Az - Azure Network

Basic Information

Azure के भीतर नेटवर्क उसके क्लाउड कंप्यूटिंग प्लेटफॉर्म का एक अभिन्न हिस्सा के रूप में कार्य करते हैं, जो विभिन्न Azure सेवाओं और संसाधनों के बीच कनेक्शन और संचार को सक्षम बनाते हैं। Azure में नेटवर्क आर्किटेक्चर को अत्यधिक स्केलेबल, सुरक्षित और अनुकूलन योग्य बनाने के लिए डिज़ाइन किया गया है।

Azure के मूल में, एक वर्चुअल नेटवर्क (VNet) प्रदान किया जाता है जो उपयोगकर्ताओं को Azure क्लाउड के भीतर अलग नेटवर्क बनाने की अनुमति देता है। इन VNets के भीतर, वर्चुअल मशीनों, अनुप्रयोगों और डेटाबेस जैसे संसाधनों को सुरक्षित रूप से होस्ट और प्रबंधित किया जा सकता है। Azure में नेटवर्किंग क्लाउड के भीतर (Azure सेवाओं के बीच) संचार और बाहरी नेटवर्क और इंटरनेट से कनेक्शन दोनों का समर्थन करती है।

सुरक्षा Azure नेटवर्किंग का एक महत्वपूर्ण पहलू है, जिसमें डेटा की सुरक्षा, पहुंच प्रबंधन और अनुपालन सुनिश्चित करने के लिए विभिन्न उपकरण और सेवाएं उपलब्ध हैं। इन सुरक्षा उपायों में फायरवॉल, नेटवर्क सुरक्षा समूह, और एन्क्रिप्शन क्षमताएं शामिल हैं, जो ट्रैफ़िक और पहुंच पर उच्च स्तर का नियंत्रण प्रदान करती हैं।

कुल मिलाकर, Azure की नेटवर्किंग क्षमताएं लचीलापन प्रदान करने के लिए डिज़ाइन की गई हैं, जिससे उपयोगकर्ता एक ऐसा नेटवर्क वातावरण बना सकते हैं जो उनकी विशिष्ट अनुप्रयोग और कार्यभार की आवश्यकताओं के अनुकूल हो, जबकि सुरक्षा और विश्वसनीयता पर एक मजबूत जोर बनाए रखते हैं।

Virtual Network (VNET) & Subnets

Azure में एक VNet मूल रूप से आपके अपने नेटवर्क का क्लाउड में प्रतिनिधित्व है। यह आपके सदस्यता के लिए समर्पित Azure क्लाउड का एक तार्किक पृथक्करण है। एक VNet आपको Azure में वर्चुअल प्राइवेट नेटवर्क (VPNs) को प्रावधान और प्रबंधित करने की अनुमति देता है और इसका उपयोग कई प्रकार के Azure संसाधनों जैसे वर्चुअल मशीनें (VMs), डेटाबेस, और अनुप्रयोग सेवाओं को होस्ट और प्रबंधित करने के लिए किया जा सकता है।

VNets आपको अपने नेटवर्क सेटिंग्स पर पूर्ण नियंत्रण प्रदान करते हैं, जिसमें IP पता रेंज, उपनेट निर्माण, रूट तालिकाएं, और नेटवर्क गेटवे शामिल हैं।

एक उपनेट आपके VNet में IP पतों की एक रेंज है। आप संगठन और सुरक्षा के लिए एक VNet को कई उपनेट में विभाजित कर सकते हैं। एक VNet में प्रत्येक उपनेट का उपयोग आपके नेटवर्क और अनुप्रयोग आर्किटेक्चर के अनुसार संसाधनों को अलग करने और समूहित करने के लिए किया जा सकता है।

इसके अलावा, उपनेट आपको अपने VNet को एक या अधिक उप-नेटवर्क में विभाजित करने की अनुमति देते हैं, जो संसाधनों के उपयोग के लिए IP पतों की एक रेंज प्रदान करते हैं।

