03 | Проектирование сетевой инфраструктуры Azure для повышения безопасности Александр Шаповал | Эксперт по стратегическим технологиям Виртуальная сеть Azure ВИРТУАЛЬНАЯ СЕТЬ ЛОКАЛЬНО ИНФРАСТРУКТУРА AZURE DNS AD ВЕБ-СЕРВЕР ПОДСЕТЬ FE СЕРВЕРЫ ПРИЛОЖЕНИЙ СЕРВЕРЫ БД ПОДСЕТЬ BE Адресация в классической модели VIP – Virtual IP address • Публичный IP, не привязан к конкретной ВМ или сетевому адаптеру. • Присваивается облачной службе. • Облачная служба может включать в себя несколько ВМ, которые, таким образом, разделяют VIP. DIP – Dynamic IP address • Динамически (с помощью DHCP) присваивается ВМ. Не меняйте этот адрес вручную! • Срок аренды равен сроку жизни ВМ. • При создании в виртуальной сети ВМ получает DIP из диапазона этой сети. Адресация в классической модели Зарезервированные IP-адреса можно перемещать! ИНТЕРНЕТ ЗАРЕЗЕРВИРОВАННЫЙ IPАДРЕС БАЛАНСИРОВЩИК НАГРУЗКИ AZURE ПЕРЕМЕЩЕНИЕ ЗАРЕЗЕРВИРОВАННЫХ IP-АДРЕСОВ ОБЛАЧНАЯ СЛУЖБА 1 ОБЛАЧНАЯ СЛУЖБА 2 IP-адреса и балансировка нагрузки в ARM Присваиваются ВМ, балансировщикам, VPN-шлюзам, шлюзам приложений IP-адрес, эксклюзивно выделенный одной ВМ Весь диапазон портов доступен по умолчанию LB Выделяется динамически (по умолчанию) или статически IP-адрес для балансировкой нагрузки одного и более экземпляров ВМ Перенаправление портов В основном, для высокодоступных сценариев с балансировкой нагрузки или автоматическим масштабированием ВМ 1 ВМ 2 Microsoft Azure IP-адреса и разрешение имен в ARM Присваиваются ВМ, внутренним балансировщикам, шлюзам приложений ИНТЕРНЕТ IP-адрес из диапазона виртуальной подсети Выделяется динамически (по умолчанию) или статически ashapo59339.westus.cloudapp.azure.com 130.26.10.80 ashapo12249.westus.cloudapp.azure.com 130.26.10.80 Private IP разрешаются в пределах виртуальной сети Public IP могут быть присвоены имена domainnamelabel.location.cloudapp.azure.com Имена должны быть уникальны в пределах location Пользовательские маршруты (UDR) ИНТЕРНЕТ UDR МАРШРУТ СИСТЕМЫ ПЕРЕАДРЕСАЦИЯ IP ВНЕШНЯЯ ПОДСЕТЬ МАРШРУТ СИСТЕМЫ ВМ / ОБОРУДОВАНИЕ UDR ПЕРЕАДРЕСАЦИЯ IP ПОДСЕТЬ СЕРВЕРНОГО УРОВНЯ ВМ с несколькими NIC в Аzure • До 16 NIC на одну ВМ • NSG и маршруты на всех NIC • Разделение внешней подсети, подсети серверного уровня и уровня управления NIC2 NIC1 10.3.3.33 10.2.2.22 СТАНДАРТН АЯ 10.1.1.11 VIP 133.44.55.66 ИНТЕРНЕТ СЕРВЕРНЫЙ УРОВЕНЬ ПОДСЕТЬ УПРАВЛЕНИЕ ПОДСЕТЬ ВНЕШНИЙ УРОВЕНЬ ПОДСЕТЬ ВИРТУАЛЬНАЯ СЕТЬ Выбор правильной модели подключения ОБЩЕДОСТУПНЫЙ ИНТЕРНЕТ ОБЩЕДОСТУПНЫЙ ИНТЕРНЕТ ОБЛАКО МАЙКРОСОФТ ПЛОЩАДКА ПОЛЬЗОВАТЕЛЯ 3 ОБЛАКО МАЙКРОСОФТ ПЛОЩАДКА ПОЛЬЗОВАТЕЛЯ 2 Глобальная сеть ОБЛАКО МАЙКРОСОФТ ПЛОЩАДКА ПОЛЬЗОВАТЕЛЯ Подключение через зашифрованное соединение общедоступного Интернета ПОДКЛЮЧЕНИЕ ЧЕРЕЗ ИНТЕРНЕТ ПЛОЩАДКА ПОЛЬЗОВАТЕЛЯ 1 ПЛОЩАДКА ПОЛЬЗОВАТЕЛЯ EXPRESSROUTE МЕСТОПОЛОЖЕНИЕ ПАРТНЕРА Подключение к Azure с помощью услуги ExpressRoute, предоставляемой партнером на своей площадке ОБЩЕДОСТУПНЫЙ ИНТЕРНЕТ Подключение из глобальной сети поставщика сетевых услуг Azure становится одной из площадок пользователя в глобальной сети EXPRESSROUTE – ПРЕДОСТАВЛЯЕТ ПОЛЬЗОВАТЕЛЮ ВОЗМОЖНОСТЬ ВЫБОРА С ДОСТУПОМ КО ВСЕМ ОБЛАЧНЫМ СЛУЖБАМ МАЙКРОСОФТ VPN-шлюзы для виртуальной сети Поддержка совместной работы ExpressRoute и VPN Повышенная пропускная способность ExpressRoute ПРОПУСКНАЯ СПОСОБНОСТЬ ШЛЮЗА EXPRESSROUTE ШЛЮЗ VPN – EXPRESSROUTE СОВМЕСТНАЯ РАБОТА ПРОПУСКНАЯ СПОСОБНОСТЬ ШЛЮЗА VPN ШЛЮЗ VPN МАКС. ТУННЕЛЕЙ IPSec ЗАТРАТЫ (В ДОЛЛАРАХ США) В ЧАС 500 Мбит/с НЕТ 100 Мбит/с 10 0,04 STANDARD 1000 Мбит/с ДА 100 Мбит/с 10 0,19 PERFORMANCE 2000 Мбит/с ДА 200 Мбит/с 30 0,49 SKU ШЛЮЗА ВИРТУАЛЬНОЙ СЕТИ BASIC СЛЕДУЕТ ИМЕТЬ В ВИДУ, ЧТО ТРАФИК EXPRESSROUTE ОБЩЕДОСТУПНЫХ СЕРВИСОВ AZURE, O365 И SKYPE ДЛЯ БИЗНЕСА НЕ ПРОХОДИТ ЧЕРЕЗ ШЛЮЗ ВИРТУАЛЬНОЙ СЕТИ Уровни безопасности, защита и изоляция ИНТЕРНЕТ ОБЛАЧНЫЕ СЛУЖБЫ И ВИРТУАЛЬНЫЕ МАШИНЫ ЛОКАЛЬНО Группы сетевой безопасности (Network Security Group, NSG) ЛОКАЛЬНО 10.0/16 ИНТЕРНЕТ Стандартные правила: 65 000 и более EXPRESS ROUTE И VPN ШЛЮЗ VPN СЕРВЕРНЫЙ УРОВЕНЬ 10.3/16 ВИРТУАЛЬНАЯ СЕТЬ ВИРТ. СЕТЬ 10.2/16 ВНЕШНИЙ УРОВЕНЬ 10.1/16 ©2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Office, Azure, System Center, Dynamics and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.