Az - Azure Network

Basic Information

Azure के भीतर नेटवर्क इसके क्लाउड कंप्यूटिंग प्लेटफ़ॉर्म का एक अभिन्न हिस्सा हैं, जो विभिन्न Azure सेवाओं और संसाधनों के बीच कनेक्शन और संचार को सक्षम बनाते हैं। Azure में नेटवर्क आर्किटेक्चर को अत्यधिक स्केलेबल, सुरक्षित और अनुकूलन योग्य बनाने के लिए डिज़ाइन किया गया है।

इसके मूल में, Azure एक वर्चुअल नेटवर्क (VNet) प्रदान करता है जो उपयोगकर्ताओं को Azure क्लाउड के भीतर अलग-थलग नेटवर्क बनाने की अनुमति देता है। इन VNets के भीतर, वर्चुअल मशीनों, अनुप्रयोगों और डेटाबेस जैसे संसाधनों को सुरक्षित रूप से होस्ट और प्रबंधित किया जा सकता है। Azure में नेटवर्किंग क्लाउड के भीतर (Azure सेवाओं के बीच) संचार और बाहरी नेटवर्क और इंटरनेट से कनेक्शन दोनों का समर्थन करती है।

सुरक्षा Azure नेटवर्किंग का एक महत्वपूर्ण पहलू है, जिसमें डेटा की सुरक्षा, एक्सेस प्रबंधन और अनुपालन सुनिश्चित करने के लिए विभिन्न उपकरण और सेवाएं उपलब्ध हैं। इन सुरक्षा उपायों में फायरवॉल, नेटवर्क सुरक्षा समूह, और एन्क्रिप्शन क्षमताएं शामिल हैं, जो ट्रैफ़िक और एक्सेस पर उच्च स्तर का नियंत्रण प्रदान करती हैं।

कुल मिलाकर, Azure की नेटवर्किंग क्षमताएं लचीलापन प्रदान करने के लिए डिज़ाइन की गई हैं, जिससे उपयोगकर्ता अपने विशिष्ट अनुप्रयोग और वर्कलोड आवश्यकताओं के अनुसार एक नेटवर्क वातावरण बना सकते हैं, जबकि सुरक्षा और विश्वसनीयता पर जोर बनाए रखते हैं।

Virtual Network (VNET) & Subnets

Azure में एक VNet मूल रूप से क्लाउड में आपके अपने नेटवर्क का प्रतिनिधित्व है। यह आपके सब्सक्रिप्शन के लिए समर्पित Azure क्लाउड का एक तार्किक अलगाव है। एक VNet आपको Azure में वर्चुअल प्राइवेट नेटवर्क (VPNs) को प्रावधान और प्रबंधित करने की अनुमति देता है और इसका उपयोग वर्चुअल मशीन (VMs), डेटाबेस और एप्लिकेशन सेवाओं जैसे कई प्रकार के Azure संसाधनों की मेजबानी और प्रबंधन के लिए किया जा सकता है।

VNets आपको अपने नेटवर्क सेटिंग्स पर पूर्ण नियंत्रण प्रदान करते हैं, जिसमें IP पता रेंज, सबनेट निर्माण, रूट टेबल और नेटवर्क गेटवे शामिल हैं।

एक सबनेट आपके VNet में IP पतों की एक श्रृंखला है। आप संगठन और सुरक्षा के लिए एक VNet को कई सबनेट में विभाजित कर सकते हैं। एक VNet में प्रत्येक सबनेट का उपयोग आपके नेटवर्क और एप्लिकेशन आर्किटेक्चर के अनुसार संसाधनों को अलग और समूहित करने के लिए किया जा सकता है।

इसके अलावा, सबनेट आपको अपने VNet को एक या अधिक उप-नेटवर्क में विभाजित करने की अनुमति देते हैं, जो IP पतों की एक श्रृंखला प्रदान करते हैं जिसका उपयोग संसाधन कर सकते हैं।

Example

• मान लीजिए आपके पास MyVNet नामक एक VNet है जिसका IP पता रेंज 10.0.0.0/16 है। आप इस VNet के भीतर एक सबनेट बना सकते हैं, मान लीजिए Subnet-1, जिसका IP पता रेंज 10.0.0.0/24 है, जो आपके वेब सर्वरों की मेजबानी के लिए है। एक और सबनेट, Subnet-2 जिसका रेंज 10.0.1.0/24 है, आपके डेटाबेस सर्वरों के लिए उपयोग किया जा सकता है। यह विभाजन नेटवर्क के भीतर कुशल प्रबंधन और सुरक्षा नियंत्रण की अनुमति देता है।

Enumeration

Azure खाते में सभी VNets और सबनेट को सूचीबद्ध करने के लिए, आप Azure Command-Line Interface (CLI) का उपयोग कर सकते हैं। यहाँ चरण दिए गए हैं:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

Network Security Groups (NSG)

Azure में, एक Network Security Group (NSG) का मुख्य कार्य Azure Virtual Network (VNet) के भीतर Azure संसाधनों के लिए और उनसे नेटवर्क ट्रैफ़िक को फ़िल्टर करना है। इसमें security rules का एक सेट होता है जो नेटवर्क ट्रैफ़िक के प्रवाह को सावधानीपूर्वक निर्धारित करता है।

NSG के मुख्य पहलू शामिल हैं:

• Traffic Control: प्रत्येक NSG में नियम होते हैं जो विभिन्न Azure संसाधनों से संबंधित इनबाउंड और आउटबाउंड नेटवर्क ट्रैफ़िक को अनुमति देने या अवरुद्ध करने में महत्वपूर्ण होते हैं।

• Rule Components: NSG के भीतर के नियम अत्यधिक विशिष्ट होते हैं, जो स्रोत/गंतव्य IP पता, पोर्ट, और प्रोटोकॉल जैसे मानदंडों के आधार पर ट्रैफ़िक को फ़िल्टर करते हैं। यह विशिष्टता नेटवर्क ट्रैफ़िक के सूक्ष्म प्रबंधन की अनुमति देती है।

• Security Enhancement: केवल अधिकृत ट्रैफ़िक को आपके Azure संसाधनों में प्रवेश करने या बाहर निकलने की अनुमति देकर, NSGs आपके नेटवर्क इन्फ्रास्ट्रक्चर की सुरक्षा स्थिति को मजबूत करने में महत्वपूर्ण भूमिका निभाते हैं।

Example

• कल्पना करें कि आपके पास एक NSG है जिसका नाम MyNSG है, जो आपके VNet के भीतर एक सबनेट या एक विशिष्ट वर्चुअल मशीन पर लागू है। आप निम्नलिखित नियम बना सकते हैं:

• एक इनबाउंड नियम जो किसी भी स्रोत से आपके वेब सर्वरों तक HTTP ट्रैफ़िक (पोर्ट 80) की अनुमति देता है।

• एक आउटबाउंड नियम जो केवल SQL ट्रैफ़िक (पोर्ट 1433) को एक विशिष्ट गंतव्य IP पता रेंज तक जाने की अनुमति देता है।

Enumeration

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

Azure Firewall

Azure Firewall एक प्रबंधित, क्लाउड-आधारित नेटवर्क सुरक्षा सेवा है जो आपके Azure Virtual Network संसाधनों की सुरक्षा करती है। यह एक पूरी तरह से स्टेटफुल फ़ायरवॉल सेवा है जिसमें उच्च उपलब्धता और स्केलेबिलिटी की विशेषताएं अंतर्निहित हैं।

Azure Firewall NSGs की तुलना में अधिक उन्नत सुविधाएँ प्रदान करता है, जिसमें एप्लिकेशन-स्तरीय फ़िल्टरिंग, नेटवर्क-स्तरीय फ़िल्टरिंग, खतरे की खुफिया-आधारित फ़िल्टरिंग, और लॉगिंग और एनालिटिक्स के लिए Azure Monitor के साथ एकीकरण शामिल है। यह आउटबाउंड, इनबाउंड, स्पोक-टू-स्पोक, VPN, और ExpressRoute ट्रैफ़िक को फ़िल्टर कर सकता है। फ़ायरवॉल नियम FQDN (Fully Qualified Domain Name), IP पते, और पोर्ट्स के आधार पर बनाए जा सकते हैं।

Azure Firewall और NSGs के बीच अंतर

1. स्कोप:

• NSG: सबनेट या नेटवर्क इंटरफ़ेस स्तर पर काम करता है। यह नेटवर्क इंटरफेस (NIC), VMs, या सबनेट से इनबाउंड और आउटबाउंड ट्रैफ़िक की बुनियादी फ़िल्टरिंग प्रदान करने के लिए है।

• Azure Firewall: VNet स्तर पर संचालित होता है, व्यापक सुरक्षा प्रदान करता है। यह आपके वर्चुअल नेटवर्क संसाधनों को सुरक्षित करने और VNet में आने और जाने वाले ट्रैफ़िक को प्रबंधित करने के लिए डिज़ाइन किया गया है।

2. क्षमताएं:

• NSG: IP पता, पोर्ट, और प्रोटोकॉल के आधार पर बुनियादी फ़िल्टरिंग क्षमताएं प्रदान करता है। यह एप्लिकेशन-स्तरीय निरीक्षण या खतरे की खुफिया जैसी उन्नत सुविधाओं का समर्थन नहीं करता है।

• Azure Firewall: एप्लिकेशन-स्तरीय (लेयर 7) ट्रैफ़िक फ़िल्टरिंग, खतरे की खुफिया-आधारित फ़िल्टरिंग, नेटवर्क ट्रैफ़िक फ़िल्टरिंग, और अधिक जैसी उन्नत सुविधाएँ प्रदान करता है। यह कई सार्वजनिक IP पतों का भी समर्थन करता है।

3. उपयोग के मामले:

• NSG: बुनियादी नेटवर्क स्तर ट्रैफ़िक फ़िल्टरिंग के लिए आदर्श।

• Azure Firewall: अधिक जटिल फ़िल्टरिंग परिदृश्यों के लिए उपयुक्त है जहां एप्लिकेशन-स्तरीय नियंत्रण, लॉगिंग, और खतरे की खुफिया की आवश्यकता होती है।

4. प्रबंधन और निगरानी:

• NSG: बुनियादी लॉगिंग और Azure Monitor के साथ एकीकरण प्रदान करता है।

• Azure Firewall: Azure Monitor के माध्यम से उन्नत लॉगिंग और एनालिटिक्स क्षमताएं प्रदान करता है, जो ट्रैफ़िक की प्रकृति और पैटर्न को समझने के लिए आवश्यक है।

Enumeration

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

Network Virtual Appliance (NVA)

Azure में एक Network Virtual Appliance (NVA) एक वर्चुअल एप्लायंस है जो वर्चुअल नेटवर्क के भीतर नेटवर्क कार्यों को निष्पादित करता है। NVAs का उपयोग आमतौर पर उन नेटवर्क कार्यों के लिए किया जाता है जो Azure में स्वाभाविक रूप से उपलब्ध नहीं हैं या जब अधिक अनुकूलन की आवश्यकता होती है। ये मूल रूप से VMs होते हैं जो नेटवर्क एप्लिकेशन या सेवाएं चलाते हैं, जैसे कि फायरवॉल, WAN ऑप्टिमाइज़र, या लोड बैलेंसर।

NVAs का उपयोग जटिल रूटिंग, सुरक्षा, और नेटवर्क ट्रैफिक प्रबंधन कार्यों के लिए किया जाता है। इन्हें Azure Marketplace से तैनात किया जा सकता है, जहां कई तृतीय-पक्ष विक्रेता अपने एप्लायंसेस को Azure वातावरण में एकीकृत करने के लिए तैयार पेशकश करते हैं।

उदाहरण

• एक संगठन Azure में एक NVA तैनात कर सकता है ताकि एक कस्टम फायरवॉल समाधान बनाया जा सके। यह NVA एक तृतीय-पक्ष फायरवॉल सॉफ़्टवेयर चला सकता है, जो उन्नत सुविधाएं प्रदान करता है जैसे कि घुसपैठ का पता लगाना, पैकेट निरीक्षण, या VPN कनेक्टिविटी। NVA को उस पर गुजरने वाले ट्रैफिक का निरीक्षण और फ़िल्टर करने के लिए कॉन्फ़िगर किया जा सकता है, यह सुनिश्चित करते हुए कि संगठन की नीतियों के अनुसार उन्नत सुरक्षा उपाय लागू हैं।

Enumeration

# Usually NVAs are named or tagged in a way to distinguish them from other VMs
az vm list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# For a specific VM identified as an NVA, list its network interfaces
az vm nic list --vm-name <VMName> --resource-group <ResourceGroupName> --query "[].{id:id}" -o table

Azure Route Tables & User Defined Routes (UDR)

Azure Route Tables Microsoft Azure के भीतर एक फीचर हैं जो Azure Virtual Networks (VNets) के भीतर नेटवर्क ट्रैफिक रूटिंग के नियंत्रण की अनुमति देते हैं। मूल रूप से, वे परिभाषित करते हैं कि पैकेट्स को सबनेट्स के बीच, VNets के बीच, या बाहरी नेटवर्क्स के लिए कैसे फॉरवर्ड किया जाता है। प्रत्येक रूट टेबल में नियमों का एक सेट होता है, जिसे रूट्स कहा जाता है, जो निर्दिष्ट करते हैं कि पैकेट्स को उनके डेस्टिनेशन IP एड्रेस के आधार पर कैसे रूट किया जाना चाहिए।

User Defined Routes (UDR) Azure में कस्टम रूट्स हैं जिन्हें आप Azure Route Tables के भीतर बनाते हैं ताकि Azure Virtual Networks (VNets) के भीतर और बीच में, और बाहरी कनेक्शनों के लिए नेटवर्क ट्रैफिक के प्रवाह को नियंत्रित किया जा सके। UDRs आपको नेटवर्क ट्रैफिक को आपकी विशिष्ट आवश्यकताओं के अनुसार निर्देशित करने की लचीलापन देते हैं, Azure के डिफ़ॉल्ट रूटिंग निर्णयों को ओवरराइड करते हुए।

ये रूट्स विशेष रूप से उन परिदृश्यों के लिए उपयोगी होते हैं जहां आपको नेटवर्क ट्रैफिक को एक वर्चुअल एप्लायंस के माध्यम से रूट करने की आवश्यकता होती है, सुरक्षा या नीति अनुपालन के लिए एक विशिष्ट मार्ग को लागू करना होता है, या ऑन-प्रिमाइसेस नेटवर्क्स के साथ एकीकृत करना होता है।

उदाहरण

• मान लीजिए आपने एक Network Virtual Appliance (NVA) को एक VNet के भीतर सबनेट्स के बीच ट्रैफिक का निरीक्षण करने के लिए तैनात किया है। आप एक UDR बना सकते हैं जो एक सबनेट से दूसरे सबनेट तक सभी ट्रैफिक को NVA के माध्यम से जाने का निर्देश देता है। यह UDR सुनिश्चित करता है कि NVA सुरक्षा उद्देश्यों के लिए ट्रैफिक का निरीक्षण करता है इससे पहले कि वह अपने गंतव्य तक पहुंचे।

Enumeration

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List UDRs for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

