Azure VNet
- Aktualisiert2026-05-15
- 3 Minute(n) Lesezeit
Ein Azure Virtual Network (VNet) ist eine isolierte Netzwerkumgebung in Azure.
Azure VNet bietet vollständige Kontrolle über die Netzwerkkonfiguration, einschließlich:
- IP-Adressbereiche
- Subnetze
- Routing-Tabellen
- Netzwerk-Gateways
Für SystemLink Enterprise ist ein ordnungsgemäß konfiguriertes VNet für Sicherheit, Skalierbarkeit und Netzwerkisolierung unerlässlich.
Konfigurieren Sie Ihr VNet, um Rechen- und Speicherinfrastruktur in privaten Subnetzen zu isolieren, unabhängig von internetseitigen Gateways und Load Balancern. Diese Konfiguration folgt den bewährten Methoden der Cloud-Sicherheit und stellt sicher, dass sensible Workloads nicht direkt über das Internet zugänglich sind.
Eine allgemeine Beschreibung der Architektur finden Sie im Azure SystemLink Enterprise Kubernetes Architekturdiagramm.
Subnetzarchitektur
Konfigurieren Sie Ihr VNet mit öffentlichen und privaten Subnetzen, um internetorientierte Komponenten von der internen Infrastruktur zu trennen.
Verwenden Sie die folgenden Komponenten in privaten Subnetzen ohne direkten Internetzugang:
- AKS-Cluster-Knoten: Worker-Knoten, die SystemLink Enterprise-Pods hosten, einschließlich Webdiensten, Webanwendungen und unterstützender Infrastruktur.
- Datenbanken: Azure Database for PostgreSQL oder selbstverwaltete Datenbankinstanzen.
- Private Endpunkte für Azure Storage: Konfigurieren Sie private Endpunkte für den Zugriff auf Azure Blob Storage von privaten Subnetzen aus, ohne das öffentliche Internet zu verwenden.
Stellen Sie die folgenden Komponenten in öffentlichen Subnetzen mit Internetzugang bereit:
- Application Gateway: Load Balancer für HTTPS-Datenverkehr mit der SystemLink Webanwendung und API.
- Azure Load Balancer: TCP Load Balancer für Salt Master Traffic (Port 4505 und 4506).
- NAT Gateway: Aktivieren Sie den ausgehenden Internetzugang für Ressourcen in privaten Subnetzen.
Adress-Raumplanung
Planen Sie Ihren VNet-Adressraum, um ausreichende IP-Adressen für SystemLink Enterprise und zukünftiges Wachstum sicherzustellen.
- Empfohlene VNet-Größe: /16 CIDR-Block (65.536 IP-Adressen) bietet Flexibilität bei der Skalierung
- Minimale VNet-Größe: /20 CIDR-Block (4.096 IP-Adressen) für kleinere bis mittlere Verteilungen
Zuweisen von Subnetzen basierend auf folgenden Überlegungen:
- Private Subnetze für AKS-Knoten: Größe basierend auf der maximal erwarteten Knotenanzahl. Jeder AKS-Knoten benötigt eine IP-Adresse aus dem Subnetz-Adressraum.
- Private Subnetze für Pods: Wenn Sie Azure-CNI-Netzwerke verwenden, weisen Sie zusätzlichen Adressraum für Pod-IP-Adressen zu. Jeder Pod benötigt seine eigene IP-Adresse.
- Beginnen Sie mit kubenet networking (Standard), wo Pods einen separaten Adressraum verwenden, es sei denn, Sie haben spezifische Anforderungen für die Integration von Pod-Level-Netzwerken.
- Überwachen Sie die IP-Nutzung sorgfältig mit Azure CNI. Jeder Knoten kann je nach VM-Größe und maximaler Pods pro Knotenkonfiguration 10-100+ IP-Adressen verbrauchen.
- Plan für Wachstum. Stellen Sie sicher, dass die Subnetzgröße eine erhebliche Skalierung Ihrer Arbeitslast unterstützt.
- Öffentliche Subnetze: Für Load Balancer und NAT-Gateways ist eine geringere Zuweisung wie /24 ausreichend.
