type
status
date
slug
summary
tags
category
icon
password
关于Azure网络的相关知识和各项服务
📝 Az−104関連知識
ネットワーク
网络相关知识
进入Azure的流量不需要付费,但是出向流量需要付费
可以固定Vnet内部的 Private IP
在Azure里面可以用自己带来的PIP
在Azure Vnet会预留 5 个 IP 地址,这些地址不可用,因为它们被 Azure 保留用于特殊用途。
可以通过Azure Firewall来实现三个VPC之间的互相通信
只用两个VPCピアリング的情况下:
通过Azure firewall来进行流量的方向控制
Azure ネットワーク マネージャー
集中来实现网络管理与互联
security admin rules:
役割:Security Admin Rules(安全管理员规则) 的作用是通过定义网络流量的安全策略,在整个 Azure 网络中实施统一的访问控制。它是 安全管理器规则集合 的一部分,专注于更高级别的安全控制,覆盖多个虚拟网络和子网。
以下是它的主要功能与用途:
1. 作用范围
• 全局作用范围:允许跨多个 虚拟网络 (VNet) 和子网统一管理和强制执行安全规则。
• 灵活覆盖:适用于单个资源组、多个区域甚至整个 Azure 环境。
2. 功能与作用
• 定义访问规则:设置允许或拒绝特定流量的规则,例如根据源 IP 地址、目标 IP 地址、端口范围和协议(TCP/UDP)。
• 优先级更高:与 NSG(网络安全组)规则相比,Security Admin Rules 的优先级更高,能覆盖 VNet 或子网中已有的 NSG 配置。
• 例如:即使某 NSG 允许特定流量,如果 Security Admin Rules 拒绝了该流量,则拒绝规则会优先生效。
• 集中式管理:通过 Azure 网络管理器统一定义规则,避免分散在不同 NSG 中的复杂管理。
ASG(Application security group)比较便捷
是一种TAG可以加在多个服务器上面的面的标签可以帮助进行多端流量的出入管理
不用担心实际上我用的什么样的IP地址
Azure Firewall
SKU:
可以进行DNAT
控制TCP IP的流量和APP层的流量
DNS
Azure 私有 DNS 解析器(Private DNS Resolver) :
主要功能
1. 解析 Azure 私有 DNS 区域
• 自动解析 Azure 内的 Private DNS Zones(私有 DNS 区域) 中的记录,无需额外配置。
• 例如,一个 VNet 内的虚拟机需要解析同一区域或其他区域中的资源,私有 DNS 解析器可直接处理这些请求。
2. 跨本地与 Azure 的 DNS 解析
• 支持将本地网络的 DNS 查询通过 DNS 转发规则 转发到 Azure。
• 同时,可将 Azure 内的 DNS 查询转发到本地网络中的 DNS 服务器。
3. 跨虚拟网络的 DNS 解析
• 在多 VNet 场景下,实现集中式的 DNS 查询管理,避免每个 VNet 单独配置 DNS 服务器。
4. 高可用、自动管理
• 无需用户维护基础设施,Azure 提供托管服务,具有高可用性和冗余。
使用场景
1. 混合云架构
• 在本地网络和 Azure 之间实现私有域名解析,例如解析本地服务器域名或 Azure VM 的私有域名。
2. 跨区域或多 VNet 环境
• 在不同 VNet 之间进行统一的 DNS 管理,避免手动维护多个 DNS 配置。
3. 简化 DNS 基础设施
• 替代传统的自建 DNS 服务器,减少运维成本。
4. 与 Azure 服务集成
• 自动解析 Azure 服务的内部 FQDN,例如 Azure Database、Storage Account 的私有端点。
工作流程
1. Azure 私有 DNS 区域配置
• 创建一个 Azure プライベート DNS ゾーン(如 mycompany.local),并添加域名记录(如 app.mycompany.local 指向 Azure 内部的某台 VM 的私有 IP 地址)。
2. 私有 DNS 解析器配置
• 配置 入站端点(Inbound Endpoint):接收来自本地 DNS 查询。
• 如果需要将本地 DNS 查询转发到 Azure 私有 DNS 区域,可以配置相应的 DNS 转发规则集(Forwarding Ruleset)。
3. 本地 DNS 配置
• 在本地 DNS 服务器中,将 Azure 私有 DNS 区域的域名(如 *.mycompany.local)的查询请求转发到 Azure 私有 DNS 解析器的 入站端点 IP 地址。
ExpressRoute和ExpressRoute Global Reach的区别
