Azure虚拟网络路由最佳实践

已于 2024-04-19 15:04:52 修改
阅读量599 收藏 14
点赞数 24
文章标签: azure 网络 安全
于 2024-04-18 16:54:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42196283/article/details/137927931
版权

在今天的企业网络架构设计中,连接云端和地面网络常采用ExpressRoute或VPN等技术。为了保障网络安全,我们通常需要让所有的网络流量通过防火墙。这样做不仅可以对流量进行严格的审查,确保安全,还可以进行SSL解密等操作,以便深入监控和管理网络流量。此外,根据不同的业务需求,我们还需要为不同的云端子网和地面网络设计精细的路由策略。本文档将通过分析不同的网络布局场景,帮助我们设计出既安全又高效的网络路由方案,从而降低维护成本,确保业务流畅运行。

具体应用场景如下:

  •  场景1: 在Hub-Spoke架构中,同一Spoke虚拟网络的同一子网内的虚拟机(VM)互相访问时,不需要通过Hub的防火墙进行审计。但如果是不同子网内的VM互相访问,则必须通过防火墙进行审计。
  •  场景2: 同样在Hub-Spoke架构中,虽然同一子网内的VM互访不需防火墙审计,但不同Spoke虚拟网络间的多数子网内VM互访需要通过防火墙,少数互访可不经过防火墙,这样做可以减少网络延迟。
  •  场景3: 在Hub-Spoke结合本地数据中心(IDC)的架构中,除了保持前两个场景的规则外,来自不同Spoke虚拟网络子网的VM与本地IDC间的互访也遵循同样原则,即大多数情况需经过防火墙审计。
  •  场景4: 当所有Spoke间的VM互访都需要经过防火墙时,我们还需确保这种设置不会影响到VM之间正常的出站访问,尤其是当涉及到必须通过固定出站地址以满足第三方服务的白名单要求时。

主要依赖的网络服务:

  • Vnet — 虚拟网络

  • Subnet — 虚拟网络子网

  • UDR — User Define Routings用户自定义路由

  • NVA FW — 防火墙(Ingress = 10.0.1.1)

  • ER — ExpressRoute专线

  • ER GW — ExpressRoute虚拟网络网关

  • RT — Route Table路由表

  • IDC — On-prem本地网络(172.16.0.0/16,172.17.0.0/16)

  • Peerings — 虚拟网络对等互联

  • Hub — 中心网络区域

  • Spoken — 业务网络区域

  • Load Balance — 四层标准内部负载均衡
  • NAT GW — NAT网关
     

====场景1:

背景需求: 在同一虚拟网络 (VNet) 内,需要实现不同子网间的流量通过防火墙 (FW) 路由,而同一子网内的流量则不通过防火墙直接交互。这样的配置旨在强化安全性同时优化网络流量管理。

配置方案示例: 以 Vnet1/Subnet1 的路由表 RT 11 为例,我们对地址范围 10.1.0.0/16 设置用户定义路由 (UDR),指向防火墙的入口接口。此路由优先级高于默认虚拟网络路由,将原本指向虚拟网络的流量导向防火墙,从而覆盖并使默认的 10.1.0.0/16 路由失效。此外,针对每个子网,我们分别设置以下路由以实现细粒度的流量控制:

  • 跨子网访问(通过防火墙):地址前缀 10.1.0.0/16,下一跳类型为网络虚拟设备 (NVA),下一跳 IP 为防火墙 IP。
  • 同子网内部访问(不经过防火墙):地址前缀 10.1.1.0/24,下一跳类型为虚拟网络。

优势: 该配置极大简化了大规模虚拟网络环境中的路由管理。在含有多个子网的环境下,传统需为每个子网间互相配置复杂的过防火墙路由。本方案通过设定三条基本路由规则,即可实现全网络的高效流量控制,显著降低运维成本。

No.SourceStateAddress PrefixesNext Hop TypeNext Hop IP AddressUser Defined Route Name
1DefaultInvalid10.1.0.0/16Virtual network
2UserActive10.1.0.0/16Virtual appliance10.0.1.1RT_InsideVnet1
3UserActive10.1.0.0/24Virtual networkRT_Local

====场景2:

背景需求: 在两个通过 peering 关系连接的虚拟网络之间,大部分子网间通信需要通过防火墙 (FW) 进行安全过滤,以确保网络交互的安全性。然而,某些特定子网间,如 Vnet1 的 Subnet1 与 Vnet2 的 Subnet1,需要不经过防火墙,直接通过peering(system routing)通信

配置方案示例(无法实现):

  • Vnet1/Subnet1 的路由配置 (RT 11):

    • 针对 Vnet2 的整体流量安全管理:将地址前缀 10.2.0.0/16 的流量指定下一跳为网络虚拟设备 (NVA) 防火墙。这一配置覆盖了默认路由(如路由表 RT 1 中第四条默认路由),使其变为无效,从而增强了跨网络的安全控制。
    • 对 Vnet2/Subnet1 的无防火墙访问:无法通过更精细的用户定义路由 (UDR) 实现,如 RT 1 中第六条路由所示,虽然/24 子网掩码的具体性高于 /16,但路由表下一条中是没有Vnet peering这个选项,只有Virtual Network,如果配置了Vnet,实际路由表里体现出的下一条是None,也就是Virtual Vnet这个service tag在此场景只包含本Vnet,不包含Peering Vnet,固无法实现

  • Vnet2/Subnet1 的路由配置 (RT 21):

    • 针对 Vnet1 的整体流量安全管理:设置地址前缀 10.1.0.0/16 的路由,下一跳指向 NVA 防火墙,以确保数据流的全面安全。
    • 对 Vnet1/Subnet1 的无防火墙访问:同理可得无法实现

RT 1

No.SourceStateAddress PrefixesNext Hop TypeNext Hop IP AddressUser Defined Route Name
1DefaultInvalid10.1.0.0/16Virtual network
2UserActive10.1.0.0/16Virtual appliance10.0.1.1RT_InsideVnet1
3UserActive10.1.0.0/24Virtual networkRT_Local
4DefaultInvalid10.2.0.0/16Virtual peering
5UserActive10.2.0.0/16Virtual appliance10.0.1.1RT_PeeredVnet2
6UserActive10.2.1.0/24Virtual Network(下一条会变成None)
Virtual peering(无法配置)

RT 2

No.SourceStateAddress PrefixesNext Hop TypeNext Hop IP AddressUser Defined Route Name
1DefaultInvalid10.2.0.0/16 Virtual network
2UserActive10.2.0.0/16 Virtual appliance10.0.1.1RT_InsideVnet2
3UserActive10.2.1.0/24Virtual networkRT_Local
4DefaultInvalid10.1.0.0/16Virtual peering
5UserActive10.1.0.0/16Virtual appliance10.0.1.1RT_PeeredVnet1
6UserActive10.1.1.0/24Virtual Network(下一条会变成None)
Virtual peering(无法配置)

配置方案示例(可以实现):

  • Vnet1/Subnet1 的路由配置 (RT 11):

    • 针对 Vnet2 的整体流量安全管理:将地址前缀 10.2.0.0/16 的流量指定下一跳为网络虚拟设备 (NVA) 防火墙,需拆分Vnet1不同子网到Vnet2不同子网分别做指向NVA FW路由
    • 若Vnet1/Subnet1到Vnet2/Subnet1不需要经过NVA FW,则不需要做指向NVA FW的路由,依靠Default Vnet Peering系统路由即可通信

  • Vnet2/Subnet1 的路由配置 (RT 21):

    • 针对 Vnet1 的整体流量安全管理:设置地址前缀 10.1.0.0/16 的路由,需拆分Vnet2不同子网到Vnet1不同子网分别做指向NVA FW路由,作为回包路由
    • Vnet2/Subnet1到Vnet1/Subnet1不需要经过NVA FW,依靠系统路由回包即可
       

结论:通常情况下,我们会要求两个不同spoken vnet之间(子网之间)都经过Hub NVA FW通信,但此场景只能两个Vnet之间1对1的subnet之间做指向NVA FW的路由,无法做缺省配置,因为UDR路由表中只能定义Virtual Network作为下一条,无法定义Vnet peering,但配置了Virtual Network作为下一条后,路由表实际显示是None,无法与peering vnet通信,所以无法实现此场景,但可以用缺省配置实现大部分Vnet之间子网通过Vnet Peering互访,极少部分Subent之间通过NVA FW互访。

====场景3:

  • 需求1:云上与本地IDC之间访问的时候,大多数虚拟网络子网访问IDC网络经过FW再经过ExpressRoute,个别有某个子网访问特定的IDC网段不经过FW,只经过ExpressRoute访问,假设Vnet1/subnet1访问IDC 1网段不经过FW,访问IDC 2网段经过FW,其余网段互访都需要经过FW
  • (开启Propagate gateway routes时) 配置方案:
    • Vnet1/subnet1 路由表RT 11:
      • 访问IDC地址段1不经过FW: 无需额外配置,BGP Default路由自动宣告到Vnet 1,靠宣告路由即可到达ExpressRoute GW而不去FW
      • 访问IDC地址段2经过FW: 172.17.0.0/16 Next Hop: NVA FW
    • Vnet1/subnet2以及Vnet2所有subnets 路由表:
      • 访问IDC两个地址段:172.16.0.0/16 和 172.17.0.0/16  Next Hop: NVA FW
    • Gateway Subnet 路由表RT GW:
        • IDC地址段1回包Vnet1/subnet1:无需额外配置,靠Vnet Peering可回包
        • IDC地址段2回包Vnet1/subnet1:此条无法实现,因为Azure路由表无法针对原地址筛选路由流量,如配置去往Vnet1/subnet1的回包经过FW,会影响第一条,即Vnet/subnet1无法从GW直接收到回包,回包会变为从GW发回,异步路由导致无法通信
        • IDC地址段2回包Vnet1/subnet2以及Vnet2所有subnets:无需额外配置,靠Vnet Peering可回包
           

  • (关闭Propagate gateway routes时) 配置方案:同理可得,也无法实现

结论Spoke跟IDC之间,无法实现一个subnet跟特定IDC网段之间是否经过FW(原因是路由表上无法配置源地址,从IDC回来的数据包在GW路由表上无法按IDC网段区分)

  • 需求2:云上与本地IDC之间访问的时候,大多数虚拟网络子网访问IDC网络经过FW再经过ExpressRoute,个别有某个子网访问特定的IDC网段不经过FW,只经过ExpressRoute访问,假设Vnet1/subnet1访问所有IDC网段都不经过FW,其余网段互访都需要经过FW
     
  • (开启Propagate gateway routes时) 配置方案:
    • Vnet1/subnet1 路由表RT 11:
      • 访问IDC所有地址段:无需额外配置,BGP路由自动宣告给Vnet/subnet1
    • Vnet1/subnet2以及Vnet2所有subnets 路由表:
      • 访问IDC所有地址段:172.16.0.0/16 和 172.17.0.0/16  Next Hop: NVA FW
    • IDC所有网段路由表:无需额外配置,开启PGR时Azure会自动宣告BGP Vnet网段到本地IDC
    • Gateway Subnet 路由表RT GW:
      • IDC所有地址段回包Vnet1/subnet1:无需额外配置,靠Vnet Peering可回包
      • IDC所有地址段回包Vnet1/subnet2以及Vnet2所有subnets:Next Hop: NVA FW,之后由FW回包
  • (关闭Propagate gateway routes时) 配置方案:
    • Vnet1/subnet1 路由表RT 11:
      • 访问IDC所有地址段:172.16.0.0/16 和 172.17.0.0/16  Next Hop: VirtualNetwork GW
    • Vnet1/subnet2以及Vnet2所有subnets 路由表:
      • 访问IDC所有地址段:172.16.0.0/16 和 172.17.0.0/16  Next Hop: NVA FW
    • IDC所有网段路由表:
      • 访问Vnet1和Vnet2所有地址段: Next Hop: IDC Edge Route (本地需配置往Azure网段路由发往ExpressRoute Private Peering Tunnel即可)
    • Gateway Subnet 路由表RT GW:
      • IDC所有地址段回包Vnet1/subnet1:无需额外配置,靠Vnet Peering可回包
      • IDC所有地址段回包Vnet1/subnet2以及Vnet2所有subnets:Next Hop: NVA FW,之后由FW回包

