Taarifa Msingi

Mtandao ndani ya Azure hufanya kazi kama sehemu muhimu ya jukwaa lake la kompyuta la wingu, kuruhusu unganisho na mawasiliano kati ya huduma na rasilimali mbalimbali za Azure. Mimarathi ya mtandao katika Azure imeundwa kuwa na uwezo wa kupanuka sana, kuwa salama, na inayoweza kubadilishwa.

Kimsingi, Azure hutoa mtandao wa kisasa (VNet) ambao huruhusu watumiaji kuunda mitandao iliyotengwa ndani ya wingu la Azure. Ndani ya hivi VNet, rasilimali kama vile mashine za kisasa, programu, na maktaba za data zinaweza kuhostiwa na kusimamiwa kwa usalama. Mtandao katika Azure unasaidia mawasiliano ndani ya wingu (kati ya huduma za Azure) na uunganisho kwenye mitandao ya nje na intaneti.

Usalama ni sehemu muhimu ya mtandao wa Azure, na zana na huduma mbalimbali zinapatikana kwa kulinda data, kusimamia ufikiaji, na kuhakikisha utii. Hatua hizi za usalama ni pamoja na firewalls, vikundi vya usalama wa mtandao, na uwezo wa encryption, kuruhusu kiwango kikubwa cha udhibiti juu ya trafiki na ufikiaji.

Kwa ujumla, uwezo wa mtandao wa Azure umebuniwa kutoa mabadiliko, kuruhusu watumiaji kuunda mazingira ya mtandao yanayofaa mahitaji maalum ya maombi yao na mahitaji ya kazi wakati bado wanazingatia usalama na uaminifu.

Mtandao wa Kivitual (VNET) & Subnets

VNet katika Azure ni kimsingi uwakilishi wa mtandao wako mwenyewe kwenye wingu. Ni utengaji wa mantiki wa wingu la Azure uliotengwa kwa usajili wako. VNet inakuruhusu kuweka na kusimamia mitandao binafsi ya kivitual (VPNs) katika Azure na inaweza kutumika kuhosti na kusimamia aina mbalimbali za rasilimali za Azure, kama vile Mashine za Kivitual (VMs), maktaba za data, na huduma za programu.

VNets hukupa udhibiti kamili wa mipangilio yako ya mtandao, ikiwa ni pamoja na aina za anwani za IP, uumbaji wa subneti, meza za njia, na malango ya mtandao.

Subneti ni aina ya anwani za IP katika VNet yako. Unaweza kugawa VNet katika subneti nyingi kwa ajili ya utaratibu na usalama. Kila subnet katika VNet inaweza kutumika kwa kufunga na kundi la rasilimali kulingana na muundo wako wa mtandao na programu.

Zaidi ya hayo, subneti hukuruhusu kugawa VNet yako katika subneti moja au zaidi, ikitoa aina ya anwani za IP ambazo rasilimali zinaweza kutumia.

Mfano

• Fikiria una VNet inayoitwa MyVNet yenye mfululizo wa anwani ya IP 10.0.0.0/16. Unaweza kuunda subneti ndani ya VNet hii, sema Subnet-1, yenye mfululizo wa anwani ya IP 10.0.0.0/24 kwa ajili ya kuhosti seva zako za wavuti. Subneti nyingine, Subnet-2 yenye mfululizo wa 10.0.1.0/24, inaweza kutumika kwa seva zako za maktaba za data. Ubaguzi huu unaruhusu usimamizi na udhibiti wa usalama ndani ya mtandao.

Uorodheshaji

Ili kuorodhesha VNets na subneti zote katika akaunti ya Azure, unaweza kutumia Interface ya Amri ya Azure (CLI). Hapa kuna hatua:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

Kizuizi cha Azure

Kizuizi cha Azure ni huduma ya usalama wa mtandao iliyosimamiwa kwenye wingu inayolinda rasilimali zako za Mtandao wa Virtual wa Azure. Ni kizuizi kamili cha hali ya hewa kama huduma na vipengele vya upatikanaji wa juu na uwezo wa kupanuka.

Kizuizi cha Azure hutoa vipengele vya juu zaidi kuliko NSGs, ikiwa ni pamoja na uchujaji wa kiwango cha maombi, uchujaji wa kiwango cha mtandao, uchujaji unaotegemea ujasusi wa vitisho, na ushirikiano na Azure Monitor kwa ajili ya kuingiza na takwimu. Inaweza kuchuja trafiki ya kutoka, kuingia, kutoka kwa mzunguko hadi mzunguko, VPN, na trafiki ya ExpressRoute. Sheria za kizuizi zinaweza kuundwa kulingana na FQDN (Jina Kamili la Kikoa), anwani za IP, na bandari.

Tofauti kati ya Kizuizi cha Azure na NSGs

1. Upeo:

• NSG: Inafanya kazi kwenye kiwango cha subnet au kiolesura cha mtandao. Imelenga kutoa uchujaji wa msingi wa trafiki ya kuingia na kutoka kwenye violesura vya mtandao (NIC), VMs, au subneti.

• Kizuizi cha Azure: Hufanya kazi kwenye kiwango cha VNet, kutoa upeo mpana wa ulinzi. Imepangwa kulinda rasilimali zako za mtandao wa virtual na kusimamia trafiki inayoingia na kutoka kwenye VNet.

2. Uwezo:

• NSG: Hutoa uwezo wa msingi wa uchujaji kulingana na anwani ya IP, bandari, na itifaki. Haishikilii vipengele vya juu kama uchunguzi wa kiwango cha maombi au ujasusi wa vitisho.

• Kizuizi cha Azure: Inatoa vipengele vya juu kama uchujaji wa trafiki wa kiwango cha maombi (Tabaka 7), uchujaji unaotegemea ujasusi wa vitisho, uchujaji wa trafiki ya mtandao, na zaidi. Pia inasaidia anwani za IP za umma zaidi ya moja.

3. Matumizi:

• NSG: Inafaa kwa uchujaji wa msingi wa trafiki ya kiwango cha mtandao.

• Kizuizi cha Azure: Inafaa kwa mazingira ya uchujaji yenye utata zaidi ambapo udhibiti wa kiwango cha maombi, kuingiza, na ujasusi wa vitisho unahitajika.

4. Usimamizi na Ufuatiliaji:

• NSG: Inatoa kuingiza msingi na ushirikiano na Azure Monitor.

• Kizuizi cha Azure: Hutoa uwezo wa kuingiza na takwimu za juu kupitia Azure Monitor, ambayo ni muhimu kwa kuelewa asili na mfumo wa trafiki.

Urambazaji

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

Azure Tables za Njia & Njia Zilizofafanuliwa na Mtumiaji (UDR)

Azure Tables za Njia ni kipengele ndani ya Microsoft Azure kinachoruhusu udhibiti wa mwelekeo wa trafiki ya mtandao ndani ya Mtandao wa Virtual wa Azure (VNets). Kimsingi, zinafafanua jinsi pakiti zinavyo pelekwa kati ya subnet ndani ya VNets, kati ya VNets, au kwenye mitandao ya nje. Kila meza ya njia ina seti ya sheria, inayojulikana kama njia, ambazo zinaeleza jinsi pakiti zinavyopaswa kupelekwa kulingana na anwani zao za IP za marudio.

Njia Zilizofafanuliwa na Mtumiaji (UDR) katika Azure ni njia za desturi unazounda ndani ya Azure Tables za Njia ili kudhibiti mtiririko wa trafiki ya mtandao ndani na kati ya Mtandao wa Virtual wa Azure (VNets), na kwa mawasiliano ya nje. UDR hukupa uwezo wa kuongoza trafiki ya mtandao kulingana na mahitaji yako maalum, kukiuka maamuzi ya kawaida ya njia za Azure.

Njia hizi ni muhimu hasa kwa hali ambapo unahitaji kupeleka trafiki kupitia kifaa cha sanidi, kutekeleza njia maalum kwa usalama au kufuata sera, au kuingiliana na mitandao ya ndani.

Mfano

• Fikiria umeweka Kifaa cha Sanidi cha Mtandao (NVA) kwa kuchunguza trafiki kati ya subnet ndani ya VNet. Unaweza kuunda UDR inayoongoza trafiki yote kutoka subnet moja kwenda subnet nyingine kupitia NVA. UDR hii inahakikisha kuwa NVA inachunguza trafiki kwa madhumuni ya usalama kabla haijafika marudio yake.

