Azure 架构自学笔记

最新推荐文章于 2024-02-20 09:24:31 发布
最新推荐文章于 2024-02-20 09:24:31 发布
阅读量597 收藏 3
点赞数
分类专栏: 云相关内容 文章标签: 网络 网关 路由器 以太网 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012391293/article/details/116982891
版权

官方文档:

https://docs.azure.cn/zh-cn/virtual-network/virtual-networks-overview?toc=/articles/azure-operations-guide/toc.json

主要时介绍Azure网络拓扑结构,资料来自官方文档。

首先介绍结构Azure的概念

Vnet:虚拟网络

  • Azure 资源之间的通信:可以将 vm 和其他几种类型的 Azure 资源部署到虚拟网络,
  • 相互通信:可以将虚拟网络彼此连接,使虚拟网络中的资源能够使用虚拟网络对等互连相互进行通信。 连接的虚拟网络可以在相同或不同的 Azure 区域中。--BGP、VPN
  • 与 Internet 通信:默认情况下,VNet 中的所有资源都可以与 internet 进行出站通信。 可以通过分配公共 IP 地址或公共负载均衡器来与资源进行入站通信。 还可以使用公共 IP 地址或公共负载均衡器来管理出站连接。
  • 与本地网络通信:可以使用VPN 网关ExpressRoute将本地计算机和网络连接到虚拟网络。

VPN网关 :

VPN 网关是特定类型的虚拟网关,用于跨公共 Internet 在 Azure 虚拟网络和本地位置之间发送加密的流量。也可使用 VPN 网关在基于 Microsoft 网络的 Azure 虚拟网络之间发送加密流量。每个虚拟网络只能有一个 VPN 网关。但是,可以创建连接到相同 VPN 网关的多个连接。与同一个 VPN 网关建立多个连接时,所有 VPN 隧道共享可用的网关带宽。

虚拟网关:

虚拟网络网关由两个或多个 VM 组成,这些 VM 部署到所创建的名为“网关子网”的特定子网。虚拟网络网关 VM 包含路由表,并运行特定的网关服务。这些 VM 是在创建虚拟网络网关时创建的。不能直接配置属于虚拟网络网关的 VM。

公共IP:

  • 从 Internet 到资源的入站通信,如 Azure 虚拟机 (VM)、Azure 应用程序网关、Azure 负载均衡器、Azure VPN 网关等。 如果 VM 没有分配有公共 IP 地址,则仍可通过 Internet 与某些资源(如 VM)进行通信,前提是 VM 是负载均衡器后端池的一部分且负载均衡器分配有公共 IP 地址。
  • 使用可预测的 IP 地址与 Internet 建立出站连接。 例如,如果某虚拟机未分配有公共 IP 地址,但其地址由 Azure 网络地址转换为可预测的公共地址,则默认情况下,该虚拟机可与 Internet 建立出站通信。 通过将公共 IP 地址分配给资源,可了解哪个 IP 地址用于出站连接。 尽管可预测,但地址可根据所选分配方法进行更改。

虚拟 WAN:

Azure 虚拟 WAN 是一个网络服务,其中整合了多种网络、安全和路由功能,提供单一操作界面。这些功能包括分支连接(通过 SD-WAN 或 VPN CPE 等虚拟 WAN 合作伙伴设备的连接自动化)、站点到站点 VPN 连接、远程用户 VPN(点到站点)连接、专用 (ExpressRoute) 连接、云内部连接(虚拟网络的可中转连接)、VPN ExpressRoute 互连、路由、Azure 防火墙、专用连接加密。无需所有这些用例即可开始使用虚拟 WAN。可从一个用例开始,并随着情况变化对网络进行调整。

 

v2-ea6a7544d1b15da038279aa81c409214_b.jpg

 

ExpressRoute 概述

可以从任意位置之间的 (IP VPN) 网络、点到点以太网或在共置设施上通过连接服务提供商的虚拟交叉连接来建立这种连接。ExpressRoute 连接不通过公共 Internet 。与通过 Internet 的典型连接相比,ExpressRoute 连接提供更高的可靠性、更快的速度、一致的延迟和更高的安全性。

 

v2-97049c8513cd1c5a1e5f50f8027ede00_b.jpg

ExpressRoute 先决条件和清单

网络要求

  • 每个对等位置的冗余: microsoft 要求在 microsoft 的路由器与每个 ExpressRoute 线路上的对等互连路由器之间设置冗余的 BGP 会话(即使只有一个到云交换的物理连接)。
  • 灾难恢复冗余: Microsoft 强烈建议在不同的对等位置中至少设置两条 ExpressRoute 线路,以避免单点故障。
  • 路由:你或提供商需设置和管理针对路由域的 BGP 会话,具体取决于连接到 Microsoft 云的方式。 某些以太网连接服务提供商或云交换服务提供商可能会以增值服务的形式提供 BGP 管理。
  • NAT:Microsoft 只能通过 Microsoft 对等互连方式接受公共 IP 地址。 如果使用的是本地网络中的专用 IP 地址,你或提供商需使用 NAT将专用 IP 地址转换为公共 IP 地址。
  • QoS:Skype for Business 的各种服务(例如语音、视频、文本)所要求的 QoS 处理方式各有差异。 你和提供商应遵循 QoS 要求
  • 网络安全:通过 ExpressRoute 连接到 Microsoft 云时,应考虑网络安全

ER拓扑逻辑

 

v2-650f03c3a0f2376edd41bbb133310472_b.jpg
  1. 客户计算设备(例如服务器或电脑)
  2. CE:客户边缘路由器
  3. PE(面向 CE):提供商边缘路由器/交换机,面向客户边缘路由器。 本文档中称为“PE-CE”。
  4. PE(面向 MSEE):提供商边缘路由器/交换机,面向 MSEE。 本文档中称为“PE-MSEE”。
  5. MSEE:Microsoft 企业边缘 (MSEE) ExpressRoute 路由器
  6. 虚拟网络 (VNet) 网关
  7. Azure VNet 上的计算设备

网络安全组:

可以使用 Azure 网络安全组来筛选进出 Azure 虚拟网络中的 Azure 资源的网络流量。网络安全组包含安全规则,这些规则可允许或拒绝多种 Azure 资源的入站和出站网络流量。可以为每项规则指定源和目标、端口以及协议。本文介绍了网络安全组规则的属性、应用的默认安全规则,以及可以修改以创建扩充安全规则的规则属性。

Azure 拓扑

 

v2-6ea14cc2662b238a40fc7870e0ad7453_b.jpg

拓扑是自己基于文档的理解,有什么不对的地方,欢迎大家指出,可在评论留言。

 

 

v2-66c4fd2c159bcca511aad9b9ccb1266d_b.jpg

 

Azure 最佳架构安全评估 - 网络
qq_24550639的博客
08-05 943
Azure 最佳架构安全评估 - 网络安全 保护资产的最近本保障是控制好Azure上的网络流量,Azure的资源和本地资源之间的流量,进出Azure的流量。如果网络没有相应的安全防护,那么环境就很容易受到黑客攻击,比如公网IP的扫描。正确的网络安全控制可以很好地检测、控制、组织攻击者的攻击。 网络安全评估Checklist 进行网络划分,对每个划分的网络分区建立安全的通信连接。将网络划分和整个企业的划分策略相一致。 涉及安全管控来确保允许和阻止的网络流量,访问请求和应用程序通信,不同网络分区之间怎么实现这
Azure 架构师学习笔记】- Azure Private Endpoint
最新发布
MVP黄钊吉(發糞塗牆)
03-07 1470
公有云的其中一个特点是默认允许公网访问, 这就对企业环境带来风险,也是很多年前企业对公有云抵触的其中一个原因,现在这类问题已经很少,因为有了很多技术来确保云上的资源被安全地访问。其中Private endpoint(PE)就起到了很重要的作用。云上的某个资源如VM会创建在特定的网络(VNet/Subnet)上, 而其他如Storage Account , Azure SQL等PaaS服务则没有。如果你需要用VM 来访问这些PaaS资源,VM 就会通过资源的公网IP 来访问。
通过MicrosoftAzure服务设计网络架构的经验分享
03-01
本文从产品设计和架构角度分享了MicrosoftAzure网络服务方面的使用经验,希望你在阅读本文之后能够了解这些服务之间,从而更好地设计你的架构。MicrosoftAzure网络架构特别针对企业私有云和混合云进行了设计,其中包含三个常用的服务:1.虚拟网络(VirtualNetwork):连接本地网络与云端基础设施2.流量管理器(TrafficManager):将用户流量分配到不同的数据中心3.名称解析服务(DNS):使用内部主机名作为云服务的解析下面,我将着重介绍使用这三个服务时需要注意的地方,以及使用MicrosoftAzure网络服务时需要注意的一些其他方面,比如站点对站点VPN的安
验证 ExpressRoute 连接
zangdalei的专栏
11-16 697
ExpressRoute 可以通过经连接提供商加速的专用连接将本地网络扩展到 Microsoft 云中,涉及以下三个不同的网络区域: 客户网络 提供商网络 Azure 数据中心 本文档的目的是帮助用户确定存在连接问题的位置和区域(或者只是单纯地确定是否存在连接问题),从而向相应的团队寻求帮助,解决问题。如果需要 Azure 的支持才能解决问题,请开具一张 Azure 支持部门的支持票证。
通过Microsoft Azure服务设计网络架构的经验分享
cpongo5
04-08 381
本文从产品设计和架构角度分享了Microsoft Azure网络服务方面的使用经验,希望你在阅读本文之后能够了解这些服务之间,从而更好地设计你的架构。\Microsoft Azure网络架构特别针对企业私有云和混合云进行了设计,其中包含三个常用的服务:\虚拟网络(Virtual Network):连接本地网络与云端基础设施\ 流量管理器(Traffic Manager):将用户流量分配到不...
Windows Azure 如何学习Azure
weixin_30652491的博客
07-22 587
通过上一篇博文可以得知,Azure其实是个平台,上面跑的服务五花八门,可以相互分开使用,同时也可以相互结合。 那我们应该如何来学习Azure? 其实有很多种选择,正所谓条条大路通罗马, 官方的training kit 提供了五种选择分别是: Web Site,Virtual Machine,Cloud Service, Building Block Services,Mobile 详情可...
Windows Azure架构分析概述
chengjingdeni的专栏
08-07 2007
<br />    Windows Azure是由微软所发展的一套云计算操作系统,用来提供云在线服务所需要的操作系统与基础存储与管理的平台,是微软的云计算的内核组成组件之一,以及微软在线服务策略的一部份。 <br /><br />图1 Windows Azure Logo<br />  一、概述<br /><br />Windows Azure(以及Azure服务平台)由微软首席软件架构师雷·奥兹在2008年10月27日于2008年在微软年度的专业开发人员大会中发表,并于在2010年2月正式开始商业运转 (
AzureAzure学习方法和学习资料
weixin_30549657的博客
02-18 408
学习方法: DEX为入门培训,fundamental book进阶材料,Azure 官方为补充权威材料,网站一些大拿的Blog是很多实践精华,推荐阅读。 推荐教材和学习内容: EDX培训:http://openedx.microsoft.com Fundamental book:Fundamental Book 链接: https://pan.baidu.c...
Azure 架构师学习笔记】- Azure Databricks (1) - 环境搭建
MVP黄钊吉(發糞塗牆)
11-30 1889
Databricks 已经成为了数据科学的必备工具,今时今日你已经很难抛开它来谈大数据,它常用于做复杂的ETL中的T, 数据分析,数据挖掘等,特别适用于做数据建模,机器学习等。那么顺应时代,现在也来看看这个工具的内容。首先要有一个环境,基于Azure 的Databricks简称ADB。托管在Azure 上的Databricks已经被Azure进行了很大的优化, 在搭建时只需要简单的几步即可拥有一个环境,不过要提醒一句ADB的集群并不便宜,用完马上删掉或停止, 否则一晚过百美金就会烧掉。
Azure 架构师学习笔记】- Azure Databricks (6) - 配置Unity Catalog
MVP黄钊吉(發糞塗牆)
01-15 1582
本文属于。本文属于【Azure Databricks】系列。接上文。
Azure 架构师学习笔记】- Azure Databricks (8) --UC架构简介
MVP黄钊吉(發糞塗牆)
02-20 899
UC 简单来说,就是管理两样东西:用户和元存储。
Azure 架构师学习笔记】-Azure Data Factory (5)-Managed VNet
MVP黄钊吉(發糞塗牆)
03-28 826
PaaS服务默认都经过公网传输, 这对很多企业而言并不安全,那么就需要对其进行安全改造,本文介绍一下ADF 在这方面的内容。当我们需要用ADF 访问SQL DB 时,如何使用更加安全?如果有一定ADF 基础的人可能知道ADF 可以使用SHIR,和Azure IR两种主流方式, SHIR 基于VM ,IaaS是可以通过网络配置使其私有化,更加安全。对于Azure IR,默认使用Internet。
Azure 基础知识学习
weixin_43752834的博客
03-23 368
描述Azure的核心体系结构组件开始使用Azure账户描述Azure计算和网络服务描述Azure存储服务描述Azure标识、访问权限和安全性插入零散知识点使用命令行切换到Azure门户1、打开命令提示符或PowerShell终端。在Windows上,您可以通过按下键,然后输入“cmd”或来打开这些终端2、在命令提示符或PowerShell终端中,输入以下命令az login这将启动一个交互式登录过程,在该过程中,您需要输入Azure帐户的凭据以登录到Azure
Microsoft Azure网站架构
btest_01的专栏
10-23 1487
Azure网站的顶层架构 微软在每个数据中心都部署有Azure网站系统。根据用户数量,数据中心可用机器容量等,在每个数据中心部署有不同数量的部署单元。每个部署单元都是包含完整Azure网站功能的独立系统,每个部署单元之间是相互独立的。下图描述了Azure网站的顶层架构。 同一个Azure订阅下的,属于同一个数据中心的所有网站都在一个部署单元中,不会分散到不同的部署单元。比如,Sky在香
azure 架构选择
我的英文站点:https://iorilan.medium.com/
07-15 2225
azure 架构选择
云安全架构连载之一-Azure整体架构及安全亮点详解
标梵互动
02-04 2525
目的 其实说心里话做了这么多年云安全,对于国外三大云厂商(AWS、Azure、GCP)的实际关注点一直在变化。看来看去觉得未来安全上能有比较大作为的还是Azure,根本原因有很多,包括Azure Active Directory的身份联动、安全产品的丰富度、Office远程办公安全、ToB的安全基因、安全研发SDL体系等。回归本着能改变云安全,为云安全贡献一份力量和能够推动整个云安全发展的角度还是决定重新开启这个公众号,把自己的一些研究成果推送业界,能够帮助业界的云安全水位提升,把国内外云安全做的比较好的和
ZA303学习笔记八管理Azure的工作量(迁移,灾难恢复)
weixin_43258559的博客
01-20 831
管理Azure的工作量使用Azure迁移工具管理WorkloadsAzure Migrate迁移评估和迁移:在Azure Migrate中心内,可以评估和迁移以下项目:定义云迁移的目标,评估架构选择迁移的方法迁移的方案评估云迁移的方案Azure Migrate发现过程:Vmware复制的工作原理Vmware复制的过程Hyper-v复制的工作原理Hyper-v复制的过程有无代理迁移比较Azure备份Azure备份具有以下主要优势:(使用的是Blob)创建恢复数据保管库部署灾难恢复灾难恢复备份恢复四种模式部署A
Azure architecture 架构
Warren Lynch 的博客
05-18 5533
微软Azure是一个开放的云计算平台,由微软设计。它提供了在分布式数据中心上开发和启动应用程序和存储数据的能力。Azure于2008年10月宣布,2010年2月1日发布为“Windows Azure”,2014年3月25日更名为“微软Azure”。微软Azure(以前的Windows Azure)是由微软创建、测试、部署和管理应用程序和服务的云计算服务,通过微软管理的数据中心的全球网络。它提供软件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

期待未来的男孩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值