное управление сетями путем централизованного использования служб, совместно использующих несколько рабочих нагрузок
  • Преодолевает ограничения, связанные с одной подпиской Azure

На следующей схеме показана обычная топология концентраторов и периферийных узлов, которую можно развернуть в Azure.

Схема архитектуры, показывающая виртуальную сеть концентратора и две сети спиц. Одна спица — это сеть локальной инфраструктуры. Другая — это виртуальная сеть зоны размещения.

Скачайте файл в формате Visio этой архитектуры.

Эта архитектура является одним из двух вариантов топологии сети, которые Azure поддерживаются. Эта классическая эталонный проект использует базовые сетевые компоненты, такие как Azure Virtual Network, пиринг виртуальных сетей и определяемые пользователем маршруты. При использовании топологии концентратора и периферийной сети необходимо настроить службы и убедиться, что сеть соответствует требованиям к безопасности и маршрутизации.

Виртуальная глобальная сеть Azure предоставляет альтернативу для массовых развертываний. Эта служба использует упрощенную сетевую структуру. Виртуальная глобальная сеть снижает затраты на конфигурацию, связанные с маршрутизацией и безопасностью.

Приватный канал поддерживает различные варианты для традиционных сетей с концентратором и спицами и сетей Виртуальная глобальная сеть.

Приватный канал предоставляет доступ к службам через сетевой интерфейс частной конечной точки. Частная конечная точка использует частный IP-адрес из виртуальной сети. Вы можете получить доступ к различным службам по частному IP-адресу:

  • службы PaaS Azure
  • Службы, принадлежащие клиентам, размещаемые в Azure
  • Партнерские службы, размещенные на Azure

Трафик между вашей виртуальной сетью и службой, к которой вы получаете доступ, проходит через магистраль сети Azure. В результате вы больше не обращаетесь к службе через общедоступную конечную точку. Дополнительные сведения см. в разделе Приватный канал.

На следующей схеме показано, как локальные пользователи подключаются к виртуальной сети и используют Приватный канал для доступа к ресурсам PaaS.

Схема архитектуры, которая показывает, как Приватный канал Azure подключает виртуальную сеть к ресурсам PaaS.

На схеме есть три основных раздела: виртуальная сеть потребителя, виртуальная сеть поставщика и раздел, включающий службы Azure. Сеть потребителей подключается к локальной сети через частный пиринг ExpressRoute. Она содержит группу безопасности сети, которая запрещает исходящий трафик. Он также содержит подсеть, содержащую две частные конечные точки и компьютеры, указывающие на частную конечную точку. Сеть потребителей включает клиента Microsoft Entra A, подписку A и регион A. Пунктирная стрелка, представляющая точку Приватный канал, указывает из потребительской сети на сеть поставщика. Сеть поставщика содержит Приватный канал и подсеть. Приватный канал указывает на внутреннюю подсистему балансировки нагрузки, которая распределяет трафик на компьютеры в подсети. Виртуальная сеть имеет группу безопасности сети, которая запрещает входящий трафик. Сеть поставщика включает в себя Microsoft Entra арендатора B, подписку B и регион B. Пунктирная стрелка, представляющая Приватный канал, указывает из потребительской сети на службы Azure. Службы в этом разделе включают Cлужба автоматизации Azure, База данных SQL Azure и многое другое. Трафик к сети поставщика и службам Azure передается по сети Майкрософт.

Скачайте файл в формате Visio этой архитектуры.

Частные конечные точки можно развернуть в узле или в периферийной сети. Некоторые факторы определяют, какое расположение лучше всего подходит для каждой ситуации. Учитывайте следующие факторы, чтобы определить оптимальную конфигурацию для служб PaaS Azure, а также для клиентских и партнерских служб, размещенных на Azure.

Определите, используется ли Виртуальная глобальная сеть в качестве решения для сетевого подключения

Если вы используете Виртуальная глобальная сеть, вы можете развернуть только частные конечные точки в периферийных виртуальных сетях, которые подключены к вашему виртуальному концентратору. Вы не можете развертывать ресурсы в виртуальном концентраторе или защищенном концентраторе.

Дополнительные сведения об интеграции частных конечных точек в сеть см. в следующих статьях:

Определите, используется ли виртуальное сетевое устройство, например Брандмауэр Azure

Трафик к частным конечным точкам использует магистраль Azure сети и шифруется. Возможно, потребуется записать или отфильтровать этот трафик. Кроме того, может потребоваться проанализировать трафик, который передается в частные конечные точки, если вы используете брандмауэр в следующих областях:

  • Через спицы
  • Между хабом и спицами
  • Между локальными компонентами и сетями Azure

В этом случае разверните частные конечные точки в центре в выделенной подсети. Эта настройка обеспечивает следующие преимущества:

  • Упрощает настройку правила преобразования сетевых адресов (SNAT). Вы можете создать одно правило SNAT в виртуальном сетевом устройстве (NVA) для трафика в выделенную подсеть, содержащую частные конечные точки. Трафик можно направлять в другие приложения без применения SNAT.

  • Упрощает конфигурацию таблицы маршрутов. Для трафика, который передается в частные конечные точки, можно добавить правило для маршрутизации трафика через NVA. Это правило можно повторно использовать во всех спицах, шлюзах виртуальных частных сетей (VPN) и шлюзах Azure ExpressRoute.