Uorodheshaji

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List UDRs for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

Azure Private Link

Azure Private Link ni huduma katika Azure ambayo inawezesha ufikiaji wa kibinafsi kwa huduma za Azure kwa kuhakikisha kwamba trafiki kati ya mtandao wako wa kibinafsi wa Azure (VNet) na huduma inasafiri kabisa ndani ya mtandao wa Azure wa uti wa mgongo wa Microsoft. Inaleta huduma hiyo kwenye VNet yako kwa ufanisi. Hii inaimarisha usalama kwa kutokuweka data wazi kwa umma wa intaneti.

Private Link inaweza kutumika na huduma mbalimbali za Azure, kama vile Azure Storage, Azure SQL Database, na huduma za desturi zilizoshirikiwa kupitia Private Link. Inatoa njia salama ya kutumia huduma kutoka ndani ya VNet yako au hata kutoka michango tofauti ya Azure.

Mfano

• Fikiria hali ambapo una Azure SQL Database ambayo unataka kufikia kwa usalama kutoka kwenye VNet yako. Kawaida, hii inaweza kuhusisha kupitia intaneti ya umma. Kwa kutumia Private Link, unaweza kuunda kituo cha kibinafsi kwenye VNet yako kinachounganisha moja kwa moja na huduma ya Azure SQL Database. Kituo hiki kinawezesha database kuonekana kana kwamba ni sehemu ya VNet yako mwenyewe, inayopatikana kupitia anwani ya IP ya kibinafsi, hivyo kuhakikisha ufikiaji salama na wa kibinafsi.

Uorodheshaji

# List Private Link Services
z network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

Huduma za Azure Endpoints

Huduma za Azure Endpoints huongeza nafasi ya anwani ya kibinafsi ya mtandao wako wa kibinafsi wa virtual na kitambulisho cha VNet yako kwa huduma za Azure kupitia uhusiano wa moja kwa moja. Kwa kuwezesha huduma za endpoints, rasilimali katika VNet yako inaweza kuunganisha kwa usalama na huduma za Azure, kama vile Azure Storage na Azure SQL Database, kutumia mtandao wa Azure. Hii inahakikisha kwamba trafiki kutoka VNet kwenda kwa huduma ya Azure inabaki ndani ya mtandao wa Azure, kutoa njia salama na thabiti zaidi.

Mfano

• Kwa mfano, akaunti ya Azure Storage kwa chaguo-msingi inaweza kufikiwa kupitia intaneti ya umma. Kwa kuwezesha huduma ya endpoint kwa Azure Storage ndani ya VNet yako, unaweza kuhakikisha kwamba trafiki kutoka kwa VNet yako tu ndiyo inaweza kufikia akaunti ya kuhifadhi. Kinga ya kizuizi cha akaunti ya kuhifadhi inaweza kisha kusanidiwa kukubali trafiki kutoka kwa VNet yako tu.

Uorodheshaji

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

Tofauti Kati ya Ncha za Huduma na Viungo Binafsi

Microsoft inapendekeza kutumia Viungo Binafsi katika nyaraka:\

Ncha za Huduma:

• Trafiki kutoka kwa VNet yako kwenda kwa huduma ya Azure inapita juu ya mtandao wa msingi wa Microsoft Azure, ikipuuza internet ya umma.

• Ncha ni uhusiano moja kwa moja kwa huduma ya Azure na haipatikani kwa anwani ya IP ya kibinafsi kwa huduma ndani ya VNet.

• Huduma yenyewe bado inaweza kufikiwa kupitia ncha yake ya umma kutoka nje ya VNet yako isipokuwa uweke kizuizi cha moto wa huduma kuzuia trafiki kama hiyo.

• Ni uhusiano wa moja kwa moja kati ya subnet na huduma ya Azure.

• Nafuu zaidi kuliko Viungo Binafsi.

Viungo Binafsi:

• Viungo Binafsi vinachora huduma za Azure ndani ya VNet yako kupitia ncha ya kibinafsi, ambayo ni kiolesura cha mtandao chenye anwani ya IP ya kibinafsi ndani ya VNet yako.