Azure Private Link

Azure Private Link एक सेवा है जो Azure में Azure सेवाओं तक निजी पहुंच सक्षम करती है यह सुनिश्चित करके कि आपके Azure वर्चुअल नेटवर्क (VNet) और सेवा के बीच का ट्रैफ़िक पूरी तरह से Microsoft के Azure बैकबोन नेटवर्क के भीतर यात्रा करता है। यह प्रभावी रूप से सेवा को आपके VNet में लाता है। यह सेटअप डेटा को सार्वजनिक इंटरनेट पर उजागर न करके सुरक्षा को बढ़ाता है।

Private Link का उपयोग विभिन्न Azure सेवाओं के साथ किया जा सकता है, जैसे Azure Storage, Azure SQL Database, और Private Link के माध्यम से साझा की गई कस्टम सेवाएं। यह आपकी अपनी VNet या यहां तक कि विभिन्न Azure सब्सक्रिप्शन से सेवाओं का उपभोग करने का एक सुरक्षित तरीका प्रदान करता है।

उदाहरण

• एक परिदृश्य पर विचार करें जहां आपके पास एक Azure SQL Database है जिसे आप अपने VNet से सुरक्षित रूप से एक्सेस करना चाहते हैं। सामान्यतः, इसमें सार्वजनिक इंटरनेट को पार करना शामिल हो सकता है। Private Link के साथ, आप अपने VNet में एक निजी एंडपॉइंट बना सकते हैं जो सीधे Azure SQL Database सेवा से जुड़ता है। यह एंडपॉइंट डेटाबेस को ऐसा बनाता है जैसे कि यह आपके अपने VNet का हिस्सा हो, एक निजी IP पते के माध्यम से सुलभ हो, इस प्रकार सुरक्षित और निजी पहुंच सुनिश्चित करता है।

Enumeration

# List Private Link Services
z network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

Azure Service Endpoints

Azure Service Endpoints आपके वर्चुअल नेटवर्क प्राइवेट एड्रेस स्पेस और आपके VNet की पहचान को Azure सेवाओं तक एक डायरेक्ट कनेक्शन के माध्यम से बढ़ाते हैं। सेवा एंडपॉइंट्स को सक्षम करके, आपके VNet में संसाधन सुरक्षित रूप से Azure सेवाओं से कनेक्ट हो सकते हैं, जैसे Azure Storage और Azure SQL Database, Azure के बैकबोन नेटवर्क का उपयोग करके। यह सुनिश्चित करता है कि VNet से Azure सेवा तक का ट्रैफिक Azure नेटवर्क के भीतर ही रहता है, जिससे एक अधिक सुरक्षित और विश्वसनीय मार्ग प्रदान होता है।

उदाहरण

• उदाहरण के लिए, एक Azure Storage खाता डिफ़ॉल्ट रूप से सार्वजनिक इंटरनेट पर सुलभ है। अपने VNet के भीतर Azure Storage के लिए एक सेवा एंडपॉइंट सक्षम करके, आप सुनिश्चित कर सकते हैं कि केवल आपके VNet से ट्रैफिक स्टोरेज खाते तक पहुंच सकता है। स्टोरेज खाता फ़ायरवॉल को तब केवल आपके VNet से ट्रैफिक स्वीकार करने के लिए कॉन्फ़िगर किया जा सकता है।

Enumeration

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

Service Endpoints और Private Links के बीच अंतर

Microsoft docs में Private Links का उपयोग करने की सिफारिश करता है:\

Service Endpoints:

• आपके VNet से Azure सेवा तक का ट्रैफिक Microsoft Azure बैकबोन नेटवर्क के माध्यम से यात्रा करता है, सार्वजनिक इंटरनेट को बायपास करता है।

• Endpoint Azure सेवा के लिए एक सीधा कनेक्शन है और VNet के भीतर सेवा के लिए एक निजी IP प्रदान नहीं करता है।

• सेवा स्वयं आपके VNet के बाहर से अपने सार्वजनिक Endpoint के माध्यम से सुलभ है जब तक कि आप सेवा फ़ायरवॉल को ऐसे ट्रैफ़िक को ब्लॉक करने के लिए कॉन्फ़िगर नहीं करते।

