Azure-Netzwerkfunktionen – Update Herbst 2018

Veröffentlicht am 24 September, 2018

CVP, Azure Networking

Ankündigung: 100 GBit/s, schnellste Konnektivität in einer öffentlichen Cloud und Verfügbarkeit von Zweigstellenkonnektivität, neue cloudnative Sicherheitsfunktionen und Dienste zur Steigerung der Anwendungsleistung

Da Unternehmen immer anspruchsvollere unternehmenskritische Workloads in die Cloud verlagern, bieten wir umfassende Netzwerkdienste, die sich ganz einfach bereitstellen, verwalten, skalieren und überwachen lassen. Kunden fragen immer wieder nach besseren Möglichkeiten, eine Verbindung mit der Cloud herzustellen, sowie nach einem besseren Schutz ihrer Cloudworkloads, der Bereitstellung einer optimalen Anwendungsleistung und umfassenderen Überwachungsdiensten.

Kunden sind außerdem auf der Suche nach Lösungen mit wesentlich höherer Bandbreite, da sie immer mehr damit zu kämpfen haben, enorme Mengen an Daten in die Cloud zu übertragen, um erweiterte Analysedienste und Funktionen für maschinelles Lernen nutzen zu können. Software Defined Wide Area Networking (SDWAN) verspricht erhebliche Kostensenkungen durch intelligentes Weiterleiten größerer Datenverkehrsmengen in das Internet. Zudem unterstützt diese Funktionalität Kunden dabei, die Konnektivität mit ihren Zweigstellen besser zu verwalten. Das Konzept des virtuellen Rechenzentrums hat sich durchgesetzt, aber der Aufbau solcher Lösungen in globalem Maßstab stellt weiterhin eine große Herausforderung dar. Unser globales Netzwerk umfasst bereits über 54 Azure-Regionen und wird immer weiter ausgebaut – wir expandieren an neue Standorte und erhöhen gleichzeitig die Gesamtkapazität des Netzwerks. Kunden fragen uns nach neuen Optionen und Funktionen, mit denen sie von unserem globalen WAN profitieren können. Wir kündigen Folgendes an: ExpressRoute Direct mit 100 GBit/s, ExpressRoute Global Reach, die allgemeine Verfügbarkeit von Azure Virtual WAN sowie Erweiterungen für Virtual Networks und DNS.

Sicherheit ist immer ein Topthema, da Unternehmen ihre unternehmenskritischen Workloads schützen müssen. Der Schutz von Anwendungen vor Angriffen ist von entscheidender Bedeutung, ebenso wie die vollständige Kontrolle über den Zugriff auf sämtliche Ressourcen. Mit der Cloud können Sie ein Zero-Trust-Sicherheitskonzept sowie ein DevOps-Modell für die Sicherheitsverwaltung einsetzen. Das Skalieren, Verwalten und Verstehen von Sicherheitsrichtlinien wird mit cloudnativen Lösungen viel einfacher. Wir kündigen die allgemeine Verfügbarkeit von Azure Firewall sowie Erweiterungen für DDoS Protection und Web Application Firewall an.

Leistung, Verfügbarkeit und Resilienz von Anwendungen sind auch für die Bereitstellung sowohl globaler als auch regionaler Workloads entscheidend. Die Cloud wurde im Grunde dafür konzipiert, die Skalierbarkeit von Anwendungen zu ermöglichen, damit unterschiedliche Arten von Datenverkehrsmustern dynamisch verarbeitet werden können. Azure in Kombination mit unserem globalen Netzwerk bietet uns eine natürliche Grundlage, um nicht nur Microsoft-Dienste wie Bing, Office 365 oder Xbox, sondern auch die Anwendungen unserer Kunden zu beschleunigen. Wir kündigen Folgendes an: Azure Front Door (Vorschau), allgemeine Verfügbarkeit von Azure CDN sowie Erweiterungen für Application Gateway und Traffic Manager.

Beim DevOps-Modell muss Ihr Team die Integrität und Leistung Ihrer Anwendungen überwachen. Dank der Cloud können Sie noch mehr Erkenntnisse zu Ihren Diensten gewinnen – Sie können Daten messen, Probleme behandeln, Warnungen erhalten und sofort Maßnahmen ergreifen. Da wir Azure das ganze Jahr ohne Pause rund um die Uhr ausführen, haben wir enorme Erfahrungen im operativen Bereich gesammelt und wissen ganz genau, welcher Druck auf Ihren Betriebsteams lastet und welche Anforderungen an die Überwachung gestellt werden, um ein erstklassiges Benutzererlebnis zu liefern. Wir kündigen die Vorschau von Virtual Network TAP (Terminal Access Point) sowie Erweiterungen für Network Watcher an.

Im Folgenden finden Sie eine Übersicht über unsere neuen Netzwerkdienste und Erweiterungen für vorhandene Dienste, die Ihnen dabei helfen, eine Verbindung mit der Cloud herzustellen, Ihre Workloads zu schützen, eine optimale Leistung zu liefern und Ihren Dienst zu überwachen.

Diagramm: Erweiterungen für Netzwerkfunktionen

Azure unterstützt Sie beim Vernetzen, Schützen, Bereitstellen und Überwachen Ihrer Dienste

Verbinden

10-mal schneller: Konnektivität mit 100 G über ExpressRoute Direct

Azure bricht sämtliche Geschwindigkeitsrekorde in Sachen Cloudkonnektivität. ExpressRoute Direct bietet Konnektivität mit 100 GBit/s für Kunden mit extrem hohen Bandbreitenanforderungen. Das ist 10-mal schneller als in anderen Clouds. Unternehmenskunden wenden sich mit Szenarien an uns, bei denen riesige Mengen an Daten erfasst werden müssen – z.B. Telemedizin, Bereitstellung von Inhalten und IoT. Mit ExpressRoute Direct können Sie 100 GBit/s an Netzwerkdatenverkehr an Azure-Dienste wie Azure Storage und Azure Virtual Networks senden. Sie können Ihren gesamten Datenverkehr über eine einzige ExpressRoute-100-G-Leitung übertragen oder die 100 G auf jede beliebige Kombination aus ExpressRoute-Leitungen mit 40, 10, 5, 2 und 1 G aufteilen. Üblicherweise handelt es sich bei diesen Leitungen um ExpressRoute-Standardleitungen, die Konnektivität mit jeder Azure-Region in der gleichen geografischen Region (z.B. Nordamerika, Europa, Australien, Japan usw.) bereitstellen. Sie können jede beliebige dieser Leitungen als ExpressRoute-Premium-Leitung festlegen, um globale Konnektivität bereitzustellen. Dank dieser Flexibilität können Sie die Anforderungen bestimmter Unternehmenseinheiten erfüllen. Eine Ihrer Unternehmenseinheiten benötigt möglicherweise eine hohe Bandbreite, um mit einer ExpressRoute-Standard-Leitung mit 40 G auf Dienste innerhalb der lokalen Azure-Region zuzugreifen. Eine andere Einheit dagegen benötigt nur globale 2-G-Konnektivität und nutzt daher eine ExpressRoute-Premium-Leitung mit 2 G. Das bleibt Ihnen überlassen. ExpressRoute eignet sich für unternehmenskritische Workloads. ExpressRoute Direct bietet ebenso wie ExpressRoute physische Konnektivität über zwei physische Router in einer Aktiv-Aktiv-Konfiguration. Erfahren Sie mehr über ExpressRoute.

ExpressRoute Global Reach – private Verbindung zwischen Ihren Standorten

Mit ExpressRoute Global Reach können Sie zwei ExpressRoute-Leitungen miteinander verbinden. Ihre Standorte, die bereits mit ExpressRoute verbunden sind, können jetzt über ihre ExpressRoute-Leitungen privat Daten austauschen. Ein Beispiel: Ein multinationales Unternehmen mit Rechenzentren in London und Tokio, die jeweils über eine ExpressRoute-Leitung verfügen, kann ExpressRoute Global Reach aktivieren, sodass diese Standorte Datenverkehr privat über ihre lokalen ExpressRoute-Leitungen und das globale Microsoft-Netzwerk austauschen können. ExpressRoute Global Reach kann sowohl in ExpressRoute-Standard- als auch in ExpressRoute-Premium-Leitungen aktiviert werden. ExpressRoute Global Reach ist an den folgenden Standorten verfügbar: Hongkong, Irland, Japan, Niederlande, Vereinigtes Königreich und USA. Südkorea und Singapur werden in Kürze folgen. Weitere Standorte werden im Lauf des Jahres verfügbar sein. Erfahren Sie mehr über ExpressRoute Global Reach.

Virtual WAN allgemein verfügbar

S2S-Konnektivität mit 20 GBit/s, neue Funktionen und ein wachsendes Partnerökosystem

Die Verwaltung von 50 oder 100 Zweigstellengeräten, die eine Verbindung mit einem VPN-Dienst herstellen, kann eine ziemliche Herausforderung sein. In diesem Sommer haben wir Azure Virtual WAN vorgestellt, einen Dienst, der in Szenarien, in denen Verbindungen zwischen Zweigstelle und Azure oder zwischen zwei Zweigstellen hergestellt werden müssen, die Zweigstellenkonnektivität vereinfacht. Wir haben Virtual WAN für Unternehmen insbesondere im Einzelhandel, im Bereich Medizin, in der Fertigung und in der Öl- und Gasbranche konzipiert, die SDWAN nutzen möchten, um ihre Zweigstellen mit Azure und untereinander zu verbinden. Dank SDWAN und VPN-Geräten – bereitgestellt von unserem Virtual WAN-Ökosystem – profitieren Sie von automatischer Bereitstellung, Konfiguration, Skalierbarkeit und hohem Durchsatz. Virtual WAN unterstützt Zweigstellenkonnektivität mit bis zu 20 GBit/s. Das ist 20-mal schneller als unsere VPN-Gateways. Zweigstellenkonnektivität lässt sich jetzt endlich einfacher verwalten. Virtual WAN ist jetzt allgemein verfügbar.

Microsoft empfiehlt Office 365-Kunden, so schnell wie möglich über lokale Internetübergänge (Internet-Breakouts) eine Verbindung mit dem globalen Microsoft-Netzwerk herzustellen und das Office 365-Ökosystem mit verteilten Edgeknoten zu nutzen. Die Konzeption des Kundennetzwerks zielt darauf ab, die Latenz zur nächsten Office 365-Schnittstelle zu optimieren und ein Hairpinning von Office 365-Anforderungen über das private Netzwerk des Kunden zu minimieren. Anstatt den Datenverkehr an einen zentralen Standort zurückzuleiten oder Verbindungen über einen anderen Clouddienst weiterzuleiten, der Datenverkehrsscans im Internet anbietet, sollte wichtiger Office 365-Datenverkehr so nah bei den Benutzerstandorten (Zweigstellen) wie möglich über das Internet und direkt in das Microsoft-Netzwerk geleitet werden. Dieser Ansatz wird als „lokaler und direkter Internet-Breakout“ bezeichnet und wird von Kunden häufig für ausgewählte Anwendungen eingesetzt, je nach Richtlinie. Kunden können lokale und direkte Internet-Breakouts für Office 365-Dienste implementieren, indem sie ihre Regeln für das Zweigstellenrouting mithilfe eines Webdiensts oder einer SDWAN-Lösung eines qualifizierten Partners automatisieren. Azure Virtual WAN-Kunden können ihre Richtlinien für Office 365-Internet-Breakouts im Azure-Portal konfigurieren und diese Richtlinien per Push an SDWAN-Geräte in den Zweigstellen übertragen. So ist die lokale und direkte Weiterleitung von wichtigen Office 365-Datenströmen über das Internet gewährleistet, und Sie können ein optimales Endbenutzererlebnis bereitstellen.

Unser Virtual WAN-Ökosystem wächst immer weiter. Zusätzlich zu Citrix und Riverbed sind Virtual WAN-Lösungen jetzt von folgenden Anbietern erhältlich: 128 Technology, Barracuda, Check Point, NetFoundry und Palo Alto. In Kürze wird es Virtual WAN-Lösungen auch von CloudGenix, Nuage Networks, Silver Peak, Versa Networks und VeloCloud geben.

Zitat von VeloCloud

Virtual WAN-Partner, aktualisiert 2

Azure Virtual WAN-Ökosystem

Neue Virtual WAN-Vorschaufunktionen umfassen P2S-VPN und ExpressRoute. Mit P2S-VPN können Sie einen OpenVPN-Client verwenden, um eine Verbindung mit Ihrem Virtual WAN herzustellen. So können mobile Benutzer unterwegs oder im Homeoffice ihre Laptops und Mobilgeräte nutzen, um über das Virtual WAN sicher auf Ressourcen zuzugreifen. Azure P2S-VPN ist im Azure Virtual WAN verfügbar und kann bis zu 10.000 gleichzeitige Remotebenutzer pro Virtual WAN-Hub mit einem Durchsatz von 18 GBit/s unterstützen.

Wenn Sie ExpressRoute als Teil Ihres Virtual WAN implementieren, können Ihre Zweigstellen sicher über das Internet auf das Virtual WAN zugreifen. Danach wird der Datenverkehr privat an Ihr Rechenzentrum weitergeleitet, das mit ExpressRoute verbunden ist.

Azure Virtual WAN vereinfacht die gesamte Konnektivität

Azure Virtual WAN vereinfacht die gesamte Konnektivität

Erfahren Sie mehr über Virtual WAN.

Zonenredundante VPN- und ExpressRoute-Gateways für virtuelle Netzwerke

Viele Kunden verwenden VPNs und ExpressRoute für den Zugriff auf ihre virtuellen Netzwerke. Um die Resilienz, Skalierbarkeit und Verfügbarkeit von Gateways zu verbessern, bieten wir neue zonenredundante VPN- und ExpressRoute-Gateways, die Azure-Verfügbarkeitszonen unterstützen. Mit diesen neuen zonenredundanten/zonenbezogenen Gateways können Sie Azure-VPN- und Azure ExpressRoute-Gateways in Azure-Verfügbarkeitszonen implementieren und sie damit innerhalb einer Region physisch und logisch trennen, um die Verbindung Ihres lokalen Netzwerks mit Azure vor Fehlern auf Zonenebene zu schützen. Wir haben auch die Bereitstellungszeit für diese Gateways verkürzt. Weitere Informationen zu zonenredundanten Gateways finden Sie in unserer Dokumentation.

Zonenredundante Gateways bieten bessere Resilienz

Zonenredundante Gateways bieten bessere Resilienz

Präfix für öffentliche IP-Adressen

Ein Präfix für öffentliche IP-Adressen ist ein zusammenhängender Bereich von IP-Adressen für Ihre öffentlichen Azure-Endpunkte, mit dem Sie Ihren Azure-Ressourcen öffentlichen IP-Adressen aus einem bekannten festen Bereich zuweisen können. Dadurch senken Sie den Verwaltungsaufwand ganz erheblich, da Sie keine Firewallregeln mehr ändern müssen, wenn Sie neuen Ressourcen IP-Adressen zuweisen. Legen Sie mit der Vorschauversion los, und erfahren Sie mehr über das Präfix für öffentliche IP-Adressen.

Load Balancer – Regeln für ausgehenden Datenverkehr und TCP-Rücksetzung bei Leerlauf

Mit Regeln für ausgehenden Datenverkehr können Sie die Netzwerkadressenübersetzung (Network Address Translation, NAT) von Load Balancer für poolbasierten ausgehenden Datenverkehr ganz einfach konfigurieren. Sie können eine deklarative Konfiguration verwenden, um den ausgehenden Datenverkehr zu skalieren und exakt auf Ihre Anforderungen abzustimmen.

Einfache Load Balancer-Konfiguration

Einfache Load Balancer-Konfiguration

Regeln für ausgehenden Datenverkehr beschreiben, welcher Pool aus virtuellen Computern in welche öffentlichen IP-Adressen übersetzt werden soll und welche ausgehenden SNAT-Ports zugeordnet werden sollen. Sie ändern zudem das Leerlauftimeout für ausgehenden Datenverkehr.  Mithilfe von Regeln für ausgehenden Datenverkehr und einem Präfix für öffentliche IP-Adressen können Sie die Erstellung von Whitelists vereinfachen. Weitere Informationen finden Sie unter Regeln für ausgehenden Datenverkehr.

Sie können die Anwendungsleistung optimieren, indem Sie TCP-Rücksetzungen bei Leerlauf für alle Regeln aktivieren. So erzielen Sie saubere Verbindungsaufhebungen, ohne die Anwendung ändern zu müssen. Wenn die Funktion aktiviert ist, werden TCP-Rücksetzungspakete bei Leerlauftimeout sowohl an den Client- als auch an den Serverendpunkt gesendet. Weitere Informationen finden Sie unter Load Balancer mit TCP-Rücksetzung bei Leerlauftimeout.

Virtual Network für Container

Das Plug-In für Azure-Container-Netzwerkschnittstellen (Container Networking Interface, CNI) fügt Container an ein VNET an. So können die umfassenden Azure-Netzwerkfunktionen in Containern genutzt werden, da der gleiche SDN-Stapel verwendet wird wie bei Azure-VMs. Container können jetzt mit Peer-VNETs, über ExpressRoute oder S2S-VPN mit lokalen Ressourcen sowie mit Zugriffsdiensten wie Storage und SQL verbunden werden, die durch einen VNET-Dienstendpunkt geschützt werden. Regeln für Netzwerksicherheitsgruppen und benutzerdefiniertes Routing können direkt auf Container angewendet werden.

Das Azure-CNI-Plug-In wird vom Azure Kubernetes Service genutzt. Es ist auch in den Azure-Containerinstanzdienst sowie Azure WebApps für App Services integriert, die einen verbesserten SDN-Stapel für die schnelle und sichere Integration von Containern in Kunden-VNETs nutzen. Weitere Informationen finden Sie in der Dokumentation.      

Unterstützung von Aliaseinträgen (Verweisen) für Azure DNS

Azure DNS-Kunden haben zuweilen Probleme damit, den Lebenszyklus der Azure-Ressourcen in ihren DNS-Zonen nachzuverfolgen. Wenn beispielsweise die öffentliche IP-Ressource, die einer Anwendung zugewiesen ist, gelöscht wird, mussten die Kunden bisher ihre DNS-Zone manuell aktualisieren, um einen ungültigen Verweis zu verhindern, der dazu führen kann, dass Datenverkehr ohne Rückmeldung verworfen wird. Wir kündigen die Unterstützung von Aliaseinträgen für DNS-Zonen an. So können Kunden aus ihren DNS-Zonen auf andere Azure-Ressourcen verweisen, sodass die DNS-Einträge automatisch aktualisiert werden, wenn ein Lebenszyklusereignis in den Azure-Ressourcen auftritt, auf die verwiesen wird. Wir unterstützen Verweise von Aliaseinträgen auf zwei Azure-Ressourcen: öffentliche IP und Azure Traffic Manager. Weitere Ressourcen sind für die Zukunft geplant. Weitere Informationen zur Unterstützung von Aliaseinträgen in Azure DNS finden Sie in diesem Blogbeitrag.

Schützen

Azure Firewall – allgemeine Verfügbarkeit, neue Funktionen

Der Azure Firewall-Dienst, der jetzt allgemein verfügbar ist, bietet vollständige zustandsbehaftete Datenverkehrsfilterung auf Netzwerk- und Anwendungsebene für VNET-Ressourcen. Integrierte Hochverfügbarkeit und Cloudskalierbarkeit werden in Form von Diensten bereitgestellt. Kunden können ihre VNETs schützen, indem sie ausgehenden, eingehenden, Spoke-Spoke-, VPN- und ExpressRoute-Datenverkehr filtern. Die Durchsetzung von Konnektivitätsrichtlinien wird über mehrere VNETs und Azure-Abonnements hinweg unterstützt. Die zentrale Protokollierung erfolgt über Azure Monitor, sodass Sie Protokolle in einem Speicherkonto archivieren sowie Ereignisse an Ihren Event Hub streamen oder an Log Analytics oder das SIEM-System Ihrer Wahl senden können. Azure Firewall unterstützt FQDN-Tags, um Datenverkehr zu bekannten Microsoft-Diensten (z.B. ASE, Azure Backup und Windows Update) sowie die Konfiguration der Netzwerkadressenübersetzung am Ziel zu ermöglichen.

Weitere Informationen finden Sie in der Dokumentation zu Azure Firewall.

Zitat von ABN AMRO

Wir arbeiten mit unseren Partnern zusammen, um SaaS-basierte Funktionen zur Verwaltung von Sicherheitsrichtlinien unter Verwendung der öffentlichen REST-APIs von Azure Firewall bereitzustellen. Im Lauf des Jahres werden Lösungen in der Vorschau verfügbar sein, z.B. für die zentrale Verwaltung mit Barracuda und AlgoSec AlgoSaaS sowie für die Verwaltung von Sicherheitsrichtlinien für Container im Azure Kubernetes Service (AKS) unter Verwendung von Tufin Orca.

Azure Firewall-Ökosystem

Wachsendes Azure Firewall-Ökosystem

DDoS Protection – Analyse von Angriffen

DDoS-Angriffe werden immer raffinierter und häufiger – nahezu zwei von fünf Unternehmen waren bereits Opfer eines solchen Angriffs. DDoS-Angriffe führen zu Dienstausfällen. Mit der Ausbreitung von gefährdeten IoT-Geräten, die als Botnets zum Starten von umfangreichen DDoS-Angriffen missbraucht werden, verfügen Hacker über immer mehr Mittel, um Schaden anzurichten. Azure DDoS Protection bietet Gegenmaßnahmen gegen raffinierte DDoS-Bedrohungen.