• Huduma ya Azure inafikiwa kwa kutumia anwani hii ya IP ya kibinafsi, ikifanya ionekane kana kwamba ni sehemu ya mtandao wako.

• Huduma zilizounganishwa kupitia Viungo Binafsi zinaweza kufikiwa tu kutoka kwa VNet yako au mitandao iliyounganishwa; hakuna ufikiaji wa internet ya umma kwa huduma.

• Inawezesha uhusiano salama kwa huduma za Azure au huduma zako mwenyewe zilizohifadhiwa kwenye Azure, pamoja na uhusiano kwa huduma zinazoshirikiwa na wengine.

• Inatoa udhibiti wa ufikiaji wa kina zaidi kupitia ncha ya kibinafsi katika VNet yako, tofauti na udhibiti wa ufikiaji wa kawaida kwenye kiwango cha subnet na ncha za huduma.

Kwa muhtasari, wakati Ncha za Huduma na Viungo Binafsi zote zinatoa uunganisho salama kwa huduma za Azure, Viungo Binafsi hutoa kiwango kikubwa zaidi cha kujitenga na usalama kwa kuhakikisha kuwa huduma zinafikiwa kwa faragha bila kuzionyesha kwa umma. Ncha za Huduma, kwa upande mwingine, ni rahisi kuweka kwa matukio ya kawaida ambapo ufikiaji rahisi na salama kwa huduma za Azure unahitajika bila haja ya anwani ya IP ya kibinafsi katika VNet.

Mlango wa Mbele wa Azure (AFD) & AFD WAF

Mlango wa Mbele wa Azure ni njia ya kuingia inayoweza kupanuliwa na salama kwa utoaji wa haraka wa maombi yako ya wavuti ya ulimwengu. Inachanganya huduma mbalimbali kama usawa wa mzigo wa ulimwengu, kuharakisha tovuti, kufuta SSL, na uwezo wa Firewall wa Maombi ya Wavuti (WAF) katika huduma moja. Mlango wa Mbele wa Azure hutoa upelekaji wenye akili kulingana na eneo la pembezoni karibu na mtumiaji, ikihakikisha utendaji na uaminifu bora. Aidha, inatoa upelekaji kulingana na URL, kuhifadhi tovuti nyingi, ushirikiano wa kikao, na usalama wa safu ya maombi.

Mlango wa Mbele wa Azure WAF umebuniwa kwa lengo la kulinda maombi ya wavuti kutokana na mashambulizi ya msingi wa wavuti bila kuhariri msimbo wa nyuma. Inajumuisha sheria za desturi na seti za sheria zilizosimamiwa kulinda dhidi ya vitisho kama vile uingizaji wa SQL, udukuzi wa msalaba wa tovuti, na mashambulizi mengine ya kawaida.

Mfano

• Fikiria una maombi yanayosambazwa kimataifa na watumiaji kote ulimwenguni. Unaweza kutumia Mlango wa Mbele wa Azure ku peleka maombi ya watumiaji kwenye kituo cha data cha kikanda kilicho karibu kinachohifadhi maombi yako, hivyo kupunguza kucheleweshwa, kuboresha uzoefu wa mtumiaji na kulinda dhidi ya mashambulizi ya wavuti na uwezo wa WAF. Ikiwa eneo fulani linapata muda wa kushindwa, Mlango wa Mbele wa Azure inaweza kiotomatiki kuelekeza trafiki kwenye eneo bora la pili, ikihakikisha upatikanaji wa juu.

Uthibitishaji

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

Lango la Maombi la Azure na Lango la Maombi la Azure WAF

Lango la Maombi la Azure ni msawazishaji wa mzigo wa trafiki wa wavuti ambao hukuruhusu kusimamia trafiki kwenye maombi yako ya wavuti. Inatoa usawazishaji wa mzigo wa Layer 7, kumaliza SSL, na uwezo wa ukuta wa maombi ya wavuti (WAF) katika Kudhibiti Mzigo wa Maombi (ADC) kama huduma. Sifa muhimu ni pamoja na usambazaji wa msingi wa URL, ushirikiano wa kikao kulingana na kuki, na kufuta safu salama ya soketi (SSL), ambayo ni muhimu kwa maombi yanayohitaji uwezo wa usawazishaji wa mzigo wa kina kama usambazaji wa ulimwengu na usambazaji kulingana na njia.

