Het virtuele datacenter: een netwerkperspectief

  • Artikel

Toepassingen die zijn gemigreerd van on-premises, profiteren mogelijk van de veilige kostenefficiënte infrastructuur van Azure, zelfs met minimale wijzigingen in toepassingen. Ondernemingen willen hun architecturen mogelijk aanpassen om de flexibiliteit te verbeteren en te profiteren van de mogelijkheden van Azure.

Microsoft Azure biedt hyperscale-services en -infrastructuur met hoogwaardige mogelijkheden en betrouwbaarheid. Deze services en infrastructuur bieden veel keuzen in hybride connectiviteit, waardoor klanten toegang hebben tot deze services via internet of een privénetwerkverbinding. Microsoft-partners kunnen ook verbeterde mogelijkheden bieden door beveiligingsservices en virtuele apparaten aan te bieden die zijn geoptimaliseerd voor uitvoering in Azure.

Klanten kunnen Azure gebruiken om hun infrastructuur naadloos uit te breiden naar de cloud en architecturen met meerdere lagen te bouwen.

Wat is een virtueel datacenter?

De cloud is begonnen als platform voor het hosten van openbare toepassingen. Ondernemingen erkenden de waarde van de cloud en begonnen met het migreren van interne Line-Of-Business-toepassingen. Deze toepassingen brachten meer beveiligings-, betrouwbaarheids-, prestatie- en kostenoverwegingen met zich mee die meer flexibiliteit vereist bij het leveren van cloudservices. Nieuwe infrastructuur- en netwerkservices zijn ontworpen om flexibiliteit te bieden. Nieuwe functies bieden elastisch schalen, herstel na noodgevallen en andere overwegingen.

Cloudoplossingen zijn in eerste instantie ontworpen voor het hosten van enkele, relatief geïsoleerde toepassingen in het openbare spectrum, die een paar jaar goed werkten. Naarmate de voordelen van cloudoplossingen duidelijk werden, werden er meerdere grootschalige workloads gehost in de cloud. Het aanpakken van beveiligings-, betrouwbaarheids-, prestatie- en kostenproblemen is essentieel voor de implementatie en levenscyclus van uw cloudservice.

In het onderstaande voorbeelddiagram voor cloudimplementatie markeert het rode vak een beveiligingsverschil. In het gele vak ziet u een mogelijkheid om virtuele netwerkapparaten te optimaliseren voor workloads.

Diagram that shows a cloud deployment and networking virtual datacenter.

Virtuele datacenters helpen de schaal te bereiken die vereist is voor bedrijfsworkloads. De schaal moet de uitdagingen aanpakken die worden geïntroduceerd bij het uitvoeren van grootschalige toepassingen in de openbare cloud.

Een implementatie van een virtueel datacenter omvat meer dan de toepassingsworkloads in de cloud. Het biedt ook netwerk-, beveiliging-, beheer-, DNS- en Active Directory-services. Naarmate ondernemingen meer workloads naar Azure migreren, moet u rekening houden met de infrastructuur en objecten die deze workloads ondersteunen. Goed resourcebeheer helpt voorkomen dat afzonderlijke beheerde 'workloadeilanden' worden verhoogd met onafhankelijke gegevensstromen, beveiligingsmodellen en nalevingsproblemen.

Het concept van het virtuele datacenter biedt aanbevelingen en ontwerpen op hoog niveau voor het implementeren van een verzameling afzonderlijke maar gerelateerde entiteiten. Deze entiteiten hebben vaak algemene ondersteunende functies, functies en infrastructuur. Door uw workloads als een virtueel datacenter weer te geven, kunt u lagere kosten realiseren op basis van schaalvoordelen. Het helpt ook bij geoptimaliseerde beveiliging via centralisatie van onderdelen en gegevensstromen, en eenvoudigere bewerkingen, beheer en nalevingscontroles.

Notitie

Een virtueel datacenter is geen specifieke Azure-service. In plaats daarvan worden verschillende Azure-functies en -mogelijkheden gecombineerd om te voldoen aan uw vereisten. Een virtueel datacenter is een manier om na te denken over uw workloads en Azure-gebruik om uw resources en mogelijkheden in de cloud te optimaliseren. Het biedt een modulaire benadering voor het leveren van IT-services in Azure, met inachtneming van de organisatierollen en verantwoordelijkheden van de onderneming.

Met een virtueel datacenter kunnen ondernemingen workloads en toepassingen implementeren in Azure voor de volgende scenario's:

  • Meerdere gerelateerde workloads hosten.
  • Workloads migreren van een on-premises omgeving naar Azure.
  • Implementeer gedeelde of gecentraliseerde beveiligings- en toegangsvereisten voor workloads.
  • Combineer DevOps en gecentraliseerde IT op de juiste wijze voor een grote onderneming.

Wie moet een virtueel datacenter implementeren?

Elke klant die besluit Azure te gebruiken, kan profiteren van de efficiëntie van het configureren van een set resources voor gemeenschappelijk gebruik door alle toepassingen. Afhankelijk van de grootte kunnen zelfs enkele toepassingen profiteren van het gebruik van de patronen en onderdelen die worden gebruikt om een VDC-implementatie te bouwen.

Sommige organisaties hebben gecentraliseerde teams of afdelingen voor IT, netwerken, beveiliging of naleving. Het implementeren van een VDC kan helpen bij het afdwingen van beleidspunten, afzonderlijke verantwoordelijkheden en het garanderen van de consistentie van onderliggende algemene onderdelen. Toepassingsteams kunnen de vrijheid en controle behouden die geschikt is voor hun vereisten.

Organisaties met een DevOps-benadering kunnen ook VDC-concepten gebruiken om geautoriseerde zakken van Azure-resources te bieden. Deze methode zorgt ervoor dat de DevOps-groepen totale controle hebben binnen die groepering, op abonnementsniveau of binnen resourcegroepen in een gemeenschappelijk abonnement. Tegelijkertijd blijven netwerk- en beveiligingsgrenzen compatibel. Naleving wordt gedefinieerd door een gecentraliseerd beleid in het hubnetwerk en centraal beheerde resourcegroep.

Overwegingen voor het implementeren van een virtueel datacenter

Houd bij het ontwerpen van een virtueel datacenter rekening met deze belangrijke problemen:

Identiteits- en adreslijstservice

Identiteits- en adreslijstservices zijn belangrijke mogelijkheden van zowel on-premises als clouddatacentra. Identiteit omvat alle aspecten van toegang en autorisatie voor services binnen een VDC-implementatie. Om ervoor te zorgen dat alleen geautoriseerde gebruikers en processen toegang hebben tot uw Azure-resources, gebruikt Azure verschillende typen referenties voor verificatie, waaronder accountwachtwoorden, cryptografische sleutels, digitale handtekeningen en certificaten. Microsoft Entra meervoudige verificatie biedt een extra beveiligingslaag voor toegang tot Azure-services. Met een sterke verificatie met een scala aan eenvoudige verificatieopties (telefoongesprek, sms-bericht of mobiele app-melding) kunnen klanten de gewenste methode kiezen.

Grote ondernemingen moeten identiteitsbeheerprocessen definiëren die het beheer van afzonderlijke identiteiten, hun verificatie, autorisatie, rollen en bevoegdheden binnen of binnen hun VDC beschrijven. De doelstellingen van dit proces kunnen de beveiliging en productiviteit verhogen, terwijl u kosten, downtime en terugkerende handmatige taken verlaagt.

Ondernemingsorganisaties vereisen mogelijk een veeleisende combinatie van services voor verschillende bedrijfslijnen. Werknemers hebben vaak verschillende rollen wanneer ze betrokken zijn bij verschillende projecten. De VDC vereist een goede samenwerking tussen verschillende teams, elk met specifieke roldefinities om systemen te laten werken met goed bestuur. De matrix van verantwoordelijkheden, toegang en rechten kan complex zijn. Identiteitsbeheer in de VDC wordt geïmplementeerd via Microsoft Entra ID en op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).

Een adreslijstservice is een gedeelde informatie-infrastructuur die alledaagse items en netwerkbronnen zoekt, beheert, beheert en organiseert. Deze resources kunnen bestaan uit volumes, mappen, bestanden, printers, gebruikers, groepen, apparaten en andere objecten. Elke resource in het netwerk wordt beschouwd als een object door de mapserver. Informatie over een resource wordt opgeslagen als een verzameling kenmerken die zijn gekoppeld aan die resource of dat object.

Alle online bedrijfsservices van Microsoft zijn afhankelijk van Microsoft Entra-id voor aanmeldings- en andere identiteitsbehoeften. Microsoft Entra ID is een uitgebreide, maximaal beschikbare cloudoplossing voor identiteits- en toegangsbeheer die kerndirectoryservices, geavanceerde identiteitsbeheer en toegangsbeheer voor toepassingen combineert. Microsoft Entra ID kan worden geïntegreerd met on-premises Active Directory om eenmalige aanmelding in te schakelen voor alle on-premises en lokaal gehoste on-premises toepassingen in de cloud. De gebruikerskenmerken van on-premises Active Directory kunnen automatisch worden gesynchroniseerd met Microsoft Entra-id.