结论可以实现,因为只有Vnet1/subnet1与本地IDC网段之间只经过ExpressRoute,而不经过FW,其余网段互访,去包回包都可通过UDR改变流量指向,使其经过FW通信,不会产生异步路由

====场景4:

  • 需求1:在所有Spoken Vnet虚拟网络之间无对等链接的情况下,确保所有出站流量通过指定的固定防火墙IP进行,同时根据业务需求防止Spoken虚拟网络之间的互相访问。
  • 配置方案:
    • Vnet1/subnet1 路由表RT 11:
      • 访问Internet时经过FW: 0.0.0.0/0 Next Hop: Load Balance Front-end IP
    • Vnet2/subnet1 路由表RT 21:LB配置:后端为Hub NVA FW
      • 访问Internet时经过FW: 0.0.0.0/0 Next Hop: Load Balance Front-end IP
    • NVA FW 路由表:0.0.0.0 Next Hop:Virtual Network

假设Vnet1/subnet1里VM1访问Vnet2/subnet2里VM2,此时流量:

VM1 >> (Subnet1 Gateway) >> LB Front-end >> LB Back-end(Hub NVA FW) >> (Subnet2 Gateway) >> VM2 >> (Subnet2 Gateway) >> LB Front-end >> LB Back-end(Hub NVA FW) >> (Subnet1 Gateway) >> VM1

异步路由导致回包异常,无法访问,从而阻断VM1与VM2之间访问,同理可得虚拟网络Vnet1与虚拟网络Vnet2之间所有VM均无法互访

  • 需求2:在所有Spoken Vnet虚拟网络之间无对等链接的前提下,除确保固定防火墙出站IP访问外,还需实现对应业务之间的相互访问能力。
  • 配置方案:
    • Vnet1/subnet1 路由表RT 11:
      • 访问Internet时经过FW: 0.0.0.0/0 Next Hop: NVA FW 
    • Vnet2/subnet1 路由表RT 21:LB配置:后端为Hub NVA FW
      • 访问Internet时经过FW: 0.0.0.0/0 Next Hop: NVA FW 
    • NVA FW 路由表:0.0.0.0 Next Hop:Virtual Network

假设Vnet1/subnet1里VM1访问Vnet2/subnet2里VM2,此时流量:

VM1 >> (Subnet1 Gateway) >> Hub NVA FW >> (Subnet2 Gateway) >> VM2 >> (Subnet2 Gateway) >> Hub NVA FW >> (Subnet1 Gateway) >> VM1

去包回包是相同设备发出,不会产生异步路由,所以可以互访,在这个基础上,如要实现不同业务虚拟网络Vnet访问,部分子网过NVA FW互访,部分子网基于虚拟网络对等peering互访,请参考场景2

  • 需求3:在所有Spoken Vnet虚拟网络之间没有任何peering对等链接的情况下,既保证所有虚拟网络Vnet业务VM固定防火墙出站IP访问,又可以让部分特殊子网可以访问其他子网,但其他子网无法访问特殊子网,如Vnet1/subnet1为Application Web子网,Vnet2/subnet2为Application DB子网,我们只允许Web子网主动访问DB子网,但不允许DB子网主动访问Web子网。
  • 配置方案:
    • Vnet1/subnet1 路由表RT 11:
      • 访问Internet时经过FW: 0.0.0.0/0 Next Hop: NVA FW 
    • Vnet2/subnet1 路由表RT 21:
      • 访问Internet时经过FW: 0.0.0.0/0 Next Hop: Load Balance Front-end IP
    • LB配置:后端为Hub NVA FW
    • NVA FW 路由表:0.0.0.0 Next Hop:Virtual Network

