📅  最后修改于: 2021-01-07 04:32:47             🧑  作者: Mango
Azure网络服务的最基本构建块是虚拟网络。使用虚拟网络,我们可以在Azure上部署隔离的网络。我们可以使用子网将虚拟网络分为多个部分。例如-Web服务器子网,App服务器1子网,App服务器2子网,数据库子网,网关子网,虚拟设备子网等。这些是典型的示例,但是我们可以根据需要创建不同种类的子网。
创建子网后,我们可以将不同类型的Azure服务部署到这些子网中。我们可以将虚拟机部署到这些子网中。但是除了虚拟机,我们还可以部署一些专用环境。即,某些能够实现到虚拟网络中的PaaS环境。例如,在应用服务环境中,我们可以在自己的子网中进行部署。同样,有一个称为托管SQL实例的项目,也称为托管集成环境,我们可以在虚拟网络中部署所有这些类型的环境。
我们可以在虚拟设备子网(如防火墙)中部署不同类型的设备。
服务保护:部署所有这些服务之后,我们需要保护这些服务。 Azure提供了几种保护策略。
DDoS保护: DDoS保护将保护我们在虚拟网络中的工作负载免受DDoS攻击。 DDoS保护有两层可用。一种是基本功能,它是免费的,并且会自动启用。如果我们需要高级功能,则可以选择DDoS标准层。
防火墙:当我们需要网络安全性时,我们使用防火墙。 Azure提供了防火墙服务,您可以集中管理入站和出站防火墙规则。我们能够创建网络防火墙规则,应用程序防火墙规则,入站SNAT规则,出站DNAT规则等。
网络安全组:如果您认为防火墙对您来说太昂贵,那么我们可以使用网络安全组。我们可以使用网络安全组来记录入站和出站流量。我们可以将网络安全组分为两个级别,一个级别位于子网级别,另一个级别可以附加到虚拟机。
应用程序安全组: Microsoft引入了应用程序安全组,以将与一个应用程序相关的所有服务器置于一个应用程序安全组中,并在网络安全组的入站和出站规则中使用该应用程序安全组。应用程序安全组的主要目的是简化NSG中的规则创建。
我们必须确保我们的应用程序具有高可用性,并且能够应对区域性故障,数据中心故障和机架故障。 Azure提供了一些服务来使我们的应用程序高度可用。这些是:
流量管理器: Microsoft Azure流量管理器控制不同区域中服务终结点的用户流量分布。 Traffic Manager支持的服务端点包括Azure VM,Web Apps,云服务等。它使用DNS根据流量路由方法和端点的运行状况将客户端请求定向到正确的端点。
负载平衡器:负载平衡器用于在Web服务器或应用程序服务器池之间平均分配流量。负载均衡器有两种类型,一种是位于虚拟网络外部的外部负载均衡器,另一种是位于虚拟网络内部的内部负载均衡器。
应用程序网关:使用应用程序网关,我们可以实现基于URL路径的路由,多站点托管等。
可用区:通过将虚拟机部署到不同的可用区中,我们可以将应用程序流量路由到位于不同可用区中的虚拟机,以防任何区域内的数据中心出现故障。
创建虚拟网络的基本思想是使用默认系统路由在工作负载之间进行通信。这些系统路由将由Azure自动部署。但是,我们也可以覆盖这些系统路由并配置用户定义的路由。然后,我们也可以这样做。
对等:为了实现两个虚拟网络之间的通信,我们可以建立对等。我们可以使用同一区域内的虚拟网络进行对等连接。如果我们在另一个区域中有一个Azure虚拟网络,则可以使用全局对等。对于本地数据中心,我们有两种选择,一种是站点对站点的VPN,它将通过Internet建立。但是对于私有连接,我们必须使用快速路由。
监视:从网络角度部署所有服务后,我们需要开始监视它们。 Azure提供了一些服务来监视流量。
安全中心:这是一个中央安全监视工具,通过它我们可以查看您总体部署的安全分数,以及Azure根据我们已应用的安全策略生成的任何建议。既来自网络,也来自虚拟网络上部署的服务。