Example

• मान लीजिए कि आपके पास MyVNet नाम का एक VNet है जिसमें 10.0.0.0/16 का IP पता रेंज है। आप इस VNet के भीतर एक उपनेट बना सकते हैं, मान लीजिए Subnet-1, जिसमें आपके वेब सर्वरों के लिए 10.0.0.0/24 का IP पता रेंज है। एक अन्य उपनेट, Subnet-2 जिसमें 10.0.1.0/24 का रेंज है, आपके डेटाबेस सर्वरों के लिए उपयोग किया जा सकता है। यह विभाजन नेटवर्क के भीतर कुशल प्रबंधन और सुरक्षा नियंत्रण की अनुमति देता है।

Enumeration

Azure खाते में सभी VNets और उपनेट्स की सूची बनाने के लिए, आप Azure कमांड-लाइन इंटरफेस (CLI) का उपयोग कर सकते हैं। यहाँ कदम हैं:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

नेटवर्क सुरक्षा समूह (NSG)

Azure में, एक नेटवर्क सुरक्षा समूह (NSG) का मुख्य कार्य Azure वर्चुअल नेटवर्क (VNet) के भीतर Azure संसाधनों के लिए और से नेटवर्क ट्रैफ़िक को फ़िल्टर करना है। इसमें सुरक्षा नियमों का एक सेट होता है जो नेटवर्क ट्रैफ़िक के प्रवाह को बारीकी से निर्धारित करता है।

NSG के प्रमुख पहलू शामिल हैं:

• ट्रैफ़िक नियंत्रण: प्रत्येक NSG में नियम होते हैं जो विभिन्न Azure संसाधनों से संबंधित इनबाउंड और आउटबाउंड नेटवर्क ट्रैफ़िक को अनुमति देने या रोकने में सहायक होते हैं।

• नियम घटक: NSG के भीतर के नियम अत्यधिक विशिष्ट होते हैं, जो स्रोत/गंतव्य IP पते, पोर्ट और प्रोटोकॉल जैसे मानदंडों के आधार पर ट्रैफ़िक को फ़िल्टर करते हैं। यह विशिष्टता नेटवर्क ट्रैफ़िक के बारीक प्रबंधन की अनुमति देती है।

• सुरक्षा संवर्धन: यह सुनिश्चित करके कि केवल अधिकृत ट्रैफ़िक आपके Azure संसाधनों में प्रवेश या निकास कर सकता है, NSGs आपके नेटवर्क अवसंरचना की सुरक्षा स्थिति को मजबूत करने में महत्वपूर्ण भूमिका निभाते हैं।

उदाहरण

• कल्पना करें कि आपके पास MyNSG नाम का एक NSG है जो आपके VNet के एक उपनेट या एक विशिष्ट वर्चुअल मशीन पर लागू है। आप नियम बना सकते हैं जैसे:

• किसी भी स्रोत से आपके वेब सर्वरों के लिए HTTP ट्रैफ़िक (पोर्ट 80) की अनुमति देने वाला एक इनबाउंड नियम।

• एक आउटबाउंड नियम जो केवल एक विशिष्ट गंतव्य IP पते की सीमा के लिए SQL ट्रैफ़िक (पोर्ट 1433) की अनुमति देता है।

गणना

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

Azure Firewall

Azure Firewall एक प्रबंधित, क्लाउड-आधारित नेटवर्क सुरक्षा सेवा है जो आपके Azure वर्चुअल नेटवर्क संसाधनों की सुरक्षा करती है। यह एक पूरी तरह से स्टेटफुल फ़ायरवॉल के रूप में सेवा है जिसमें अंतर्निहित उच्च उपलब्धता और स्केलेबिलिटी सुविधाएँ हैं।

Azure Firewall NSGs की तुलना में अधिक उन्नत सुविधाएँ प्रदान करता है, जिसमें ऐप्लिकेशन-स्तरीय फ़िल्टरिंग, नेटवर्क-स्तरीय फ़िल्टरिंग, खतरे की जानकारी पर आधारित फ़िल्टरिंग, और लॉगिंग और एनालिटिक्स के लिए Azure Monitor के साथ एकीकरण शामिल है। यह आउटबाउंड, इनबाउंड, स्पोक-टू-स्पोक, VPN, और ExpressRoute ट्रैफ़िक को फ़िल्टर कर सकता है। फ़ायरवॉल नियम FQDN (पूर्ण रूप से योग्य डोमेन नाम), IP पते, और पोर्ट के आधार पर बनाए जा सकते हैं।