- Verteilung auf mehrere Zonen: Erstellen Sie Subnetzpaare (öffentlich/privat), die für eine hohe Verfügbarkeit über alle verfügbaren Zonen verteilt sind.
| Subnetztyp | Verfügbarkeitsbereich | Adressbereich | Verfügbare IPs |
|---|---|---|---|
| Privat (AKS-Knoten) | Bereich 1 | 10.0.0.0/19 | 8.192 |
| Privat (AKS-Knoten) | Bereich 2 | 10.0.32.0/19 | 8.192 |
| Privat (Datenbanken) | Bereich 1 | 10.0.64.0/24 | 256 |
| Privat (Datenbanken) | Bereich 2 | 10.0.65.0/24 | 256 |
| Öffentlich | Bereich 1 | 10.0.128.0/24 | 256 |
| Öffentlich | Bereich 2 | 10.0.129.0/24 | 256 |
Best Practices für Sicherheit
Beachten Sie beim Konfigurieren Ihres VNet für SystemLink Enterprise die folgenden Sicherheitsrichtlinien:
- Kein direkter Internetzugang für die Berechnung und Speicherung: Alle AKS-Knoten, Datenbanken und internen Dienste müssen sich in privaten Subnetzen ohne Internet-Gateway-Verbindung befinden.
- Datenflussisolierung: Internetverkehr fließt über das Internet, das öffentliche Application Gateway/Load Balancer, den privaten Ingress Controller und dann die privaten SystemLink Dienste.
- Ausgehendes Internet über NAT: Verwenden Sie NAT Gateway in öffentlichen Subnetzen, um ausgehenden Internetzugang für private Subnetzressourcen bereitzustellen. Verwenden Sie NAT Gateway mit Zonenredundanz für hohe Verfügbarkeit.
- Private Endpunkte: Verwenden Sie private Endpunkte für Azure-Dienste (Blob Storage, Container Registry), um Internetverbindungen zu vermeiden und Datenübertragungskosten zu reduzieren.
- Netzwerksicherheitsgruppen (NSGs): Konfigurieren Sie NSGs so, dass sie nur den notwendigen Datenverkehr zwischen Komponenten zulassen. Verwenden Sie das Prinzip der kleinsten Berechtigungen.
Hinweise zur Verfügbarkeitszone
Übertragen von SystemLink Enterprise auf mehrere Verfügbarkeitszonen für hohe Verfügbarkeit und Fehlertoleranz:
- Minimale Verteilung: Verwenden Sie mindestens zwei Verfügbarkeitszonen mit zonenübergreifender Subnetzverteilung.
- AKS-Knoten-Pools: Verteilen Sie Worker-Knoten mit Hilfe von zonenredundanten Knoten-Pools auf Verfügbarkeitszonen.
- Datenbankzonenredundanz: Aktivieren Sie zonenredundante Verteilungen für Azure Database for PostgreSQL.
- Load Balancer-Verteilung: Konfigurieren Sie Application Gateway und Load Balancer mit Zonenredundanz, um den Traffic auf die verfügbaren Zonen zu verteilen.
Verwandte Inhalte
- Vorbereitung auf das Hosting und den Betrieb von SystemLink Enterprise
Bevor Sie SystemLink Enterprise installieren, stellen Sie sicher, dass die folgende Netzwerk-, Rechen-, Speicher- und Sicherheitsinfrastruktur vorhanden ist.
- Öffentliche und private Subnetze
Öffentliche und private Subnetze sind grundlegende Netzwerkkonstrukte in Cloud-Umgebungen, die eine Netzwerksegmentierung und Sicherheitsisolierung ermöglichen. Zu verstehen, wie diese Subnetze ordnungsgemäß konfiguriert werden, ist unerlässlich, um SystemLink Enterprise sicher in AWS oder Azure bereitzustellen.
- AWS VPC
Eine Virtual Private Cloud (VPC) ist eine isolierte Netzwerkumgebung in AWS.
- Internetorientierte Cluster
Geben Sie hier eine kurze Beschreibung Ihres Konzepts ein (optional).
- Mit dem Unternehmensnetzwerk verbundene Cluster
Eine mit dem Unternehmensnetzwerk verbundene Cluster-Bereitstellung integriert SystemLink in die private Netzwerkinfrastruktur Ihrer Organisation und gewährleistet so sicheren Zugriff sowie eine sichere Integration mit lokalen Systemen.
- Netzwerke und TLS
Hier erfahren Sie, wie Sie Netzwerk und Transport Layer Security (TLS) für SystemLink Enterprise. konfigurieren.
- Hinweise zu DNS- und Netzwerksicherheit
SystemLink Enterprise wird in einem Kubernetes-Cluster gehostet. SystemLink Enterprise stellt Verbindungen zu Testsystemen her, um Daten zu Überwachungs- und Analysezwecken zu aggregieren.
- Private Zertifizierungsstellen
Wenn Sie eine private Zertifizierungsstelle (CA) verwenden, müssen Sie SystemLink Enterprise für die Verwendung der CA konfigurieren.
- Layer 7 (Application) Ingress
Layer 7 Ingress bietet HTTPS-Lastverteilung und Routing für Webdienste auf Anwendungsebene. SystemLink Enterprise verwendet Layer 7 Ingress, um HTTP-basierte Dienste über zwei separate Ingress-Endpunkte verfügbar zu machen: einen Endpunkt für die Web-UI und einen Endpunkt für den API-Zugriff.
- Layer 7 Ingress in AWS
In diesem Abschnitt wird die Layer 7 Ingress-Konfiguration mit dem AWS Application Load Balancer (ALB) für SystemLink Enterprise beschrieben, die auf Amazon EKS bereitgestellt werden. Das ALB bietet HTTPS-Lastverteilung und Routing für die SystemLink UI und API Hosts.
- Globale Ingress-Konfiguration von AWS
SystemLink Enterprise konfiguriert separate Ingress-Ressourcen für die UI-Endpunkte und API-Endpunkte. Konfigurieren Sie die folgenden Anmerkungen in Ihrer Helmkonfigurationsdatei.
- Layer 7 Ingress in Azure
Dieser Abschnitt beschreibt die Layer 7 Ingress-Konfiguration mit dem Azure Application Gateway für SystemLink Enterprise, das auf Azure Kubernetes Service (AKS) bereitgestellt wird. Das Application Gateway bietet HTTPS Lastverteilung und Routing für die SystemLink UI und API Hosts.
- Globale Ingress-Konfiguration von Azure
SystemLink Enterprise konfiguriert separate Ingress-Ressourcen für die UI-Endpunkte und API-Endpunkte. Konfigurieren Sie die folgenden Anmerkungen in Ihrer Helmkonfigurationsdatei.
- Layer 7 Ingress in Traefik
SystemLink Enterprise unterstützt das Traefik Hub API Gateway als Layer 7 Ingress Controller. Traefik Hub bietet HTTPS-Lastverteilung und -Routing für die SystemLink UI und API Hosts.
- Layer 4 (TCP) Ingress
Layer 4 Ingress bietet eine Lastverteilung auf TCP-Ebene für Dienste, die direkte TCP-Verbindungen erfordern. SystemLink Enterprise verwendet Layer 4 Ingress für den Salt Master-Dienst.
- Salt-Kommunikation in AWS aktivieren
SystemLink Enterprise verwendet Salt zur Verwaltung von Testsystemen. Salt kommuniziert mit Testsystemen über ein TCP-basiertes Protokoll auf den Ports 4505 und 4506. In diesem Abschnitt wird die Verwendung des AWS Network Load Balancer (NLB) für Layer 4 (TCP) Ingress-Verkehr mit dem Salt Master-Dienst beschrieben.
- Salt-Kommunikation in Azure aktivieren
SystemLink Enterprise verwendet Salt zur Verwaltung von Testsystemen. Salt kommuniziert mit Testsystemen über ein TCP-basiertes Protokoll auf den Ports 4505 und 4506. In diesem Abschnitt wird die Verwendung des Azure Load Balancer für Layer 4 (TCP) mit dem Salt Master-Dienst beschrieben.
- Azure SystemLink Enterprise Kubernetes Architekturdiagramm
- Was ist Azure Virtual Network?
- Netzwerkkonzepte für Azure Kubernetes Service (AKS)
- SystemLink Umgebungsarchitektur
SystemLink Enterprise ist eine Anwendung mit serviceorientierter Architektur. Von Kubernetes gehostete Microservices bilden die Architektur. SystemLink Enterprise ist skalierbar, fehlertolerant und hochverfügbar. In der folgenden Tabelle werden die wichtigsten Komponenten der SystemLink Enterprise Architektur zusammengefasst.
- SystemLink Enterprise in Azure AKS
Azure Kubernetes Service (AKS) ist ein verwalteter Kubernetes-Dienst, der die Ausführung von Kubernetes in Azure vereinfacht, ohne dass eine eigene Kubernetes-Steuerebene installiert und betrieben werden muss.