越來(lái)越多的中國(guó)企業(yè)在海外開(kāi)展業(yè)務(wù), 上云已經(jīng)成為了新常態(tài)���。怎樣保證云上的安全管控�,穩(wěn)定的網(wǎng)絡(luò)連接及良好的客戶體驗(yàn)成為大家都關(guān)心的話題�。Azure在全球運(yùn)營(yíng)著60多個(gè)區(qū)域云數(shù)據(jù)中心, 超過(guò)185個(gè)全球網(wǎng)絡(luò)POP接入點(diǎn), 及165,000 英里的光纖和海底電纜系統(tǒng)。
Azure助力出海企業(yè)全球架構(gòu)建設(shè)
概述
越來(lái)越多的中國(guó)企業(yè)在海外開(kāi)展業(yè)務(wù), 上云已經(jīng)成為了新常態(tài)�。怎樣保證云上的安全管控,穩(wěn)定的網(wǎng)絡(luò)連接及良好的客戶體驗(yàn)成為大家都關(guān)心的話題���。Azure在全球運(yùn)營(yíng)著60多個(gè)區(qū)域云數(shù)據(jù)中心, 超過(guò)185個(gè)全球網(wǎng)絡(luò)POP接入點(diǎn), 及165,000 英里的光纖和海底電纜系統(tǒng)����。基于Azure廣泛的全球基礎(chǔ)設(shè)施���,企業(yè)可以快速地將業(yè)務(wù)部署到全球各地���。同時(shí)在部署業(yè)務(wù)時(shí),怎樣將國(guó)內(nèi)/國(guó)外, 云上/云下的IT資源連接起來(lái)��,通過(guò)內(nèi)網(wǎng)實(shí)現(xiàn)應(yīng)用程序間安全��、穩(wěn)定的連接����。來(lái)滿足出海企業(yè)對(duì)公有云、混合云�����、多云部署的需求����。本文將通過(guò)Azure提供的ExpressRoute, VNET Peer, Azure Firewall,Azure WAF等技術(shù)給大家介紹幾種典型的出海企業(yè)全球架構(gòu)模式。
Azure混合云網(wǎng)絡(luò)連接方式
全球架構(gòu)的基礎(chǔ)是混合云網(wǎng)絡(luò)連接, Azure ExpressRoute可通過(guò)連接服務(wù)提供商所提供的專(zhuān)用連接���,將本地網(wǎng)絡(luò)擴(kuò)展到 Azure云�。ExpressRoute使用 BGP(一種行業(yè)標(biāo)準(zhǔn)動(dòng)態(tài)路由協(xié)議),在本地網(wǎng)絡(luò)���、Azure云中的實(shí)例之間交換路由。
為了實(shí)現(xiàn)低成本的高可用架構(gòu), 我們可以通過(guò)將S2S VPN 用作 Azure ExpressRoute的備用解決方案, 這個(gè)是主動(dòng)-被動(dòng)模式��。即平時(shí)是ER專(zhuān)線工作, 當(dāng)ER專(zhuān)線故障時(shí), 才會(huì)切換到S2S VPN, 以提供高可用的網(wǎng)絡(luò)連接�。
Azure企業(yè)全球網(wǎng)絡(luò)架構(gòu)
將本地私有網(wǎng)絡(luò)連接到Azure國(guó)內(nèi)/海外資源, 通過(guò)內(nèi)網(wǎng)實(shí)現(xiàn)應(yīng)用程序間安全、穩(wěn)定的連接是出海企業(yè)上云需要解決的首要問(wèn)題���。很多出海企業(yè)在國(guó)內(nèi)子公司或分支機(jī)構(gòu)的IT資源很多已經(jīng)通過(guò)網(wǎng)絡(luò)專(zhuān)線合作伙伴的專(zhuān)線或SDW連接在一起, 在國(guó)外開(kāi)展業(yè)務(wù)時(shí), 主要使用海外的公有云來(lái)部署業(yè)務(wù), 海外的布局多采用區(qū)域中心模式, 典型的包括, 東南亞(新加坡), 北美��、南美(美國(guó)), 歐洲, 印度, 澳大利亞, 非洲等, Azure骨干網(wǎng)絡(luò)提供了遍布全球的POP點(diǎn), 客戶只需要接入到最近的POP點(diǎn), 然后將ER專(zhuān)線連接到VNET中的ER網(wǎng)關(guān), 就可以通過(guò)內(nèi)網(wǎng)連接Azure任意區(qū)域的云資源, 目前高級(jí)版本的ER專(zhuān)線可以支持連接100個(gè)ER網(wǎng)關(guān)(VNET), 通過(guò)這種方式, 我們只需要兩條專(zhuān)線就可以實(shí)現(xiàn)國(guó)內(nèi)本地私有網(wǎng)絡(luò)與Azure國(guó)內(nèi)/國(guó)外資源的網(wǎng)絡(luò)連接�����。