Eén globale beheerder is niet vereist om alle machtigingen in een VDC-implementatie toe te wijzen. In plaats daarvan kan elke specifieke afdeling, groep gebruikers of services in de directoryservice beschikken over de vereiste machtigingen voor het beheren van hun eigen resources binnen een VDC-implementatie. Voor het structureren van machtigingen is een taakverdeling vereist. Te veel machtigingen kunnen de efficiëntie van de prestaties belemmeren en te weinig of losse machtigingen kunnen de beveiligingsrisico's verhogen. Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) helpt dit probleem op te lossen door gedetailleerd toegangsbeheer te bieden voor resources in een VDC-implementatie.

Beveiligingsinfrastructuur

De beveiligingsinfrastructuur verwijst naar de scheiding van verkeer in het specifieke virtuele netwerksegment van een VDC-implementatie. Deze infrastructuur geeft aan hoe inkomend en uitgaand verkeer worden beheerd in een VDC-implementatie. Azure is gebaseerd op een architectuur met meerdere tenants die onbevoegd en onbedoeld verkeer tussen implementaties voorkomt. Dit wordt gedaan met behulp van isolatie van virtuele netwerken, toegangsbeheerlijsten, load balancers, IP-filters en beleidsregels voor verkeersstromen. Nat (Network Address Translation) scheidt intern netwerkverkeer van extern verkeer.

De Azure-infrastructuurinfrastructuur wijst infrastructuurresources toe aan tenantworkloads en beheert communicatie van en naar virtuele machines (VM's). De Azure-hypervisor dwingt geheugen- en processcheiding af tussen VM's en routeert netwerkverkeer veilig naar tenants van gastbesturingssystemen.

Verbinding maken iviteit van de cloud

Voor een virtueel datacenter is connectiviteit met externe netwerken vereist om services aan klanten, partners of interne gebruikers aan te bieden. Deze noodzaak voor connectiviteit verwijst niet alleen naar internet, maar ook naar on-premises netwerken en datacenters.

Klanten beheren de services die toegankelijk zijn en toegankelijk zijn via het openbare internet. Deze toegang wordt beheerd met behulp van Azure Firewall of andere typen virtuele netwerkapparaten (NVA's), aangepast routeringsbeleid met behulp van door de gebruiker gedefinieerde routes en netwerkfiltering met behulp van netwerkbeveiligingsgroepen. We raden u aan om alle internetgerichte resources te beveiligen door De Azure DDoS Protection.

Ondernemingen moeten mogelijk hun virtuele datacenter verbinden met on-premises datacenters of andere resources. Deze connectiviteit tussen Azure- en on-premises netwerken is een cruciaal aspect bij het ontwerpen van een effectieve architectuur. Ondernemingen hebben twee verschillende manieren om deze interconnectie te creëren: overdracht via internet of via particuliere directe verbindingen.

Een Site-naar-site-VPN van Azure verbindt on-premises netwerken met uw virtuele datacenter in Azure. De koppeling wordt tot stand gebracht via beveiligde versleutelde verbindingen (IPsec-tunnels). Azure Site-to-Site VPN-verbindingen zijn flexibel, snel te maken en vereisen doorgaans geen hardwareaankopen meer. Op basis van industriestandaardprotocollen kunnen de meeste huidige netwerkapparaten VPN-verbindingen met Azure maken via internet of bestaande connectiviteitspaden.

ExpressRoute maakt privéverbindingen mogelijk tussen uw virtuele datacenter en eventuele on-premises netwerken. ExpressRoute-verbindingen gaan niet via het openbare internet en bieden hogere beveiliging, betrouwbaarheid en hogere snelheden (tot 100 Gbps) samen met consistente latentie. ExpressRoute biedt de voordelen van nalevingsregels die zijn gekoppeld aan privéverbindingen. Met ExpressRoute Direct kunt u rechtstreeks verbinding maken met Microsoft-routers met 10 Gbps of 100 Gbps.

Het implementeren van ExpressRoute-verbindingen omvat meestal het betrekken van een ExpressRoute-serviceprovider (ExpressRoute Direct is de uitzondering). Voor klanten die snel moeten beginnen, is het gebruikelijk om in eerste instantie site-naar-site-VPN te gebruiken om verbinding te maken tussen een virtueel datacenter en on-premises resources. Zodra uw fysieke interconnectie met uw serviceprovider is voltooid, migreert u de connectiviteit via uw ExpressRoute-verbinding.

Voor grote aantallen VPN- of ExpressRoute-verbindingen is Azure Virtual WAN een netwerkservice die geoptimaliseerde en geautomatiseerde vertakkingsconnectiviteit biedt via Azure. Met Virtual WAN kunt u verbinding maken met vertakkingsapparaten en deze configureren om te communiceren met Azure. Verbinding maken en configureren kan handmatig worden uitgevoerd of door apparaten van voorkeursproviders te gebruiken via een Virtual WAN-partner. Het gebruik van apparaten van voorkeursproviders maakt gebruiksgemak, vereenvoudiging van connectiviteit en configuratiebeheer mogelijk. Het ingebouwde Azure WAN-dashboard biedt direct inzicht in het oplossen van problemen die u helpen tijd te besparen en biedt u een eenvoudige manier om grootschalige site-naar-site-connectiviteit te bekijken. Virtual WAN biedt ook beveiligingsservices met een optionele Azure Firewall en Firewall Manager in uw Virtual WAN-hub.

Verbinding maken iviteit binnen de cloud

Azure Virtual Networks en peering van virtuele netwerken zijn de basisnetwerkonderdelen in een virtueel datacenter. Een virtueel netwerk garandeert een isolatiegrens voor virtuele datacenterbronnen. Peering maakt communicatie mogelijk tussen verschillende virtuele netwerken binnen dezelfde Azure-regio, tussen regio's en zelfs tussen netwerken in verschillende abonnementen. Verkeersstromen kunnen worden beheerd binnen en tussen virtuele netwerken door sets van beveiligingsregels die zijn opgegeven voor netwerkbeveiligingsgroepen, firewallbeleid (Virtuele Apparaten van Azure Firewall of netwerk) en aangepaste door de gebruiker gedefinieerde routes.

Virtuele netwerken zijn ankerpunten voor het integreren van PaaS Azure-producten (Platform as a Service), zoals Azure Storage, Azure SQL en andere geïntegreerde openbare services die openbare eindpunten hebben. Met service-eindpunten en Azure Private Link kunt u uw openbare services integreren met uw privénetwerk. U kunt zelfs uw openbare services privé nemen, maar nog steeds profiteren van de voordelen van Door Azure beheerde PaaS-services.

Overzicht van virtueel datacenter

Topologieën

Een virtueel datacenter kan worden gebouwd met behulp van een van deze topologieën op hoog niveau, op basis van uw behoeften en schaalvereisten:

In een platte topologie worden alle resources geïmplementeerd in één virtueel netwerk. Subnetten maken stroombeheer en scheiding mogelijk.

11

In een Mesh-topologie verbindt peering van virtuele netwerken alle virtuele netwerken rechtstreeks met elkaar.

12

Een Peering-hub- en spoke-topologie is geschikt voor gedistribueerde toepassingen en teams met gedelegeerde verantwoordelijkheden.

13

Een Azure Virtual WAN-topologie kan grootschalige filiaalscenario's en globale WAN-services ondersteunen.

14

De peering-hub- en spoke-topologie en de Azure Virtual WAN-topologie maken gebruik van een hub- en spoke-ontwerp, wat optimaal is voor communicatie, gedeelde resources en gecentraliseerd beveiligingsbeleid. Hubs worden gebouwd met behulp van een peeringhub voor virtuele netwerken (gelabeld als Hub Virtual Network in het diagram) of een Virtual WAN-hub (gelabeld als Azure Virtual WAN in het diagram). Azure Virtual WAN is ontworpen voor grootschalige vertakkings- en vertakkings-naar-Azure-communicatie, of voor het vermijden van de complexiteit van het afzonderlijk bouwen van alle onderdelen in een peeringhub voor virtuele netwerken. In sommige gevallen is het mogelijk dat uw vereisten een peeringhub-ontwerp voor een virtueel netwerk verplicht stellen, zoals de noodzaak van virtuele netwerkapparaten in de hub.

In hub- en spoke-topologieën is de hub de centrale netwerkzone die al het verkeer tussen verschillende zones controleert en inspecteert, zoals internet, on-premises en de spokes. De hub- en spoke-topologie helpt de IT-afdeling bij het centraal afdwingen van beveiligingsbeleid. Dit vermindert ook de mogelijkheden voor onjuiste configuratie en blootstelling.

