[新产品/新功能] 开启未来：Azure 网络更新中的安全、可靠性和高可用性

[新产品/新功能] 开启未来：Azure 网络更新中的安全、可靠性和高可用性   # 产品功能分析 ## 新功能/新产品概述 Azure 最近发布的网络更新聚焦于提升安全、可靠性和可扩展性，针对AI驱动型应用和云迁移场景。该系列更新包括**Network Security Perimeter**、**Bastion Developer SKU**、**Virtual Network Encryption**、**DNSSEC**、**ExpressRoute Metro SKU**、**Azure Load Balancer**增强（如Admin State和跨订阅支持）、**Virtual Network IP Address**扩展、**IP Address Management (IPAM)**、**Virtual Network Verifier**以及**Advanced Container Networking Services**。这些功能的目标是为企业提供“Secure by Default”的云网络基础架构，适用于金融、医疗等高敏感行业，帮助处理AI模型的实时数据交互和大规模部署。市场定位强调Azure在云网络领域的领导力，尤其在AI时代的需求下，支持从传统应用到云原生架构的转型。 ## 关键客户价值 - **提升安全性和合规性**：通过**Network Security Perimeter**和**DNSSEC**，企业可实现细粒度访问控制和防篡改保护，显著减少网络攻击风险，与传统安全方法相比，避免了过宽的访问权限，从而降低数据泄露的可能性；在高合规要求场景中，如政府和金融，提供更可靠的保护，但可能增加初始配置复杂度。 - **提高可靠性和可用性**：**ExpressRoute Metro SKU**和**Azure Load Balancer**的Admin State功能，支持多站点冗余和流量控制，确保关键应用在故障时快速恢复，相比传统连接方案，减少了中断时间；对于电商和医疗等行业，这意味着更好的业务连续性，但在大规模环境中可能需额外优化以管理成本。 - **增强可扩展性和效率**：**Virtual Network IP Address**支持高达1百万可路由IP地址，以及**IPAM**的集中管理，帮助云原生应用快速扩展，减少IP冲突和浪费；**Advanced Container Networking Services**提供Kubernetes网络洞察，简化调试和资源利用，差异化优势在于其基于**Cilium**和**Retina**的性能监控，适用于微服务架构，但需注意潜在的兼容性挑战。 - **简化运维和管理**：**Bastion Developer SKU**和**Networking Copilot**提供无成本的VM安全访问和AI辅助故障排除，降低了运维门槛，与竞品相比，减少了手动配置需求，实现快速问题定位；这在开发者和中小团队中特别有价值，但共享资源池可能在高负载时影响响应速度。 ## 关键技术洞察 - **安全技术创新**：**Virtual Network Encryption**利用**场 programmable gate arrays (FPGAs)** 进行高效数据加密，工作原理是将加密过程卸载到硬件层，确保VM间通信安全，同时保持低延迟；这一创新提升了性能和合规性，但在大规模加密时可能面临FPGA资源瓶颈。**DNSSEC**通过数字签名验证DNS响应，防范缓存中毒攻击，其机制基于公钥基础设施，提供端到端完整性，与传统DNS相比减少了人为错误，但实现需依赖准确的密钥管理。 - **可靠性和扩展机制**：**ExpressRoute Metro SKU**采用多边站点冗余设计，结合动态拓扑映射，确保高可用连接；其技术优势在于提供四重路径冗余，减少单点故障，但需评估网络拓扑的复杂性。**Advanced Container Networking Services**基于**Azure CNI powered by Cilium**，实现细粒度网络策略和流量监控，通过**Hubble**提供实时K8s指标（如TCP错误和Pod级流量日志），创新点在于增强的可见性和自动化调试，显著改善容器应用的性能和安全性；然而，Cilium的eBPF依赖可能在某些内核版本中带来兼容挑战。 - **管理与自动化**：**IPAM**支持IPv4/IPv6的集中IP分配，使用API和门户简化地址规划，其技术核心在于自动化避免重叠，提升资源效率；**Virtual Network Verifier**通过静态包流分析预判配置变更，提供预防性诊断，与Network Watcher互补，但可能受限于分析深度，无法完全覆盖实时动态环境。 - **总体影响**：这些更新整体提升了Azure网络的可用性和安全性，但潜在局限性包括初始学习曲线和资源开销，尤其在混合云场景中，需要与本地系统集成时额外验证。 ## 其他信息 Azure鼓励用户通过Ignite会议反馈这些更新，未来将持续优化以应对AI驱动的网络挑战，如更先进的自动化工具，以进一步强化云连接性。   # 解锁未来：Azure 网络更新中的安全、可靠性和高可用性 **原始链接：** [https://azure.microsoft.com/en-us/blog/unlocking-the-future-azure-networking-updates-on-security-reliability-and-high-availability/](https://azure.microsoft.com/en-us/blog/unlocking-the-future-azure-networking-updates-on-security-reliability-and-high-availability/) **发布时间：** 2024-11-07 **厂商：** AZURE **类型：** BLOG --- 我们最新的增强功能加强了核心网络能力，以支持在云中运行的关键任务应用。在以 AI 的变革力量定义的时代，行业正在重新构想预测分析 (Predictive Analytics)、自动化和实时决策的可能性。AI 如今无处不在，重塑了从零售、金融到医疗和生物技术等各个领域。虽然新应用利用了 AI 的潜力，但通过生成式 AI (Generative AI) 方法演进现有应用才是推动指数级进步的关键。随着应用加速迁移到云，云平台作为这一转型的关键支柱，连接用户与应用、应用与 AI 模型，以及模型与所需的数据和计算资源。 [Microsoft Azure 的网络服务](https://azure.microsoft.com/en-us/solutions/networking/) 独特地赋能企业利用这一数字演进。我们最新的增强功能加强了核心网络能力：强化安全、性能和可靠性，以支持在云中运行的关键任务应用。 ![显示 Azure 网络的图](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2024/11/Picture1-1024x537.webp) 我们很高兴与大家分享我们的最新公告和进展，这些进展加强了 Azure 的核心网络服务，涵盖了我们核心支柱中的安全、可靠性和可扩展性，以及工作负载生产力。 # 加强网络安全在网络威胁日益复杂和普遍的时代，传统的安全实践已不足以保护关键资产和数据。零信任网络安全 (Zero Trust Network Security) 不仅仅是一个概念——它是一种必要措施，建立在“默认安全 (Secure by Default)”的原则之上。 [保护您的网络和应用](https://azure.microsoft.com/en-us/solutions/network-security/) ### 网络安全边界在当今的数字环境中，企业需要对安全做出坚定承诺，尤其是在使用 Azure 的平台即服务 (PaaS) 产品来执行关键功能时。确保数据机密性和完整性仍然是优先事项，特别是当应用在各种 PaaS 资源之间交互时。然而，保护这些交互的传统方法存在局限，往往依赖于对 Azure 服务的大范围访问权限——这远超企业理想中的许可范围。 ![图](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2024/11/Picture1-2-1024x725.webp) 网络安全边界 (Network Security Perimeter) 精确解决了这一需求，通过建立一个可信边界来管理指定 PaaS 实例之间的交互。网络安全边界的控件——如访问控制列表 (Access Control List, ACL) 规则和集中日志记录——使企业能够将通信限制在授权资源中，从而增强 PaaS 环境的整体安全。网络安全边界是迈向零信任安全原则的基石，确保对关键业务交互进行全面的入口和出口控制。 ### 默认 Bastion 作为我们为客户提供“默认安全”平台的使命的一部分，我很高兴强调我们最近宣布的 **Bastion 开发者 SKU 正式发布**。Bastion 服务被众多 Azure 客户用于启用虚拟机的远程桌面 (RDP) 和安全外壳 (SSH) 访问，而无需将它们公开暴露在互联网上。这得益于在虚拟网络中运行的完全托管和专用的 Bastion 服务器。现在，通过 Bastion 开发者 SKU，我们提供了一个“无成本”解决方案，允许用户对单个虚拟机 (VM) 建立安全的单键连接，而无需在 VM 上暴露公共 IP。Bastion 开发者 SKU 利用 Microsoft 内部管理的共享资源池来实现安全的 VM 连接。用户可以通过 Azure 门户中的 VM 界面直接访问其 VM，支持 RDP/SSH 和仅 SSH 的 CLI 会话。Bastion 开发者适合那些寻求安全 VM 连接的用户，而无需额外功能、配置或扩展，且无需额外成本。 ### 虚拟网络加密随着数据敏感行业如金融、医疗和政府机构的快速增长，对 uncompromising 网络安全的需求变得至关重要，以保护敏感信息并确保合规性。Azure 的 **虚拟网络加密 (Virtual Network Encryption)** 满足了这一需求，通过提供一种高效的解决方案来加密虚拟网络内虚拟机之间的通信。该功能现已在所有公共 Azure 区域正式发布，这标志着安全网络设计的重要进步，使组织能够在不牺牲性能或敏捷性的情况下保护虚拟机之间传输中的数据。 ![描述虚拟网络加密的图像。](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2024/11/Picture2.jpg) 虚拟网络加密利用 **现场可编程门阵列 (Field Programmable Gate Arrays, FPGAs)** 在主机上进行数据加密，从而实现高效处理。通过将加密任务卸载到 FPGAs，Azure 结合了顶级安全性和高速度处理，确保加密数据在网络中顺畅流动，同时最小化对整体系统性能的影响。 ### DNSSEC 同样地，今天我们很高兴宣布 **[DNSSEC 支持在 Azure 中的公开预览](https://learn.microsoft.com/azure/dns/dnssec)**。通过此功能，客户可以通过门户或 API 的简单选择启用其域名系统 (DNS) 配置中的 DNSSEC。DNSSEC 是一个关键安全功能，有助于缓解缓存投毒和中间人攻击等问题，从而显著提升客户的安全性。DNSSEC 确保 DNS 响应的完整性和真实性，提供额外的保护层来抵御网络威胁。而且，许多国家现在要求使用 DNSSEC，这使其成为合规性的必要更新。通过 DNSSEC，Azure DNS 继续提供稳健且安全的 DNS 解决方案，赋能企业在更安全的数字环境中自信运营。 # 推动可靠性和弹性的边界我们同样致力于提供世界级的高弹性和可靠网络基础设施，以支持客户的关键任务工作负载。在这方面，我想强调平台中最近的几项增强功能，这些增强加强了这一承诺。 ### ExpressRoute：提升可靠性和高可用性在当今以云为中心的世界，确保可靠且稳定的连接至关重要，尤其是对于拥有关键任务应用的企业。Azure ExpressRoute 提供从本地环境到 Azure 的私有、高吞吐量连接，绕过公共互联网以提供更低的延迟和一致性能。为了进一步加强可靠性，我们很高兴宣布 **ExpressRoute Metro SKU 现已正式发布**。Metro SKU 在同一城市内的多个边缘站点提供冗余，防范任何单个位置的干扰。这种多站点设计使组织能够构建高度可用的网络架构，即使在某个边缘站点出现意外中断时也能保持运行。对于需要额外故障保护的用户，**最大可靠性 (Maximum Resiliency)** 通过 ExpressRoute 提供到每个边缘站点的双冗余路径，从而有效地建立四条独立路径到 Azure。此功能对金融、医疗和电子商务等行业至关重要，在这些行业中，一致的连接对于合规性和业务连续性至关重要。 ![图像显示 Azure ExpressRoute 中最大可靠性和高可靠性的差异。](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2024/11/Picture3-1024x796.webp) 此外，为了简化实施，Azure 现在为多站点 ExpressRoute 提供 **引导配置体验**。