Azure Firewall और NSGs के बीच अंतर

1. दायरा:

• NSG: सबनेट या नेटवर्क इंटरफेस स्तर पर काम करता है। इसका उद्देश्य नेटवर्क इंटरफेस (NIC), VMs, या सबनेट से इनबाउंड और आउटबाउंड ट्रैफ़िक का बुनियादी फ़िल्टरिंग प्रदान करना है।

• Azure Firewall: VNet स्तर पर कार्य करता है, सुरक्षा का एक व्यापक दायरा प्रदान करता है। यह आपके वर्चुअल नेटवर्क संसाधनों की सुरक्षा करने और VNet में आने-जाने वाले ट्रैफ़िक का प्रबंधन करने के लिए डिज़ाइन किया गया है।

2. क्षमताएँ:

• NSG: IP पते, पोर्ट, और प्रोटोकॉल के आधार पर बुनियादी फ़िल्टरिंग क्षमताएँ प्रदान करता है। यह ऐप्लिकेशन-स्तरीय निरीक्षण या खतरे की जानकारी जैसी उन्नत सुविधाओं का समर्थन नहीं करता है।

• Azure Firewall: ऐप्लिकेशन-स्तरीय (लेयर 7) ट्रैफ़िक फ़िल्टरिंग, खतरे की जानकारी पर आधारित फ़िल्टरिंग, नेटवर्क ट्रैफ़िक फ़िल्टरिंग, और अधिक जैसी उन्नत सुविधाएँ प्रदान करता है। यह कई सार्वजनिक IP पते का भी समर्थन करता है।

3. उपयोग के मामले:

• NSG: बुनियादी नेटवर्क स्तर के ट्रैफ़िक फ़िल्टरिंग के लिए आदर्श।

• Azure Firewall: अधिक जटिल फ़िल्टरिंग परिदृश्यों के लिए उपयुक्त जहाँ ऐप्लिकेशन-स्तरीय नियंत्रण, लॉगिंग, और खतरे की जानकारी की आवश्यकता होती है।

4. प्रबंधन और निगरानी:

• NSG: बुनियादी लॉगिंग और Azure Monitor के साथ एकीकरण प्रदान करता है।

• Azure Firewall: Azure Monitor के माध्यम से उन्नत लॉगिंग और एनालिटिक्स क्षमताएँ प्रदान करता है, जो ट्रैफ़िक की प्रकृति और पैटर्न को समझने के लिए आवश्यक है।

Enumeration

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

नेटवर्क वर्चुअल एप्लायंस (NVA)

Azure में एक नेटवर्क वर्चुअल एप्लायंस (NVA) एक वर्चुअल एप्लायंस है जो एक वर्चुअल नेटवर्क के भीतर नेटवर्क कार्यों को करता है। NVAs आमतौर पर उन नेटवर्क कार्यों के लिए उपयोग किए जाते हैं जो Azure में स्वाभाविक रूप से उपलब्ध नहीं हैं या जब अधिक अनुकूलन की आवश्यकता होती है। वे मूल रूप से VMs हैं जो नेटवर्क एप्लिकेशन या सेवाएँ चलाते हैं, जैसे कि फ़ायरवॉल, WAN ऑप्टिमाइज़र, या लोड बैलेंसर।

NVAs जटिल रूटिंग, सुरक्षा, और नेटवर्क ट्रैफ़िक प्रबंधन कार्यों के लिए उपयोग किए जाते हैं। इन्हें Azure Marketplace से तैनात किया जा सकता है, जहाँ कई तृतीय-पक्ष विक्रेता अपने एप्लायंस को Azure वातावरण में एकीकृत करने के लिए तैयार करते हैं।