Wir kündigen die allgemeine Verfügbarkeit von drei neuen Features für Azure DDoS Protection an: Attack Mitigation Reports, Attack Mitigation Flow Logs und DDoS Rapid Response. Kunden, die ihre virtuellen Netzwerke mit Azure DDoS Protection vor DDoS-Angriffen schützen, erhalten über die Diagnoseeinstellungen in Azure Monitor detaillierte Einblicke in den angreifenden Datenverkehr und in die Aktionen, die durchgeführt werden, um den Angriff zu entschärfen. DDoS Rapid Response ermöglicht es Kunden, während eines laufenden Angriffs DDoS-Experten zu engagieren, um gezielte Unterstützung zu erhalten.

Attack Mitigation Reports bieten nahezu in Echtzeit Informationen zu einem Angriff sowie umfassende Berichte mit den Details zum Angriff, nachdem dieser entschärft wurde. Attack Mitigation Flow Logs bieten 5-Tupel-Paketdaten auf Netzwerkebene (Protokoll, Quell-/Zielport, Quell-/Ziel-IP) sowie Informationen zu Aktionen, die während eines laufenden DDoS-Angriffs durchgeführt wurden. Diese Daten können über Event Hub in SIEM-Systeme (Security Information and Event Management) integriert werden, um eine Überwachung nahezu in Echtzeit zu ermöglichen. Sowohl Mitigation Reports als auch Flow Logs können zur Datenvisualisierung in Azure Analytics integriert werden.

DDoS Attack Mitigation Reports

DDoS Attack Mitigation Reports

Kunden haben jetzt Zugang zum DDoS Rapid Response-Team (DRR), um während eines laufenden Angriffs gezielte Unterstützung zu erhalten. Das DRR-Team hilft bei der Untersuchung von Angriffen, beim Durchführen von kundenspezifischen Maßnahmen während eines Angriffs sowie bei der Analyse nach einem Angriff. Weitere Informationen finden Sie in diesem Blogbeitrag und in der Produktdokumentation.

Richtlinien für Azure Virtual Network-Dienstendpunkte

Richtlinien für Azure VNET-Dienstendpunkte ermöglichen es Ihnen, nicht autorisierte Zugriffe auf Azure-Dienstressourcen von Ihrem virtuellen Netzwerk aus zu verhindern. Endpunktrichtlinien bieten eine differenzierte Kontrolle über die Diensttags für eine Netzwerksicherheitsgruppe (Network Security Group, NSG). Mithilfe von Richtlinien für Dienstendpunkte können Sie den Zugriff nur auf bestimmte Azure-Dienstressourcen (z.B. Azure Storage-Konten) zulassen. Dieses Feature ist für Azure Storage in der Vorschau verfügbar. Weitere Informationen finden Sie in der Dokumentation zu Richtlinien für Dienstendpunkte.

Bereitstellen

Azure Front Door Service – globaler HTTP-Lastenausgleich

Azure Front Door Service ist ein globaler, skalierbarer Einstiegspunkt, der unser intelligentes Netzwerkedge nutzt, sodass Sie schnelle, sichere und massiv skalierbare Webanwendungen erstellen können.  Der Dienst wurde zur Unterstützung der größten Webworkloads von Microsoft konzipiert, z.B. Bing, Office 365, Xbox Live, MSN und Azure DevOps, und bietet Zuverlässigkeit und Skalierbarkeit für das Web.

Diagramm: Azure Front Door Service

Azure Front Door Service beschleunigt Ihre Anwendungen

Azure Front Door Service wird zurzeit in 33 Ländern in Microsoft-Netzwerkedgestandorten bereitgestellt, die über unser globales WAN vernetzt sind. Der Dienst verbessert die Anwendungsleistung durch Beschleunigung der Anwendung und SSL-Abladung, ermöglicht die Weiterleitung Ihres globalen HTTP-Datenverkehrs an das nächste verfügbare Back-End und sorgt durch sofortiges automatisches Failover für Zuverlässigkeit der Enterpriseklasse.

Mit der pfadbasierten Weiterleitung, dem Inlinecaching, der Ratenbegrenzung und der Sicherheit auf Anwendungsebene können Sie moderne, globale Anwendungen in Azure erstellen.  Eine zentrale Steuerungsebene und ein Dashboard ermöglichen Ihnen die Verwaltung und Überwachung des Dienstdatenverkehrs und der globalen Microservice-Back-Ends innerhalb oder außerhalb von Azure.

Dank der Integration des Diensts in Azure Web Apps, Azure Monitor und Log Analytics können Sie Ihre Anwendungen ganz einfach beschleunigen und schneller bereitstellen und von geringerer Latenz, höherer Zuverlässigkeit und detaillierten Einblicken in den globalen Datenverkehr profitieren. In der Dokumentation zum Azure Front Door Service erfahren Sie, wie Sie Ihre Anwendung beschleunigen.

Azure CDN von Microsoft allgemein verfügbar

Clouddienste erfordern Zuverlässigkeit, Skalierbarkeit, Agilität und Leistungsfähigkeit. Azure CDN bietet eine CDN-Plattform, die sich problemlos einrichten lässt und über die Sie Ihre Videos, Dateien, Websites und andere HTTP-Inhalte weltweit verteilen können. Azure CDN wurde mit CDN-Diensten von Verizon, Akamai und jetzt auch Microsoft von Grund auf neu konzipiert, um über unser Ökosystem, das mehrere CDN-Systeme unterstützt, erstklassige CDN-Dienste für Ihre Azure-Anwendungen zu liefern.

In diesem Ökosystem können Sie Ihr CDN mit einem bedarfsbasierten, API-gesteuerten Modell als Azure-Ressource verwalten.  Diese Flexibilität und drei robuste CDN-Infrastrukturen ermöglichen es Ihnen, im Rahmen Ihrer Content Delivery-Strategie mehrere CDNs hinzuzufügen.  Sie können diese CDN-Lösungen eigenständig, in einer Lösung mit mehreren CDNs nebeneinander oder zur Maximierung von Zuverlässigkeit, Abladung und Leistung in einem System mit mehreren übereinander liegenden Ebenen einsetzen – so können Sie die Bereitstellung genau an die Anforderungen Ihres Business anpassen. Weitere Informationen finden Sie in der Dokumentation zu Azure CDN.

Automatische Skalierung von Application Gateway, 5-mal höhere Leistung, Zonenredundanz und Analysen

Application Gateway und Web Application Firewall (WAF) stellen Application Delivery Controller als Dienst bereit.  Wir kündigen die Vorschau einer neuen elastischen Option für die automatische Skalierung an, mit der Bereitstellungen ermöglicht werden, die sich basierend auf dem Datenverkehrsmuster einer Anwendung automatisch zentral hoch- oder herunterskalieren lassen. Die Verwaltung wird erheblich vereinfacht, da Kunden nicht für erwartete Lastspitzen beim Datenverkehrsaufkommen vorplanen müssen. Die automatische Skalierung unterstützt auch Azure-Zonen, um Resilienz bei Zonenausfällen zu bieten. Eine einzelne Application Gateway- oder WAF-Bereitstellung kann jetzt mehrere Verfügbarkeitszonen umfassen, die physisch und logisch getrennt sind, und kann Datenverkehr an Back-End-Server in jeder Zone weiterleiten. Ein automatisch skaliertes Application Gateway sorgt zudem für bessere Leistung, schnellere Bereitstellung und Unterstützung für statische VIPs. Die Leistung für die SSL-Abladung ist jetzt 5-mal höher. Weitere Informationen sowie Tutorials finden Sie in der Dokumentation.

Zonenredundante Web Application Firewall

Zonenredundante Web Application Firewall

Wir kündigen die Vorschau der Application Gateway-Integration in den Eingangscontroller von Azure Kubernetes Service (AKS) an. Der Application Gateway Ingress-Controller wird als Pod im AKS-Cluster ausgeführt und ermöglicht es dem Application Gateway, als Eingang zu einem AKS-Cluster zu fungieren. Er lauscht auf eingehende Kubernetes-Ressourcen von den Kubernetes-API-Servern, konvertiert diese in die Azure Application Gateway-Konfiguration und aktualisiert das Application Gateway über Azure Resource Manager (ARM). Weitere Informationen finden Sie in unserer Dokumentation.