通過(guò)專(zhuān)線合作伙伴的MPLS網(wǎng)絡(luò)連接一條專(zhuān)線到國(guó)內(nèi)的POP點(diǎn), 打通和國(guó)內(nèi)Azure資源的連接���。
通過(guò)專(zhuān)線合作伙伴的MPLS網(wǎng)絡(luò)連接一條專(zhuān)線到海外的Azure POP點(diǎn)(如香港) ,打通和海外Azure資源的連接。
通過(guò)這種方式, 實(shí)現(xiàn)了本地?cái)?shù)據(jù)中心(如深圳���,武漢的本地機(jī)房), 與Azure云上資源的互聯(lián)互通���。
國(guó)內(nèi)(北京���,上海)
海外(美國(guó),歐洲��,印度�,新加坡, 澳大利亞等)。
這種網(wǎng)絡(luò)架構(gòu)解決了全球部署的問(wèn)題, 但對(duì)區(qū)域中心的應(yīng)用部署支持還不全面,例如:
怎樣在一個(gè)區(qū)域部署多個(gè)應(yīng)用系統(tǒng)? 怎樣實(shí)現(xiàn)不同應(yīng)用系統(tǒng)的資源隔離及成本分?jǐn)?
怎樣實(shí)現(xiàn)不同應(yīng)用系統(tǒng)之間的網(wǎng)絡(luò)連接及流量管控��?
怎樣做到統(tǒng)一的安全管控��?
區(qū)域中心網(wǎng)絡(luò)拓?fù)銱ub/Spoke
為了支持區(qū)域應(yīng)用的部署及有效管理,我們會(huì)采用Hub/Spoke的方式��。 Azure的訂閱是管理不同部門(mén)應(yīng)用部署的有效方式���,每個(gè)應(yīng)用放在自己的訂閱下面的VNET中����,它可以實(shí)現(xiàn):
不用應(yīng)用資源的有效隔離���。
成本分?jǐn)偂?br/>
基于VNET(應(yīng)用)的網(wǎng)絡(luò)流量管控��。
Hub/Spoke模式
每個(gè)應(yīng)用的VNET通過(guò)VNET Peer(打開(kāi)Gateway transit )的方式連接到HUB VNET����。
國(guó)內(nèi)與海外的網(wǎng)絡(luò)連接通過(guò)HUB VNET中的ER網(wǎng)關(guān)連接,打通國(guó)內(nèi)�、國(guó)外的網(wǎng)絡(luò)連接。
海外本地?cái)?shù)據(jù)中心(如美國(guó)本地機(jī)房)通過(guò)HUB VNET中的VPN網(wǎng)關(guān)或?qū)>€網(wǎng)關(guān)連接�����。
通過(guò)HUB VNET中的Azure防火墻來(lái)實(shí)現(xiàn)
1. 通過(guò)防火墻的軟路由功能實(shí)現(xiàn)所有任意網(wǎng)絡(luò)節(jié)點(diǎn)的點(diǎn)對(duì)點(diǎn)連接虛擬網(wǎng)絡(luò)對(duì)等互連(VNET Peer)是兩個(gè)虛擬網(wǎng)絡(luò)之間的非傳遞關(guān)系,為了實(shí)現(xiàn)不同VNET及本地私有網(wǎng)絡(luò)的網(wǎng)絡(luò)連接, 我們需要使用Azure Firewall的軟路由功能來(lái)實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)連接, 只要連接到HUB VNET����,就能實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)連接, 這需要通過(guò)路由表來(lái)控制網(wǎng)絡(luò)的連接, 如下圖所示:
vnet2如果需要訪問(wèn)本地機(jī)房2, 將10.0.0/8的路由指向防火墻的IP(10.112.0.4), 同時(shí), 在HUB的Gateway子網(wǎng)中添加10.116.0.0/22的路由指向防火墻的IP(10.112.0.4)�����。
所有的網(wǎng)絡(luò)節(jié)點(diǎn)如本地機(jī)房2, VNET1, VNET2通過(guò)HUB可以實(shí)現(xiàn)任意兩點(diǎn)的點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)連接�。
