概念

企业局域网:实现企业本地所有计算机设备的连接和管理。

Azure虚拟网络:云中的局域网,实现所有资源的连接和管理。也叫专有网络。

Azure虚拟网络的作用:

  1. 通信:
    1. 所有的Azure资源之间的安全通信(专有、私有通信)– 私有IP地址进行连接;
    2. Azure资源和互联网之间的通信;
    3. 与企业本地资源之间的安全通信。– 混合连接
  2. 安全防护:
    1. 虚拟安全设备:
      1. Azure防火墙
      2. Web防火墙
      3. Azure Front Door
      4. 网络安全组
  3. 管理网络流量
    1. 负载均衡器
    2. 应用程序网关
    3. 流量管理器
    4. Azure路由表
    5. Azure DNS

Azure虚拟网络的属性:

  1. 通用属性:
    1. 必须位于某个资源组;
    2. 必须位于某个区域;
    3. 虚拟网络的名字。
  2. 地址空间:
    1. 创建虚拟网络 — 专用网络 — RFC1918地址 (私有IP地址/专用IP地址)
  3. 子网:
    1. 每个虚拟网络中,至少包含一个子网;
    2. 每个子网,只能分配当前网络中的一部分IP地址空间。
    3. 单个子网,最大的IP地址范围 = 当前虚拟网络的IP地址范围
    4. 单个子网,最小的IP地址范围 = 8个
    5. 每个子网,可以附加:
      1. 网络安全组
      2. 自定义路由表
      3. 服务终结点 – 连接Azure PAAS 服务
    6. 每个子网的前四个IP,和最后一个IP地址,为保留地址。不会分配给用户的资源。
      1. 每个子网的可用地址 = 子网总IP数量 – 5
  4. 默认每个虚拟网络中的所有资源,都是可以通过私有网络IP地址进行安全通信。
    1. 可以通过网络安全组的规定,定义资源之间的通信
  5. 默认两个虚拟网络中,资源不能直接使用私有IP地址通信。
    1. 可以通过对等互联或网关,实现跨网络通信
  6. 需要通信的两个网络,IP地址不能重叠
  7. 虚拟网络要先规划,再创建。

案例

背景:企业想要把本地应用程序迁移到Azure上面。本地应用程序是基于JavaEE的web系统。整个系统由三个逻辑部分组成。Web UI层、Web API程序层、数据库服务器。

REQ1:每个部分用一组虚拟机承载;
REQ2:必须达到99.95%SLA的高可用;
REQ3:互联网用户只允许通过443访问;
web API只允许web UI通过80访问;
数据库只允许Web API通过1433访问
REQ4:管理员可以安全可靠的管理所有服务器

网络规划:

  1. 一个虚拟网络 — 最佳性能安全平衡方案
    1. 三个子网
      1. 每个子网承载一组虚拟机

虚拟机规划:

  1. 为三个部分,分别创建 可用性集
    1. 每个部分的 可用性集 必须有至少两个虚拟机
    2. 所有虚拟机不配置公共IP地址

安全和流量规划:

  1. 三个网络安全组
    1. web子网的网络安全组:
      1. 对互联网开放443
    2. API子网的网络安全组:
      1. 对Web子网开放80
    3. 数据库子网的网络安全组:
      1. 对api子网开放1433
  2. 负载均衡器
    1. web前端的负载均衡器
      1. 公共IP地址
      2. 后端池为web子网
    2. api负载均衡器
      1. 内部负载均衡器
      2. 没有公共IP地址
      3. 后端池为API子网
    3. 数据库负载均衡器
      1. 内部负载均衡器
      2. 没有公共IP地址
      3. 后端池为数据库子网
  3. 使用 Azure Bastion 堡垒机服务
    1. 安全连接和管理所有虚拟机

如果在一个NIC添加了安全组,在所在的子网也添加了安全组。

  1. 安全组规则不冲突,则规则同时生效。
    1. 只要有一个拒绝,则拒绝
    2. 必须有两个允许,则允许
    3. 实例:
      1. A 允许80端口, B 拒绝80端口
        1. 拒绝
      2. A 拒绝80端口, B 允许80端口
        1. 拒绝
      3. A 无80端口设置,B 拒绝80端口
        1. 拒绝
      4. A 无80端口设置,B 允许80端口
        1. 拒绝
      5. A 拒绝80端口, B 无80端口设置
        1. 拒绝
      6. A 允许80端口, B 无80端口设置
        1. 拒绝
      7. A 无80端口设置,B 无80端口设置
        1. 拒绝
      8. A 允许80端口,B 允许80端口
        1. 允许

Azure应用程序网关

概述

作为Azure负载均衡器的服务之一,为所有Web类型的应用提供负载均衡功能;转发流量主要针对 80、443端口的web协议。

应用程序网关可以安装SSL证书,客户端与网关之间加密传输。网关与后面的web后端之间可以进行不加密传输(卸载SSL证书)。

应用程序网关可以启用WAF功能:Web Application Firewall 自动防护所有的Web攻击。

应用程序组件

  1. 前端
    1. 公共IP地址
    2. 私有IP地址
  2. 后端池
    1. 虚拟机
    2. 应用服务
    3. 公共IP地址(容器等)
  3. 路由规则

Azure网络防火墙

概述

基于网络(三层到七层),提供威胁防护的服务。作为所有应用程序对外界的终结点。

NAT规则:根据端口转发到不同的后端。

两种防火墙

  1. 基于规则的标准防火墙
  2. 基于策略的高级防火墙
    1. TLS检查:出站数据解密检查后,再重新加密发送。
    2. IDPS:入侵检测和防护系统,自动检测网络流量中是否有恶意的活动。如果发现恶意活动,记录下来并组织恶意活动。
    3. Web类别:管理员可以根据Web的类型进行筛选。Azure预定义的网站类型。

Azure网间连接

概述

默认同一个网络中的资源,可以直接用私有IP地址和名字通信。

VNet to VNet:默认当资源位于不同的网络中,资源无法直接私有通信。如果资源需要跨网络、跨地区、跨订阅、夸管理模式实现通信,可以建立网络之间的对等互联。

Site to Site:使用Azure网络网关,可以建立Azure和企业本地的专用链接。基于VPN模式,在互联网上建立加密安全隧道,云端和本地可以使用私有IP地址进行专用通信。

Point to Site:也可以通过 express route,通过通信供应商的专用物理专线。不经过互联网,直接连接到Azure。

Azure DNS服务

Categories:

Tags: