اتصال شبکه به و به لاجوردی: پیوند خصوصی
Paul Schnackenburg گزینه های فعلی شما را برای اتصال بارهای کار در محل و آزور و در جایی که هر فناوری متناسب است ، شرح می دهد و زمینه مناسبی را برای جستجو در لینک خصوصی ، به تازگی منتشر شده ارائه می دهد. پیش نمایش که منوی امکاناتی را که باید در نظر بگیرید تکمیل می شود.
اكنون بسياري از مشاغلي كه با آنها سر و كار دارم ، هيبريد هستند ، در حالي كه برخي از سيستم هاي ICT در محوطه و برخي از بخش ها در يك يا چند ابر عمومي كار مي كنند. این وضعیت مزایای بسیاری در مورد استفاده از بهترین های هر جهان برای بار کاری مناسب بلکه برخی از چالش ها به ویژه در مورد شبکه و امنیت به همراه دارد.
در این مقاله خواهم دید که شما امروز گزینه هایی را برای اتصال بار کار در داخل و در لاجوردی وجود دارید و هر کدام از این فناوری ها متناسب است ، زمینه مناسبی را برای جستجو در لینک خصوصی ایجاد می کند ، پیش نمایش اخیراً منتشر شده که منو را تکمیل می کند. از امکاناتی که باید در نظر بگیرید
شکل 1. پیوند خصوصی
VPN
در انتهای پایین طیف و برای بسیاری از SMB ها (همراه با مشاغل بزرگتر که از سفر Azure شروع می شوند) یک راه حل بسیار مناسب یک سایت به سایت (S2S) VPN است. در اینجا شما یک شبکه مجازی (vNet) را در Azure از طریق یک دروازه VPN به شبکه های محل خود متصل می کنید. به روتر نیاز دارید که بتوانید اتصالات IPsec / IKE را ایجاد کنید و لیستی از دستگاههای آزمایش شده به همراه اسکریپت ها و راهنماها وجود دارد تا پیکربندی آسان تر شود.
دروازه VPN (در اینجا سؤال متداول است) در اندازه های مختلف از 100 مگابیت در ثانیه ارائه می شود. تا 1.25 گیگابیت در ثانیه ، و اگر به بخش مهمی از زیرساختهای شما تبدیل شود ، می توانید دو مورد از آنها (فعال – فعال) را برای افزونگی و در دسترس بودن زیاد اجرا کنید. در مناطقی که افزونگی منطقه را فراهم می کنند (چندین دیتاسنتر با توان جداگانه ، خنک کننده و شبکه سازی) می توانید میزبان چندین دروازه در مناطق جداگانه باشید. با یک دروازه VPN می توانید اتصالات Point to Site (P2S) را نیز از لپ تاپ های مهندسین انفرادی به vNet (ها) خود ارائه دهید. همچنین توجه داشته باشید که اگر شبکه شما از BGP برای مسیریابی استفاده می کند ، از BGP پشتیبانی می کند. شما می توانید قبل از دسترسی به اینترنت ، کلیه ترافیک را از منابع لاجوردی خود به محل (تونل اجباری) جهت بازرسی انجام دهید ، که باعث می شود بخش امنیتی شما خوشحال شود و تیم شبکه شما اشک های تاخیری را گریه کند.
چالش این است که ترافیک از طریق اینترنت عمومی پیش می رود که ممکن است یک مسئله امنیتی برای تجارت شما باشد ، هیچ SLA ارائه نشده است ، و شما باید ترافیک لاجورد را با هرگونه ترافیک دیگر در مدارهای اینترنت خود تعادل برقرار کنید.
ExpressRoute
قدم بعدی ، هم از نظر قیمت و هم از نظر قابلیت ، ExpressRoute است – یک لینک خصوصی برای شما فراهم می کند که در اینترنت تردد نمی کند ، با یک SLA و افزایش امنیت. [19659015] ExpressRoute با سرعت از 50 مگابیت بر ثانیه به 10 گیگابیت در ثانیه می رسد ، و اگر این کافی نباشد ، ExpressRoute Direct با سرعت 100 گیگابیت در ثانیه وجود دارد. طعم Premium دارای 10،000 مسیر (به جای 4000) ، امکان اتصال بیشتر vNets (100 به جای 10) و گزینه اتصال به مناطق دیگر است. به عنوان مثال ، می توانید یک اتصال ExpressRoute در استرالیا داشته باشید که به یک شبکه vNet در ایالات متحده وصل شده است و ترافیکی که در پشت ستون فقرات فوق آزاده جریان دارد. پریمیوم همچنین قابلیت اتصال Office 365 را ارائه می دهد ، که قبل از اجازه مایکروسافت به برخی از آنها نیاز به تفکر و تحلیل درباره زیرساخت های شبکه در محل شما دارد.
اگر از طرف دیگر می خواهید دو پایگاه داده را در دو مکان جداگانه از طریق شبکه آزور وصل کنید ، می توانید از دو اتصال ExpressRoute و افزونه Global Reach برای اتصال این دو استفاده کنید.
هر ارتباط در واقع دو جهت افزونگی است. برای تنظیم اتصال Express Route باید با یک ارائه دهنده مخابراتی در منطقه خود همکاری کنید. سه طعم اتصال ، اتصالات Cloud Exchange ، اترنت نقطه به نقطه و اتصالات Any-to-any (IPVPN) وجود دارد.
