通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 登陆区域中的 Azure 虚拟网络管理器

本文介绍如何使用虚拟网络管理器实施 Azure 登陆区域设计原则,以适应大规模应用程序迁移、现代化和创新。 Azure 登陆区域概念体系结构建议两种网络拓扑之一:基于 Azure 虚拟 WAN 的网络拓扑或基于传统中心辐射体系结构的网络拓扑。

可以使用虚拟网络管理器来扩展和实现网络更改,因为业务需求随时间的变化,例如,如果需要混合连接才能将本地应用程序迁移到 Azure。 在许多情况下,可以扩展和实现网络更改,而不会中断 Azure 中部署的资源。

可以使用虚拟网络管理器跨订阅为现有虚拟网络和新虚拟网络创建三种类型的 拓扑

  • 中心辐射型拓扑
  • 网格拓扑(预览版)
  • 中心-边缘架构,具有边缘节点之间的直接连接

显示 Azure 虚拟网络拓扑的图示。

虚拟网络管理器支持专用预览版中的虚拟 WAN。

在虚拟网络管理器中,采用中心辐射型拓扑的网络具有直接连接的特点,辐射端可以直接彼此连接。 连接组功能自动和双向启用同一网络组中分支虚拟网络之间的直接连接。 两个连接的组可以具有相同的虚拟网络。

可以使用虚拟网络管理器以静态方式或动态将虚拟网络添加到特定 网络组。 将虚拟网络添加到特定的网络组,以根据虚拟网络管理器中的连接配置定义和创建所需的拓扑。

可以创建多个网络组来隔离虚拟网络组与直接连接。 每个网络组都为节点到节点的连接提供相同的区域和多区域支持。 保持在虚拟网络管理器定义的限制范围内。 有关详细信息,请参阅 虚拟网络管理器常见问题解答

从安全的角度来看,虚拟网络管理器提供了一种有效的方式来应用 安全管理员规则 ,这些规则可集中拒绝或允许流量流,而不管网络安全组(NSG)中定义的规则如何。 此功能允许网络安全管理员强制实施访问控制,并使应用程序所有者能够在 NSG 中管理自己的较低级别规则。

可以使用虚拟网络管理器对虚拟网络进行分组。 然后,可以将配置应用于组,而不是将配置应用到单个虚拟网络。 使用此功能可以同时管理连接、配置和拓扑、安全规则以及部署到一个或多个区域,而不会丢失精细的控制。

你可以按环境、团队、位置、业务线或满足你的需求的一些其他功能来细分网络。 若要静态或动态定义网络组,请创建一组控制组成员身份的条件。

设计注意事项

  • 在传统的中心辐射型部署中,手动创建和维护虚拟网络对等连接。 虚拟网络管理器引入了虚拟网络对等互连的自动化层,这使得大型和复杂的网络拓扑(例如网格)更易于大规模管理。 有关详细信息,请参阅 网络组概述

  • 各种业务功能的安全要求决定了创建网络组的需求。 网络组是手动或通过条件语句选择的一组虚拟网络。 创建网络组时,需要指定策略,或者如果显式允许该策略,则虚拟网络管理器可以创建策略。 此策略使虚拟网络管理器能够收到有关更改的通知。 若要更新现有的 Azure 策略计划,需要将更改部署到虚拟网络管理器资源中的网络组。

  • 若要设计适当的网络组,应评估网络的各个部分共享常见的安全特征。 例如,可以为企业和在线创建网络组,以大规模管理其连接和安全规则。

  • 当组织订阅中的多个虚拟网络共享相同的安全属性时,可以使用虚拟网络管理器有效地应用它们。 例如,应将所有业务部门(如 HR 或财务)使用的所有系统放在单独的网络组中,因为需要向其应用不同的管理规则。

  • 虚拟网络管理器可以集中应用安全管理员规则,这些规则的优先级高于子网级别的 NSG 规则。 (此功能为预览版)。此功能使网络和安全团队能够有效地强制实施公司策略并大规模创建安全防护措施。 它还使产品团队能够同时在其着陆区域订阅中维护对 NSG 的控制权。

  • 可以使用虚拟网络管理器 安全管理员规则 功能显式允许或拒绝特定网络流,而不考虑子网或网络接口级别的 NSG 配置。 例如,可以使用此功能始终允许管理服务网络流。 应用程序团队控制的 NSG 无法替代这些规则。

设计建议

  • 定义 虚拟网络管理器的范围。 安全管理员策略应用于根管理组或租户,以强制实施组织级规则。 此策略分层地将规则自动应用于现有资源、新资源和所有关联的管理组。

  • 在连接订阅中创建包含中间根管理组 范围 (例如 Contoso)的虚拟网络管理器实例。 在此实例上启用安全管理员功能。 此配置允许你定义在 Azure 登陆区域层次结构中的所有虚拟网络和子网中应用的安全管理员规则,并帮助将 NSG 民主化为应用程序登陆区域所有者和团队。

  • 通过静态方式(手动过程)或动态方式(基于策略的过程)来分段虚拟网络。

  • 当所选辐射之间需要频繁通信,要求低延迟和高吞吐量时,并且需要相互通信,同时需要访问中心内的公用服务或网络虚拟设备(NVA),可启用辐射之间的直接连接。

  • 当跨区域的所有虚拟网络需要相互通信时启用全局网格。

  • 为规则集合中的每个安全管理员规则分配优先级值。 值越低,规则优先级越高。

  • 无论应用程序团队控制的 NSG 配置如何,都使用 安全管理员规则 显式允许或拒绝网络流。 使用安全管理员规则将 NSG 的控制及其规则完全委托给应用程序团队。

后续步骤

自动管理用户定义的路由(UDR)

  • Last updated on