此新功能在 Azure 门户中提供动态拓扑映射和最佳站点配置建议，赋能团队为弹性网络部署做出明智决策。 ### Azure 负载均衡器：提升可管理性 [Azure 负载均衡器](https://azure.microsoft.com/en-us/products/load-balancer/) 是网络产品组合中的基础服务之一，它是一个云原生高性能网络负载均衡器，常用于客户部署。虽然我们持续改进其可用性、适用性和可扩展性以满足不断演变的需求，但最近的几项公告将显著提升负载均衡器的可管理性。 **管理员状态** 负载均衡器的“管理员状态”新功能允许客户标记后端实例为健康或不健康，以影响流量导向。该状态的控制通常通过健康探测来完成。然而，客户确实需要显式覆盖健康状态，例如在维护、升级或安全修补期间，或出于其他需求。将实例从轮转中移除时，客户无需实现响应逻辑和网络安全组 (Network Security Group, NSG) 规则块，只需通过 API 调用或门户中的单键操作标记实例为不健康，然后同样方式恢复。我们还通过新的改进“负载均衡器健康状态”增强了后端健康的可见性，该功能提供对后端实例健康的深度洞察，包括用户和平台触发的原因代码。 ![图显示 Azure 负载均衡器的管理员状态流程。](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2024/11/Picture4.webp) 管理员状态和负载均衡器健康状态现已在所有公共云区域、Azure 中国云区域和 Azure 政府云区域正式发布。 **跨订阅支持** 客户的 Azure 资产通常分布在多个订阅和虚拟网络中，甚至由不同人员和部门管理。客户发现仅使用单个订阅中的资源构建应用拓扑具有限制性，尤其在使用基本原语如负载均衡器时。为解决此问题，Azure 负载均衡器宣布跨订阅使用的正式发布，包括前端公共 IP 地址、负载均衡器资源和后端实例。此跨订阅使用允许更好地利用资源并避免重复。 ![图显示 Azure 虚拟网络验证器的工作原理。](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2024/11/Picture5.webp) # 在规模上管理操作随着组织扩展其云环境以适应增长，它们需要网络解决方案，不仅能扩展容量，还能确保高效、可靠且安全的连接。Azure 在虚拟网络管理方面的最新进展回应了这一需求，通过提供强大的工具来实现 IP 可扩展性、高效地址管理和高级网络验证。 ### 虚拟网络 IP 地址一个虚拟网络目前支持 65,000 个可路由 IP 地址，可分配给虚拟机、虚拟机规模集实例和 AKS 集群中的 Pod。虽然此限制对大多数 Azure 客户来说绰绰有余，但我们的某些云原生客户确实需要更高的规模，以应对即时需求和频繁的扩展和缩减操作。为解决此问题，Azure 很高兴宣布通过“IP 前缀在网络接口卡 (Network Interface Card, NIC) 上”功能，在虚拟网络中支持“**1 百万可路由 IP 地址**”的预览。此功能允许在 NIC 上添加一个额外的 /28 前缀以及主 /32 IP 地址，从而将 NIC 中的可用 IP 空间增加 16 倍。 ### 虚拟网络 IP 地址管理器随着 Azure 中需要使用和管理的 IP 地址增多，对 IP 地址管理系统的需求也随之增加。我们很高兴宣布 **IP 地址管理 (IPAM) 解决方案在 Azure 虚拟网络管理器中的公开预览 (并即将正式发布)**，在所有公共云区域可用。IPAM 允许组织集中管理其 IP 地址池，从而更轻松地规划、分配、避免重叠并监控 IP 地址块。客户还可以在创建新虚拟网络时利用自动 IP 地址分配，以确保唯一性和减少浪费。IPAM 还帮助跟踪 Azure 外的 IP 分配，使其成为一个全面解决方案。IPAM 支持 IPv4 和 IPv6 地址前缀。 ### 虚拟网络验证器随着客户在 Azure 中扩展其环境，调试和排除网络连接问题变得更加困难。Azure 网络监控和网络观察者提供实时诊断和故障排除工具。Azure 虚拟网络管理器的虚拟网络验证器系统——目前在所有公共云区域的预览中——添加了另一个功能层，通过基于配置和控制平面更改的静态分析来验证数据包流。