Web Application Firewall (WAF) bietet eine Vorschau auf die erweiterten Konfigurierbarkeit, sodass Kunden den Anforderungstext und die Größe der Dateiuploads steuern können. Kunden können die Nutzlastuntersuchung für den Anforderungstext aktivieren/deaktivieren. Web Application Firewall bietet die Möglichkeit, Anforderungsheader, Cookies oder Abfragezeichenfolgen über Ausschlusslisten aus der Regelauswertung auszuschließen. So können Kunden falsch-positive Ergebnisse reduzieren, indem sie bekannte sichere Parameter wie etwa Bearertoken von WAF-Regeln in eine Whitelist aufnehmen. Weitere Informationen sowie Tutorials finden Sie in der Dokumentation.

Weitere Optionen für die Weiterleitung und Endpunktüberwachung in Azure Traffic Manager

Kunden können ihre Endpunkte jetzt mit IPv4- oder IPv6-Adressen zu einem Traffic Manager-Profil hinzufügen und für DNS-Abfragen in diesem Profil Antworten vom Typ „A / AAAA“ erhalten. Mit dieser Option – zurzeit auf externe Endpunkttypen begrenzt – können Endpunkte, denen kein DNS-Name zugewiesen ist, in jede Traffic Manager-Routingmethode eingebunden werden, sodass Endbenutzer von Verbindungen mit hoher Verfügbarkeit und geringer Latenz profitieren. In diesem Zusammenhang wurde auch eine neue Routingmethode eingeführt, das Routing mit mehreren Werten, bei der Sie angeben können, wie viele stabile Endpunkte in einer einzigen DNS-Abfrageantwort zurückgegeben werden sollen. Diese Funktion verbessert die Zuverlässigkeit Ihrer Anwendung, da die Aufrufer mehrere Optionen zur Wiederholung haben, bevor sie erneut eine Abfrage für einen stabilen Endpunkt senden.

Traffic Manager unterstützt jetzt mehrinstanzenfähige Endpunkte, da Sie in den von Traffic Manager initiierten Integritätsprüfungen Header angeben können (auch Hostheader). Dies ermöglicht eine präzise Integritätsüberprüfung dieser mehrinstanzenfähigen Endpunkte und die entsprechende Weiterleitung des Datenverkehrs an diese Endpunkte. Weitere Informationen zu diesen neuen Funktionen in Traffic Manager finden Sie in der Dokumentation zur Endpunktüberwachung.

Überwachen

Virtual Network TAP – Transparenz für Überwachung, Sicherheit und Leistung

Wir kündigen die Vorschau des ersten nativen verteilten Netzwerk-TAP an, der in einer öffentlichen Cloud verfügbar sein wird. Azure Virtual Network TAP bietet eine kontinuierliche Spiegelung des Netzwerkdatenverkehrs virtueller Computer an einen Paketsammler ohne Nutzung von Agents.

Virtual Network TAP

Azure Virtual Network TAP ermöglicht Out-of-Band-Überwachung

Lösungen für Out-of-Band-Überwachung, Sicherheit und Leistung können jetzt in Ihrem virtuellen Netzwerk bereitgestellt werden. Solche Lösungen sind erhältlich von Big Switch Networks, ExtraHop, Fidelis, Flowmon, Gigamon, Ixia, Netscout, Nubeva, RSA und Vectra.

Virtual Network TAP-Partner

Azure Virtual Network TAP-Ökosystem

Weitere Informationen finden Sie in der Dokumentation zu Azure Virtual Network TAP.

Zusammenfassung

Wir setzen alles daran, Sie beim Herstellen einer sicheren Verbindung mit Azure, beim Schützen Ihrer Workloads sowie beim Bereitstellen herausragender Netzwerkfunktionen und einer umfassenden Überwachung zu unterstützen, sodass Sie Ihre Bereitstellung vereinfachen und Betriebskosten senken und gleichzeitig einen besseren Support für Ihre Kunden bieten können. Bei der Ignite 2018 erhalten Sie genauere Informationen zu unseren Ankündigungen. Hier finden Sie eine Liste unserer Sitzungen zu technischen Themen. Wir werden weiterhin innovative Netzwerkdienste und Hilfestellung anbieten, sodass Sie in vollem Umfang von der Cloud profitieren können. Wir würden uns sehr freuen, wenn Sie uns Ihre neuen Szenarien vorstellen, die durch unsere Netzwerkdienste ermöglicht werden. Ihr Feedback ist wie immer herzlich willkommen.