假设Vnet1/subnet1里VM1访问Vnet2/subnet2里VM2,此时流量:

Web子网到DB子网:VM1 >> (Subnet1 Gateway) >> Hub NVA FW >> (Subnet2 Gateway) >> VM2 >> (Subnet2 Gateway) >>LB Front-end >> LB Back-end(Hub NVA FW) >> (Subnet1 Gateway) >> VM1

DB子网到Web子网:VM2 >> (Subnet2 Gateway) >> LB Front-end >> LB Back-end(Hub NVA FW) >> (Subnet1 Gateway) >> VM1 >> (Subnet1 Gateway) >> Hub NVA FW >> (Subnet2 Gateway) >> VM2

后者异步路由,无法主动发起访问,因为DB子网发起的数据包无法从LB回给Web子网,但前者可以访问,因为Web子网发包到DB子网,Next Hop是NVA FW,经过一系列网路,数据包最后也是从NVA FW回给Web子网的,所以可以访问。

联蔚盘云
关注
  • 24
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
博客
Lianwei 安全周报|2024.06.03
06-03 608
为深入落实《“十四五”国家信息化规划》《国家标准化发展纲要》任务部署,近日,中央网信办、市场监管总局、工业和信息化部联合印发《信息化标准建设行动计划(2024—2027年)》(以下简称《行动计划》),要求加强统筹协调和系统推进,健全国家信息化标准体系,提升信息化发展综合能力,有力推动网络强国建设。5月28日,OpenAI表示,已成立了一个由首席执行官奥特曼等董事会成员领导的安全委员会,并已开始训练新人工智能模型,以取代其ChatGPT聊天机器人目前所依赖的GPT-4系统。
博客
如何处理网安发出的网络安全监督检查限期整改通知
05-27 392
近期,很多客户都收到了网安发出的限期整改通知。大家都比较关心的问题是,如何应对处理这些限期整改通知。后续是否有其他的影响,需要如何做进一步的优化整改和调整。今天就这些问题给大家做一些分享。
博客
Lianwei 安全周报|2024.05.27
05-27 712
为引导工业和信息化领域数据处理者规范开展数据安全风险评估工作,提升数据安全管理水平,维护国家安全和发展利益,保障国家关键信息基础设施的安全稳定,推动数字经济的健康发展,工业和信息化部根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律,按照《工业和信息化领域数据安全管理办法(试行)》有关要求,印发了《工业和信息化领域数据安全风险评估实施细则(试行)》,自 2024 年 6 月 1 日起正式施行。IDC 预测,到 2027 年,中国网络安全硬件市场规模将达到 364 亿人民币。
博客
AI大模型知识库与向量数据库:解锁智能问答新时代
05-23 168
无论是大型企业还是初创公司,我们都能为你提供全方位的支持和服务,帮助你在数字化时代中取得更大的成功。想象一下,当你输入一个问题或查询时,系统能够迅速理解你的意图,并给出精准的回答。这样,系统就能更准确地捕捉你的需求,为你提供定制化的答案。随着AI技术的飞速发展,我们的世界正在经历一场前所未有的智能化变革。在这个变革中,AI大模型知识库与向量数据库的完美结合,为知识查询和用户问答领域带来了全新的体验。每个人的需求都是独特的,而基于AI大模型知识库与向量数据库的智能问答系统能够为你提供个性化的服务。
博客
如何设计与构建企业IT数字化运维体系与目标
05-23 743
设计与构建企业IT数字化运维体系需要全面规划,从明确目标、设计架构、选择工具、制定流程到实施与优化,每一步都需要细致入微。同时,通过细化和量化运维目标,可以更好地监控和评估运维工作的效果,确保体系的高效运行和持续改进。只有将运维体系与企业整体战略紧密结合,才能真正发挥其价值,助力企业实现数字化转型目标。