普通 ExpressRoute:用于在 本地网络(On-Premises) 和 Azure 虚拟网络(VNet) 之间建立高性能、低延迟、安全的连接。
主要特点:
• 连接类型:点对点的专线连接,将本地数据中心连接到 Azure 区域中的一个或多个 VNet。
• 区域限制:普通的 ExpressRoute 主要在同一地理区域内工作,例如:
• 如果你在中国的本地网络连接到 Azure 中国东部区域,你的连接不能直接访问其他区域的 Azure 资源(例如美国或欧洲)。
• 适用场景:
• 数据中心到 Azure 的安全连接。
• 高吞吐量和低延迟的工作负载,如迁移应用程序、混合云架构。
2. ExpressRoute Global Reach
ExpressRoute Global Reach 是一个增强功能,允许通过现有的 ExpressRoute 线路将 多个本地网络(On-Premises) 互联。
主要特点:
• 连接类型:实现跨地区的本地网络互联。
• 例如,你在北京的数据中心和上海的数据中心各自都有连接到 Azure 的 ExpressRoute,通过 Global Reach,可以让这两个本地网络通过 Azure Backbone 实现互联。
• 区域范围:支持跨区域、跨国家的 ExpressRoute 互联。
• 例如:通过 Azure 全球骨干网,将位于美国的本地网络与中国或欧洲的本地网络连接。
• 适用场景:
• 本地网络间的互联(不依赖 VPN)。
• 用于全球分布式办公、异地灾备(DR)等场景。
Microsoft Peering
Microsoft Peering是Azure ExpressRoute的一种对等互连类型。它允许企业通过ExpressRoute专用线路直接访问Microsoft的公共云服务,如Office 365、Dynamics 365和Azure公共服务(如Azure存储和Azure SQL)。
Microsoft Peering的主要特点包括:
- 直接连接到Microsoft云服务,无需通过公共互联网
- 提高性能和安全性
- 支持访问大多数Microsoft 365服务和Azure公共服务
- 需要公共IP地址进行BGP会话建立
Microsoft Peering通常与其他ExpressRoute对等互连类型(如私有对等互连)结合使用,以满足不同的连接需求。
Azure Virtual WAN
BASIC:提供 S2S VPN
standard:Express Route + S2S VPN + VPC + Azure Virtual WAN
service endpoint
可以让Vnet内的固定子网来访问Paas服务
private endpoint
Paas服务可以获得一个Private IP
可以让不同的网络 其他的VPC和本地网络来使用Paas服务
private link service + private endpoint=NAT:
1. 需要创建 PrivateLink 的情况
• VPC 内的服务暴露给其他 VPC 或客户网络:如果你有一个 VPC 中的应用负载均衡器(ALB),并且需要让另一个 VPC 中的服务器访问它,那么 ALB PrivateLink 是一个合适的解决方案。
• 通过 PrivateLink,你可以在另一个 VPC 中创建 Private Endpoint 来访问 ALB,从而避免暴露 ALB 的公共 IP 地址。
2. PrivateLink 工作原理
1. 创建 PrivateLink 服务(提供端点的服务):
• 在 VPC A 中,你将 ALB 设置为一个 PrivateLink 服务,这使得服务可以通过私有网络进行访问。
2. 创建 Private Endpoint(访问端点的客户端):
• 在 VPC B 中的服务器上,你创建一个 Private Endpoint,它将连接到 VPC A 中的 PrivateLink 服务(ALB)。
3. 通过 Private Endpoint 访问 ALB:
• VPC B 中的服务器可以通过该 Private Endpoint 使用私有 IP 访问 VPC A 中的 ALB,完全避免了公共网络。
3. 步骤概述
1. 在 VPC A(提供端点服务)中配置 ALB 和 PrivateLink:
• 创建一个 Network Load Balancer (NLB)(如果是 ALB,它必须支持通过 PrivateLink 暴露服务)。
• 将 NLB 配置为负载均衡流量并设置 PrivateLink 端点。
2. 在 VPC B(客户端网络)中创建 Private Endpoint:
• 在 VPC B 中创建一个 Private Endpoint,并选择你要连接的 ALB。
• Private Endpoint 将映射到 VPC B 的一个私有 IP 上,服务器可以通过该 IP 访问 ALB。
