Compartilhar via


Topologia de rede e conectividade

A topologia de rede e a área de design de conectividade são essenciais para estabelecer uma base para seu design de rede em nuvem.

Revisão da área de design

Funções envolvidas: essa área de design provavelmente requer apoio de uma ou mais funções da plataforma de nuvem e do centro de excelência em nuvem para tomar e implementar decisões.

Escopo: o objetivo do design de rede é alinhar o design de rede de nuvem com os planos gerais de adoção da nuvem. Se os planos de adoção da nuvem incluírem dependências híbridas ou de várias nuvens ou se você precisar de conectividade por outros motivos, seu design de rede também deverá incorporar essas opções de conectividade e os padrões de tráfego esperados.

Fora do escopo: esta área de design estabelece a base para rede. Ela não aborda problemas relacionados à conformidade, como segurança de rede avançada ou proteções de aplicação automatizadas. Essa orientação vem quando você analisa as áreas de design de conformidade de segurança e governança. O adiamento de discussões de segurança e governança permite que a equipe da plataforma de nuvem atenda aos requisitos iniciais de rede antes de expandir o público-alvo para tópicos mais complexos.

Visão geral da área de design

A topologia de rede e a conectividade são fundamentais para as organizações que planejam o design da zona de destino. A rede é fundamental para quase tudo dentro de uma zona de destino. Ela habilita a conectividade com outros serviços do Azure, usuários externos e infraestrutura local. A topologia de rede e a conectividade estão no grupo ambiental das áreas de design da zona de destino do Azure. Esse agrupamento baseia-se na importância nas principais decisões de design e implementação.

Diagrama das áreas de networking da Hierarquia do Grupo de Gestão concepcional da ALZ.

Na arquitetura conceitual da zona de destino do Azure, há dois grupos de gerenciamento principais que hospedam cargas de trabalho: Corp e Online. Esses grupos de gerenciamento servem a propósitos distintos na organização e controle de assinaturas do Azure. A relação de rede entre os vários grupos de gerenciamento de zonas de destino do Azure depende dos requisitos específicos e da arquitetura de rede da organização. As próximas seções discutem a relação de rede entre Corp, Online e os grupos de gerenciamento de conectividade em relação ao que o acelerador de zona de destino do Azure fornece.

Qual é o objetivo dos Grupos de Gerenciamento de Conectividade, Corporação e Online?

  • Grupo de gerenciamento de conectividade: esse grupo de gerenciamento contém assinaturas dedicadas para conectividade, geralmente uma única assinatura para a maioria das organizações. Essas assinaturas hospedam os recursos de rede do Azure necessários para a plataforma, como WAN Virtual do Azure, Gateways de Rede Virtual, Firewall do Azure e zonas privadas DNS do Azure. É também onde a conectividade híbrida é estabelecida entre a nuvem e os ambientes locais, usando serviços como o ExpressRoute etc.
  • Grupo de gerenciamento corporativo: o grupo de gerenciamento dedicado para zonas de destino corporativas. Esse grupo destina-se a conter assinaturas que hospedam cargas de trabalho que exigem conectividade de roteamento IP tradicional ou conectividade híbrida com a rede corporativa por meio do hub na assinatura de conectividade e, portanto, fazem parte do mesmo domínio de roteamento. Cargas de trabalho, como sistemas internos, não são expostas diretamente à Internet, mas podem ser expostas por meio de proxies reversos etc., como Gateways de Aplicativo.
  • Grupo de gerenciamento online: o grupo de gerenciamento dedicado para zonas de destino online. Esse grupo destina-se a conter assinaturas usadas para recursos voltados para o público, como sites, aplicativos de comércio eletrônico e serviços voltados para o cliente. Por exemplo, as organizações podem usar o grupo de gerenciamento online para isolar recursos voltados para o público do restante do ambiente do Azure, reduzindo a superfície de ataque e garantindo que os recursos voltados para o público estejam seguros e disponíveis para os clientes.

Por que criamos grupos de gerenciamento Corp e Online para separar cargas de trabalho?

A diferença nas considerações de rede entre os grupos de gerenciamento Corp e Online na arquitetura conceitual da zona de destino do Azure está no uso pretendido e na finalidade principal.

O grupo de gerenciamento Corp é usado para gerenciar e proteger recursos e serviços internos, como aplicativos de linha de negócios, bancos de dados e gerenciamento de usuários. As considerações de rede para o grupo de gerenciamento Corp estão focadas em fornecer conectividade segura e eficiente entre recursos internos, ao mesmo tempo em que aplicam políticas de segurança rígidas para proteger contra acesso não autorizado.

O grupo de gerenciamento online na arquitetura conceitual da zona de destino do Azure pode ser considerado como um ambiente isolado usado para gerenciar recursos e serviços voltados para o público que podem ser acessados pela Internet. Usando o grupo de gerenciamento online para gerenciar recursos voltados para o público, a arquitetura da zona de destino do Azure fornece uma maneira de isolar esses recursos dos recursos internos, reduzindo assim o risco de acesso não autorizado e minimizando a superfície de ataque.

Na arquitetura conceitual da zona de destino do Azure, a rede virtual no grupo de gerenciamento Online pode ser, opcionalmente, emparelhada com redes virtuais no grupo de gerenciamento Corp, direta ou indiretamente por meio do hub e dos requisitos de roteamento associados por meio de um Firewall do Azure ou NVA, permitindo que recursos voltados para o público se comuniquem com recursos internos de maneira segura e controlada. Essa topologia garante que o tráfego de rede entre os recursos voltados para o público e os recursos internos seja seguro e restrito, ao mesmo tempo em que permite que os recursos se comuniquem conforme necessário.

Dica

Também é importante entender e examinar as Políticas do Azure atribuídas e herdadas em cada um dos Grupos de Gerenciamento como parte da zona de destino do Azure. Como eles ajudam a moldar, proteger e controlar as cargas de trabalho implantadas nas assinaturas que estão nesses Grupos de Gerenciamento. As atribuições de política para zonas de destino do Azure podem ser encontradas aqui.