Anna-Jeong-MS/AzureLandingZoneWorkshop
GitHub: Anna-Jeong-MS/AzureLandingZoneWorkshop
一个帮助企业云架构师和运维人员从零构建安全 Azure Landing Zone 的实战教程,涵盖 Hub-Spoke 网络架构和集中式流量安全控制。
Stars: 0 | Forks: 1
# Azure Landing Zone 实战研讨会
本研讨会是一个**亲手构建 Azure Landing Zone 基本网络和安全架构的 Hands-on Lab**。
参与者将基于 **Hub-Spoke 网络架构** 配置 Azure 环境,
并利用 **Azure Firewall, Application Gateway (WAF), User Defined Route**
实现企业环境中常用的**集中式安全网络结构**。
通过本研讨会,您可以在 Azure 中实际构建并验证**安全边界、流量流向和网络治理**。
## 🎯 研讨会目标
完成本研讨会后,您将理解以下内容:
- Azure Landing Zone 的基本网络结构
- Hub-Spoke 网络架构
- 集中安全控制 (Azure Firewall)
- 基于 Application Gateway WAF 的 Inbound 保护
- 通过 User Defined Route 进行流量控制
- Azure 网络中的流量流向验证方法
## 🏗 架构概览
在本研讨会中,我们将构建以下架构。
Internet
↓
Application Gateway (WAF)
↓
Azure Firewall
↓
Spoke VNet (Backend VM)
| 组件 | 角色 |
|---|---|
| Hub VNet | 集中安全及流量控制区域 |
| Spoke VNet | 应用程序工作负载运行区域 |
| Azure Firewall | Inbound, Outbound, East-West 流量检查及控制 |
| Application Gateway WAF | 针对外部 Web 请求的 L7 入口及 WAF 保护 |
| UDR | 强制将 Spoke 流量路由至 Azure Firewall |
## 📋 前置条件
在开始研讨会之前,您需要具备以下条件:
- Azure Subscription
- Contributor 或更高权限
- Azure CLI 或 Azure Portal 访问权限
- 基本的 Azure Networking 理解
## 🛠 研讨会工作流
| 步骤 | 说明 |
|------|------|
| 1 | 创建 Resource Group |
| 2 | 创建 Hub VNet 及 Spoke VNet |
| 3 | 配置 Hub-Spoke VNet Peering |
| 4 | 部署 Azure Firewall |
| 5 | 部署 Application Gateway (WAF) |
| 6 | 部署 Backend VM |
| 7 | 配置 User Defined Route |
| 8 | 验证流量流向 |
## 🔎 验证步骤
研讨会完成后,请检查以下内容:
- 是否可以通过 Application Gateway 进行 Web 访问
- 通过 Azure Firewall 进行的 Outbound 流量检查
- UDR 应用情况
- 确认流量是否通过 Hub Firewall
## 🧹 清理
研讨会结束后,请删除资源以避免产生费用。
az group delete --name
或者在 Azure Portal 中删除 Resource Group。
## 📚 参考资料
Azure Landing Zone Architecture
https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/
Azure Hub-Spoke Architecture
https://learn.microsoft.com/azure/architecture/reference-architectures/hybrid-networking/hub-spoke
Azure Firewall
https://learn.microsoft.com/azure/firewall/
Application Gateway WAF
https://learn.microsoft.com/azure/application-gateway/
## 📜 许可证
本研讨会仓库基于 MIT License 发布。
标签:Application Gateway, Azure, Azure Firewall, CISA项目, Hub-Spoke架构, JSONLines, Landing Zone, UDR, VNet, WAF, Workshop, 企业云, 安全边界, 架构设计, 流量过滤, 混合云, 网络分段, 网络安全, 路由控制, 隐私保护, 零信任