2. 集中式的安全管控,所有的網(wǎng)絡(luò)流量都會(huì)通過(guò)防火墻, 通過(guò)防火墻主要對(duì)四個(gè)方向的流量做集中的安全管控�����。
從本地?cái)?shù)據(jù)中心到互聯(lián)網(wǎng)的流量需要通過(guò)防火墻做安全管控
從本地?cái)?shù)據(jù)中心到云上VNET的流量需要通過(guò)防火墻做安全管控
從云上VNET到互聯(lián)網(wǎng)的流量需要通過(guò)防火墻做安全管控
不同VNET之間的流量管控
集中的安全管控
安全是云中的首要任務(wù), 在云上部署應(yīng)用程序, 如果采用“散放“的模式���,任由各個(gè)部門(mén)自己去部署應(yīng)用系統(tǒng)��,而不做集中管控���,可能會(huì)由于每個(gè)部門(mén)的IT人員技能不一致����,容易造成安全漏洞����。通過(guò)防火墻作為應(yīng)用的統(tǒng)一入口, 對(duì)應(yīng)用安全做集中管控, 可以大大降低這種安全風(fēng)險(xiǎn)。
所有的流量都會(huì)經(jīng)過(guò)防火墻, 通過(guò)防火墻策略對(duì)所有的流量做安全管控�����。
DNAT 主要負(fù)責(zé)互聯(lián)網(wǎng)的流入流量的管控, 將流入防火墻公共 IP 地址和端口轉(zhuǎn)換為VNET中的負(fù)載均衡器或服務(wù)器的專(zhuān)用 IP 地址和端口,實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)入口流量的控制���。
應(yīng)用程序規(guī)則主要用于HTTP/HTTPS協(xié)議的流量管控, 可以控制本地私有網(wǎng)絡(luò)����,云上VNET之間的安全管控����。
網(wǎng)絡(luò)規(guī)則主要用于非HTTP/HTTPS, 如TCP, UDP, ICMP等協(xié)議的流量管控����。
區(qū)域中心網(wǎng)絡(luò)拓?fù)浒踩庸谭桨?/strong>
云上的威脅不僅僅來(lái)自于內(nèi)部, 還有來(lái)自于外部的安全威脅, 在區(qū)域中心模式下, 我們還需要對(duì)來(lái)自外部的DDOS, WAF, IDPS等進(jìn)行防范, Azure 防火墻高級(jí)版給我們提供了更多的能力, 包括:
TLS 檢查 - 解密出站流量����、處理數(shù)據(jù),然后加密數(shù)據(jù)并將數(shù)據(jù)發(fā)送到目的地�����。
IDPS - 網(wǎng)絡(luò)入侵檢測(cè)和防護(hù)系統(tǒng) (IDPS) 使你可以監(jiān)視網(wǎng)絡(luò)活動(dòng)是否出現(xiàn)惡意活動(dòng)����,記錄有關(guān)此活動(dòng)的信息�����,予以報(bào)告���,選擇性地嘗試阻止�。
URL 篩選 - 將 Azure 防火墻的 FQDN篩選功能擴(kuò)展到考慮整個(gè) URL�����。例如,www.contoso.com/a/c���,而非 www.contoso.com��。
Web 類(lèi)別 - 管理員可以允許或拒絕用戶訪問(wèn)某些類(lèi)別的網(wǎng)站��,例如賭博網(wǎng)站�����、社交媒體網(wǎng)站等����。
我們可以將Azure防火墻高級(jí)版����,WAF等功能集成起來(lái), 提供一個(gè)更加完善的解決方案。
通過(guò)Azure原生提供的Azure DDoS功能,加上CDN�,提供對(duì)DDOS的防護(hù)。
通過(guò)在Application Gateway部署WAF, 提供對(duì)WAF攻擊的保護(hù)����。
通過(guò)Azure 防火墻高級(jí)版,提供TLS 檢查���,IDPS����,URL 篩選,Web 類(lèi)別����。
立即登錄,閱讀全文
版權(quán)說(shuō)明:
本文內(nèi)容來(lái)自于 Azure上云直升機(jī)��,本站不擁有所有權(quán)�����,不承擔(dān)相關(guān)法律責(zé)任�。文章內(nèi)容系作者個(gè)人觀點(diǎn)���,不代表快出海對(duì)觀點(diǎn)贊同或支持���。如有侵權(quán)��,請(qǐng)聯(lián)系管理員(zzx@kchuhai.com)刪除���!
閩公網(wǎng)安備 35010202001226號(hào)
