Azure 网络服务最基本的构建块是虚拟网络。使用虚拟网络,我们可以在 Azure 上部署我们的隔离网络。我们可以使用子网将虚拟网络分成多个部分。例如 - webserver 子网、App servers1 子网、App servers2 子网、Database 子网、Gateway 子网、Virtual Appliance 子网等。这些是典型示例,但我们可以根据需要创建不同类型的子网。
一旦我们创建了子网,我们就可以将不同类型的 Azure 服务部署到这些子网中。我们可以将虚拟机部署到这些子网中。但除了虚拟机,我们还可以部署一些专门的环境。即,一些能够在虚拟网络中实现的 PaaS 环境。例如——在一个应用服务环境中,我们可以部署在它自己的子网中。同样,有一种叫做托管 SQL实例和托管集成环境的东西,我们可以在虚拟网络中部署所有这些类型的环境。
我们可以在防火墙等虚拟设备子网中部署不同类型的设备。
服务保护:在部署完所有这些服务之后,我们需要保护这些服务。Azure 提供了多种保护策略。
DDoS 保护: DDoS 保护将保护我们在虚拟网络中的工作负载免受 DDoS 攻击。DDoS 保护中有两层可用。一个是基本的,它是免费的并自动启用。如果我们需要高级功能,那么我们可以选择 DDoS 标准层。
防火墙:当我们需要网络安全时,我们使用防火墙。Azure 提供防火墙服务,您可以集中管理入站和出站防火墙规则。我们可以创建网络防火墙规则、应用程序防火墙规则、入站 SNAT 规则、出站 DNAT 规则等。
网络安全组:如果您认为防火墙对您来说成本太高,那么我们可以使用网络安全组。我们可以使用网络安全组过滤入站和出站流量。我们可以在两个级别附加网络安全组,一个在子网级别,另一个我们可以附加到虚拟机。
应用程序安全组:微软引入应用程序安全组,将与一个应用程序相关的所有服务器放在一个应用程序安全组中,并在网络安全组入站和出站规则中使用该应用程序安全组。应用程序安全组的主要目的是简化 NSG 中的规则创建。
服务可用性
我们必须确保我们的应用程序具有高可用性,并且能够应对区域故障、数据中心故障和机架故障。Azure 提供了一些服务来使我们的应用程序具有高可用性;这些是:
流量管理器: Microsoft Azure 流量管理器控制不同区域服务端点的用户流量分布。流量管理器支持的服务端点包括 Azure VM、Web 应用程序、云服务等。它使用 DNS 根据流量路由方法和端点的健康状况将客户端请求定向到正确的端点。
负载均衡器:负载均衡器用于在 Web 服务器或应用程序服务器池之间平均分配流量。负载均衡器有两种类型,一种是位于虚拟网络外部的外部负载均衡器,另一种是位于虚拟网络内部的内部负载均衡器。
应用网关:使用应用网关,我们可以实现基于URL路径的路由、多站点托管等。
可用区:通过将我们的虚拟机部署到不同的可用区,我们可以将我们的应用程序流量路由到位于不同可用区的虚拟机,以防任何区域内的数据中心出现故障。
沟通
创建虚拟网络背后的基本思想是使用默认系统路由启用工作负载之间的通信。这些系统路由将由 Azure 自动部署。但是我们也可以覆盖这些系统路由并配置我们用户定义的路由;那么,我们也可以这样做。
对等互连:要启用两个虚拟网络之间的通信,我们可以建立对等互连。我们可以与同一区域内的虚拟网络进行对等互连。如果我们在另一个区域有 Azure 虚拟网络,那么我们可以使用全局对等互连。对于本地数据中心,我们有两种选择,一种是站点到站点 VPN,它将通过 Internet 建立。但是对于私有连接,我们必须使用快速路由。
监控:一旦我们从网络角度部署了所有服务,我们就需要开始监控它们。Azure 提供了一些服务来监控流量。
安全中心:它是一个中央安全监控工具,我们可以使用它查看您的整体部署的安全分数,以及 Azure 根据我们应用的安全策略生成的任何建议。来自网络以及部署在该虚拟网络上的服务。