Mfano

• Fikiria hali ambapo una wavuti ya biashara ambayo inajumuisha subdomains kadhaa kwa kazi tofauti, kama akaunti za watumiaji na usindikaji wa malipo. Lango la Maombi la Azure linaweza kusambaza trafiki kwa seva za wavuti sahihi kulingana na njia ya URL. Kwa mfano, trafiki kwa mfano.com/akaunti inaweza kupelekwa kwa huduma za akaunti za watumiaji, na trafiki kwa mfano.com/lipa inaweza kupelekwa kwa huduma ya usindikaji wa malipo. Na kulinda wavuti yako kutokana na mashambulizi kwa kutumia uwezo wa WAF.

Uorodheshaji

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

Azure Hub, Spoke & VNet Peering

VNet Peering ni kipengele cha mtandao katika Azure ambacho inaruhusu Virtual Networks (VNets) tofauti kuunganishwa moja kwa moja na kwa urahisi. Kupitia VNet peering, rasilimali katika VNet moja inaweza kuwasiliana na rasilimali katika VNet nyingine kutumia anwani za IP za kibinafsi, kana kwamba ziko kwenye mtandao mmoja. VNet Peering inaweza pia kutumika na mitandao ya ndani kwa kuanzisha VPN ya tovuti hadi tovuti au Azure ExpressRoute.

Azure Hub and Spoke ni muundo wa mtandao unaotumiwa katika Azure kusimamia na kuandaa trafiki ya mtandao. "Hub" ni sehemu kuu inayodhibiti na kuelekeza trafiki kati ya "spokes" tofauti. Hub kawaida ina huduma zilizoshirikiwa kama vile vifaa vya mtandao vya kisasa (NVAs), Azure VPN Gateway, Azure Firewall, au Azure Bastion. "Spokes" ni VNets ambazo hifadhi kazi na kuunganisha kwenye hub kwa kutumia VNet peering, kuwaruhusu kutumia huduma zilizoshirikiwa ndani ya hub. Mfano huu unakuza muundo safi wa mtandao, kupunguza utata kwa kusambaza huduma za kawaida ambazo kazi nyingi kwenye VNets tofauti zinaweza kutumia.

Mifano

• Fikiria kampuni yenye idara tofauti kama vile Mauzo, Rasilimali Watu, na Maendeleo, kila moja ikiwa na VNet yake (spokes). VNets hizi zinahitaji kupata rasilimali zilizoshirikiwa kama vile database kuu, firewall, na lango la mtandao, ambazo zote ziko katika VNet nyingine (hub). Kwa kutumia mfano wa Hub na Spoke, kila idara inaweza kuunganisha kwa usalama kwenye rasilimali zilizoshirikiwa kupitia VNet ya hub bila kuzifunua kwa intaneti ya umma au kuunda muundo wa mtandao wenye mianya mingi.

Uorodheshaji

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

Azure ExpressRoute

Azure ExpressRoute ni huduma inayotoa unganisho la kasi kubwa, la kibinafsi na la kujitolea kati ya miundombinu yako ya ndani na vituo vya data vya Azure. Uunganisho huu hufanywa kupitia mtoa huduma wa uunganisho, ukikwepa intaneti ya umma na kutoa uaminifu zaidi, kasi kubwa, latensi ndogo, na usalama wa hali ya juu kuliko uunganisho wa kawaida wa intaneti.

Mfano

• Kampuni ya kimataifa inahitaji unganisho thabiti na la kuaminika kwa huduma zake za Azure kutokana na wingi wa data na haja ya uhamisho wa data wa haraka. Kampuni hiyo inachagua Azure ExpressRoute kuunganisha moja kwa moja kituo chake cha data cha ndani na Azure, kurahisisha uhamisho wa data kwa kiwango kikubwa, kama vile nakala rudufu za kila siku na uchambuzi wa data halisi wakati halisi, huku ikiboresha faragha na kasi.

Uorodheshaji

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table