Azure 网络服务

Azure 网络服务最基本的构建块是虚拟网络。 使用虚拟网络，我们可以在 Azure 上部署我们隔离的网络。 我们可以使用子网将虚拟网络划分为多个部分。 例如 - webserver 子网、App servers1 子网、App servers2 子网、数据库子网、网关子网、虚拟设备子网等。 这些是典型的例子，但我们可以根据我们的要求创建不同类型的子网。

创建子网后，我们可以将不同类型的 Azure 服务部署到这些子网中。 我们可以将虚拟机部署到这些子网中。 但除了虚拟机之外，我们还可以部署一些专门的环境。 即，一些 PaaS 环境，这些环境能够被实现到虚拟网络中。 例如 - 在应用服务环境中，我们可以部署在它自己的子网中。 类似地，还有一些称为托管 SQL 实例和托管集成环境，所有这些类型的环境我们都可以在虚拟网络中部署。

我们可以在虚拟设备子网中部署不同类型的设备，例如防火墙。

服务保护： 部署所有这些服务后，我们需要保护这些服务。 Azure 提供了几种保护策略。

DDoS 保护： DDoS 保护将保护我们在虚拟网络中的工作负载免受 DDoS 攻击。 DDoS 保护中提供两层。 一个是基本层，它是免费的，并且自动启用。 如果我们需要高级功能，那么我们可以选择 DDoS 标准层。

防火墙： 当我们需要网络安全时，我们使用防火墙。 Azure 提供了防火墙服务，您可以使用该服务集中管理入站和出站防火墙规则。 我们可以创建网络防火墙规则、应用程序防火墙规则、入站 SNAT 规则、出站 DNAT 规则等。

网络安全组： 如果您认为防火墙对您来说太贵了，那么我们可以使用网络安全组。 我们可以使用网络安全组过滤入站和出站流量。 我们可以将网络安全组附加到两个级别，一个是在子网级别，另一个我们可以附加到虚拟机。

应用程序安全组： 微软引入了应用程序安全组，将与一个应用程序相关的所有服务器放入一个应用程序安全组中，并在网络安全组入站和出站规则中使用该应用程序安全组。 应用程序安全组的主要目的是简化 NSG 中的规则创建。

服务可用性

我们必须确保我们的应用程序具有高可用性，并且能够应对区域故障、数据中心故障和机架故障。 Azure 提供了一些服务来使我们的应用程序具有高可用性；这些是

流量管理器： Microsoft Azure 流量管理器控制不同区域中服务端点的用户流量的分布。 流量管理器支持的服务端点包括 Azure 虚拟机、Web 应用程序、云服务等。 它使用 DNS 根据流量路由方法和端点的运行状况将客户端请求定向到正确的端点。

负载均衡器： 负载均衡器用于在 Web 服务器或应用程序服务器池之间平均分配流量。 有两种类型的负载均衡器，一种是虚拟网络外部的外部负载均衡器，另一种是位于虚拟网络内部的内部负载均衡器。

应用程序网关： 使用应用程序网关，我们可以实现基于 URL 路径的路由、多站点托管等。

可用性区域： 通过将我们的虚拟机部署到不同的可用性区域中，我们可以将我们的应用程序流量路由到位于不同可用性区域中的虚拟机，以防任何区域内的数据中心发生故障。

沟通

创建虚拟网络的基本想法是使用默认的系统路由来启用工作负载之间的通信。 这些系统路由将由 Azure 自动部署。 但我们也可以覆盖这些系统路由并配置我们用户定义的路由；然后，我们也可以这样做。

对等互连： 为了启用两个虚拟网络之间的通信，我们可以建立对等互连。 我们可以使用同一区域内的虚拟网络执行此对等互连。 如果我们在另一个区域中有一个 Azure 虚拟网络，那么我们可以使用全局对等互连。 对于本地数据中心，我们有两个选项，一个是站点到站点 VPN，它将通过 Internet 建立。 但是对于私有连接，我们必须使用 ExpressRoute。

监控： 部署了来自网络方面的所有服务后，我们需要开始监控它们。 Azure 提供了一些服务来监控流量。

安全中心： 这是一个集中的安全监控工具，使用它可以查看您整体部署的安全分数，以及 Azure 根据我们已应用的安全策略生成的任何建议。 既来自网络，也来自部署在该虚拟网络上的服务。