De hub bevat vaak algemene serviceonderdelen die door de spokes worden gebruikt. De volgende voorbeelden zijn algemene centrale services:

  • De Windows Active Directory-infrastructuur is vereist voor gebruikersverificatie van derden die toegang hebben tot niet-vertrouwde netwerken voordat ze toegang krijgen tot de workloads in de spoke. Het bevat de gerelateerde Active Directory Federation Services (AD FS)
  • Een DNS-service (Distributed Name System) wordt gebruikt om naamgeving voor de workload in de spokes op te lossen en toegang te krijgen tot on-premises resources en op internet als Azure DNS niet wordt gebruikt
  • Een PKI (Public Key Infrastructure) wordt gebruikt voor het implementeren van workloads voor eenmalige aanmelding
  • Stroombeheer van TCP- en UDP-verkeer tussen de spoke-netwerkzones en internet
  • Stroombeheer tussen de spokes en on-premises
  • Indien nodig, stroombeheer tussen de ene spoke en een andere

Een virtueel datacenter vermindert de totale kosten door gebruik te maken van de infrastructuur van de gedeelde hub tussen meerdere spokes.

De rol van elke spoke kan verschillende typen workloads hosten. De spokes bieden ook een modulaire benadering voor herhaalbare implementaties van dezelfde workloads. Voorbeelden hiervan zijn dev/test, gebruikersacceptatietests, preproductie en productie. Met de spokes kunnen ook verschillende groepen in uw organisatie worden gescheiden en ingeschakeld. DevOps-groepen zijn een goed voorbeeld van wat spokes kunnen doen. Binnen een spoke is het mogelijk om een eenvoudige workload of complexe workload met meerdere lagen te implementeren met verkeerscontrole tussen de lagen.

Abonnementslimieten en meerdere hubs

Belangrijk

Op basis van de grootte van uw Azure-implementaties hebt u mogelijk een strategie voor meerdere hubs nodig. Wanneer u uw hub- en spoke-strategie ontwerpt, vraagt u 'Kan deze ontwerpschaal gebruiken om een ander virtueel hubnetwerk in deze regio te gebruiken?' en 'Kan deze ontwerpschaal geschikt zijn voor meerdere regio's?' Het is veel beter om een ontwerp te plannen dat wordt geschaald en niet nodig is, dan om het niet te plannen en nodig te hebben.

Wanneer u naar een secundaire hub (of meer) schaalt, is afhankelijk van verschillende factoren, meestal op basis van inherente limieten op schaal. Zorg ervoor dat u de limieten voor het abonnement, het virtuele netwerk en de virtuele machine controleert bij het ontwerpen voor schaal.

In Azure wordt elk onderdeel, ongeacht het type, geïmplementeerd in een Azure-abonnement. De isolatie van Azure-onderdelen in verschillende Azure-abonnementen kan voldoen aan de vereisten van verschillende bedrijfsregels, zoals het instellen van gedifferentieerde niveaus voor toegang en autorisatie.

Eén VDC-implementatie kan een groot aantal spokes omhoog schalen. Hoewel er, net als bij elk IT-systeem, platformlimieten zijn. De hub-implementatie is gebonden aan een specifiek Azure-abonnement, dat beperkingen en limieten heeft (bijvoorbeeld een maximum aantal peerings voor virtuele netwerken. Zie azure-abonnements- en servicelimieten, quota en beperkingen voor meer informatie. In gevallen waarin limieten een probleem kunnen zijn, kan de architectuur verder worden geschaald door het model uit te breiden van één hub-spokes naar een cluster met hubs en spokes. Meerdere hubs in een of meer Azure-regio's kunnen worden verbonden met peering van virtuele netwerken, ExpressRoute, Virtual WAN of site-naar-site-VPN.

2

De introductie van meerdere hubs verhoogt de kosten- en beheerinspanning van het systeem. Dit is alleen gerechtvaardigd vanwege schaalbaarheid, systeemlimieten, redundantie, regionale replicatie voor prestaties van eindgebruikers of herstel na noodgevallen. In scenario's die meerdere hubs vereisen, moeten alle hubs ernaar streven om dezelfde set services te bieden voor operationele gemak.

Interconnectie tussen spokes

Binnen één spoke of een plat netwerkontwerp is het mogelijk om complexe workloads met meerdere lagen te implementeren. Configuraties met meerdere lagen kunnen worden geïmplementeerd met behulp van subnetten, die één zijn voor elke laag of toepassing in hetzelfde virtuele netwerk. Verkeersbeheer en -filtering worden uitgevoerd met behulp van netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes.

Een architect kan een workload op meerdere lagen implementeren voor verschillende virtuele netwerken. Met peering van virtuele netwerken kunnen spokes verbinding maken met andere spokes in dezelfde hub of verschillende hubs. Een typisch voorbeeld van dit scenario is het geval waarin toepassingsverwerkingsservers zich in één spoke of virtueel netwerk bevinden. De database wordt geïmplementeerd in een andere spoke of een virtueel netwerk. In dit geval is het eenvoudig om de spokes te verbinden met peering van virtuele netwerken, waardoor de overdracht via de hub wordt vermeden. Voltooi een zorgvuldige architectuur en beveiligingsbeoordeling om ervoor te zorgen dat het omzeilen van de hub geen belangrijke beveiligings- of controlepunten overzeilt die mogelijk alleen in de hub aanwezig zijn.

3

Spokes kunnen ook verbinding maken met een spoke die fungeert als een hub. Met deze benadering wordt een hiërarchie met twee niveaus gemaakt. De spoke in het hogere niveau (niveau 0) wordt de hub van lagere spokes (niveau 1) van de hiërarchie. De spokes voor een VDC-implementatie zijn vereist om het verkeer door te sturen naar de centrale hub. Het verkeer kan vervolgens worden overgedragen naar de bestemming in het on-premises netwerk of het openbare internet. Een architectuur met twee niveaus van hubs introduceert complexe routering die de voordelen van een eenvoudige hub-spoke-relatie verwijdert.

Hoewel Azure complexe topologieën toestaat, is een van de belangrijkste principes van het VDC-concept herhaalbaarheid en eenvoud. Om de beheerinspanning te minimaliseren, is het eenvoudige hub-spoke-ontwerp de VDC-referentiearchitectuur die we aanbevelen.

Onderdelen

Het virtuele datacenter bestaat uit vier basisonderdelentypen: Infrastructuur, Perimeternetwerken, Workloads en Bewaking.

Elk onderdeeltype bestaat uit verschillende Azure-functies en -resources. Uw VDC-implementatie bestaat uit exemplaren van meerdere onderdeeltypen en meerdere variaties van hetzelfde onderdeeltype. U hebt bijvoorbeeld veel verschillende, logisch gescheiden workloadexemplaren die verschillende toepassingen vertegenwoordigen. U gebruikt deze verschillende onderdelentypen en exemplaren om de VDC te bouwen.

4

De voorgaande conceptuele architectuur op hoog niveau van de VDC toont verschillende onderdeeltypen die worden gebruikt in verschillende zones van de hub-spokes-topologie. In het diagram ziet u infrastructuuronderdelen in verschillende onderdelen van de architectuur.

Het is een goede gewoonte om in het algemeen toegangsrechten en -bevoegdheden te groeperen. Het omgaan met groepen in plaats van individuele gebruikers vereenvoudigt het onderhoud van toegangsbeleid door een consistente manier te bieden om het te beheren tussen teams, wat helpt bij het minimaliseren van configuratiefouten. Het toewijzen en verwijderen van gebruikers aan en uit de juiste groepen helpt de bevoegdheden van een specifieke gebruiker up-to-date te houden.

Elke rollengroep kan een uniek voorvoegsel hebben voor hun namen. Met dit voorvoegsel kunt u eenvoudig identificeren aan welke werkbelasting een groep is gekoppeld. Een workload die als host fungeert voor een verificatieservice kan bijvoorbeeld groepen hebben met de naam AuthServiceNetOps, AuthServiceSecOps, AuthServiceDevOps en AuthServiceInfraOps. Gecentraliseerde rollen, of rollen die niet zijn gerelateerd aan een specifieke service, kunnen worden voorafgegaan door Corp. Een voorbeeld is CorpNetOps.