उदाहरण

• एक संगठन Azure में एक NVA तैनात कर सकता है ताकि एक कस्टम फ़ायरवॉल समाधान बनाया जा सके। यह NVA एक तृतीय-पक्ष फ़ायरवॉल सॉफ़्टवेयर चला सकता है, जो घुसपैठ पहचान, पैकेट निरीक्षण, या VPN कनेक्टिविटी जैसी उन्नत सुविधाएँ प्रदान करता है। NVA को इसके माध्यम से गुजरने वाले ट्रैफ़िक की जांच और फ़िल्टर करने के लिए कॉन्फ़िगर किया जा सकता है, यह सुनिश्चित करते हुए कि संगठन की नीतियों के अनुसार सुरक्षा उपाय लागू हैं।

गणना

# Usually NVAs are named or tagged in a way to distinguish them from other VMs
az vm list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# For a specific VM identified as an NVA, list its network interfaces
az vm nic list --vm-name <VMName> --resource-group <ResourceGroupName> --query "[].{id:id}" -o table

Azure रूट टेबल और उपयोगकर्ता परिभाषित रूट (UDR)

Azure रूट टेबल Microsoft Azure के भीतर एक विशेषता है जो Azure वर्चुअल नेटवर्क (VNets) के भीतर नेटवर्क ट्रैफ़िक रूटिंग को नियंत्रित करने की अनुमति देती है। मूल रूप से, वे यह परिभाषित करते हैं कि पैकेट कैसे सबनेट्स के बीच, VNets के बीच, या बाहरी नेटवर्कों के लिए आगे बढ़ाए जाते हैं। प्रत्येक रूट टेबल में नियमों का एक सेट होता है, जिसे रूट कहा जाता है, जो यह निर्दिष्ट करता है कि पैकेट को उनके गंतव्य IP पते के आधार पर कैसे रूट किया जाना चाहिए।

उपयोगकर्ता परिभाषित रूट (UDR) Azure में कस्टम रूट हैं जिन्हें आप Azure रूट टेबल के भीतर बनाते हैं ताकि Azure वर्चुअल नेटवर्क (VNets) के भीतर और उनके बीच, और बाहरी कनेक्शनों के लिए नेटवर्क ट्रैफ़िक के प्रवाह को नियंत्रित किया जा सके। UDRs आपको आपके विशिष्ट आवश्यकताओं के अनुसार नेटवर्क ट्रैफ़िक को निर्देशित करने की लचीलापन देते हैं, Azure के डिफ़ॉल्ट रूटिंग निर्णयों को ओवरराइड करते हैं।

ये रूट विशेष रूप से उन परिदृश्यों के लिए उपयोगी होते हैं जहां आपको वर्चुअल उपकरण के माध्यम से ट्रैफ़िक रूट करना है, सुरक्षा या नीति अनुपालन के लिए एक विशिष्ट मार्ग को लागू करना है, या ऑन-प्रिमाइसेस नेटवर्क के साथ एकीकृत करना है।

उदाहरण

• मान लीजिए कि आपने एक नेटवर्क वर्चुअल उपकरण (NVA) तैनात किया है जो एक VNet के भीतर सबनेट्स के बीच ट्रैफ़िक का निरीक्षण करता है। आप एक UDR बना सकते हैं जो एक सबनेट से दूसरे सबनेट तक सभी ट्रैफ़िक को NVA के माध्यम से जाने के लिए निर्देशित करता है। यह UDR सुनिश्चित करता है कि NVA सुरक्षा उद्देश्यों के लिए ट्रैफ़िक का निरीक्षण करता है इससे पहले कि यह अपने गंतव्य तक पहुंचे।

गणना

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List UDRs for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

Azure Private Link

Azure Private Link एक सेवा है जो Azure में Azure सेवाओं के लिए निजी पहुंच सक्षम करती है यह सुनिश्चित करके कि आपके Azure वर्चुअल नेटवर्क (VNet) और सेवा के बीच का ट्रैफ़िक पूरी तरह से Microsoft के Azure बैकबोन नेटवर्क के भीतर यात्रा करता है। यह प्रभावी रूप से सेवा को आपके VNet में लाता है। यह सेटअप सुरक्षा को बढ़ाता है क्योंकि डेटा को सार्वजनिक इंटरनेट पर उजागर नहीं किया जाता है।

Private Link का उपयोग विभिन्न Azure सेवाओं के साथ किया जा सकता है, जैसे Azure Storage, Azure SQL Database, और Private Link के माध्यम से साझा की गई कस्टम सेवाएं। यह आपके अपने VNet के भीतर या यहां तक कि विभिन्न Azure सब्सक्रिप्शन से सेवाओं का उपभोग करने का एक सुरक्षित तरीका प्रदान करता है।

Example

• एक परिदृश्य पर विचार करें जहां आपके पास एक Azure SQL Database है जिसे आप अपने VNet से सुरक्षित रूप से एक्सेस करना चाहते हैं। सामान्यतः, इसमें सार्वजनिक इंटरनेट के माध्यम से यात्रा करना शामिल हो सकता है। Private Link के साथ, आप अपने VNet में एक निजी एंडपॉइंट बना सकते हैं जो सीधे Azure SQL Database सेवा से जुड़ता है। यह एंडपॉइंट डेटाबेस को इस तरह से प्रदर्शित करता है जैसे कि यह आपके अपने VNet का हिस्सा है, एक निजी IP पते के माध्यम से पहुंच योग्य है, इस प्रकार सुरक्षित और निजी पहुंच सुनिश्चित करता है।

Enumeration

# List Private Link Services
z network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

Azure सेवा एंडपॉइंट

Azure सेवा एंडपॉइंट आपके वर्चुअल नेटवर्क के निजी पते की जगह और आपके VNet की पहचान को Azure सेवाओं के लिए एक सीधे कनेक्शन के माध्यम से बढ़ाते हैं। सेवा एंडपॉइंट सक्षम करके, आपके VNet में संसाधन सुरक्षित रूप से Azure सेवाओं से कनेक्ट कर सकते हैं, जैसे Azure Storage और Azure SQL Database, Azure के बैकबोन नेटवर्क का उपयोग करते हुए। यह सुनिश्चित करता है कि VNet से Azure सेवा तक का ट्रैफ़िक Azure नेटवर्क के भीतर रहता है, जो एक अधिक सुरक्षित और विश्वसनीय मार्ग प्रदान करता है।

उदाहरण

• उदाहरण के लिए, एक Azure Storage खाता डिफ़ॉल्ट रूप से सार्वजनिक इंटरनेट पर सुलभ है। अपने VNet के भीतर Azure Storage के लिए एक सेवा एंडपॉइंट सक्षम करके, आप सुनिश्चित कर सकते हैं कि केवल आपके VNet से आने वाला ट्रैफ़िक स्टोरेज खाते तक पहुँच सकता है। फिर स्टोरेज खाता फ़ायरवॉल को इस तरह से कॉन्फ़िगर किया जा सकता है कि वह केवल आपके VNet से आने वाले ट्रैफ़िक को स्वीकार करे।

गणना

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

Service Endpoints और Private Links के बीच अंतर

Microsoft docs में Private Links का उपयोग करने की सिफारिश करता है: \

Service Endpoints:

• आपके VNet से Azure सेवा तक का ट्रैफ़िक Microsoft Azure बैकबोन नेटवर्क के माध्यम से यात्रा करता है, सार्वजनिक इंटरनेट को बायपास करता है।

• यह एंडपॉइंट Azure सेवा के लिए एक सीधा कनेक्शन है और VNet के भीतर सेवा के लिए एक निजी IP प्रदान नहीं करता है।

• सेवा स्वयं आपके VNet के बाहर इसके सार्वजनिक एंडपॉइंट के माध्यम से अभी भी सुलभ है जब तक कि आप सेवा फ़ायरवॉल को ऐसे ट्रैफ़िक को ब्लॉक करने के लिए कॉन्फ़िगर नहीं करते।

• यह सबनेट और Azure सेवा के बीच एक-से-एक संबंध है।

• Private Links की तुलना में कम महंगा है।

Private Links:

• Private Link Azure सेवाओं को आपके VNet में एक निजी एंडपॉइंट के माध्यम से मैप करता है, जो आपके VNet के भीतर एक निजी IP पते के साथ एक नेटवर्क इंटरफ़ेस है।

• Azure सेवा को इस निजी IP पते का उपयोग करके एक्सेस किया जाता है, जिससे यह ऐसा प्रतीत होता है जैसे यह आपके नेटवर्क का हिस्सा है।

• Private Link के माध्यम से जुड़े सेवाओं को केवल आपके VNet या जुड़े नेटवर्क से एक्सेस किया जा सकता है; सेवा के लिए कोई सार्वजनिक इंटरनेट एक्सेस नहीं है।

• यह Azure सेवाओं या Azure में होस्ट की गई आपकी अपनी सेवाओं के लिए एक सुरक्षित कनेक्शन सक्षम करता है, साथ ही दूसरों द्वारा साझा की गई सेवाओं के लिए भी।

• यह आपके VNet में एक निजी एंडपॉइंट के माध्यम से अधिक बारीक पहुंच नियंत्रण प्रदान करता है, जबकि सेवा एंडपॉइंट के साथ सबनेट स्तर पर व्यापक पहुंच नियंत्रण की तुलना में।

संक्षेप में, जबकि Service Endpoints और Private Links दोनों Azure सेवाओं के लिए सुरक्षित कनेक्टिविटी प्रदान करते हैं, Private Links एक उच्च स्तर की अलगाव और सुरक्षा प्रदान करते हैं यह सुनिश्चित करते हुए कि सेवाओं को सार्वजनिक इंटरनेट के लिए उजागर किए बिना निजी रूप से एक्सेस किया जाता है। दूसरी ओर, Service Endpoints सामान्य मामलों के लिए सेट अप करना आसान है जहां Azure सेवाओं के लिए सरल, सुरक्षित पहुंच की आवश्यकता होती है बिना VNet में एक निजी IP की आवश्यकता के।

Azure Front Door (AFD) & AFD WAF

Azure Front Door आपके वैश्विक वेब अनुप्रयोगों के लिए तेज़ डिलीवरी के लिए एक स्केलेबल और सुरक्षित प्रवेश बिंदु है। यह वैश्विक लोड बैलेंसिंग, साइट त्वरक, SSL ऑफ़लोडिंग, और वेब एप्लिकेशन फ़ायरवॉल (WAF) क्षमताओं जैसी विभिन्न सेवाओं को एकल सेवा में संयोजित करता है। Azure Front Door उपयोगकर्ता के लिए सबसे निकटतम एज स्थान के आधार पर बुद्धिमान रूटिंग प्रदान करता है, जिससे प्रदर्शन और विश्वसनीयता सुनिश्चित होती है। इसके अतिरिक्त, यह URL-आधारित रूटिंग, कई साइट होस्टिंग, सत्र संबंधिता, और एप्लिकेशन स्तर की सुरक्षा प्रदान करता है।

Azure Front Door WAF को वेब-आधारित हमलों से वेब अनुप्रयोगों की सुरक्षा के लिए डिज़ाइन किया गया है बिना बैक-एंड कोड में संशोधन किए। इसमें SQL इंजेक्शन, क्रॉस-साइट स्क्रिप्टिंग, और अन्य सामान्य हमलों जैसे खतरों से सुरक्षा के लिए कस्टम नियम और प्रबंधित नियम सेट शामिल हैं।

उदाहरण

• कल्पना करें कि आपके पास एक वैश्विक रूप से वितरित अनुप्रयोग है जिसमें दुनिया भर में उपयोगकर्ता हैं। आप Azure Front Door का उपयोग करके उपयोगकर्ता अनुरोधों को आपके अनुप्रयोग को होस्ट करने वाले निकटतम क्षेत्रीय डेटा सेंटर की ओर रूट कर सकते हैं, जिससे विलंबता कम होती है, उपयोगकर्ता अनुभव में सुधार होता है और WAF क्षमताओं के साथ वेब हमलों से इसकी रक्षा होती है। यदि किसी विशेष क्षेत्र में डाउनटाइम होता है, तो Azure Front Door स्वचालित रूप से ट्रैफ़िक को अगले सबसे अच्छे स्थान पर रीरूट कर सकता है, जिससे उच्च उपलब्धता सुनिश्चित होती है।

Enumeration

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

Azure Application Gateway और Azure Application Gateway WAF

Azure Application Gateway एक वेब ट्रैफिक लोड बैलेंसर है जो आपको अपने वेब अनुप्रयोगों के लिए ट्रैफिक प्रबंधित करने की अनुमति देता है। यह लेयर 7 लोड बैलेंसिंग, SSL टर्मिनेशन, और वेब एप्लिकेशन फ़ायरवॉल (WAF) क्षमताएँ Application Delivery Controller (ADC) के रूप में सेवा में प्रदान करता है। मुख्य विशेषताओं में URL-आधारित रूटिंग, कुकी-आधारित सत्र संबंध, और सुरक्षित सॉकेट्स लेयर (SSL) ऑफ़लोडिंग शामिल हैं, जो उन अनुप्रयोगों के लिए महत्वपूर्ण हैं जिन्हें जटिल लोड-बैलेंसिंग क्षमताओं की आवश्यकता होती है जैसे वैश्विक रूटिंग और पथ-आधारित रूटिंग।

उदाहरण

• एक परिदृश्य पर विचार करें जहाँ आपके पास एक ई-कॉमर्स वेबसाइट है जिसमें विभिन्न कार्यों के लिए कई उपडोमेन शामिल हैं, जैसे उपयोगकर्ता खाते और भुगतान प्रसंस्करण। Azure Application Gateway URL पथ के आधार पर उपयुक्त वेब सर्वरों की ओर ट्रैफिक रूट कर सकता है। उदाहरण के लिए, example.com/accounts पर ट्रैफिक को उपयोगकर्ता खातों की सेवा की ओर निर्देशित किया जा सकता है, और example.com/pay पर ट्रैफिक को भुगतान प्रसंस्करण सेवा की ओर निर्देशित किया जा सकता है। और WAF क्षमताओं का उपयोग करके अपने वेबसाइट को हमलों से सुरक्षित करें।

Enumeration

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

Azure Hub, Spoke & VNet Peering

VNet Peering एक नेटवर्किंग फीचर है जो Azure में विभिन्न वर्चुअल नेटवर्क (VNets) को सीधे और निर्बाध रूप से जोड़ने की अनुमति देता है। VNet पीयरिंग के माध्यम से, एक VNet में संसाधन दूसरे VNet में संसाधनों के साथ निजी IP पते का उपयोग करके संवाद कर सकते हैं, जैसे कि वे एक ही नेटवर्क में हों। VNet Peering को ऑन-प्रेम नेटवर्क के साथ भी उपयोग किया जा सकता है साइट-टू-साइट VPN या Azure ExpressRoute सेटअप करके।

Azure Hub और Spoke एक नेटवर्क टोपोलॉजी है जिसका उपयोग Azure में नेटवर्क ट्रैफ़िक को प्रबंधित और व्यवस्थित करने के लिए किया जाता है। "हब" एक केंद्रीय बिंदु है जो विभिन्न "स्पोक्स" के बीच ट्रैफ़िक को नियंत्रित और रूट करता है। हब में आमतौर पर साझा सेवाएँ होती हैं जैसे नेटवर्क वर्चुअल एप्लायंसेस (NVAs), Azure VPN गेटवे, Azure फ़ायरवॉल, या Azure बैस्टियन। "स्पोक्स" वे VNets हैं जो कार्यभार को होस्ट करते हैं और VNet पीयरिंग का उपयोग करके हब से जुड़े होते हैं, जिससे उन्हें हब के भीतर साझा सेवाओं का लाभ उठाने की अनुमति मिलती है। यह मॉडल साफ नेटवर्क लेआउट को बढ़ावा देता है, जिससे जटिलता कम होती है क्योंकि यह विभिन्न VNets के बीच कई कार्यभारों द्वारा उपयोग की जाने वाली सामान्य सेवाओं को केंद्रीकृत करता है।

Examples

• एक कंपनी की कल्पना करें जिसमें बिक्री, मानव संसाधन और विकास जैसे अलग-अलग विभाग हैं, प्रत्येक के पास अपना खुद का VNet (स्पोक्स) है। इन VNets को साझा संसाधनों तक पहुँच की आवश्यकता होती है जैसे एक केंद्रीय डेटाबेस, एक फ़ायरवॉल, और एक इंटरनेट गेटवे, जो सभी दूसरे VNet (हब) में स्थित हैं। हब और स्पोक मॉडल का उपयोग करके, प्रत्येक विभाग हब VNet के माध्यम से साझा संसाधनों से सुरक्षित रूप से जुड़ सकता है बिना उन संसाधनों को सार्वजनिक इंटरनेट पर उजागर किए या कई कनेक्शनों के साथ एक जटिल नेटवर्क संरचना बनाए बिना।

Enumeration

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

साइट-से-साइट वीपीएन

Azure में एक साइट-से-साइट वीपीएन आपको अपने ऑन-प्रिमाइसेस नेटवर्क को अपने Azure वर्चुअल नेटवर्क (VNet) से कनेक्ट करने की अनुमति देता है, जिससे Azure के भीतर VMs जैसे संसाधन आपके स्थानीय नेटवर्क पर होने का आभास देते हैं। यह कनेक्शन एक वीपीएन गेटवे के माध्यम से स्थापित किया जाता है जो दोनों नेटवर्कों के बीच ट्रैफ़िक को एन्क्रिप्ट करता है।

उदाहरण

• एक व्यवसाय जिसका मुख्य कार्यालय न्यूयॉर्क में स्थित है, एक ऑन-प्रिमाइसेस डेटा सेंटर है जिसे Azure में अपने VNet से सुरक्षित रूप से कनेक्ट करने की आवश्यकता है, जो इसके वर्चुअलाइज्ड वर्कलोड्स को होस्ट करता है। एक साइट-से-साइट वीपीएन सेटअप करके, कंपनी ऑन-प्रिमाइसेस सर्वरों और Azure VMs के बीच एन्क्रिप्टेड कनेक्टिविटी सुनिश्चित कर सकती है, जिससे दोनों वातावरणों में संसाधनों को सुरक्षित रूप से एक्सेस किया जा सके जैसे कि वे एक ही स्थानीय नेटवर्क में हों।

गणना

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

Azure ExpressRoute

Azure ExpressRoute एक सेवा है जो आपके ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चर और Azure डेटा केंद्रों के बीच एक निजी, समर्पित, उच्च-गति कनेक्शन प्रदान करती है। यह कनेक्शन एक कनेक्टिविटी प्रदाता के माध्यम से बनाया जाता है, जो सार्वजनिक इंटरनेट को बायपास करता है और सामान्य इंटरनेट कनेक्शनों की तुलना में अधिक विश्वसनीयता, तेज गति, कम विलंबता और उच्च सुरक्षा प्रदान करता है।

उदाहरण

• एक बहुराष्ट्रीय निगम को उच्च मात्रा के डेटा और उच्च थ्रूपुट की आवश्यकता के कारण अपने Azure सेवाओं के लिए एक संगत और विश्वसनीय कनेक्शन की आवश्यकता होती है। कंपनी अपने ऑन-प्रिमाइसेस डेटा केंद्र को Azure से सीधे कनेक्ट करने के लिए Azure ExpressRoute का विकल्प चुनती है, जिससे बड़े पैमाने पर डेटा ट्रांसफर, जैसे दैनिक बैकअप और वास्तविक समय डेटा एनालिटिक्स, को बेहतर गोपनीयता और गति के साथ सुगम बनाया जा सके।

Enumeration

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table