3. 路由和安全配置:
• 确保 VPC Peering 或 Transit Gateway 已正确配置,以便 VPC A 和 VPC B 之间的流量可以流动。
• 配置 Security Groups 和 NACLs 以允许 Private Endpoint 和 ALB 之间的流量。
4. 使用 PrivateLink 的优势
• 安全性:通过 PrivateLink 和 Private Endpoint,ALB 的流量仅限于 VPC 内的私有 IP 地址,避免了公开的公共 IP 地址。
• 高可用性:在不同的 VPC 中也可以保持高可用性,私有连接支持更高的可靠性。
• 简化网络管理:避免了跨公网暴露内部服务和资源,减少了网络管理的复杂性。
5. 注意事项
• 私有 IP 地址范围:确保 Private Endpoint 和 ALB 所使用的 IP 地址在各自的子网中是可达的。
• 路由配置:确保相关的路由表正确配置,以便私有流量可以通过 PrivateLink 正确传递。
• VPC Peering 或 Transit Gateway 配置:如果 ALB 和 Private Endpoint 分别位于不同的 VPC 中,需要配置 VPC Peering 或 Transit Gateway,使流量能够正常路由。
总结
• 是的,在这种情况下,你需要在提供 ALB 的 VPC 中创建 PrivateLink,并在另一 VPC 中使用 Private Endpoint 来安全地访问 ALB。
• 这种方法不仅保护了 ALB 的私有访问权限,还避免了通过公共网络的流量。
ALB
- standard public IP 对应Standard ALB
- 后段池必须在同一个子网下面
- クロースリージョンロードバランサー:可以指定到不同区域的网络
APP gateway
后端可以接入本地环境,后段可以是SQDN,服务器,IP地址
可以使用APP firewall
Azure Front door (cloud front)
パブリックIPが必要
キャッシュの役割を果たす
Azure traffic manager(DNS)
后面可以连接任何东西 IPV4 IPV6
コンピューティング
compute
backup:
Azure containers
Azure container instance
AKS
クラスタ
POD
オートスケーラ
可以用Azure container instance
App service
App service plan
ストレージ
Storage相关知识
Storage Account(V2)
- BLOB
BLOB TIER
HOT
COOL:30
COLD:90
ARCHIVE:180
- BLOCK
- PAGE
- APPEND
- FILES
- TABLE
- Queue
Storage Browser
可以直接查看数据
多重数据保存
LRS:在一个Az的三个数据中心
ZRS:在不同AZ的三个数据中心
GRS:在一个区域的一个AZ和另外一个区域的一个AZ里面
GZRA:在一个区域的3个AZ和另外一个区域的1个Az里面
RA:可以读但是不可以改
Az-copy
Storage Explorer
Data BOX
小箱子
DATA factory
用来进行数据处理
ライフサイクルマネージメント
根据时间让BLOB自动移动到不同的层级
オブジェクトレプリケーション
ペアリージョンである必要がある
可以在コンテナ级别COPY数据到别的区域的Account
soft delete(软删除)
可以在14天内恢复数据
FILE SYNC
让本地的不常用的文件同步到云端
Access Keys
CMK:客户自定义钥匙,可以根据不同的客户定制不同的钥匙
SAS (需要用到Key)
可以做更精细的控制
managed disk
加密的时候用Azure的AKV的比较多 ADE需要进入EC2的OS进行加密
監視関連
モニタリング
サブスクリプションレベル:
- アクティビティログ
リソースレベル:
- メトリック:
- ログ:
- Azure storage(安い)
- Event HUB
- Log Analytics ワークスペース
診断設定:
Log Analytics ワークスペース
🤗 まとめ
总结文章的内容
📎 参考文章
- 一些引用
- 引用文章
有关Azure服务或者使用上的问题,欢迎您在底部评论区留言,一起交流~
- Author:baipeiyu
- URL:https://tangly1024.com/article/3e87d99f-3aee-4bc7-b579-96ab89e5e36c
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!