客户可以在部署配置更改之前验证其数据包流，从而减少连接中断和数据包丢失的可能性。 ![图](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2024/11/Picture6.jpg) # 新领域的进展在快速演变的云原生应用世界中，管理复杂的基于容器的架构需要强大的网络能力，以确保安全、性能和无缝可扩展性。Azure 的 **高级容器网络服务 (Advanced Container Networking Services)** 是向前迈出的重大一步，为开发人员在云中部署微服务和 Kubernetes 应用提供基础支持和新功能。 ### 网络 Copilot 虽然为托管 AI 工作负载提供高性能、高弹性和安全网络基础设施是我们的首要任务，但作为 AI 工具的用户，我们很高兴宣布我们正在为 Azure Copilot 添加网络技能。Azure 网络 Copilot 处理程序将帮助客户解决关于 Azure 网络服务的更深层问题，并无缝高效地排除连接问题。它提供高度相关的、可操作的和视觉洞察，超越了文档，如同一位个人网络顾问。具体来说，网络 Copilot 可以帮助进行网络故障排除、产品选择、深入网络指标和资源诊断。 ![图形用户界面、文本、应用](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2024/11/Picture2-1-1024x259.webp) ### 高级容器网络服务 Azure 提供基础网络功能，如 Azure 虚拟网络和 Azure CNI，用于 IP 地址管理、路由和网络策略执行。网络虚拟功能如负载均衡、Azure 防火墙用于容器应用，以及应用网关用于容器，也被提供以帮助在 Azure 中运行微服务和 Kubernetes 应用。在这一持续旅程中，我们很高兴宣布 [高级容器网络服务](https://learn.microsoft.com/en-us/azure/aks/advanced-container-networking-services-overview) 的正式发布，该服务提供对网络流量和应用性能的深入洞察，帮助您自信地管理和扩展基础设施。利用 [Azure CNI 由 Cilium 提供支持](https://learn.microsoft.com/en-us/azure/aks/azure-cni-powered-by-cilium) 的性能和安全执行功能，高级容器网络服务提供弹性和高度细粒度的网络策略和安全管理功能。扩展 [Cilium](https://cilium.io/) 并结合 [Retina](https://retina.sh/)，高级容器网络服务利用 [Hubble](https://github.com/cilium/hubble)，提供可操作的洞察，并实现 Kubernetes 网络问题的精确检测和解决。关键功能包括： - 对 K8s 网络流量和应用性能的深入可观察性，以加快调试、缩短事件解决时间并节省运维开支。 - K8s Pod 级别的指标，如使用率和丢弃的数据包。 - 传输控制协议 (TCP) 和 DNS 错误及指标。 - 端到端流日志。 - 应用服务连接映射。 - 通过 DNS 过滤策略简化安全，以保护容器工作负载并改善 DNS 可用性。 ![图显示高级容器网络服务的工作原理。](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2024/11/Picture7-1024x538.webp) ![Azure 容器网络服务仪表板的屏幕截图。](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2024/11/Picture8.webp) # 展望未来随着我们继续推动网络技术的边界，我们全力致力于应对 AI 驱动未来带来的新挑战和机会。我们的团队致力于创建创新、弹性和安全的解决方案，赋能企业充分利用 AI 和云。我们在安全、可靠性和可扩展性方面的最新更新旨在帮助组织更自信和高效地管理其应用。我们认识到您的反馈对我们持续开发至关重要，并鼓励您与我们分享您的想法和经验。加入我们的 Ignite 会话 ([揭开 Azure 网络的最新动态：打造安全、连接的云](https://ignite.microsoft.com/en-US/sessions/BRK240))，详细探索这些功能并分享反馈，因为我们共同努力解锁未来。