博客
基于Backstage平台工程探索
05-23 401
平台工程是一门设计和构建工具链和工作流的学科,这些工具链和工作流为云原生时代的软件工程组织提供自助服务功能。开发人员提供软件的实体信息,对于平台工程师来说,它允许您轻松地集成新的工具和服务(通过插件),并扩展现有工具和服务的功能,从而实现可扩展性和可扩展性。对每个人来说,这是一种单一、一致的体验,将所有基础设施工具、资源、标准、所有者、贡献者和管理员连接在一个地方。是一个用于构建开发人员门户的开源框架,统一了所有基础设施工具、服务和文档,以创建端到端的简化开发环境,由。中获得一个漂亮的文档站点。
博客
数据资产与会计分类
05-23 137
数据资源能否被确认为资产,需要依据《企业会计准则 -基本准则》 (财政部令第33 号)第二十条“资产是指企 业过去的交易或者事项形成的、由企业拥有或者控制的、 可能会给企业带来经济利益的资源”的规定来判断。企业将一项资源在会计上确认为一项资产,既要符合基本准则有关资产的定义,还应同时满足以下两个条件:1. 预期与该资源有关的经济利益流入企业2. 该资源的成本或者价值能够可靠地计量。
博客
Azure CPP和RI购买策略的差异分析
05-22 259
CPP:通常指的是在Azure上购买和使用云服务资源的标准方式,包括按需付费(Pay-as-you-go)和短期承诺(如1个月或3个月的预留)。这种策略允许客户根据实际需求快速部署和扩展资源,无需长期承诺。RI:Azure预留实例是一种折扣购买选项,允许客户以较低的价格提前购买Azure计算资源的承诺期限(通常为1年或3年)。通过预留实例,客户可以锁定较低的价格,并减少长期运行工作负载的总成本。
博客
自动化运维(AIOps): 现代IT管理的革命
05-22 482
在此背景下,自动化运维(AIOps)应运而生,通过自动化和机器学习技术,帮助企业更高效地管理和维护 IT 系统。企业应该认识到,投资这些新技术和培训员工是至关重要的,以便更好地利用 AIOps 的潜力。未来,我们将看到更先进的机器学习技术和更加智能的自动化工具的出现。,或自动化运维,是利用大数据分析、机器学习(ML)和人工智能(AI)等技术,增强和优化传统 IT 运维活动的方法。提升运维效率:利用机器人流程自动化(RPA)和无缝的自动化流程,企业大幅减少了日常运维操作的人工投入,显著节省了运维成本。
博客
使用 Azure DevOps 和 Azure Web Apps 进行 .NET Core 应用的 CI/CD
05-20 661
本文章展示了如何结合 Azure DevOps 和 Azure Web Apps 的强大功能,以实现 .NET Core 应用的自动化 CI/CD。这不仅优化了开发流程,提高了部署效率,还增强了产品的可靠性和团队的生产力。通过这种方法,团队可以更快地将创新推向市场,同时确保高质量的软件交付。持续集成和持续部署的实践是现代云应用开发的基石,利用 Azure DevOps 和 Azure Web Apps 可以有效支撑这一需求,帮助团队实现敏捷、高效的开发周期。
博客
ElasticSearch集群重平衡(Shard allocation)案例分析及性能调优
05-17 786
ElasticSearch为了使数据平均分布在集群节点上,重平衡机制会由Master节点决定索引分片具体分配到哪个Data节点以及何时在节点之间迁移分片,使分片在数据大小、分片数量的层面上尽可能均匀分布在集群中的所有Data节点,充分发挥每个数据节点的性能。用于提高数据可用性,当一个主分片丢失,其副本分片可以Promote成主分片,如果索引的副本分片为0,一旦节点出现硬件故障时可能造成数据丢失的情况。副本分片由主分片同步,其数量支持动态调整,在一定程度上可以提高ES查询的吞吐量。
博客
Microsoft 安全Copilot:适时而生的得力工具
05-15 538
Microsoft 安全 Copilot 是一种 AI 网络安全产品,旨在通过分步指导支持和推进普通员工的工作,并减轻高级员工的繁琐任务。将海量数据信号汇总成关键见解,以消除干扰、在网络威胁造成损害之前检测出网络威胁,并强化安全状况。
