Freigeben über

Zuverlässigkeit und Netzwerkkonnektivität

  • Artikel

Die Netzwerkkonnektivität umfasst drei Azure-Modelle für private Netzwerkkonnektivität:

VNET-Einschleusung gilt für Dienste, die speziell für Sie bereitgestellt werden, z. B.:

  • Azure Kubernetes Service-Knoten (AKS)
  • Verwaltete SQL-Instanz
  • Virtual Machines

Diese Ressourcen stellen eine direkte Verbindung mit Ihrem virtuellen Netzwerk her.

Virtual Network -Dienstendpunkte (VNET) bieten sichere und direkte Konnektivität mit Azure-Diensten. Diese Dienstendpunkte verwenden eine optimierte Route über das Azure-Netzwerk. Dienstendpunkte ermöglichen es privaten IP-Adressen im VNet, den Endpunkt eines Azure-Diensts zu erreichen, ohne dass eine öffentliche IP-Adresse im VNet benötigt wird.

Private Link bietet dedizierten Zugriff über private IP-Adressen auf Azure PaaS-Instanzen oder benutzerdefinierte Dienste hinter einer Azure Load Balancer Standard.

Überlegungen zum Entwurf

Die Netzwerkkonnektivität umfasst die folgenden Entwurfsüberlegungen im Zusammenhang mit einer zuverlässigen Workload:

  • Verwenden Sie Private Link (sofern verfügbar) für die freigegebenen Azure PaaS-Dienste. Private Link ist für einige Dienste allgemein verfügbar und liegt für eine Vielzahl von Diensten in der öffentlichen Vorschauversion vor.

  • Zugreifen auf Azure PaaS-Dienste von lokal über privates ExpressRoute-Peering .

  • Verwenden Sie entweder die Einschleusung virtueller Netzwerke für dedizierte Azure-Dienste oder Azure Private Link für verfügbare freigegebene Azure-Dienste. Verwenden Sie ExpressRoute mit Microsoft-Peering, um von einem lokalen Standort aus auf Azure PaaS-Dienste zuzugreifen, wenn die Einschleusung virtueller Netzwerke und Private Link nicht verfügbar sind. Dadurch wird der Transit über das öffentliche Internet vermieden.

  • Verwenden Sie VNET-Dienstendpunkte, um den Zugriff auf Azure PaaS-Dienste innerhalb Ihres virtuellen Netzwerks zu sichern. Verwenden Sie VNET-Dienstendpunkte nur dann, wenn Private Link nicht verfügbar ist und keine Bedenken hinsichtlich einer nicht autorisierten Verschiebung von Daten bestehen.

  • Dienstendpunkte lassen den Zugriff auf einen PaaS-Dienst aus lokalen Netzwerken nicht zu. Private Endpunkte tun dies.

  • Verwenden Sie netzwerk virtual Anwendung (NVA)-Filterung, um Bedenken bezüglich nicht autorisierter Datenverschiebung mit Dienstendpunkten auszuräumen. Sie können auch Endpunktrichtlinien für virtuelle Netzwerke für Azure Storage verwenden.

  • Bei den folgenden nativen Netzwerksicherheitsdiensten handelt es sich um vollständig verwaltete Dienste. Kunden fallen nicht die mit Infrastrukturbereitstellungen verbundenen Betriebs- und Verwaltungskosten an, die im großen Stil komplex werden können:

    • Azure Firewall
    • Application Gateway
    • Azure Front Door

  • Auf PaaS-Dienste wird in der Regel über öffentliche Endpunkte zugegriffen. Die Azure-Plattform bietet Funktionen, um diese Endpunkte zu schützen oder vollständig privat zu machen.

  • Sie können auch Netzwerk-Virtual Appliances (NVAs) von Drittanbietern verwenden, wenn der Kunde sie für Situationen bevorzugt, in denen native Dienste bestimmte Anforderungen nicht erfüllen.

Checkliste

Haben Sie die Netzwerkkonnektivität unter Berücksichtigung der Zuverlässigkeit konfiguriert?

  • Implementieren Sie nicht die Tunnelerzwingung, um die Kommunikation zwischen Azure und Azure-Ressourcen zu ermöglichen.
  • Es sei denn, Sie verwenden netzwerk virtual Anwendung (NVA)-Filterung, verwenden Sie keine VNET-Dienstendpunkte, wenn Bedenken hinsichtlich einer nicht autorisierten Verschiebung von Daten bestehen.
  • Aktivieren Sie VNET-Dienstendpunkte nicht standardmäßig in allen Subnetzen.

Nächster Schritt

Kostenoptimierung und Netzwerkkonnektivität