跳转到主要内容

热门内容

今日:

  • 【企业架构】TOGAF的权威指南
  • 数据和隐私保护
  • 商业管理
  • 【知识检索架构】LLM的知识检索架构(2023)
  • 云数据库
  • 【数据库架构】使用pgpool II的PostgreSQL高可用性
  • 人力资源
  • 方案架构
  • 边缘计算
  • 【人工智能】宣布 Microsoft Entra Agent ID:安全地管理您的 AI 代理​

总体:

  • 【数据集成】用于数据集成的10个最佳开源ETL工具
  • 【Java框架】2022 年 17 个流行的 Java 框架:优缺点等
  • 【管理】热尔韦原理综述
  • 【开源许可】从开源到免费和开源,MinIO现在在GNU AGPLv3许可
  • 【SAP】如何开始使用Sap AFS和Sap FMS。
  • 【数据目录】OpenMetadata与DataHub:比较架构、功能、集成等
  • 【数据治理】开源数据治理-2023年需要考虑的7个最佳工具
  • 【开源合规】使用MySQL许可:开源许可与商业许可
  • 【微服务架构】微服务已死——迷你服务万岁
  • 【SAP GUI】什么是SAP GUI(图形用户界面)以及如何使用它

最近浏览:

  • 商业管理
  • 云数据库
  • 人力资源
  • 【数据库架构】使用pgpool II的PostgreSQL高可用性
  • 数据和隐私保护
  • 【知识检索架构】LLM的知识检索架构(2023)
  • 【企业架构】TOGAF的权威指南
  • 方案架构
  • 边缘计算
  • 研发

热门内容

今日:

  • 2025全球22大AI认证全景图鉴
  • 【数据库架构】使用pgpool II的PostgreSQL高可用性
  • 端点安全
  • 商业计划
  • 方案架构
  • 商业管理
  • 客户
  • 云数据库
  • 容器平台
  • 商务智能

总体:

  • 语言和框架
  • 【容器架构】Minikube vs.kind vs.k3s-我应该用哪一个?
  • 【数据集成】用于数据集成的10个最佳开源ETL工具
  • 【Java框架】2022 年 17 个流行的 Java 框架:优缺点等
  • 【技术选型】Keras、TensorFlow和PyTorch的区别
  • 【深度学习】45测试深度学习基础知识的数据科学家的问题(以及解决方案)
  • 【数据架构】什么是实体关系图(ERD)?
  • 【Rust架构】Rust web框架比较
  • 【知识】DIKW(数据,信息,知识,智慧)金字塔
  • 【数据治理】开源数据治理-2023年需要考虑的7个最佳工具

最近浏览:

  • 【MAD】MAD 2023,第二部分:融资、并购和首次公开募股
  • 商业管理
  • 私有云
  • 【数字化】SAP S/4HANA架构:完全指南​
  • 【SAP财务】SAP S/4HANA利润中心会计
  • 【SAP体验】为什么每个人都在谈论SAP体验?
  • 云数据库
  • 容器平台
  • 【SAP S4HANA】SAP S4HANA完整入门指南
  • 客户

首页
x

Main navigation

  • 主页
  • 数字化 +
    • 数字业务自动化
    • 数字化方案
    • 数字化转型战略
    • 数字化转型治理
    • 数字化运营
    • 数字化客户
      • 客户
    • 数字化研发
      • 研发
    • 数字化制造
    • 数字化生产
    • 数字化供应链
    • 数字化销售
    • 数字化服务
    • 数字化营销
      • 营销
    • 数字化财务
    • 人力资源
    • 数字化法务
  • 企业架构 +
    • 企业安全架构
    • 企业架构框架
    • 方案架构
  • 企业业务架构
  • 企业技术架构
  • 企业应用架构
  • 企业数据架构
  • 数据应用架构 +
    • 主数据架构
    • 大数据架构
    • 数据仓库架构
    • 数据保护
    • 数据库架构
    • 数据建模
    • 数据枢纽架构
    • 数据湖架构
    • 数据编制架构
    • 数据网格架构
    • 数据虚拟化架构
  • 集成架构 +
  • 架构质量 +
  • 软件架构 +
  • 大数据架构 +
    • Hadoop 生态
    • Saprk生态
    • 大数据战略
  • 数据和分析 +
    • 机器学习
    • 数据分析
    • 数据可视化
    • 数据工程
    • 数据战略
    • 数据挖掘
    • 数据科学
    • 商务智能
  • 数据库架构 +
    • MySql架构
    • PostgreSql架构
    • 云数据库
    • 内存数据库
    • 列式数据库
    • 图形数据库
    • 搜索引擎
    • 文档数据库
  • 数据治理
  • 数据管理 +
    • 数据仓库
    • 数据湖
  • 企业合规管理
  • 企业治理 +
  • 企业风险管理
  • 隐私保护
  • 智能转型 +
  • 云计算 +
    • AWS 平台
    • SaaS云
    • Salesforce
    • 云原生
    • 云架构
    • 云治理
    • 云转型战略
    • 容器云
    • 微软云
    • 私有云
  • 人工智能 +
  • 生成式人工智能 +
    • 多模态模型
    • 大视觉模型
    • 大语言模型
    • 大音频模型
  • 万物互联 +
    • 工业控制系统
    • 工业物联网
    • 物联网(IoT)安全
    • 物联网(IoT)架构
    • 物联网战略
    • 边缘计算
  • 元宇宙
  • 区块链 +
  • 安全 +
    • 云安全
    • 安全工具
    • 安全战略
    • 安全运营
    • 应用安全
    • 数据安全
    • 终端安全
    • 网络安全
    • 隐私保护
  • 基础设施 +
  • 软件开发 +
    • 开发管理
    • 需求分析
    • 低代码开发
  • 软件测试 +
  • 软件设计
  • DevOps +
  • 敏捷
  • 项目 +
  • 平台和工具 +
    • DevOps工具
    • 云计算平台
    • 企业事件枢纽
    • 其他工具
    • 分布式平台
    • 大数据平台
    • 应用中间件
    • 开发工具
    • 数据工具
    • 集成平台
  • 语言和框架 +
    • Go语言
    • Javascript开发
    • Java开发
    • Python开发
    • Rust语言
    • TypeScript开发
    • 前端技术和框架
    • 算法和数据结构
  • 硬件和设备 +
  • 产品 +
    • 产品管理
    • 产品设计
  • 技术 +
    • 技术趋势
    • 技术选型
  • 用户体验 +
  • IT管理 +
  • 商业 +
    • 商业模型
    • 商业管理
    • 商业结构
    • 商业计划
    • 商务沟通
    • 创业
      • 创业管理
    • 国际商务
    • 经济
  • 战略 +
  • 管理 +
  • 解决方案
  • 关注
  • 社区
  • 职业
  • 职业和职位 +
  • 咨询服务
  • 微软专栏

【Azure安全】实施安全的混合网络

  1. 首页 ⟶
  2. 【Azure安全】实施安全的混合网络
Chinese, Simplified
SEO Title
Implement a secure Azure hybrid network

category

  • 安全技术

此参考架构显示了一个安全的混合网络,该网络将本地网络扩展到Azure。该架构在本地网络和Azure虚拟网络之间实现了一个外围网络,也称为DMZ。所有入站和出站流量都通过Azure防火墙。

架构


显示安全混合网络架构的图。

下载此体系结构的Visio文件。

组件


该架构由以下几个方面组成:

  • 内部部署网络。在组织中实现的专用局域网。
  • Azure虚拟网络。虚拟网络承载在Azure中运行的解决方案组件和其他资源。

虚拟网络路由定义了Azure虚拟网络中的IP流量。在图中,有两个用户定义的路由表。

在网关子网中,流量通过Azure防火墙实例路由。

笔记

根据VPN连接的要求,您可以配置边界网关协议(BGP)路由,以实现将流量引导回本地网络的转发规则。

  • 网关。网关提供本地网络和虚拟网络中路由器之间的连接。网关放置在自己的子网中。
  • Azure防火墙。Azure防火墙是一种托管防火墙即服务。防火墙实例放置在其自己的子网中。
  • 网络安全组。使用安全组限制虚拟网络内的网络流量。
  • Azure堡垒。Azure Bastion允许您通过SSH或远程桌面协议(RDP)登录虚拟网络中的虚拟机(VM),而无需将VM直接暴露于互联网。使用Bastion管理虚拟网络中的虚拟机。
  • Bastion需要一个名为AzureBastionSubnet的专用子网。

潜在用例


此架构需要使用VPN网关或ExpressRoute连接连接到本地数据中心。这种架构的典型用途包括:

  • 混合应用程序,其中工作负载部分在本地运行,部分在Azure中运行。
  • 需要对从本地数据中心进入Azure虚拟网络的流量进行精细控制的基础架构。
  • 必须审核传出流量的应用程序。审计通常是许多商业系统的监管要求,有助于防止私人信息的公开披露。
     

建议


以下建议适用于大多数情况。遵循这些建议,除非你有一个特定的要求来覆盖它们。

访问控制建议


使用Azure基于角色的访问控制(Azure RBAC)来管理应用程序中的资源。考虑创建以下自定义角色:

  • DevOps角色,具有管理应用程序基础设施、部署应用程序组件以及监控和重启VM的权限。
  • 一个集中的IT管理员角色,负责管理和监控网络资源。
  • 安全IT管理员角色,负责管理防火墙等安全网络资源。

IT管理员角色不应有权访问防火墙资源。访问权限应仅限于安全IT管理员角色。

资源小组建议


通过将虚拟机、虚拟网络和负载均衡器等Azure资源分组到资源组中,可以轻松管理它们。为每个资源组分配Azure角色以限制访问。

我们建议创建以下资源组:

  • 包含虚拟网络(不包括VM)、NSG和用于连接到本地网络的网关资源的资源组。将集中式IT管理员角色分配给此资源组。
  • 包含Azure防火墙实例的VM和网关子网的用户定义路由的资源组。将安全IT管理员角色分配给此资源组。
  • 为每个包含负载均衡器和VM的辐条虚拟网络单独设置资源组。
     

网络建议


若要接受来自internet的入站流量,请将目标网络地址转换(DNAT)规则添加到Azure防火墙。

  • 目标地址=防火墙实例的公共IP地址。
  • 转换后的地址=虚拟网络中的专用IP地址。
     

使用站点到站点VPN隧道强制所有出站互联网流量通过您的本地网络,并使用网络地址转换(NAT)路由到互联网。这种设计可以防止任何机密信息的意外泄露,并允许对所有传出流量进行检查和审计。

不要完全阻止来自辐条网络子网中资源的互联网流量。阻止流量将阻止这些资源使用依赖于公共IP地址的Azure PaaS服务,如VM诊断日志记录、VM扩展下载和其他功能。Azure诊断还要求组件可以读取和写入Azure存储帐户。

验证出站互联网流量是否已正确强制隧道传输。如果您在本地服务器上使用带有路由和远程访问服务的VPN连接,请使用WireShark等工具。

考虑使用应用程序网关或Azure前门进行SSL终止。

注意事项


这些考虑实现了Azure良好架构框架的支柱,这是一组可用于提高工作负载质量的指导原则。有关更多信息,请参阅Microsoft Azure架构良好的框架。

性能效率


性能效率是指工作负载以高效的方式扩展以满足用户对其提出的需求的能力。有关更多信息,请参阅性能效率支柱概述。

有关VPN网关带宽限制的详细信息,请参阅网关SKU。对于更高的带宽,请考虑升级到ExpressRoute网关。ExpressRoute提供高达10Gbps的带宽,延迟低于VPN连接。

有关Azure网关可扩展性的更多信息,请参阅中的可扩展性考虑部分:

  • 使用Azure和本地VPN实现混合网络架构
  • 使用Azure ExpressRoute实现混合网络体系结构
  • Implementing a hybrid network architecture with Azure and on-premises VPN
  • Implementing a hybrid network architecture with Azure ExpressRoute


有关大规模管理虚拟网络和NSG的详细信息,请参阅Azure虚拟网络管理器(AVNM):创建安全的中心辐射网络,以创建新的(和现有的)中心辐射虚拟网络拓扑,用于集中管理连接和NSG规则。

可靠性


可靠性确保您的应用程序能够满足您对客户的承诺。有关更多信息,请参阅可靠性支柱概述。

如果您使用Azure ExpressRoute提供虚拟网络和本地网络之间的连接,请配置VPN网关,以便在ExpressRoute连接不可用时提供故障转移。

有关维护VPN和ExpressRoute连接可用性的信息,请参阅中的可用性注意事项:

  • 使用Azure和本地VPN实现混合网络架构
  • 使用Azure ExpressRoute实现混合网络体系结构
  • Implementing a hybrid network architecture with Azure and on-premises VPN
  • Implementing a hybrid network architecture with Azure ExpressRoute


卓越运营


卓越运营涵盖了部署应用程序并使其在生产中运行的运营流程。有关更多信息,请参阅卓越运营支柱概述。

如果从本地网络到Azure的网关连接中断,您仍然可以通过Azure Bastion访问Azure虚拟网络中的VM。

参考架构中每一层的子网都受到NSG规则的保护。您可能需要创建一个规则来打开端口3389,以便在Windows VM上进行远程桌面协议(RDP)访问,或打开端口22,以便在Linux VM上进行安全shell(SSH)访问。其他管理和监控工具可能需要规则来打开其他端口。

如果您使用ExpressRoute提供本地数据中心和Azure之间的连接,请使用Azure connectivity Toolkit(AzureCT)来监视和排除连接问题。

您可以在文章“使用Azure和本地VPN实现混合网络架构”中找到有关监视和管理VPN和ExpressRoute连接的更多信息。

安全


安全性提供了防止蓄意攻击和滥用您宝贵数据和系统的保证。有关更多信息,请参阅安全柱概述。

此参考架构实现了多级安全性。

通过Azure防火墙路由所有本地用户请求


网关子网中的用户定义路由会阻止除从本地接收到的请求之外的所有用户请求。该路由将允许的请求传递到防火墙。如果防火墙规则允许,这些请求将传递给辐条虚拟网络中的资源。您可以添加其他路由,但请确保它们不会无意中绕过防火墙或阻止用于管理子网的管理流量。

使用NSG阻止/传递到辐条虚拟网络子网的流量


通过使用NSG来限制轮辐虚拟网络中资源子网的流量。如果您需要扩展NSG规则以允许更广泛地访问这些资源,请将这些要求与安全风险进行权衡。每个新的入站路径都代表着意外或有目的的数据泄漏或应用程序损坏的机会。

DDoS防护


Azure DDoS保护与应用程序设计最佳实践相结合,提供了增强的DDoS缓解功能,以提供更多的DDoS攻击防御。您应该在任何外围虚拟网络上启用Azure DDOS保护。

使用AVNM创建基线安全管理规则

AVNM允许您创建安全规则的基线,这些基线可以优先于网络安全组规则。安全管理规则在NSG规则之前进行评估,具有与NSG相同的性质,支持优先级、服务标签和L3-L4协议。AVNM允许中央IT执行安全规则的基线,同时允许分支虚拟网络所有者独立于其他NSG规则。为了促进安全规则更改的受控推出,AVNM的部署功能允许您安全地将这些配置的破坏性更改发布到中心辐射环境中。

DevOps访问


使用Azure RBAC来限制DevOps可以在每一层上执行的操作。在授予权限时,使用最小特权原则。记录所有管理操作并定期进行审核,以确保任何配置更改都已计划好。

成本优化


成本优化是指寻找减少不必要费用和提高运营效率的方法。有关更多信息,请参阅成本优化支柱概述。

使用Azure定价计算器估算成本。其他考虑因素在Microsoft Azure良好架构框架的成本优化部分进行了描述。

以下是此架构中使用的服务的成本考虑因素。

Azure防火墙


在此架构中,Azure防火墙部署在虚拟网络中,以控制网关子网和分支虚拟网络中的资源之间的流量。通过这种方式,Azure防火墙具有成本效益,因为它被用作多个工作负载使用的共享解决方案。以下是Azure防火墙的定价模型:

  • 每部署小时固定费率。
  • 每GB处理的数据支持自动缩放。
    与网络虚拟设备(NVAs)相比,使用Azure防火墙可以节省高达30-50%的成本。有关更多信息,请参阅Azure防火墙与NVA。

Azure堡垒


Azure Bastion通过RDP和SSH安全地连接到您的虚拟机,无需在虚拟机上配置公共IP。

Bastion计费与配置为跳转框的基本低级虚拟机相当。Bastion比跳箱更具成本效益,因为它具有内置的安全功能,并且不会产生额外的存储和管理单独服务器的成本。

Azure虚拟网络


Azure虚拟网络是免费的。每个订阅都允许在所有地区创建多达50个虚拟网络。虚拟网络边界内发生的所有流量都是免费的。例如,同一虚拟网络中相互通信的虚拟机不会产生网络流量费用。

内部负载平衡器


驻留在同一虚拟网络中的虚拟机之间的基本负载平衡是免费的。

在这种架构中,内部负载均衡器用于在虚拟网络内对流量进行负载平衡。

部署此场景


此部署创建了两个资源组;第一个是模拟本地网络,第二个是一组中心辐射网络。模拟本地网络和集线器网络使用Azure虚拟网络网关连接,形成站点到站点的连接。此配置与您将本地数据中心连接到Azure的方式非常相似。

此部署可能需要45分钟才能完成。建议的部署方法是使用下面的门户选项。

Azure门户



使用以下按钮使用Azure门户部署引用。

部署到Azure

Deploy to Azure

Azure CLI


 

az deployment sub create --location eastus --template-uri https://raw.githubusercontent.com/mspnp/samples/master/solutions/secure-hybrid-network/azuredeploy.json

PowerShell

 

New-AzSubscriptionDeployment -Location eastus -TemplateUri https://raw.githubusercontent.com/mspnp/samples/master/solutions/secure-hybrid-network/azuredeploy.json

 

部署完成后,通过查看新创建的连接资源来验证站点到站点的连接。在Azure门户中,搜索“连接”并注意每个连接的状态。

可以从位于模拟本地网络中的虚拟机访问辐条网络中的IIS实例。使用附带的Azure Bastion主机创建与虚拟机的连接,打开web浏览器,然后导航到应用程序网络负载平衡器的地址。

有关详细信息和其他部署选项,请参阅用于部署此解决方案的Azure资源管理器模板(ARM模板):安全混合网络。

 

 

下一步

  • The virtual datacenter: A network perspective.
  • Azure security documentation.


相关资源


  • Connect an on-premises network to Azure using ExpressRoute.
  • Configure ExpressRoute and Site-to-Site coexisting connections using PowerShell
  • Extend an on-premises network using ExpressRoute.
 
 

本文地址
https://architect.pub/implement-secure-azure-hybrid-network
  • 登录 发表评论
  • 15 次浏览
发布日期
星期四, 七月 11, 2024 - 22:56
最后修改
星期五, 七月 12, 2024 - 09:34

Tags

  • Azure网络
  • Azure安全
Article
Read more

最新内容

  • 【人工智能】宣布 Microsoft Entra Agent ID:安全地管理您的 AI 代理​
    4 days 16 hours ago
  • 【数字化】SAP S/4HANA架构:完全指南​
    4 days 16 hours ago
  • 【数字化】SAP S/4HANA​ 学习
    4 days 16 hours ago
  • 【DeepSeek】如何为自定义数据集微调DeepSeek-R1(一步一步)
    1 month ago
  • 【UI开发】为AI应用程序构建UI的3个最佳Python框架
    1 month 1 week ago
  • 【前端开发】🚀🔥 改变编码方式的10个前端开发AI助手
    1 month 1 week ago
  • 【前端开发】生成式AI革新前端开发:传统开发模式的颠覆
    1 month 1 week ago
  • 【CNN架构】解释不同类型的CNN架构:示例
    1 month 1 week ago
  • 【信息设计】设计模式指南:学习指南
    1 month 1 week ago
  • 【设计思维】什么是设计思维?
    1 month 1 week ago

网站备案号:京ICP备2022026098号-2

友情链接

  • CPO宝典
  • 全球IT瞭望
  • 开发者开聊
  • 智能化转型智库
  • 架构师研究会

知识星球

知识星球:首席架构师圈

 

抖音直播

抖音:cea_cio(超级架构师)
干货直播,干货分享

 

微信小号

超级架构师
超级架构师小号:加群,私聊

 

微信公众号

超级架构师公众号

 

QQ群:超级架构师

QQ Group

Tags

Tags

  • Azure网络
  • Azure安全
© 2025 架构师研究会, All rights reserved.
↑