KUNGFU TECH

0
0
Lập trình
Harry Tran
Harry Tran106580903228332612117

Hướng Dẫn Thiết Kế Hạ Tầng Mạng Azure Toàn Cầu

Đăng vào 2 tuần trước

• 8 phút đọc

Chủ đề:

#programming#network#azure#infrastructureascode

Hướng Dẫn Thiết Kế Hạ Tầng Mạng Azure Toàn Cầu: Trải Nghiệm Thực Tế với AZ-700

Giới Thiệu: Tại Sao Dự Án Này Quan Trọng

Bạn có bao giờ tự hỏi các doanh nghiệp lớn xây dựng mạng đám mây của họ như thế nào để tối ưu hóa hiệu suất, bảo mật và khả năng mở rộng? Tất cả bắt đầu từ việc thiết kế Mạng Ảo (VNet) vững chắc.

Trong hướng dẫn này, tôi sẽ đưa bạn qua một kịch bản thực tế: di chuyển công ty giả tưởng Contoso Ltd. lên Azure. Bạn sẽ có cơ hội thực hành thiết kế và triển khai hạ tầng mạng toàn cầu từ con số 0, điều này là kỹ năng cơ bản cho chứng chỉ AZ-700: Thiết Kế và Triển Khai Giải Pháp Mạng Microsoft Azure.

Cuối bài viết này, bạn sẽ hiểu không chỉ cách nhấp chuột trong cổng Azure, mà còn lý do tại sao mỗi quyết định là rất quan trọng để xây dựng một môi trường đám mây bền vững.

Bản Thiết Kế: Kịch Bản Mạng Toàn Cầu của Contoso

Trước khi tạo ra bất kỳ tài nguyên nào, một cuộc di chuyển đám mây thành công yêu cầu một kế hoạch kiến trúc vững chắc. Đối với Contoso Ltd., điều này có nghĩa là thiết kế một mạng toàn cầu sẽ hỗ trợ nhiều đơn vị kinh doanh khác nhau với nhu cầu về quy mô, bảo mật và kết nối khác nhau. Bản thiết kế của chúng tôi được xây dựng dựa trên ba mạng ảo cốt lõi, mỗi mạng phục vụ một mục đích chiến lược khác nhau.

1. CoreServicesVnet (Đông Hoa Kỳ | 10.20.0.0/16)

Mạng này là trung tâm của hạ tầng CNTT của Contoso trong Azure. Được đặt tại khu vực Đông Hoa Kỳ, nó được thiết kế để trở thành trung tâm cho các ứng dụng quan trọng. Nó sẽ chứa:

  • Các dịch vụ và ứng dụng web mặt tiền công cộng.
  • Các máy chủ cơ sở dữ liệu nhạy cảm chứa dữ liệu của công ty và khách hàng.
  • Các dịch vụ chia sẻ như bộ điều khiển miền Active Directory và máy chủ DNS mà các mạng khác sẽ phụ thuộc vào.
  • Một cổng VPN trong tương lai để kết nối hybrid an toàn trở lại trung tâm dữ liệu tại chỗ.

Không gian địa chỉ lớn /16 được chọn có chủ ý để đáp ứng sự phát triển lớn dự kiến và phân đoạn phức tạp, đảm bảo chúng tôi không bao giờ thiếu địa chỉ IP cho các dịch vụ cốt lõi.

2. ManufacturingVnet (Tây Âu | 10.30.0.0/16)

Nằm ở Tây Âu để gần các nhà máy sản xuất vật lý của Contoso, mạng này được thiết kế cho Internet of Things (IoT). Chức năng chính của nó là xử lý một lượng dữ liệu khổng lồ từ vô số cảm biến trên sàn nhà máy, theo dõi mọi thứ từ nhiệt độ đến hiệu suất dây chuyền lắp ráp. Không gian địa chỉ /16 cung cấp quy mô lớn cần thiết để phân đoạn các thiết bị này thành nhiều subnet dành riêng, cho phép quản lý lưu lượng tốt hơn và ngăn cách bảo mật.