Veel organisaties gebruiken een variatie van de volgende groepen om een belangrijke uitsplitsing van rollen te bieden:

  • Het centrale IT-team met de naam Corp heeft de eigendomsrechten om infrastructuuronderdelen te beheren. Voorbeelden zijn netwerken en beveiliging. De groep moet de rol van inzender hebben voor het abonnement, het beheer van de hub en de rechten van de netwerkbijdrager in de spokes. Grote organisaties splitsen deze beheerverantwoordelijkheden vaak op tussen meerdere teams. Voorbeelden zijn een CorpNetOps-groep met netwerkbewerkingen met exclusieve focus op netwerken en een CorpSecOps-groep voor beveiligingsbewerkingen die verantwoordelijk zijn voor het firewall- en beveiligingsbeleid. In dit specifieke geval moeten twee verschillende groepen worden gemaakt voor het toewijzen van deze aangepaste rollen.
  • De dev/test-groep met de naam AppDevOps is verantwoordelijk voor het implementeren van app- of serviceworkloads. Deze groep heeft de rol van inzender voor virtuele machines voor IaaS-implementaties of een of meer paaS-inzendersrollen. Zie Ingebouwde rollen in Azure voor meer informatie. Het ontwikkel-/testteam moet eventueel inzicht hebben in beveiligingsbeleid (netwerkbeveiligingsgroepen) en routeringsbeleid (door de gebruiker gedefinieerde routes) in de hub of een specifieke spoke. Naast de rol van inzender voor workloads heeft deze groep ook de rol van netwerklezer nodig.
  • De bewerkings- en onderhoudsgroep CorpInfraOps of AppInfraOps is verantwoordelijk voor het beheren van workloads in productie. Deze groep moet een bijdrager voor abonnementen zijn voor workloads in productieabonnementen. Sommige organisaties kunnen ook evalueren of ze een escalatieondersteuningsteamgroep nodig hebben met de rol van inzender voor abonnementen in productie en het centrale hub-abonnement. De andere groep lost mogelijke configuratieproblemen op in de productieomgeving.

De VDC is zo ontworpen dat centrale IT-teamgroepen die de hub beheren, overeenkomende groepen hebben op workloadniveau. Naast het beheren van hubresources kan het centrale IT-team externe toegang en machtigingen op het hoogste niveau voor het abonnement beheren. Workloadgroepen kunnen ook resources en machtigingen van hun virtuele netwerk onafhankelijk van het centrale IT-team beheren.

Het virtuele datacenter is gepartitioneerd om meerdere projecten veilig te hosten in verschillende bedrijfslijnen. Alle projecten vereisen verschillende geïsoleerde omgevingen (dev, UAT en productie). Afzonderlijke Azure-abonnementen voor elk van deze omgevingen kunnen natuurlijke isolatie bieden.

5

In het voorgaande diagram ziet u de relatie tussen de projecten, gebruikers, groepen en omgevingen van een organisatie waarin de Azure-onderdelen worden geïmplementeerd.

Normaal gesproken is een omgeving (of laag) een systeem waarin meerdere toepassingen worden geïmplementeerd en uitgevoerd. Grote ondernemingen gebruiken een ontwikkelomgeving (waar wijzigingen worden aangebracht en getest) en een productieomgeving (wat eindgebruikers gebruiken). Deze omgevingen worden gescheiden, vaak met verschillende faseringsomgevingen ertussen, om gefaseerde implementatie (implementatie), testen en terugdraaien mogelijk te maken als er problemen optreden. Implementatiearchitecturen variëren aanzienlijk, maar meestal wordt het basisproces van het starten bij ontwikkeling (DEV) en eindigend bij productie (PROD) nog steeds gevolgd.

Een algemene architectuur voor deze typen omgevingen met meerdere lagen omvat DevOps voor ontwikkeling en testen, UAT voor fasering en productieomgevingen. Organisaties kunnen één of meerdere Microsoft Entra-tenants gebruiken om toegang en rechten voor deze omgevingen te definiëren. In het vorige diagram ziet u een geval waarin twee verschillende Microsoft Entra-tenants worden gebruikt: één voor DevOps en UAT, en de andere uitsluitend voor productie.

De aanwezigheid van verschillende Microsoft Entra-tenants dwingt de scheiding tussen omgevingen af. Dezelfde groep gebruikers, zoals het centrale IT-team, moet worden geverifieerd met behulp van een andere URI voor toegang tot een andere Microsoft Entra-tenant. Hierdoor kan het team de rollen of machtigingen van de DevOps- of productieomgevingen van een project wijzigen. De aanwezigheid van verschillende gebruikersverificaties voor toegang tot verschillende omgevingen vermindert mogelijke storingen en andere problemen die worden veroorzaakt door menselijke fouten.

Onderdeeltype: infrastructuur

Dit onderdeeltype is waar de meeste ondersteunende infrastructuur zich bevindt. Het is ook waar uw gecentraliseerde IT-, beveiligings- en complianceteams de meeste tijd besteden.

6

Infrastructuuronderdelen bieden een interconnectie voor de verschillende onderdelen van een VDC-implementatie en zijn aanwezig in zowel de hub als de spokes. De verantwoordelijkheid voor het beheren en onderhouden van de infrastructuuronderdelen wordt doorgaans toegewezen aan het centrale IT-team of beveiligingsteam.

Een van de belangrijkste taken van het IT-infrastructuurteam is om de consistentie van IP-adresschema's in de hele onderneming te garanderen. De privé-IP-adresruimte die is toegewezen aan een VDC-implementatie, moet consistent zijn en mag niet overlappen met privé-IP-adressen die zijn toegewezen aan uw on-premises netwerken.

Hoewel NAT op de on-premises randrouters of in Azure-omgevingen IP-adresconflicten kan voorkomen, worden er complicaties toegevoegd aan uw infrastructuuronderdelen. Eenvoud van beheer is een van de belangrijkste doelstellingen van de VDC. Het gebruik van NAT voor het afhandelen van IP-problemen, terwijl een geldige oplossing, is geen aanbevolen oplossing.

Infrastructuuronderdelen hebben de volgende functionaliteit:

  • Identiteits- en adreslijstservices: toegang tot elk resourcetype in Azure wordt beheerd door een identiteit die is opgeslagen in een adreslijstservice. De adreslijstservice slaat niet alleen de lijst met gebruikers op, maar ook de toegangsrechten voor resources in een specifiek Azure-abonnement. Deze services kunnen bestaan in de cloud of ze kunnen worden gesynchroniseerd met een on-premises identiteit die is opgeslagen in Active Directory.
  • Virtuele netwerken: virtuele netwerken zijn een van de belangrijkste onderdelen van de VDC en stellen u in staat om een grens voor verkeersisolatie op het Azure-platform te maken. Een virtueel netwerk bestaat uit één of meerdere virtuele netwerksegmenten, elk met een specifiek IP-netwerkvoorvoegsel (een subnet, IPv4 of dubbele stack IPv4/IPv6). Het virtuele netwerk definieert een intern perimetergebied waar virtuele IaaS-machines en PaaS-services privécommunicatie kunnen tot stand brengen. VM's (en PaaS-services) in één virtueel netwerk kunnen niet rechtstreeks communiceren met VM's (en PaaS-services) in een ander virtueel netwerk. Dit geldt zelfs als beide virtuele netwerken worden gemaakt door dezelfde klant, onder hetzelfde abonnement. Isolatie is een kritieke eigenschap die ervoor zorgt dat klant-VM's en communicatie privé blijft binnen een virtueel netwerk. Waar connectiviteit tussen netwerken gewenst is, beschrijven de volgende functies hoe dit kan worden bereikt.
  • Peering van virtuele netwerken: de fundamentele functie die wordt gebruikt om de infrastructuur van een VDC te maken, is peering van virtuele netwerken, die twee virtuele netwerken in dezelfde regio verbindt. Deze verbinding vindt plaats via het Azure-datacenternetwerk of met behulp van de wereldwijde Azure-backbone tussen regio's.
  • Service-eindpunten voor virtueel netwerk: service-eindpunten breiden uw privéadresruimte van het virtuele netwerk uit om uw PaaS-ruimte op te nemen. De eindpunten breiden ook de identiteit van uw virtuele netwerk uit naar de Azure-services via een directe verbinding. Met eindpunten kunt u uw kritieke Azure-serviceresources beveiligen voor uw virtuele netwerken.
  • Private Link: Met Azure Private Link hebt u toegang tot Azure PaaS-services (bijvoorbeeld Azure Storage, Azure Cosmos DB en Azure SQL Database) en door Azure gehoste klant-/partnerservices via een privé-eindpunt in uw virtuele netwerk. Verkeer tussen uw virtuele netwerk en de services wordt via het backbonenetwerk van Microsoft geleid, waarmee de risico's van het openbare internet worden vermeden. U kunt ook uw eigen Private Link-service maken in uw virtuele netwerk en deze privé leveren aan uw klanten. De installatie- en verbruikservaring met behulp van Azure Private Link is consistent in Azure PaaS, services van klanten en gedeelde partners.
  • Door de gebruiker gedefinieerde routes: verkeer in een virtueel netwerk wordt standaard gerouteerd op basis van de systeemrouteringstabel. Een door de gebruiker gedefinieerde route is een aangepaste routeringstabel die netwerkbeheerders kunnen koppelen aan een of meer subnetten om het gedrag van de systeemrouteringstabel te overschrijven en een communicatiepad binnen een virtueel netwerk te definiëren. De aanwezigheid van door de gebruiker gedefinieerde routes garandeert verkeer van de spoke-transit via specifieke aangepaste VM's of virtuele netwerkapparaten en load balancers die aanwezig zijn in zowel de hub als de spokes.
  • Netwerkbeveiligingsgroepen: een netwerkbeveiligingsgroep is een lijst met beveiligingsregels die fungeren als verkeerfiltering op IP-bronnen, IP-bestemmingen, protocollen, IP-bronpoorten en IP-doelpoorten (ook wel een laag 4-tuple genoemd). De netwerkbeveiligingsgroep kan worden toegepast op een subnet, een virtuele NIC die is gekoppeld aan een Azure-VM of beide. De netwerkbeveiligingsgroepen zijn essentieel voor het implementeren van een correct stroombeheer in de hub en in de spokes. Het beveiligingsniveau dat door de netwerkbeveiligingsgroep wordt geboden, is een functie van welke poorten u opent en voor welk doel. Klanten kunnen meer filters per VM toepassen met firewalls op basis van een host, zoals iptables of Windows Firewall.
  • DNS: DNS biedt naamomzetting voor resources in een virtueel datacenter. Azure biedt DNS-services voor zowel openbare als persoonlijke naamomzetting. Privézones bieden naamomzetting binnen een virtueel netwerk en in virtuele netwerken. Privézones kunnen tussen virtuele netwerken in dezelfde regio en tussen regio's en abonnementen vallen. Voor openbare omzetting biedt Azure DNS een hostingservice voor DNS-domeinen, waarbij naamomzetting wordt geboden met behulp van de Microsoft Azure-infrastructuur. Door uw domeinen in Azure te hosten, kunt u uw DNS-records met dezelfde referenties, API's, hulpprogramma's en facturering beheren als voor uw andere Azure-services.
  • Beheergroep, abonnement en resourcegroepbeheer . Een abonnement definieert een natuurlijke grens voor het maken van meerdere groepen resources in Azure. Deze scheiding kan zijn voor functie-, rolscheiding of facturering. Resources in een abonnement worden samengevoegd in logische containers die resourcegroepen worden genoemd. De resourcegroep vertegenwoordigt een logische groep om de resources in een virtueel datacenter te organiseren. Als uw organisatie veel abonnementen heeft, wilt u mogelijk de toegang, het beleid en de naleving voor die abonnementen op efficiënte wijze beheren. Azure-beheergroepen bieden een bereikniveau dat hoger is dan abonnementen. U ordent abonnementen in containers die beheergroepen worden genoemd en past uw governancevoorwaarden toe op de beheergroepen. Alle abonnementen in een beheergroep nemen automatisch de voorwaarden over die op de beheergroep zijn toegepast. Als u deze drie functies in een hiërarchieweergave wilt zien, raadpleegt u Het organiseren van uw resources in het Cloud Adoption Framework.
  • Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC):Azure RBAC kan organisatierollen en -rechten toewijzen voor toegang tot specifieke Azure-resources. Hiermee kunt u gebruikers beperken tot slechts een bepaalde subset van acties. Als u Microsoft Entra-id synchroniseert met een on-premises Active Directory, kunt u dezelfde Active Directory-groepen gebruiken in Azure die u on-premises gebruikt. Met Azure RBAC kunt u toegang verlenen door de juiste rol toe te wijzen aan gebruikers, groepen en toepassingen binnen het relevante bereik. Het bereik van een roltoewijzing kan een Azure-abonnement, een resourcegroep of één resource zijn. Azure RBAC staat overname van machtigingen toe. Een rol die aan een bovenliggend bereik is toegewezen, verleent ook toegang tot de onderliggende elementen in het bereik. Met Azure RBAC kunt u taken scheiden en alleen de hoeveelheid toegang verlenen aan gebruikers die ze nodig hebben om hun taken uit te voeren. Eén werknemer kan bijvoorbeeld virtuele machines in een abonnement beheren, terwijl een andere werknemer SQL Server-databases in hetzelfde abonnement kan beheren.

Onderdeeltype: Perimeternetwerken

Onderdelen van een perimeternetwerk (ook wel een DMZ-netwerk genoemd) verbinden uw on-premises of fysieke datacenternetwerken, samen met een internetverbinding. De perimeter vereist doorgaans een aanzienlijke tijdsinvestering van uw netwerk- en beveiligingsteams.

Binnenkomende pakketten kunnen door de beveiligingsapparaten in de hub stromen voordat ze de back-endservers en -services in de spokes bereiken. Voorbeelden hiervan zijn de firewall, IDS en IPS. Voordat ze het netwerk verlaten, kunnen internetpakketten van de workloads ook door de beveiligingsapparaten in het perimeternetwerk stromen. Deze stroom maakt het afdwingen, controleren en controleren van beleid mogelijk.

Perimeternetwerkonderdelen zijn onder andere:

Normaal gesproken hebben het centrale IT-team en beveiligingsteams de verantwoordelijkheid voor vereistedefinitie en -werking van de perimeternetwerken.

7

In het voorgaande diagram ziet u de afdwinging van twee perimeters met toegang tot internet en een on-premises netwerk, beide gevestigd in de DMZ-hub. In de DMZ-hub kan het perimeternetwerk naar internet worden geschaald om veel bedrijfslijnen te ondersteunen, met behulp van meerdere farms met WaF's (Web Application Firewalls) of Azure Firewalls. De hub biedt zo nodig ook on-premises connectiviteit via VPN of ExpressRoute.

Notitie

In het DMZ Hubvoorgaande diagram kunnen veel van de volgende functies worden gebundeld in een Azure Virtual WAN-hub (zoals virtuele netwerken, door de gebruiker gedefinieerde routes, netwerkbeveiligingsgroepen, VPN-gateways, ExpressRoute-gateways, Azure Load Balancers, Azure Firewalls, Firewall Manager en DDOS). Het gebruik van Azure Virtual WAN-hubs kan het maken van het virtuele hubnetwerk en het VDC veel eenvoudiger maken, omdat de meeste technische complexiteit voor u wordt verwerkt door Azure wanneer u een Azure Virtual WAN-hub implementeert.

Virtuele netwerken. De hub is doorgaans gebouwd op een virtueel netwerk met meerdere subnetten die verschillende typen services hosten. Deze services filteren en inspecteren verkeer van of naar internet via Azure Firewall, NVA's, WAF en Azure-toepassing Gateway-exemplaren.

Door de gebruiker gedefinieerde routes. Door gebruik te maken van door de gebruiker gedefinieerde routes kunnen klanten firewalls, IDS/IPS en andere virtuele apparaten implementeren. Ze kunnen netwerkverkeer routeren via deze beveiligingsapparaten voor afdwinging, controle en inspectie van beveiligingsgrensbeleid. Door de gebruiker gedefinieerde routes kunnen worden gemaakt in zowel de hub als de spokes om ervoor te zorgen dat verkeer wordt overgedragen via de specifieke aangepaste VM's, virtuele netwerkapparaten en load balancers die worden gebruikt door een VDC-implementatie. Om ervoor te zorgen dat verkeer dat wordt gegenereerd van virtuele machines in de spoke-doorvoer naar de juiste virtuele apparaten, een door de gebruiker gedefinieerde route moet worden ingesteld in de subnetten van de spoke. Dit wordt gedaan door het front-end-IP-adres van de interne load balancer in te stellen als de volgende hop. De interne load balancer distribueert het interne verkeer naar de virtuele apparaten (back-end-pool van de load balancer).

Azure Firewall is een beheerde netwerkbeveiligingsservice die uw Azure Virtual Network-resources beschermt. Het is een stateful beheerde firewall met hoge beschikbaarheid en schaalbaarheid in de cloud. U kunt beleid voor toepassings- en netwerkconnectiviteit centraal maken, afdwingen en registreren voor abonnementen en virtuele netwerken. Azure Firewall gebruikt een statisch openbaar IP-adres voor de resources van uw virtuele netwerk. Hiermee kunnen externe firewalls verkeer identificeren dat afkomstig is van uw virtuele netwerk. De service is volledig geïntegreerd met Azure Monitor voor registratie en analyses.

Als u de Azure Virtual WAN-topologie gebruikt, is Azure Firewall Manager een beveiligingsbeheerservice die centraal beveiligingsbeleid en routebeheer biedt voor cloudbeveiligingsperimeters. Het werkt met Azure Virtual WAN-hub, een door Microsoft beheerde resource waarmee u eenvoudig hub- en spoke-architecturen kunt maken. Wanneer beveiligings- en routeringsbeleid is gekoppeld aan een hub, wordt dit een beveiligde virtuele hub genoemd.

Virtuele netwerkapparaten. In de hub wordt het perimeternetwerk met toegang tot internet normaal gesproken beheerd via een Azure Firewall-exemplaar of een farm met firewalls of Web Application Firewall (WAF).