گزینه های اتصال برنامه کاربردی
برنامه های لاجورد Azure روشی کم کد برای ساختن فرآیندهای تجاری خودکار و سازمان یافته و گردش کار برای اتصال برنامه ها ، داده ها و سیستم ها در سراسر ابر و محوطه است. این کانکتور دارای کانکتورهای بسیاری برای تسهیل پیکربندی آسان از جمله گزینه هایی برای اتصال به سیستم های داخلی مانند BizTalk ، IBM DB2 ، MySQL ، Oracle DB ، SharePoint و Teradata به همراه سایرین است. شما برای تسهیل جریان داده ، یک دروازه داده در محل نصب می کنید (بدون نیاز به پورت های فایروال ورودی).
اتصالات ترکیبی به شما امکان می دهد تا دو برنامه شبکه ای وصل کنید ، به طور بالقوه در پشت فایروال ها یا NAT ها ، مهم نیست که در آن کجا کار می کنند. یکی از موارد استفاده ، اتصالات ترکیبی App Service است که پایگاه داده شما با داده های حساس در محل زندگی می کند اما وب سایت / برنامه در آزور اجرا می شود.
نقاط پایانی خدمات
تمام خدمات لاجورد طوری طراحی شده اند که از طریق اینترنت قابل دسترسی باشند (این به طور ضمنی در کلمه "ابر" است) اما ممکن است مسئله ای آگاهانه برای امنیت باشد. به عنوان مثال یک VM را که در یک شبکه vNet در لاجوردی اجرا کرده اید ، که باید به داده های ذخیره شده در یک حساب ذخیره سازی آزور دسترسی داشته باشد ، انتخاب کنید. با اعتبار مناسب می توانید آن ارتباط را تسهیل کنید ، اما از طریق مسیر پیش فرض موسوم به "اینترنت" (0.0.0.0/0) که به معنی هر چیزی خارج از vNet شماست ، هدایت می شوید و این ترافیک روی ستون فقرات عمومی لاجورد خواهد بود. [19659015درعوض،میتوانیدازترافیکEndpointsاستفادهکنیدتامستقیماًبهآننوعمنبعPlatform-as-a-Service(PaaS)برویدنقاطپایانیبرایتعدادفزایندهایازخدماتPaaSازجملهStorage،AzureSQLوبسیاریدیگروجودداردبهعنواننمونه،میتوانیددسکتاپPowerBIرادررایانهشخصیخودداشتهباشیدکهبایدبهیکپایگاهدادهAzureSQLمتصلشودبهطورمعمول،اینترافیکباعثعبوراینترنتمیشود،امااگرS2SVPNیاExpressRouteدارید،میتوانیدDNSراباآدرسخصوصیفایروالAzureخودپیکربندیکنید،وازطریقنقطهپایانیسرویسبهAzureSQLپیکربندیکنید
پیوند خصوصی
اکنون که ما به انواع موجود در اتصال ترکیبی و معماری شبکه های لاجورد و چگونگی تکمیل آنها ، پرداختیم ، بیایید به ابزار بعدی در یک کمربند ابزار معماران ابری نگاه کنیم: لینک خصوصی.
شکل 2. انتهای خصوصی با استفاده از پیوند خصوصی
همانطور که گفته شد ، این یک پیش نمایش اولیه از این سرویس جدید است ، فقط در چند منطقه و برای چند سرویس موجود است. این امکان را به شما می دهد تا سرویس های Azure PaaS را در vNets خود با آدرس های IP خصوصی منتشر کنید ، و آنها را به صورت کاملاً روتر در vNets خود قرار دهید ، و اگر S2S VPN / ExpressRoute دارید مانند مثال بالا می توانید مستقیماً به این نام DNS برای یک لینک خصوصی وصل شوید. به پایگاه داده Azure SQL.
پیوند خصوصی همچنین یک مشکل بزرگ برای ارائه خدمات ISV در لاجورد را حل می کند – با داشتن لینک خصوصی می توانند به خدمات PaaS یا نرم افزارهای سرویس (SaaS) (SaaS) خود (پشت یک بالانس استاندارد Azure Standard) ارتباط برقرار کنند. برای انتشار نقاط انتهایی در اینترنت عمومی. توجه داشته باشید که برخلاف اهداف نهایی سرویس ، پیوند خصوصی (در اینجا سؤال متداول است) فقط نمونه خاصی از یک سرویس PaaS را منتشر می کند ، و از دیگر ارائه دهندگان ابر ، ایزوله امنیتی بهتری را ارائه می دهد. همچنین به جایی که شما نیاز دارید برنامه ها را در vNets های مختلف وصل کنید ، کمک می کند ، اما فضاهای آدرس IP آنها با هم تداخل دارند ، همگرایی نرم افزاری vNet را مسدود می کنند.
شکل 3. انتخاب منبع انتهای خصوصی
نتیجه گیری
بنابراین ، به طور خلاصه ، برای شبکه های شخصی خود ، Private Link این امکان را می دهد تا نمونه ای از یک سرویس خاص PaaS (مثلاً یک دیتابیس آزمایشی Azure SQL) را مستقیماً در vNet خود ارائه دهید ، که می توانید سپس NSG بسازید. یا Azure Firewall حول حکمرانی است. سرویس ترافیک دامنه را به یک سرویس خاص PaaS (تمام پایگاههای داده SQL Azure شما) منتهی می کند اما می تواند به صورت منطقهای محدود شود. و S2S VPN یا ExpressRoute اتصال کلی را که دیتاسنترهای محل شما را با Azure پیوند می دهد فراهم می کند.
با این حال ، من فکر می کنم برندگان واقعی با Private Link ISV های شخص ثالث هستند ، خدماتی را در Azure ارائه می دهند که هم اکنون می توان با اطمینان مستقیم منتشر کرد. زیرساخت های شما بدون اتصال به اینترنت مورد نیاز است.
.