3. ResearchVnet (Đông Nam Á | 10.40.0.0/16)

Mạng này hỗ trợ động lực đổi mới của Contoso: nhóm Nghiên cứu & Phát triển. Được triển khai ở Đông Nam Á để gần gũi với nhóm này, nó có yêu cầu đơn giản, ổn định. Nhóm R&D nhỏ cần một môi trường an toàn cho một số lượng máy ảo dự đoán được được sử dụng cho thử nghiệm và phát triển. Không gian /16 có thể có vẻ quá lớn, nhưng nó tuân theo các thực hành tốt nhất cho việc bảo đảm tương lai và tính nhất quán, ngay cả khi nhu cầu hiện tại chỉ là một subnet duy nhất.

Quy Tắc Vàng: Kiến Trúc Không Chồng Chéo

Toàn bộ thiết kế phụ thuộc vào một quy tắc quan trọng: không được chồng chéo không gian địa chỉ. Mạng tại chỗ (10.10.0.0/16) và ba VNet Azure (10.20.0.0/16, 10.30.0.0/16, 10.40.0.0/16) hoàn toàn tách biệt. Việc lập kế hoạch cẩn thận này sẽ cho phép chúng tôi kết nối tất cả chúng lại với nhau trong tương lai thông qua việc kết nối và cổng mà không gặp phải các xung đột định tuyến, tạo ra một mạng hybrid toàn cầu liền mạch.

Nhiệm Vụ 1: Đặt Nền Tảng - Nhóm Tài Nguyên

Hãy nghĩ về Nhóm Tài Nguyên như một container logic cho dự án của bạn. Đây là thực hành tốt nhất để nhóm các tài nguyên liên quan lại với nhau để dễ dàng quản lý, theo dõi chi phí và dọn dẹp.

Các bước:

  1. Trong Cổng Azure, tìm kiếm và chọn Nhóm tài nguyên.
  2. Nhấp vào + Tạo.
  3. Tab Cơ bản:
    • Đăng ký: Chọn đăng ký của bạn
    • Nhóm Tài Nguyên: ContosoResourceGroup
    • Khu vực: (Mỹ) Đông Hoa Kỳ (Chúng tôi đặt nhóm trong cùng khu vực với VNet quan trọng nhất của chúng tôi để giảm độ trễ metadata, nhưng có thể quản lý tài nguyên ở bất kỳ khu vực nào).

Tại Sao Điều Này Quan Trọng:

Việc sử dụng một nhóm tài nguyên duy nhất cho dự án này cung cấp một mặt phẳng quản lý thống nhất cho tất cả các thành phần mạng, giúp dễ dàng theo dõi chi phí và áp dụng chính sách.

Nhiệm Vụ 2: Xây Dựng Trụ Sở - CoreServicesVnet và Các Subnet

Đây là VNet phức tạp nhất của chúng tôi, yêu cầu lập kế hoạch subnet cẩn thận cho bảo mật và chức năng.

Tạo VNet:

  1. Tìm kiếm và chọn Các mạng ảo.
  2. Nhấp vào + Tạo.
  3. Tab Cơ bản:
    • Nhóm Tài Nguyên: ContosoResourceGroup
    • Tên: CoreServicesVnet
    • Khu vực: (Mỹ) Đông Hoa Kỳ
  4. Tab Địa chỉ IP:
    • Không gian Địa chỉ IPv4: 10.20.0.0/16

Nghệ Thuật Thiết Kế Subnet:

Bây giờ, chúng tôi chia nhỏ không gian địa chỉ lớn này thành các subnet nhỏ hơn, có mục đích. Điều này rất quan trọng để áp dụng Các Nhóm Bảo Mật Mạng (NSGs) và các quy tắc định tuyến.

  • GatewaySubnet (10.20.0.0/27):

    • Mục đích: Cổng Mạng Ảo. Đây là một tên được Azure yêu cầu! Azure yêu cầu subnet cụ thể này để triển khai cổng VPN hoặc ExpressRoute sau này để kết nối với các mạng tại chỗ.
    • Kích thước: /27 (32 địa chỉ). Đây là kích thước tối thiểu được khuyến nghị để đáp ứng các SKU cổng trong tương lai.

  • SharedServicesSubnet (10.20.10.0/24): Dành cho các bộ điều khiển miền, máy chủ DNS và các máy ảo hạ tầng khác. Subnet này sẽ có NSGs nghiêm ngặt.

  • DatabaseSubnet (10.20.20.0/24): Dành cho các máy chủ cơ sở dữ liệu. Subnet này sẽ có NSGs hạn chế nhất, có thể từ chối tất cả lưu lượng trừ khi từ subnet dịch vụ web.