  • Позволяет применять правила группы безопасности сети для входящего трафика в подсети, которую вы выделяете в частную конечную точку. Эти правила фильтруют трафик к ресурсам. Они предоставляют одно место для управления доступом к ресурсам.

  • Централизованное управление частными конечными точками. При развертывании всех частных конечных точек в одном месте можно более эффективно управлять ими во всех виртуальных сетях и подписках.

Используйте эту конфигурацию, если всем рабочим нагрузкам требуется доступ к каждому ресурсу PaaS, который Приватный канал защищает. Если рабочие нагрузки обращаются к разным ресурсам PaaS, не развертывайте частные конечные точки в выделенной подсети. Вместо этого улучшайте безопасность, следуя принципу наименьших привилегий:

  • Поместите каждую частную конечную точку в отдельную подсеть.
  • Предоставляйте доступ к защищенному ресурсу только тем рабочим нагрузкам, которые его используют.

Определение того, используется ли частная конечная точка из локальной системы

Если вы планируете использовать частные конечные точки для доступа к ресурсам из локальной системы, разверните конечные точки в центре. Эта настройка обеспечивает следующие преимущества:

  • Группы безопасности сети можно использовать для управления доступом к ресурсам.
  • Вы можете управлять частными конечными точками в централизованном расположении.

Если вы планируете получить доступ к ресурсам из приложений, развернутых в Azure, применяются следующие факторы:

  • Если только одному приложению требуется доступ к ресурсам, разверните частную конечную точку в этом приложении.
  • Если нескольким приложениям требуется доступ к ресурсам, разверните частную конечную точку в центре.

Flowchart

В следующей блок-схеме приведены общие сведения о параметрах и рекомендациях. У каждого клиента есть уникальная среда, поэтому при выборе места для частных конечных точек следует учитывать требования вашей системы.

Цифровая схема процесса, которая поможет вам решить, следует ли размещать Приватный канал в спицевой части или в хабе сети с архитектурой центр-спицевая.

Верхняя часть блок-схемы помечена как Start. Стрелка указывает из этого поля в поле с меткой топология Виртуальная глобальная сеть. Две стрелы исходят из этого блока. Один помеченный "да" указывает на коробку с пометкой "спица". Вторая стрелка помечена как "нет" и указывает на поле с меткой "анализ трафика с NVA или Брандмауэр Azure". Две стрелки выходят из блока анализа трафика. Один помеченный «да» указывает на коробку с надписью «концентратор». Вторая стрелка помечена как "Нет доступа" и указывает на коробку с меткой "доступ к частной конечной точке для локальной среды". Две стрелки выходят из поля частной конечной точки. Один помеченный «да» указывает на коробку с надписью «концентратор». Вторая стрелка помечена как "нет" и указывает на поле, помеченное как "доступ к одному приложению." Две стрелы исходят из этого блока. Один с меткой "нет" указывает на ящик, помеченный как концентратор. Вторая стрелка помечена как "да" и указывает на прямоугольник с меткой "спица".

Скачайте файл в формате Visio этой архитектуры.

Considerations

Следующие факторы могут повлиять на реализацию частной конечной точки. Они применяются к службам PaaS от Azure и к службам, принадлежащим клиентам и партнерам, размещенным в Azure.

Networking

При использовании частных конечных точек в периферийной виртуальной сети таблица маршрутов по умолчанию подсети включает /32 маршрут с типом следующего прыжка InterfaceEndpoint.

Маршрут /32 распространяется на следующие области:

  • Любое пиринговое соединение виртуальной сети, которое вы настраиваете
  • Любое подключение VPN или ExpressRoute к внутренней системе организации

Чтобы ограничить доступ от концентратора или локальной системы к частной конечной точке, используйте группу безопасности сети в подсети, в которой развертывается частная конечная точка. Настройте соответствующие правила для входящего трафика.

Разрешение имен

Компоненты в виртуальной сети связывают частный IP-адрес с каждой частной конечной точкой. Эти компоненты могут разрешать именно частный IP-адрес только в случае использования определенной настройки системы доменных имен (DNS). Если вы используете пользовательское решение DNS, используйте группы зон DNS. Интегрируйте частную конечную точку с централизованной частной зоной DNS Azure, независимо от того, развертываете ли вы ресурсы в концентраторе или в периферийной сети. Свяжите частную зону DNS со всеми виртуальными сетями, которые должны разрешать DNS-имя вашей частной конечной точки.

В этом подходе локальные клиенты DNS и Azure могут разрешать имя и получать доступ к частному IP-адресу. Эталонная реализация см. в разделе Приватный канал и интеграция DNS в масштабе.

Costs

  • При использовании частных конечных точек в пиринге региональной виртуальной сети плата за пиринг не применяется к трафику и из частных конечных точек.

  • Затраты на пиринг применяются к другому трафику ресурсов инфраструктуры, который передается через пиринг виртуальной сети.

  • При развертывании частных конечных точек в разных регионах применяются ставки Приватный канал, а также ставки на входящий и исходящий трафик глобального пиринга.

Дополнительные сведения см. в разделе о ценах на пропускную способность.

Contributors

Корпорация Майкрософт поддерживает эту статью. Следующие авторы написали эту статью.

Основной автор:

  • Хосе Анджел Фернандес Родригес | Старший специалист GBB

Другой участник:

Чтобы просмотреть закрытые профили LinkedIn, войдите в LinkedIn.

Дальнейшие шаги