Verschillende bedrijfslijnen gebruiken vaak veel webtoepassingen, die vaak last hebben van verschillende beveiligingsproblemen en potentiële aanvallen. Web Application Firewalls zijn een speciaal type product dat wordt gebruikt om aanvallen op webtoepassingen en HTTP/HTTPS effectiever te detecteren dan een algemene firewall. In vergelijking met traditionele firewalltechnologie hebben WAF's een set specifieke functies om interne webservers te beschermen tegen bedreigingen.

Een Azure Firewall- of NVA-firewall gebruikt een gemeenschappelijk beheervlak, met een set beveiligingsregels voor het beveiligen van de workloads die worden gehost in de spokes en beheer de toegang tot on-premises netwerken. Azure Firewall heeft ingebouwde schaalbaarheid, terwijl NVA-firewalls handmatig kunnen worden geschaald achter een load balancer. Over het algemeen heeft een firewallfarm minder gespecialiseerde software vergeleken met een WAF, maar heeft een breder toepassingsbereik om elk type verkeer in uitgaand verkeer en inkomend verkeer te filteren en te inspecteren. Als een NVA-benadering wordt gebruikt, kunnen ze worden gevonden en geïmplementeerd vanuit Azure Marketplace.

U wordt aangeraden één set Azure Firewall-exemplaren of NVA's te gebruiken voor verkeer dat afkomstig is van internet. Gebruik een andere voor verkeer dat on-premises afkomstig is. Het gebruik van slechts één set firewalls voor beide is een beveiligingsrisico omdat het geen beveiligingsperimeter biedt tussen de twee sets netwerkverkeer. Het gebruik van afzonderlijke firewalllagen vermindert de complexiteit van het controleren van beveiligingsregels, waardoor duidelijk wordt welke regels overeenkomen met welke binnenkomende netwerkaanvraag.

Azure Load Balancer biedt een Laag 4-service met hoge beschikbaarheid (TCP/UDP), waarmee binnenkomend verkeer kan worden gedistribueerd tussen service-exemplaren die zijn gedefinieerd in een set met gelijke taakverdeling. Verkeer dat vanaf front-endeindpunten (openbare IP-eindpunten of privé-IP-eindpunten) naar de load balancer wordt verzonden, kan opnieuw worden gedistribueerd met of zonder adresomzetting naar een set back-end-IP-adresgroepen (zoals virtuele netwerkapparaten of virtuele machines).

Azure Load Balancer kan de status van verschillende serverinstanties testen. Wanneer een instantie niet op de test reageert, stopt de load balancer met het verzenden van verkeer naar de beschadigde instantie. In een virtueel datacenter wordt een externe load balancer geïmplementeerd in de hub en de spokes. In de hub wordt de load balancer gebruikt om verkeer efficiënt te routeren tussen firewall-exemplaren. In de spokes worden de load balancers gebruikt om toepassingsverkeer te beheren.

Azure Front Door (AFD) is het maximaal beschikbare en schaalbare platform voor webtoepassingenversnelling van Microsoft, wereldwijde HTTP-load balancer, toepassingsbeveiliging en netwerk voor contentlevering. Als u op meer dan 100 locaties aan de rand van het wereldwijde netwerk van Microsoft wordt uitgevoerd, kunt u met AFD uw dynamische webtoepassing en statische inhoud bouwen, gebruiken en uitschalen. AFD biedt uw toepassing hoogwaardige prestaties van eindgebruikers, geïntegreerde regionale/stempelonderhoudsautomatisering, BCDR-automatisering, geïntegreerde client-/gebruikersgegevens, caching en service-inzichten.

Het platform biedt:

  • Prestaties, betrouwbaarheid en ondersteuning voor serviceovereenkomsten (SLA's).
  • Nalevingscertificeringen.
  • Controleerbare beveiligingsprocedures die door Azure worden ontwikkeld, beheerd en systeemeigen worden ondersteund.

Azure Front Door biedt ook een Web Application Firewall (WAF), waarmee webtoepassingen worden beschermd tegen veelvoorkomende beveiligingsproblemen en blootstellingen.

Azure-toepassing Gateway is een toegewezen virtueel apparaat dat een beheerde toepassingsleveringscontroller biedt. Het biedt verschillende mogelijkheden voor taakverdeling op laag 7 voor uw toepassing. Hiermee kunt u de prestaties van webfarms optimaliseren door CPU-intensieve SSL-beëindiging naar de toepassingsgateway te offloaden. Het biedt ook andere routeringsmogelijkheden op laag 7, zoals round robin-distributie van binnenkomend verkeer, sessieaffiniteit op basis van cookies, routering op basis van URL-pad en de mogelijkheid om meerdere websites achter één toepassingsgateway te hosten. Een WAF (Web Application Firewall) is ook beschikbaar als onderdeel van de WAF SKU van de toepassingsgateway. Deze SKU biedt beveiliging voor webtoepassingen tegen algemene webbeveiligingsproblemen en aanvallen. Application Gateway kan worden geconfigureerd als internetgerichte gateway, interne gateway of een combinatie van beide.

Openbare IP-adressen. Met sommige Azure-functies kunt u service-eindpunten koppelen aan een openbaar IP-adres, zodat uw resource toegankelijk is vanaf internet. Dit eindpunt maakt gebruik van NAT om verkeer naar het interne adres en de poort in het virtuele netwerk in Azure te routeren. Dit pad is de belangrijkste manier waarop extern verkeer in het virtuele netwerk terecht kan komen. U kunt openbare IP-adressen configureren om te bepalen welk verkeer wordt doorgegeven en hoe en waar het wordt vertaald naar het virtuele netwerk.

Azure DDoS Protection biedt meer risicobeperkingsmogelijkheden via de basic-servicelaag die specifiek is afgestemd op Azure Virtual Network-resources. DDoS Protection is eenvoudig in te schakelen en vereist geen wijzigingen in de toepassing. Beveiligingsbeleid is afgestemd door middel van specifieke controle van verkeer en algoritmen voor machine learning. Beleidsregels worden toegepast op openbare IP-adressen die zijn gekoppeld aan resources die in virtuele netwerken zijn geïmplementeerd. Voorbeelden hiervan zijn Azure Load Balancer, Azure Application Gateway en Azure Service Fabric-exemplaren. In bijna realtime zijn door het systeem gegenereerde logboeken beschikbaar via Azure Monitor-weergaven tijdens een aanval en voor geschiedenis. Beveiliging van toepassingslagen kan worden toegevoegd via de Web Application Gateway-webtoepassingsfirewall van Azure Application Gateway. Beveiliging wordt geboden voor openbare IPv4- en IPv6 Azure-IP-adressen.

De hub- en spoke-topologie maakt gebruik van peering van virtuele netwerken en door de gebruiker gedefinieerde routes om verkeer correct te routeren.

8

In het diagram zorgt de door de gebruiker gedefinieerde route ervoor dat verkeer van de spoke naar de firewall stroomt voordat deze wordt doorgegeven aan on-premises via de ExpressRoute-gateway (als het firewallbeleid die stroom toestaat).

Onderdeeltype: bewaking

Bewakingsonderdelen bieden zichtbaarheid en waarschuwingen van alle andere onderdeeltypen. Alle teams hebben toegang tot bewaking voor de onderdelen en services waar ze toegang toe hebben. Als u een gecentraliseerde helpdesk- of operationele teams hebt, hebben ze geïntegreerde toegang nodig tot de gegevens die door deze onderdelen worden geleverd.

Azure biedt verschillende soorten logboekregistratie- en bewakingsservices om het gedrag van door Azure gehoste resources bij te houden. Governance en beheer van workloads in Azure is niet alleen gebaseerd op het verzamelen van logboekgegevens, maar ook op de mogelijkheid om acties te activeren op basis van specifieke gerapporteerde gebeurtenissen.

Azure Monitor. Azure bevat meerdere services die elk een specifieke rol of taak uitvoeren in de bewakingsruimte. Samen bieden deze services een uitgebreide oplossing voor het verzamelen, analyseren en uitvoeren van door het systeem gegenereerde logboeken van uw toepassingen en de Azure-resources die deze ondersteunen. Ze kunnen ook werken aan het bewaken van kritieke on-premises resources om een hybride bewakingsomgeving te bieden. Het begrijpen van de hulpprogramma's en gegevens die beschikbaar zijn, is de eerste stap bij het ontwikkelen van een volledige bewakingsstrategie voor uw toepassingen.

Er zijn twee fundamentele typen logboeken in Azure Monitor:

  • Metrische gegevens zijn numeriek waarden waarmee een bepaald aspect van een systeem op een bepaald tijdstip wordt beschreven. Ze zijn lichtgewicht en kunnen bijna realtime scenario's ondersteunen. Voor veel Azure-resources ziet u gegevens die door Azure Monitor zijn verzameld, rechtstreeks op hun overzichtspagina in Azure Portal. Bekijk bijvoorbeeld een virtuele machine en u ziet verschillende grafieken met metrische prestatiegegevens. Selecteer een van de grafieken om de gegevens te openen in Metrics Explorer in Azure Portal, waarmee u de waarden van meerdere metrische gegevens in de loop van de tijd kunt in kaart brengen. U kunt de grafieken interactief weergeven of deze vastmaken aan een dashboard om ze te bekijken met andere visualisaties.

  • Logboeken bevatten verschillende soorten gegevens die zijn ingedeeld in records met verschillende sets eigenschappen voor elk type. Gebeurtenissen en traceringen worden opgeslagen als logboeken en prestatiegegevens, die allemaal kunnen worden gecombineerd voor analyse. De logboekgegevens die door Azure Monitor zijn verzameld, kunnen worden geanalyseerd met query's om snel verzamelde gegevens op te halen, samen te voegen en te analyseren. Logboeken worden opgeslagen en opgevraagd vanuit Log Analytics. U kunt query's maken en testen met behulp van Log Analytics in Azure Portal en de gegevens rechtstreeks analyseren met behulp van deze hulpprogramma's of query's opslaan voor gebruik met visualisaties of waarschuwingsregels.

9

Azure Monitor kan gegevens uit verschillende bronnen verzamelen. U kunt gegevens voor uw toepassingen bewaken in lagen, variërend van uw toepassing, elk besturingssysteem en de services waarvan het afhankelijk is, tot het Azure-platform zelf. Azure Monitor verzamelt gegevens van de volgende lagen:

  • Bewakingsgegevens van toepassingen: gegevens over de prestaties en functionaliteit van de code die u hebt geschreven, ongeacht het platform.
  • Bewakingsgegevens van gastbesturingssysteem: gegevens over het besturingssysteem waarop uw toepassing wordt uitgevoerd. Dit besturingssysteem kan worden uitgevoerd in Azure, een andere cloud of on-premises.
  • Bewakingsgegevens van Azure-resources: gegevens over de werking van een Azure-resource.
  • Bewakingsgegevens van Azure-abonnementen: gegevens over de werking en het beheer van een Azure-abonnement en de status en werking van Azure zelf.
  • Bewakingsgegevens van Azure-tenants: gegevens over de werking van Azure-services op tenantniveau, zoals Microsoft Entra-id.
  • Aangepaste bronnen: logboeken die vanuit on-premises bronnen worden verzonden, kunnen ook worden opgenomen. Voorbeelden hiervan zijn on-premises servergebeurtenissen of syslog-uitvoer van netwerkapparaten.

Het controleren van gegevens is alleen nuttig als dit meer inzicht biedt in de werking van uw computeromgeving. Azure Monitor bevat verschillende functies en hulpprogramma's die waardevolle inzichten bieden in uw toepassingen en andere resources waarvoor ze afhankelijk zijn. Bewakingsoplossingen en -functies, zoals Application Insights en Azure Monitor voor containers, bieden uitgebreide inzichten in verschillende aspecten van uw toepassing en specifieke Azure-services.

Bewakingsoplossingen in Azure Monitor zijn verpakte logicasets die inzichten bieden voor een bepaalde toepassing of service. Ze bevatten logica voor het verzamelen van controlegegevens voor de toepassing of service, query's om die gegevens te analyseren en weergaven om de uitkomsten te visualiseren. Er zijn bewakingsoplossingen beschikbaar via Microsoft en zijn partners waarmee allerlei Azure-services en andere toepassingen kunnen worden gecontroleerd.

Met een dergelijke verzameling uitgebreide gegevens is het belangrijk om proactieve actie te ondernemen op gebeurtenissen die plaatsvinden in uw omgeving, met name wanneer handmatige query's alleen niet volstaan. Waarschuwingen in Azure Monitor stellen u proactief op de hoogte van kritieke omstandigheden en proberen corrigerende maatregelen te nemen. Waarschuwingsregels op basis van metrische gegevens bieden bijna realtime waarschuwingen op basis van numerieke waarden. Waarschuwingsregels op basis van logboeken maken complexe logica mogelijk voor gegevens uit meerdere bronnen. Waarschuwingsregels in Azure Monitor gebruiken actiegroepen Deze actiegroepen bevatten unieke sets ontvangers en acties die kunnen worden gedeeld met meerdere regels. Op basis van uw vereisten kunnen actiegroepen webhooks gebruiken die ervoor zorgen dat waarschuwingen externe acties starten of integreren met uw ITSM-hulpprogramma's.

Met Azure Monitor kunt u ook aangepaste dashboards maken. Met Azure-dashboards kunt u verschillende soorten gegevens, waaronder metrische gegevens en logboeken, in één paneel in Azure Portal combineren. U kunt het dashboard eventueel delen met andere Azure-gebruikers. Naast logboekquery's en grafieken met metrische gegevens kunnen er ook elementen uit Azure Monitor worden toegevoegd aan een Azure-dashboard. U kunt bijvoorbeeld een dashboard maken waarin tegels worden gecombineerd met een grafiek met metrische gegevens, een tabel met activiteitenlogboeken, een gebruiksgrafiek van Application Insights en de uitvoer van een logboekquery.

Ten slotte is Azure Monitor-gegevens een systeemeigen bron voor Power BI. Power BI is een business analytics-service die interactieve visualisaties biedt in verschillende gegevensbronnen. Het is ook een effectieve manier om gegevens beschikbaar te maken voor anderen binnen en buiten uw organisatie. U kunt Power BI zo configureren dat logboekgegevens automatisch vanuit Azure Monitor worden geïmporteerd om te profiteren van deze meer visualisaties.

Azure Network Watcher biedt hulpprogramma's voor het bewaken, diagnosticeren en weergeven van metrische gegevens en het in- of uitschakelen van logboeken voor resources in een virtueel netwerk in Azure. Het is een multifaceted service die de volgende functionaliteiten en meer toestaat:

  • Bewaak de communicatie tussen een virtuele machine en een eindpunt.
  • Resources in een virtueel netwerk en de bijbehorende relaties weergeven.
  • Diagnose van problemen met het filteren van netwerkverkeer naar of van een VIRTUELE machine.
  • Diagnose van netwerkrouteringsproblemen vanaf een VIRTUELE machine.
  • Diagnose van uitgaande verbindingen vanaf een VIRTUELE machine.
  • Leg pakketten vast van en naar een VIRTUELE machine.
  • Problemen met een virtuele netwerkgateway en -verbindingen vaststellen.
  • Bepaal relatieve latenties tussen Azure-regio's en internetproviders.
  • Beveiligingsregels voor een netwerkinterface weergeven.
  • Metrische netwerkgegevens weergeven.
  • Analyseer verkeer naar of van een netwerkbeveiligingsgroep.
  • Diagnostische logboeken voor netwerkbronnen weergeven.

Onderdeeltype: Workloads

Workloadonderdelen zijn de plaats waar uw werkelijke toepassingen en services zich bevinden. Hier besteden uw ontwikkelteams van toepassingen het grootste deel van hun tijd.

De workloadmogelijkheden zijn eindeloos. Hier volgen slechts enkele van de mogelijke workloadtypen:

Interne toepassingen: Line-Of-Business-toepassingen zijn essentieel voor bedrijfsactiviteiten. Deze toepassingen hebben enkele algemene kenmerken:

  • Interactief: gegevens worden ingevoerd en resultaten of rapporten worden geretourneerd.
  • Gegevensgestuurd: gegevensintensief met frequente toegang tot databases of andere opslag.
  • Geïntegreerd: Integratie met andere systemen binnen of buiten de organisatie aanbieden.

Klantgerichte websites (internetgerichte of intern gerichte): de meeste internettoepassingen zijn websites. Azure kan een website uitvoeren via een virtuele IaaS-machine of een Azure Web Apps-site (PaaS). Azure-web-apps kunnen worden geïntegreerd met virtuele netwerken om web-apps in een spoke-netwerkzone te implementeren. Intern gerichte websites hoeven geen openbaar interneteindpunt beschikbaar te maken, omdat de resources toegankelijk zijn via privé-niet-internetrouteerbare adressen van het particuliere virtuele netwerk.

Analyse van big data: wanneer gegevens naar grotere volumes moeten worden geschaald, presteren relationele databases mogelijk niet goed onder de extreme belasting of ongestructureerde aard van de gegevens. Azure HDInsight is een beheerde opensource-analyseservice in de cloud voor ondernemingen. U kunt opensource-frameworks gebruiken, zoals Hadoop, Apache Spark, Apache Hive, LLAP, Apache Kafka, Apache Storm en R. HDInsight. Dit biedt ondersteuning voor implementatie in een op locatie gebaseerd virtueel netwerk, dat kan worden geïmplementeerd in een cluster in een spoke van het virtuele datacenter.

Gebeurtenissen en berichten: Azure Event Hubs is een streamingplatform voor big data en gebeurtenisopnameservice. Het kan miljoenen gebeurtenissen per seconde ontvangen en verwerken. Het biedt een lage latentie en configureerbare tijdretentie, zodat u enorme hoeveelheden gegevens kunt opnemen in Azure en deze kunt lezen vanuit meerdere toepassingen. Eén stream kan zowel realtime als batchgebaseert pijplijnen ondersteunen.

U kunt een zeer betrouwbare cloudberichtenservice tussen toepassingen en services implementeren via Azure Service Bus. Het biedt asynchrone brokered messaging tussen client en server, gestructureerde FIFO-berichten (first-in-first-out) en publiceert en abonneert mogelijkheden.

10

In deze voorbeelden wordt nauwelijks het oppervlak bekrast van de typen workloads die u in Azure kunt maken. U kunt alles maken van een eenvoudige web- en SQL-app tot de nieuwste versie van IoT, big data, machine learning, AI en nog veel meer.

Hoge beschikbaarheid: meerdere virtuele datacenters

Tot nu toe heeft dit artikel zich gericht op het ontwerp van één VDC, waarin de basisonderdelen en architecturen worden beschreven die bijdragen aan tolerantie. Azure-functies zoals Azure Load Balancer, NVA's, beschikbaarheidszones, beschikbaarheidssets, schaalsets en andere mogelijkheden waarmee u solide SLA-niveaus kunt opnemen in uw productieservices.

Omdat een virtueel datacenter doorgaans binnen één regio wordt geïmplementeerd, kan het echter kwetsbaar zijn voor storingen die van invloed zijn op de hele regio. Klanten die hoge beschikbaarheid vereisen, moeten de services beschermen via implementaties van hetzelfde project in twee of meer VDC-implementaties die zijn geïmplementeerd in verschillende regio's.

Naast SLA-problemen profiteren verschillende veelvoorkomende scenario's van het uitvoeren van meerdere virtuele datacenters:

  • Regionale of wereldwijde aanwezigheid van uw eindgebruikers of partners.
  • Vereisten voor herstel na noodgevallen.
  • Een mechanisme voor het omleiden van verkeer tussen datacenters voor belasting of prestaties.

Regionale/wereldwijde aanwezigheid

Azure-datacenters bestaan in veel regio's wereldwijd. Houd bij het selecteren van meerdere Azure-datacenters rekening met twee gerelateerde factoren: geografische afstanden en latentie. Als u de gebruikerservaring wilt optimaliseren, evalueert u de afstand tussen elk virtueel datacenter en de afstand tussen elk virtueel datacenter en de eindgebruikers.

Een Azure-regio die als host fungeert voor uw virtuele datacenter, moet voldoen aan wettelijke vereisten van elke juridische jurisdictie waaronder uw organisatie werkt.

Herstel na noodgeval

Het ontwerp van een noodherstelplan is afhankelijk van de typen workloads en de mogelijkheid om de status van deze workloads tussen verschillende VDC-implementaties te synchroniseren. De meeste klanten willen een snel failovermechanisme en deze vereiste heeft mogelijk synchronisatie van toepassingsgegevens nodig tussen implementaties die worden uitgevoerd in meerdere VDC-implementaties. Bij het ontwerpen van noodherstelplannen is het echter belangrijk om te overwegen dat de meeste toepassingen gevoelig zijn voor de latentie die kan worden veroorzaakt door deze gegevenssynchronisatie.

Voor synchronisatie- en heartbeatbewaking van toepassingen in verschillende VDC-implementaties moeten ze communiceren via het netwerk. Meerdere VDC-implementaties in verschillende regio's kunnen worden verbonden via:

  • Hub-naar-hub-communicatie die is ingebouwd in Azure Virtual WAN-hubs in verschillende regio's in hetzelfde Virtual WAN.
  • Peering van virtuele netwerken om hubs te verbinden tussen regio's.
  • Persoonlijke ExpressRoute-peering wanneer de hubs in elke VDC-implementatie zijn verbonden met hetzelfde ExpressRoute-circuit.
  • Meerdere ExpressRoute-circuits die zijn verbonden via uw zakelijke backbone en uw meerdere VDC-implementaties die zijn verbonden met de ExpressRoute-circuits.
  • Site-naar-site-VPN-verbindingen tussen de hubzone van uw VDC-implementaties in elke Azure-regio.

Virtual WAN-hubs, peering van virtuele netwerken of ExpressRoute-verbindingen hebben doorgaans de voorkeur voor netwerkconnectiviteit, vanwege de hogere bandbreedte en consistente latentieniveaus bij het passeren van de Microsoft-backbone.

Voer netwerkkwalificatietests uit om de latentie en bandbreedte van deze verbindingen te controleren en bepaal of synchrone of asynchrone gegevensreplicatie geschikt is op basis van het resultaat. Het is ook belangrijk om deze resultaten af te wegen in de weergave van de optimale hersteltijddoelstelling (RTO).

Herstel na noodgevallen: verkeer van de ene regio naar de andere omleiden

Zowel Azure Traffic Manager als Azure Front Door controleert regelmatig de servicestatus van luistereindpunten in verschillende VDC-implementaties. Als deze eindpunten mislukken, routeren Azure Traffic Manager en Azure Front Door automatisch naar de dichtstbijzijnde VDC. Traffic Manager maakt gebruik van realtime gebruikersmetingen en DNS om gebruikers naar het dichtstbijzijnde (of het dichtstbijzijnde dichtstbijzijnde tijdens fouten) te routeren. Azure Front Door is een omgekeerde proxy op meer dan 100 Microsoft-backbonerandsites, waarbij anycast wordt gebruikt om gebruikers naar het dichtstbijzijnde luistereindpunt te routeren.

Samenvatting

De benadering van het virtuele datacenter voor migratie is het maken van een schaalbare architectuur die het gebruik van Azure-resources optimaliseert, de kosten verlaagt en systeembeheer vereenvoudigt. Het virtuele datacenter is typisch gebaseerd op hub- en spoke-netwerktopologieën (met behulp van peering van virtuele netwerken of Virtual WAN-hubs). Algemene gedeelde services die worden geleverd in de hub en specifieke toepassingen en workloads worden geïmplementeerd in de spokes. Het virtuele datacenter komt ook overeen met de structuur van bedrijfsrollen, waarbij verschillende afdelingen, zoals centrale IT, DevOps en bewerkingen en onderhoud, allemaal samenwerken terwijl ze hun specifieke rollen uitvoeren. Het virtuele datacenter biedt ondersteuning voor het migreren van bestaande on-premises workloads naar Azure, maar biedt ook veel voordelen voor cloudimplementaties.

Verwijzingen

Meer informatie over de Mogelijkheden van Azure die in dit document worden besproken.

Netwerkfuncties
Azure Virtual Networks
Netwerkbeveiligingsgroepen
Service-eindpunten
Private Link
Door de gebruiker gedefinieerde routes
Virtuele netwerkapparaten
Openbare IP-adressen
Azure DNS

Load balancing
Azure Front Door
Azure Load Balancer (laag 4)
Application Gateway (laag 7)
Azure Traffic Manager

Connectiviteit
Peering van virtuele netwerken
Virtueel particulier netwerk
Virtual WAN
ExpressRoute
ExpressRoute Direct

Identiteit
Microsoft Entra ID
Meervoudige verificatie van Microsoft Entra
Op rollen gebaseerd toegangsbeheer van Azure
Ingebouwde Azure-rollen

Bewaking
Network Watcher
Azure Monitor
Log Analytics

Aanbevolen procedures
Beheergroep
Abonnementsbeheer
Resourcegroepbeheer
Limieten voor Azure-abonnementen

Beveiliging
Azure Firewall
Firewall Manager
Application Gateway WAF
Front Door WAF
Azure DDoS

Andere Azure-services
Azure Storage
Azure SQL
Azure Web Apps
Azure Cosmos DB
HDInsight
Event Hubs
Service Bus
Azure IoT
Azure Machine Learning

Volgende stappen

  • Meer informatie over peering van virtuele netwerken, de kerntechnologie van hub- en spoke-topologieën.
  • Implementeer Microsoft Entra ID voor het gebruik van op rollen gebaseerd toegangsbeheer van Azure.
  • Ontwikkel een abonnements- en resourcebeheermodel met behulp van op rollen gebaseerd toegangsbeheer van Azure dat past bij de structuur, vereisten en beleidsregels van uw organisatie. De belangrijkste activiteit is plannen. Analyseer hoe reorganisaties, fusies, nieuwe productlijnen en andere overwegingen van invloed zijn op uw eerste modellen om ervoor te zorgen dat u kunt schalen om te voldoen aan toekomstige behoeften en groei.