博客
Lianwei 安全周报|2024.05.06
05-06 780
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
博客
用Typescript写自动化工作流
04-29 1286
acao 的命令还有一些其他用法,比如指定执行某个 job 或者忽略依赖 通过命令行参数的方式注入等等,详细使用方式可以查看文档这个项目最近也在持续更新中,后续也会支持更多的预设,web ui 的操作方式也在计划中小伙伴想参与预设的开发也欢迎 pr 呀。
博客
数据资产入表对【上市企业】的影响正在加速验证
04-29 239
数据资产入表政策的实施预计将显著改善相关企业的资产负债表,并增加利润水平。建议将上海钢联作为指标企业来观察资产入表的推进效果。部分内容引自: 1. 20240130-东方证券-动态跟踪 2. 中国资产评估协会:中评协-数据资产评估指导意见。
博客
企业数据资源相关会计处理暂行规定--关键点
04-29 320
具体的会计处理细节和要求应参照《企业数据资源相关会计处理暂行规定》的完整文本。企业在执行时应结合自身的实际情况,并可能需要咨询专业的会计或财务顾问。国务院部门文件_中国政府网。
博客
MSP未来趋势
04-25 133
联蔚盘云为客户提供以云全生命周期服务为目标的MSP平台服务,MSP平台不仅仅只是一个系统平台,而是包括提供云上IT治理,战略规划,架构咨询,资源部署,云资源和服务运维,云管平台,DevOps工具链和服务等多项服务。多云MSP服务帮助企业满足不同云平台和地区的合规性要求,降低合规风险,保护企业的声誉和品牌价值。以网安法等保指导的网络防护,入侵应对,访问控制,安全基线,权限管理咨询和策略应用。此外,持续的监控和实时响应服务将成为标配,以确保客户的业务连续性和数据安全。这些趋势受到最新市场动态和技术进步的推动,
博客
云资源消费的预算管理:策略与实践
04-23 273
随着云计算技术的快速发展,越来越多的企业选择将业务迁移到云上,以享受其带来的弹性、可扩展性和成本效益。本文旨在探讨云资源消费的预算管理策略与实践,帮助企业更好地管理和控制云成本,实现业务的高效运行。企业应建立跨部门协作机制,确保各部门在资源使用和成本控制方面的沟通和协调。通过预算管理,企业可以明确资源的使用范围、限制不必要的消费,并优化资源配置,从而提高业务的效率和竞争力。企业应培养员工的成本意识,让他们了解云资源消费的成本结构和影响因素。企业应根据业务需求和发展规划,设定明确的云资源消费预算目标和指标。
博客
企业上云后,如何有效降低云成本?
04-23 317
通过FinOps云消费全生命周期管理,企业可以得到专业的调研分析,梳理多云分账管理逻辑,定制化预算管理模型、成本预测模型和资源成本优化模型,实现高效的多云账单管理。同时,基于企业账单管理逻辑的FinOps产品运营,可以完成资源/应用的导入导出管理和标签管理,构建和维护云CMDB,并提供资源成本优化建议的执行和验证,确保企业在云上运行的成本得到有效管理和控制,进而提升业务的效率和竞争力。同时,不要忽视存储成本的优化。利用云成本管理工具则能帮助您实时监控、分析和优化云成本,发掘潜在的成本节约机会。
博客
使用Packer基于Azure云创建包含CIS安全加固的自定义镜像
04-22 1045
目前公有云市场上的镜像,都是别人已经定义好的(无论是公有云原生提供还是第三方供应商),部分系统配置和版本不适配所有项目,特别是一些需要自定义镜像需求的企业;同时又由于人工制作一个镜像成本较大,且不容易修改更新,所以我们需要有一个流水线方式的流程来生成镜像,Packer刚好符合我们的需求Packer是一个轻量级的开源工具,用于为常用的操作系统(如Windows、Linux)创建镜像,同时它也能支持多种云(AWS,Azure,阿里云等),本文实验步骤基于Azure云创建自定义镜像。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值