• यह सबनेट और Azure सेवा के बीच एक-से-एक संबंध है।

• Private Links की तुलना में कम महंगा।

Private Links:

• Private Link आपके VNet में एक निजी Endpoint के माध्यम से Azure सेवाओं को मैप करता है, जो आपके VNet के भीतर एक निजी IP पते के साथ एक नेटवर्क इंटरफ़ेस है।

• Azure सेवा इस निजी IP पते का उपयोग करके एक्सेस की जाती है, जिससे यह आपके नेटवर्क का हिस्सा प्रतीत होती है।

• Private Link के माध्यम से जुड़ी सेवाओं को केवल आपके VNet या जुड़े नेटवर्क से एक्सेस किया जा सकता है; सेवा के लिए सार्वजनिक इंटरनेट एक्सेस नहीं है।

• यह Azure सेवाओं या Azure में होस्ट की गई आपकी अपनी सेवाओं के साथ-साथ दूसरों द्वारा साझा की गई सेवाओं के लिए एक सुरक्षित कनेक्शन सक्षम करता है।

• यह आपके VNet में एक निजी Endpoint के माध्यम से अधिक विस्तृत एक्सेस नियंत्रण प्रदान करता है, सेवा Endpoints के साथ सबनेट स्तर पर व्यापक एक्सेस नियंत्रण के विपरीत।

सारांश में, जबकि Service Endpoints और Private Links दोनों Azure सेवाओं के लिए सुरक्षित कनेक्टिविटी प्रदान करते हैं, Private Links उच्च स्तर का अलगाव और सुरक्षा प्रदान करते हैं यह सुनिश्चित करके कि सेवाओं को निजी तौर पर एक्सेस किया जाता है बिना उन्हें सार्वजनिक इंटरनेट के लिए उजागर किए। दूसरी ओर, Service Endpoints सामान्य मामलों के लिए सेट अप करना आसान है जहां VNet में निजी IP की आवश्यकता के बिना Azure सेवाओं तक सरल, सुरक्षित पहुंच की आवश्यकता होती है।

Azure Front Door (AFD) & AFD WAF

Azure Front Door आपके वैश्विक वेब अनुप्रयोगों की तेजी से डिलीवरी के लिए एक स्केलेबल और सुरक्षित प्रवेश बिंदु है। यह विभिन्न सेवाओं जैसे वैश्विक लोड बैलेंसिंग, साइट एक्सेलेरेशन, SSL ऑफलोडिंग, और Web Application Firewall (WAF) क्षमताओं को एकल सेवा में जोड़ता है। Azure Front Door उपयोगकर्ता के निकटतम एज लोकेशन के आधार पर बुद्धिमान रूटिंग प्रदान करता है, जिससे इष्टतम प्रदर्शन और विश्वसनीयता सुनिश्चित होती है। इसके अतिरिक्त, यह URL-आधारित रूटिंग, मल्टीपल-साइट होस्टिंग, सत्र संबद्धता, और एप्लिकेशन लेयर सुरक्षा प्रदान करता है।

Azure Front Door WAF वेब अनुप्रयोगों को वेब-आधारित हमलों से संरक्षित करने के लिए डिज़ाइन किया गया है बिना बैक-एंड कोड में संशोधन किए। इसमें कस्टम नियम और प्रबंधित नियम सेट शामिल हैं जो SQL इंजेक्शन, क्रॉस-साइट स्क्रिप्टिंग, और अन्य सामान्य हमलों जैसे खतरों से बचाते हैं।

उदाहरण

• कल्पना करें कि आपके पास एक वैश्विक रूप से वितरित अनुप्रयोग है जिसके उपयोगकर्ता दुनिया भर में हैं। आप Azure Front Door का उपयोग करके उपयोगकर्ता अनुरोधों को निकटतम क्षेत्रीय डेटा केंद्र में रूट कर सकते हैं जो आपके अनुप्रयोग की मेजबानी कर रहा है, इस प्रकार विलंबता को कम कर सकते हैं, उपयोगकर्ता अनुभव में सुधार कर सकते हैं और WAF क्षमताओं के साथ वेब हमलों से इसकी रक्षा कर सकते हैं। यदि कोई विशेष क्षेत्र डाउनटाइम का अनुभव करता है, तो Azure Front Door स्वचालित रूप से ट्रैफ़िक को अगले सर्वोत्तम स्थान पर पुनः रूट कर सकता है, जिससे उच्च उपलब्धता सुनिश्चित होती है।