  • PublicWebServiceSubnet (10.20.30.0/24): Dành cho các máy chủ web tiếp xúc với internet công cộng. Subnet này sẽ có NSGs cho phép lưu lượng HTTP/HTTPS.

Mẹo Chuyên Nghiệp:

Chú ý đến sơ đồ đánh số IP logic (.10.x, .20.x, .30.x). Điều này không phải là yêu cầu, nhưng nó giúp quản lý và xử lý sự cố dễ dàng hơn rất nhiều!

Nhiệm Vụ 3 & 4: Triển Khai Các VNet Khu Vực (Manufacturing & Research)

Quá trình này được lặp lại cho các VNet khác, nhưng thiết kế subnet phản ánh các mục đích khác nhau của chúng.

  • ManufacturingVnet (10.30.0.0/16) ở Tây Âu:
    • Mạng này dự kiến sự phát triển lớn từ các cảm biến IoT.
    • Các Subnet:
      • ManufacturingSystemSubnet (10.30.10.0/24): Dành cho các hệ thống điều khiển hoạt động.
      • SensorSubnet1 (10.30.20.0/24)
      • SensorSubnet2 (10.30.21.0/24)
      • SensorSubnet3 (10.30.22.0/24)

Lợi Ích:

Việc sử dụng nhiều subnet nhỏ hơn cho các cảm biến cho phép kiểm soát lưu lượng và ngăn cách tốt hơn. Nếu một mạng cảm biến gặp sự cố, nó có thể được chứa lại.

  • ResearchVnet (10.40.0.0/16) ở Đông Nam Á:
    • Một mạng đơn giản, nhỏ cho một đội ngũ ổn định.
    • Subnet:
      • ResearchSystemSubnet (10.40.0.0/24): Một subnet duy nhất cho tất cả các tài nguyên. Điều này giúp tiết kiệm chi phí và đơn giản cho một đội ngũ nhỏ, đáng tin cậy.

Nhiệm Vụ 5: Kiểm Tra - Bước Quan Trọng Nhất

Một kỹ sư giỏi luôn xác minh công việc của họ.

  1. Truy cập vào Tất cả tài nguyên và xác nhận tất cả ba VNet đều được liệt kê.
  2. Nhấp vào từng VNet, điều hướng đến Các Subnet dưới Cài đặt và xác minh:
    • Tất cả các subnet đều hiện diện.
    • Các dải địa chỉ chính xác như đã thiết kế. Một lỗi chính tả ở đây có thể gây ra những vấn đề lớn sau này!

Những Điểm Chính và Lợi Ích

Dự án này đã dạy tôi:

  • Suy Nghĩ Theo Các Lớp: Từ nhóm tài nguyên rộng lớn xuống subnet chính xác /27.
  • Thiết Kế Theo Mục Đích: Các subnet là ranh giới bảo mật. Thiết kế của chúng nên phản ánh các yêu cầu về bảo mật và kết nối của các tài nguyên bên trong chúng.
  • Lập Kế Hoạch Cho Sự Tăng Trưởng: Chọn không gian địa chỉ đủ lớn (như /16) ngăn chặn việc thiết kế lại đau đớn trong tương lai.
  • Ôm Ảnh Quy Mô Toàn Cầu: Azure làm cho việc triển khai các mạng an toàn, nhất quán trên toàn cầu trở nên đơn giản, đưa các ứng dụng đến gần người dùng hơn.

Kiến trúc này là nền tảng cho mọi thứ khác: kết nối các VNet này thông qua VNet Peering, triển khai tường lửa, thiết lập bộ cân bằng tải, và đạt được một mạng hybrid thực sự. Làm chủ điều này là bước đầu tiên và quan trọng nhất để trở thành chuyên gia về mạng Azure.

Hãy Kết Nối!

Tôi đam mê về mạng đám mây và luôn sẵn sàng thảo luận về các mẫu thiết kế, xử lý sự cố, và hành trình hướng tới các chứng chỉ như AZ-700. Hãy để lại bình luận hoặc kết nối với tôi trên LinkedIn.

Chủ đề nào về mạng Azure mà tôi nên đào sâu vào tiếp theo? Kết nối? Các Nhóm Bảo Mật Mạng? Hãy cho tôi biết bên dưới! 👇

Xem quảng cáo để đọc tiếpHoặc nâng cấp tài khoản để tắt quảng cáo

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào