你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

什么是 Azure IoT 分层网络管理预览版?

  • 项目

重要

Azure IoT 操作预览版(由 Azure Arc 启用)当前处于预览状态。 不应在生产环境中使用此预览版软件。

有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款

Azure IoT 分层网络管理服务是一个组件,可以简化 Azure 与隔离网络环境中的群集之间的连接。 在工业场景下,隔离网络采用 ISA-95/Purdue 网络体系结构。 分层网络管理服务可以通过面向 Internet 的层将网络流量不面向 Internet 的层路由到 Azure。 这项服务在已启用 Arc 的 Kubernetes 群集上作为 Azure IoT 操作预览版的一个组件部署和管理。 请仔细查看你的解决方案的网络体系结构,确定你的应用场景是否适合且有必要使用分层网络管理。 如果为隔离网络集成了其他控制 Internet 访问的机制,则应与分层网络管理服务比较功能差异,并选择最适合自身需求的机制。 分层网络管理是一款优化组件,而不是 Azure IoT 操作预览版服务任何功能的信赖项。

重要

分层网络管理文档中概述的网络环境是测试分层网络管理的示例。 并非有关如何为生产使用情况生成网络和群集拓扑的建议。

尽管网络隔离是一个安全主题,但分层网络管理服务在设计初衷并不是为了提升解决方案的安全性。 而是尽可能维护原始设计的安全级别,同时实现与 Azure Arc 的连接。

分层网络管理提供了多种优势,包括:

  • 基于 Kubernetes 的配置,与不同级别的 IP 和 NIC 映射兼容
  • 能够从统一的 Azure 控制面板,大规模地将隔离网络中的设备连接到 Azure Arc,从而对过去隔离的资源远程进行应用生命周期管理和配置
  • 使用 URL 允许列表和连接审核实现确定性的网络配置,无论在哪个网络等级都确保设备和服务的安全性和治理
  • Kubernetes 可观测性工具在各个等级掌握之前隔离的设备和应用的情况
  • 默认与所有 Azure IoT 操作服务连接兼容

Diagram of Layered Network Management.

提供隔离网络环境来部署分层网络管理预览版

有多种方法可以将分层网络管理配置为隔离网络中的群集和 Azure 上的服务之间的连接网桥。 以下是分层网络管理的示例网络环境和群集方案。

  • 简化的虚拟机和网络 - 此方案使用 Azure AKS 群集和 Azure Linux 虚拟机。 需要 Azure 订阅以下资源:
  • 简化的物理隔离网络 - 需要至少两台物理设备(IoT/PC/服务器)和一个无线接入点。 此设置模拟简单的两层网络(级别 3 和级别 4)。 级别 3 是隔离群集,是部署 Azure IoT 操作的目标。
    • 无线接入点用于设置本地网络,不提供 Internet 访问。
    • 级别 4 群集 - 托管在双 NIC 物理计算机上的单个节点群集,连接 Internet 和本地网络。 分层网络管理应部署到此群集。
    • 级别 3 群集- 物理计算机上托管的单节点群集。 此设备群集仅连接到本地网络。
    • 自定义 DNS - 在级别 3 群集的本地网络或 CoreDNS 配置中设置 DNS 服务器。 它提供自定义域名解析,并将网络请求指向级别 4 群集的 IP。
  • ISA-95 网络 - 应尝试将分层网络管理部署到 ISA-95 网络或预生产环境。

关键功能

分层网络管理支持隔离网络环境中的 Azure IoT 操作组件。 下表总结了支持的功能和集成:

分层网络管理功能 Status
转发 TLS 流量 公共预览版
流量审核 - 基本:源/目标 IP 地址和标头值 公开预览版
通过 Kubernetes 自定义资源进行允许列表管理 公共预览版
安装:分层网络管理和其他 Azure IoT 操作组件的集成安装体验 公共预览版
OSI 级别 4 的反向代理 (TCP) 公共预览版
支持 Azure IoT 操作组件的东西流量转发 - 手动设置 公共预览版
安装:部署为 Arc 扩展的分层网络管理 公共预览版

后续步骤