Enumeration

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

Azure Application Gateway और Azure Application Gateway WAF

Azure Application Gateway एक वेब ट्रैफिक लोड बैलेंसर है जो आपको अपने वेब एप्लिकेशन के ट्रैफिक को प्रबंधित करने में सक्षम बनाता है। यह लेयर 7 लोड बैलेंसिंग, SSL टर्मिनेशन, और वेब एप्लिकेशन फायरवॉल (WAF) क्षमताएं Application Delivery Controller (ADC) के रूप में सेवा में प्रदान करता है। प्रमुख विशेषताओं में URL-आधारित रूटिंग, कुकी-आधारित सत्र संबद्धता, और सुरक्षित सॉकेट लेयर (SSL) ऑफलोडिंग शामिल हैं, जो उन एप्लिकेशनों के लिए महत्वपूर्ण हैं जिन्हें जटिल लोड-बैलेंसिंग क्षमताओं की आवश्यकता होती है जैसे कि वैश्विक रूटिंग और पथ-आधारित रूटिंग।

उदाहरण

• एक परिदृश्य पर विचार करें जहां आपके पास एक ई-कॉमर्स वेबसाइट है जिसमें विभिन्न कार्यों के लिए कई उपडोमेन शामिल हैं, जैसे कि उपयोगकर्ता खाते और भुगतान प्रसंस्करण। Azure Application Gateway URL पथ के आधार पर ट्रैफिक को उचित वेब सर्वरों पर रूट कर सकता है। उदाहरण के लिए, example.com/accounts पर ट्रैफिक को उपयोगकर्ता खाते सेवा पर निर्देशित किया जा सकता है, और example.com/pay पर ट्रैफिक को भुगतान प्रसंस्करण सेवा पर निर्देशित किया जा सकता है। और WAF क्षमताओं का उपयोग करके अपनी वेबसाइट को हमलों से सुरक्षित रखें।

Enumeration

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

Azure Hub, Spoke & VNet Peering

VNet Peering Azure में एक नेटवर्किंग फीचर है जो विभिन्न Virtual Networks (VNets) को सीधे और सहजता से कनेक्ट करने की अनुमति देता है। VNet peering के माध्यम से, एक VNet में संसाधन दूसरे VNet में संसाधनों के साथ निजी IP पतों का उपयोग करके संचार कर सकते हैं, जैसे कि वे एक ही नेटवर्क में हों। VNet Peering को ऑन-प्रेम नेटवर्क्स के साथ भी उपयोग किया जा सकता है साइट-टू-साइट VPN या Azure ExpressRoute सेटअप करके।

Azure Hub and Spoke Azure में एक नेटवर्क टोपोलॉजी है जिसका उपयोग नेटवर्क ट्रैफिक को प्रबंधित और व्यवस्थित करने के लिए किया जाता है। "हब" एक केंद्रीय बिंदु है जो विभिन्न "स्पोक्स" के बीच ट्रैफिक को नियंत्रित और रूट करता है। हब में आमतौर पर साझा सेवाएं होती हैं जैसे नेटवर्क वर्चुअल एप्लायंसेस (NVAs), Azure VPN Gateway, Azure Firewall, या Azure Bastion। "स्पोक्स" वे VNets हैं जो वर्कलोड्स को होस्ट करते हैं और VNet peering का उपयोग करके हब से कनेक्ट होते हैं, जिससे वे हब के भीतर साझा सेवाओं का लाभ उठा सकते हैं। यह मॉडल साफ नेटवर्क लेआउट को बढ़ावा देता है, विभिन्न VNets में कई वर्कलोड्स द्वारा उपयोग की जाने वाली सामान्य सेवाओं को केंद्रीकृत करके जटिलता को कम करता है।

Examples

• एक कंपनी की कल्पना करें जिसमें अलग-अलग विभाग जैसे Sales, HR, और Development हैं, प्रत्येक का अपना VNet (स्पोक्स)। इन VNets को साझा संसाधनों तक पहुंच की आवश्यकता है जैसे कि एक केंद्रीय डेटाबेस, एक फ़ायरवॉल, और एक इंटरनेट गेटवे, जो सभी एक अन्य VNet (हब) में स्थित हैं। Hub and Spoke मॉडल का उपयोग करके, प्रत्येक विभाग साझा संसाधनों से हब VNet के माध्यम से सुरक्षित रूप से कनेक्ट हो सकता है बिना उन संसाधनों को सार्वजनिक इंटरनेट पर उजागर किए या कई कनेक्शनों के साथ एक जटिल नेटवर्क संरचना बनाए बिना।

Enumeration

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

Site-to-Site VPN

Azure में एक Site-to-Site VPN आपको अपने ऑन-प्रिमाइसेस नेटवर्क को अपने Azure Virtual Network (VNet) से कनेक्ट करने की अनुमति देता है, जिससे Azure के भीतर संसाधन जैसे VMs आपके लोकल नेटवर्क पर होने जैसा प्रतीत होते हैं। यह कनेक्शन एक VPN गेटवे के माध्यम से स्थापित होता है जो दोनों नेटवर्क के बीच ट्रैफिक को एन्क्रिप्ट करता है।

उदाहरण

• न्यूयॉर्क में स्थित अपने मुख्य कार्यालय के साथ एक व्यवसाय का एक ऑन-प्रिमाइसेस डेटा सेंटर है जिसे अपने Azure में VNet से सुरक्षित रूप से कनेक्ट करने की आवश्यकता है, जो इसके वर्चुअलाइज्ड वर्कलोड्स को होस्ट करता है। एक Site-to-Site VPN सेटअप करके, कंपनी ऑन-प्रिमाइसेस सर्वर और Azure VMs के बीच एन्क्रिप्टेड कनेक्टिविटी सुनिश्चित कर सकती है, जिससे संसाधनों को दोनों वातावरणों में सुरक्षित रूप से एक्सेस किया जा सकता है जैसे कि वे एक ही लोकल नेटवर्क में हों।

Enumeration

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

Azure ExpressRoute

Azure ExpressRoute एक सेवा है जो आपके ऑन-प्रिमाइसेस इंफ्रास्ट्रक्चर और Azure डेटा सेंटर्स के बीच एक निजी, समर्पित, उच्च-गति कनेक्शन प्रदान करती है। यह कनेक्शन एक कनेक्टिविटी प्रदाता के माध्यम से किया जाता है, जो सार्वजनिक इंटरनेट को बायपास करता है और सामान्य इंटरनेट कनेक्शनों की तुलना में अधिक विश्वसनीयता, तेज गति, कम विलंबता, और उच्च सुरक्षा प्रदान करता है।

उदाहरण

• एक बहुराष्ट्रीय निगम को अपने Azure सेवाओं के लिए सुसंगत और विश्वसनीय कनेक्शन की आवश्यकता होती है क्योंकि डेटा की उच्च मात्रा और उच्च थ्रूपुट की आवश्यकता होती है। कंपनी Azure ExpressRoute का चयन करती है ताकि अपने ऑन-प्रिमाइसेस डेटा सेंटर को सीधे Azure से जोड़ सके, जिससे बड़े पैमाने पर डेटा ट्रांसफर, जैसे दैनिक बैकअप और रियल-टाइम डेटा एनालिटिक्स, को बढ़ी हुई गोपनीयता और गति के साथ सुगम बनाया जा सके।

गणना

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table