Azure：实现安全的混合网络

小提示：您能找到这篇{Azure：实现安全的混合网络}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的Azure：实现安全的混合网络内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">此参考体系结构显示了一个可将本地网络扩展到Azure的安全混合网络。该体系结构实现了本地网络和Azure虚拟网络之间的外围网络（也称为外围网络）。所有入站和出站流量均通过Azure防火墙。部署此解决方案。

< ">下载此体系结构的Visio文件。

< ">此体系结构需要使用VPN网关或ExpressRoute连接来连接到本地数据中心。此体系结构的典型用途包括：

< ">在本地运行一部分工作负荷，在Azure中运行一部分工作负荷的混合应用程序。

< ">需要对从本地数据中心进入Azure虚拟网络的流量进行精细控制的基础结构。

< ">必须审核传出流量的应用程序。这通常是许多商业系统的监管要求，可以帮助防止公开披露私有信息。

< ">体系结构

< ">该体系结构包括以下组件。

< ">本地网络。组织中实现的专用局域网。

< ">Azure虚拟网络。虚拟网络承载在Azure中运行的应用程序和其他资源。

< ">网关。网关提供本地网络中的路由器与虚拟网络之间的连接。网关放在其自己的子网中。

< ">Azure防火墙。Azure防火墙是作为服务托管的防火墙。防火墙实例放置在其自己的子网中。

< ">虚拟网络路由。虚拟网络路由定义Azure虚拟网络中的IP流量流。如上图所示，有两个用户定义的路由表。

< ">在网关子网中，发送到web层子网的流量(10.0.1.0/24)通过Azure防火墙实例进行路由。

< ">在web层子网中，由于VNet本身的地址空间没有路由指向Azure防火墙，因此web层实例可以直接相互通信，而不能通过Azure防火墙进行通信。

< ">备注

< ">根据VPN连接的要求，你可以配置边界网关协议(BGP)路由，以实现将流量定向到本地网络的转发规则。

< ">网络安全组。使用安全组限制虚拟网络iphone公关危机中的网络流量。例如，在随此参考体系结构一起提供的部署中，web层子网允许来自本地网络和虚拟网络中的TCP流量;业务层允许来自web层的流量;数据层允许来自业务层的流量。

< ">堡垒。使用Azure堡垒，可以通过SSH或远程桌面协议(RDP)登录到虚拟网络中的vm，而无需直接向Internet公开vm。使用堡垒管理虚拟网络中的Vm。

< ">建议

< ">以下建议适用于大多数方案。除非有优先于这些建议的特定要求，否则请遵循这些建议。

< ">访问控制建议

< ">使用azure RBAC)(azure基于角色的访问控制来管理应用程序中的资源。考虑创建以下自定义角色：

< ">一个DevOps角色，具有管理应用程序的基础结构、部署应用程序组件以及监视和重新启动VM的权限。

< ">一个集中式IT管理员角色，用于管理和监视网络资源。

< ">安全IT管理员角色，用于管理安全网络资源，例如防火墙。

< ">DevOps和IT管理员角色不应具有对防火墙资源的访问权限。这应限制为安全性IT管理员角色。

< ">有关资源组的建议

< ">可以通过将Vm、虚拟网络和负载均衡器组合在一起来轻松管理Azure资源（例如Vm、虚拟网络和负载均衡器）。将Azure角色分配给每个资源组以限制访问。

< ">建议创建以下资源组：

< ">包含虚拟网络的资源组(不包括Vm)、Nsg以及用于连接到本地网络的网关资源。将集中式IT管理员角色分配给此资源组。

< ">一个资源组，其中包含用于网关子网的Azure防火墙实例和用户定义的路由。将安全性IT管理员角色分配给此资源组。

< ">用于每个应用层的单独资源组，包含负载均衡器和VM。请注意，此资源组不应包含每个层的子网。将DevOps角色分配给此资源组。

< ">网络建议

< ">若要接受来自internet的入站流量，请将DNAT)规则(目标网络地址转换添加到Azure防火墙。

< ">目标地址=防火墙实例的公共IP地址。

< ">翻译地址=虚拟网络中的专用IP地址。

< ">该示例部署将端口80的internet流量路由到web层负载均衡器。

< ">使用站点到站点VPN隧道通过本地网络强制隧道所有出站internet流量，并使用网络地址转换(NAT)路由到internet。这可以防止任何存储在数据层中的机密信息的意外泄漏，并允许检查和审核所有传出流量。

< ">请勿完全阻止来自应用程序层的internet流量，因为这会阻止这些层使用依赖公共IP地址的Azure PaaS服务，例如VM诊断日志记录、VM扩展下载和其他功能。Azure诊断还要求组件可以读取和写入Azure存储帐户。

< ">验证出站Internet流量是否正确地强制隧道传递。如果使用的是本地服务器上的"路由和远程访问"服务的VPN连接，请使用WireShark等工具。

< ">请考虑使用应用程序网关或Azure前门进行SSL终止。

< ">可伸缩性注意事项

< ">有关VPN网关的带宽限制的详细信息，请参阅网关sku。对于更高带宽，请考虑升级到ExpressRoute网关。ExpressRoute提供最多10 Gbps的带宽，且延迟低于VPN连接。

< ">有关Azure网关的可伸缩性的详细信息，请参阅使用Azure和本地VPN实现混合网络体系结构和使用Azure ExpressRoute实现混合网络体系结构中的可伸缩性注意事项部分。

< ">可用性注意事项

< ">如果要使用Azure ExpressRoute在虚拟网络和本地网络之间提供连接，请将VPN网关配置为在ExpressRoute连接不可用时提供故障转移。

< ">有关为VPN和ExpressRoute连接保持可用性的特定信息，请参阅使用Azure和本地VPN实现混合网络体系结构和使用Azure ExpressRoute实现混合网络体系结构中的可用性注意事项。

< ">可管理性注意事项

< ">如果从本地网络到Azure的网关连接已关闭，你仍可以通过Azure堡垒访问Azure虚拟网络中的Vm。

< ">参考体系结构中每个层的子网都受NSG规则保护。可能需要创建一个规则以打开用于在Windows VM上进行远程桌面协议(RDP)访问的端口3389，或是用于在Linux VM上进行安全外壳(SSH)访问的端口22。其他管理和监视工具可能需要规则打开其他端口。

< ">如果要使用ExpressRoute在本地数据中心与Azure之间提供连接，请使用Azure连接工具包(AzureCT)监视和解决连接问题.

< ">可以在以下文章中找到有关监视和管理VPN和ExpressRoute连接的其他信息：

< ">使用Azure和本地VPN实现混合网络体系结构

< ">使用Azure ExpressRoute实施混合网络体系结构

< ">安全注意事项

< ">此参考体系结构实现多个安全级别。

< ">通过Azure防火墙路由所有本地用户请求

< ">网关子网中的用户定义路由阻止所有用户请求，而不是从本地收到的请求。路由会将允许的请求传递给防火墙，如果防火墙规则允许这些请求，则会将这些请求传递给应用程序。可以添加其他路由，但请确保它们不会意外绕过防火墙或阻止用于管理子网的管理流量。

< ">使用NSG阻止/传递应用层之间的流量

< ">各层之间的流量使用NSG进行限制。业务层阻止不是源自Web层的所有流量，而数据层阻止不是源自业务层的所有流量。如果要求扩展NSG规则以允许对这些层进行更广泛的访问，请针对安全风险权衡这些要求。每个新入站通道都表示可能会发生意外或有意的数据泄露或应用程序损坏。

< ">DevOps访问权限

< ">使用AZURE RBAC来限制DevOps可以对每个层执行的操作。授予权限时，请使用最低特权原则。记录所有管理操作并执行定期审核，确保所有配置更改按计划进行。

