Azure 网络服务概述
Azure 中的网络服务提供了可以搭配使用或单独使用的各种网络功能。 选择以下每个网络方案来了解有关它们的详细信息:
- 网络基础:Azure 网络基础服务为 Azure 中的资源提供核心连接 - 虚拟网络 (VNet)、专用链接、Azure DNS、Azure Virtual Network Manager、Azure Bastion、路由服务器、NAT 网关、流量管理器、Azure 网络观察程序以及 Azure Monitor。
- 负载均衡和内容分发:Azure 负载均衡和内容交付服务可以管理、分发和优化你的应用程序和工作负载 - 负载均衡器、应用程序网关和 Azure Front Door。
- 混合连接:Azure 混合连接服务保护与 Azure 中的资源之间的通信 - VPN 网关、ExpressRoute、虚拟 WAN 和对等互连服务。
- 网络安全:Azure 网络安全服务保护 Web 应用程序和 IaaS 服务免受 DDoS 攻击和恶意参与者的危害 - 防火墙管理器、防火墙、Web 应用程序防火墙和 DDoS 防护。
网络基础
本部分介绍了为在 Azure 中设计和构建网络环境提供构建基块的服务 - 虚拟网络 (VNet)、专用链接、Azure DNS、Azure Bastion、路由服务器、NAT 网关和流量管理器。
虚拟网络
Azure 虚拟网络 (VNet) 是 Azure 中专用网络的基础构建基块。 使用 VNet 可以:
- Azure 资源之间的通信:可以将虚拟机和多个其他类型的 Azure 资源(例如 Azure 应用服务环境、Azure Kubernetes 服务 (AKS) 和 Azure 虚拟机规模集)部署到虚拟网络。 若要查看可部署到虚拟网络的 Azure 资源的完整列表,请参阅虚拟网络服务集成。
- 相互通信:可以互相连接虚拟网络,使虚拟网络中的资源能够通过虚拟网络对等互连或 Azure Virtual Network Manager 相互进行通信。 连接的虚拟网络可以在相同或不同的 Azure 区域中。 有关详细信息,请参阅虚拟网络对等互连。
- 与互联网通信:默认情况下,虚拟网络中的所有资源都可以与 Internet 进行出站通信。 可以通过分配公共 IP 地址或公共负载均衡器来与资源进行入站通信。 还可以使用公共 IP 地址或公共负载均衡器来管理出站连接。
- 与本地网络通信:可以使用 VPN 网关或 ExpressRoute 将本地计算机和网络连接到虚拟网络。
- 加密资源之间的流量:可以使用虚拟网络加密来加密某个虚拟网络中资源之间的流量。
网络安全组
可以使用网络安全组来筛选 Azure 虚拟网络中出入 Azure 资源的网络流量。 有关详细信息,请参阅网络安全组。
服务终结点
使用虚拟网络 (VNet) 服务终结点可通过直接连接将虚拟网络专用地址空间和虚拟网络标识扩展到 Azure 服务。 使用终结点可以保护关键的 Azure 服务资源,只允许在客户自己的虚拟网络中对其进行访问。 从虚拟网络发往 Azure 服务的流量始终保留在 Microsoft Azure 主干网络中。
Azure 专用链接
使用 Azure 专用链接,可以通过虚拟网络中的专用终结点访问 Azure PaaS 服务(例如,Azure 存储和 SQL 数据库)和 Azure 托管的客户拥有的服务/合作伙伴服务。 虚拟网络与服务之间的流量将遍历 Microsoft Azure 主干网络。 不再需要向公共 Internet 公开服务。 可以在虚拟网络中创建自己的专用链接服务,并将其交付给客户。
Azure DNS
Azure DNS 使用 Azure 基础结构提供 DNS 托管和解析。 Azure DNS 由三个服务组成:
- Azure 公共 DNS 是 DNS 域的托管服务。 通过在 Azure 中托管域,可以使用与其他 Azure 服务相同的凭据、API、工具和计费来管理 DNS 记录。
- Azure 专用 DNS 是面向虚拟网络的 DNS 服务。 Azure 专用 DNS 可管理并解析虚拟网络中的域名,使你无需配置自定义 DNS 解决方案。
- 借助 Azure DNS 专用解析程序服务,无需部署基于 VM 的 DNS 服务器即可从本地环境查询 Azure DNS 专用区域,反之亦然。
使用 Azure DNS,可以托管和解析公共域,管理虚拟网络中的 DNS 解析,并在 Azure 与本地资源之间启用名称解析。
Azure Bastion
Azure Bastion 是你可以在虚拟网络中部署的一项服务,可以使用浏览器和 Azure 门户通过该服务连接到虚拟机。 你还可以使用本地计算机上已安装的原生 SSH 或 RDP 客户端进行连接。 Azure Bastion 服务是的一种完全平台管理的 PaaS 服务,可在虚拟网络中进行部署。 可通过 TLS 直接从 Azure 门户实现与虚拟机之间的安全无缝的 RDP/SSH 连接。 通过 Azure Bastion 连接时,虚拟机不需要公共 IP 地址、代理或特殊的客户端软件。 Azure Bastion 有各种不同的 SKU/层级可用。 你选择的层级会影响可用的功能。 有关详细信息,请参阅关于 Bastion 配置设置。
Azure 路由服务器
Azure 路由服务器简化了网络虚拟设备 (NVA) 与虚拟网络之间的动态路由。 利用此方式,可以在 Azure 虚拟网络 (VNet) 中任何支持 BGP 路由协议的 NVA 与 Azure 软件定义的网络 (SDN) 之间,直接通过“边界网关协议 (BGP)”路由协议交换路由信息,而无需手动配置或维护路由表。
NAT 网关
NAT 网关简化了虚拟网络仅限出站的 Internet 连接。 在子网中配置后,所有出站连接将使用指定的静态公共 IP 地址。 无需使用负载均衡器或将公共 IP 地址直接附加到虚拟机,即可建立出站连接。 有关详细信息,请参阅什么是 Azure NAT 网关?
流量管理器
Azure 流量管理器是一种基于 DNS 的流量负载均衡器,可以在全球 Azure 区域内以最佳方式向服务分发流量,同时提供高可用性和响应性。 流量管理器提供一系列流量路由方法来分发流量,例如优先级、加权、性能、地理位置、多值或子网路由方法。
下图演示了流量管理器的基于终结点优先级的路由方法:
有关流量管理器的详细信息,请参阅什么是 Azure 流量管理器?
负载均衡和内容分发
本部分介绍了 Azure 中可帮助交付应用程序和工作负载的网络服务 - 负载均衡器、应用程序网关和 Azure Front Door 服务。
负载均衡器
Azure 负载均衡器为所有 UDP 和 TCP 协议提供高性能、低延迟的第 4 层负载均衡。 它管理入站和出站连接。 可以配置公共和内部负载均衡终结点。 可以定义规则,以便将入站连接映射到后端池目标,并在其中包含 TCP 和 HTTP 运行状况探测选项来管理服务的可用性。
Azure 负载均衡器提供标准、区域和网关 SKU。
下图显示了利用外部和内部负载均衡器的面向 Internet 的多层应用程序:
应用程序网关
Azure 应用程序网关是一种 Web 流量负载均衡器,可用于管理 Web 应用程序的流量。 它是服务形式的应用程序传送控制器 (ADC),为应用程序提供各种第 7 层负载均衡功能。
下图演示了应用程序网关的基于 URL 路径的路由方法。
混合连接
本部分介绍了在本地网络与 Azure 之间提供安全通信的网络连接服务 - VPN 网关、ExpressRoute、虚拟 WAN 和对等互连服务。
VPN 网关
VPN 网关可帮助你创建从本地位置到虚拟网络的加密跨界连接,或者在 VNet 之间创建加密连接。 VPN 网关连接可以使用不同的配置。 一些主要功能包括:
- 站点到站点 VPN 连接
- 点到站点 VPN 连接
- VNet 到 VNet VPN 连接
下图演示了与同一虚拟网络建立的多个站点到站点 VPN 连接。 若要查看更多连接图,请参阅 VPN 网关 - 设计。
ExpressRoute
使用 ExpressRoute 可通过连接服务提供商所提供的专用连接,将本地网络扩展到 Azure 云。 此连接是专用连接。 流量不经过 Internet。 使用 ExpressRoute 可与 Azure、Microsoft 365 和 Dynamics 365 等 Microsoft 云服务建立连接。
虚拟 WAN
Azure 虚拟 WAN 是一项网络服务,其中整合了多种网络、安全和路由功能,提供单一操作界面。 通过使用虚拟网络连接建立与 Azure VNet 的连接。 一些主要功能包括:
- 分支连接性(使用来自 SD-WAN 或 VPN CPE 等虚拟 WAN 合作伙伴设备的连接性自动化)
- 站点到站点 VPN 连接
- 远程用户 VPN 连接性(点到站点)
- 专用连接性 (ExpressRoute)
- 云间连接(虚拟网络的可传递连接)
- VPN ExpressRoute 互连
- 专用连接性的路由、Azure 防火墙和加密
网络安全性
本部分介绍了 Azure 中用于保护和监视网络资源的的网络服务 - 防火墙管理器、防火墙、Web 应用程序防火墙和 DDoS 防护。
防火墙管理器
Azure 防火墙管理器是一种安全管理服务,可为基于云的安全外围提供集中安全策略和路由管理。 防火墙管理器可以为两种不同类型的网络体系结构提供安全管理:安全虚拟中心和中心虚拟网络。 使用 Azure 防火墙管理器,可以跨 Azure 区域和订阅部署多个 Azure 防火墙实例,实施 DDoS 防护计划,管理 Web 应用程序防火墙策略,以及与合作伙伴安全即服务集成以提高安全性。
Azure 防火墙
Azure 防火墙是托管的基于云的网络安全服务,可保护 Azure 虚拟网络资源。 使用 Azure 防火墙可以跨订阅和虚拟网络集中创建、实施和记录应用程序与网络连接策略。 Azure 防火墙对虚拟网络资源使用静态公共 IP 地址,使外部防火墙能够识别来自你的虚拟网络的流量。
Web 应用程序防火墙
Azure Web 应用程序防火墙 (WAF) 为 Web 应用程序提供保护,使其免受 SQL 注入、跨站点脚本等常见 Web 攻击和漏洞的影响。 Azure WAF 通过托管的规则针对 OWASP 识别出的 10 大漏洞提供现成保护。 此外,客户还可以配置自定义规则(客户管理的规则),用于根据源 IP 范围,以及标头、Cookie、表单数据字段或查询字符串参数等请求属性提供额外的保护。
客户可以选择部署具有应用程序网关的 Azure WAF,以便为公共和专用地址空间中的实体提供区域性保护。
DDoS 保护
Azure DDoS 防护提供了针对最复杂 DDoS 威胁的应对措施。 此服务为虚拟网络中部署的应用程序和资源提供了增强的 DDoS 缓解功能。 此外,使用 Azure DDoS 防护的客户有权访问 DDoS 快速响应支持,以在遭到主动攻击时联系 DDoS 专家。
Azure DDoS 防护由两个层组成:
- DDoS 网络保护与应用程序设计最佳做法相结合,提供增强的 DDoS 缓解功能来防御 DDoS 攻击。 这种防护自动经过优化,可帮助保护虚拟网络中的特定 Azure 资源。
- DDoS IP 保护是一种按受保护 IP 进行计费的模型。 DDoS IP 保护包含与 DDoS 网络保护相同的核心工程功能,但在以下增值服务中将有所不同:DDoS 快速响应支持、成本保护和 WAF 折扣。
网络管理和监视
本部分介绍了 Azure 中的网络管理和监视服务 - 网络观察程序、Azure Monitor 和 Azure Virtual Network Manager。
Azure 网络观察程序
Azure 网络观察程序提供所需的工具,用于监视、诊断 Azure 虚拟网络中的资源、查看其指标,以及为其启用或禁用日志。
Azure Monitor
Azure Monitor 提供用于收集、分析和处理来自云与本地环境的遥测数据的综合解决方案,可将应用程序的可用性和性能最大化。 它可以帮助你了解应用程序的性能,并主动识别影响应用程序及其所依赖资源的问题。
后续步骤
- 完成创建首个虚拟网络一文中的步骤,创建自己的首个虚拟网络,并将几个虚拟机连接到此网络。
- 完成配置点到站点连接一文中的步骤,将计算机连接到虚拟网络。
- 完成创建面向 Internet 的负载均衡器一文中的步骤,对发往公共服务器的 Internet 流量进行负载均衡。