< ">成本注意事项

< ">使用Azure定价计算器估算成本。其他注意事项，请参阅Microsoft Azure Well-Architected框架的"成本"部分。

< ">下面是在此体系结构中使用的服务的成本注意事项。

< ">Azure防火墙

< ">在此体系结构中，Azure防火墙部署在虚拟网络中，以控制网关的子网与运行应用层的子网之间的流量。通过这种方式，Azure防火墙具有成本效益，因为它用作多个工作负荷所使用的共享解决方案。下面是Azure防火墙定价模型：

< ">每个部署小时的固定费率。

< ">每GB处理的数据支持自动缩放。

< ">与网络虚拟设备进行比较时(Nva)，通过Azure防火墙，可节省多达30-50%的时间。有关详细信息，请参阅Azure防火墙和NVA。

< ">Azure Bastion

< ">Azure堡垒通过RDP和SSH安全连接到虚拟机，而无需在虚拟机上配置公共IP。

< ">堡垒计费相当于配置为jumpbox的基本低级别虚拟机。将堡垒与跳转盒进行比较可以更经济高效地考虑堡垒的内置安全功能，存储和管理单独的服务器不会产生额外的成本。

< ">Azure虚拟网络

< ">Azure虚拟网络是免费的。允许每个订阅在所有区域中最多创建50个虚拟网络。虚拟网络边界内发生的所有流量都是免费的。因此，如果同一VNET中的两个Vm彼此通信，则不会产生任何费用。

< ">内部负载均衡器

< ">位于同一虚拟网络中的虚拟机之间的基本负载均衡是免费的。

< ">在此体系结构中，内部负载均衡器用于对虚拟网络内的流量进行负载均衡。

< ">部署解决方案

< ">GitHub上提供了可实施这些建议的参考体系结构部署。

< ">先决条件

< ">克隆、下载参考体系结构GitHub存储库的zip文件或创建其分支。

< ">安装Azure CLI 2.0。

< ">安装Node和NPM

< ">安装Azure构建基块npm包。

< ">Bash

< ">npm install-g mspnp/azure-building-blocks

< ">在命令提示符、bash提示符或PowerShell提示符下，按如下所示登录到你的Azure帐户：

< ">Bash

< ">az login

< ">部署资源

< ">导航到参考体系结构GitHub存储库的/dmz/secure-vnet-hybrid文件夹。

< ">运行以下命令：

< ">Bash

< ">azbb-s<subscription_i公关运营管理d>-g<resource_group_name>-l<region>-p onprem.json--deploy

< ">运行以下命令：

< ">Bash

< ">azbb-s<subscription_id>-g<resource_group_name>-l<region>-p secure-vnet-hybrid.json--deploy

< ">连接本地网关和Azure网关

< ">此步骤连接两个本地网络网关。

< ">在Azure门户中，导航到创建的资源组。

< ">找到名为ra-vpn-vgw-pip的资源，并复制“概述”边栏选项卡中显示的IP地址。

< ">找到名为onprem-vpn-lgw的资源。

< ">单击“配置”边栏选项卡。在“IP地址”下，粘贴步骤2中获取的IP地址。

< ">单击“保存”并等待操作完成。可能需要大约5分钟。

< ">找到名为onprem-vpn-gateway1-pip的资源。复制“概述”边栏选项卡中显示的IP地址。

< ">找到名为ra-vpn-lgw的资源。

< ">单击“配置”边栏选项卡。在“IP地址”下，粘贴步骤6中获取的IP地址。

< ">单击“保存”并等待操作完成。

< ">若要验证连接，请转到每个网关的“连接”边栏选项卡。状态应为“已连接”。

< ">验证网络流量是否抵达Web层

< ">在Azure门户中，导航到创建的资源组。

< ">找到名为的资源fe-config1-web，它是web层前面的负载均衡器。复制“概述”边栏选项卡中的专用IP地址。

< ">找到名为jb-vm1的VM。此VM表示本地网络。单击“连接”，使用远程桌面连接到VM。用户名和密码已在onprem.json文件中指定。

< ">在远程桌面会话中打开Web浏览器，并导航到步骤2中获取的IP地址。应会看到默认的Apache2服务器主页。