Migrace do Azure Virtual WAN

Azure Virtual WAN umožňuje společnostem zjednodušit jejich globální připojení, aby mohly využívat výhod rozsahu globální sítě Microsoftu. Tento článek obsahuje technické podrobnosti pro společnosti, které chtějí migrovat z existující hvězdicové topologie spravované zákazníkem na návrh, který využívá Virtual WAN huby spravované Microsoftem.

Informace o výhodách, které Azure Virtual WAN umožňuje podnikům využívajícím moderní podnikovou globální síť zaměřenou na cloud, najdete v tématu Globální architektura tranzitní sítě a Virtual WAN.

obrázek: Azure Virtual WAN

Hvězdicový model připojení Azure využívají tisíce našich zákazníků k využití výchozího přechodného chování směrování sítí Azure k vytváření jednoduchých a škálovatelných cloudových sítí. Azure Virtual WAN staví na těchto konceptech a zavádí nové funkce, které umožňují globální topologie připojení nejen mezi místními umístěními a Azure, ale také umožňují zákazníkům využívat škálování sítě Microsoftu k rozšíření stávajících globálních sítí.

Tento článek ukazuje, jak migrovat stávající hvězdicové prostředí spravované zákazníkem do topologie založené na Azure Virtual WAN.

Scenario

Contoso je globální finanční organizace s pobočkami v Evropě i Asii. Plánují přesunout své stávající aplikace z místního datacentra v Azure a vytvořili základní návrh založený na hvězdicové architektuře spravované zákazníkem, včetně virtuálních sítí regionálního centra pro hybridní připojení. V rámci přechodu na cloudové technologie má síťový tým za úkol zajistit, aby jejich připojení bylo optimalizované pro firmu.

Následující obrázek znázorňuje základní zobrazení stávající globální sítě, včetně připojení k několika oblastem Azure.

Obrázek: Stávající síťová topologie společnosti Contoso

Z existující síťové topologie lze pochopit následující body:

• Hvězdicová topologie se používá ve více oblastech, včetně okruhů ExpressRoute, pro připojení zpět ke společné privátní síti WAN (Wide Area Network).

• Některé z těchto lokalit mají také tunely VPN přímo v Azure, aby se mohly spojit s aplikacemi hostovanými v cloudu.

Požadavky

Tým pro sítě dostal za úkol dodat globální síťový model, který může podporovat migraci společnosti Contoso do cloudu a musí se optimalizovat v oblastech nákladů, škálování a výkonu. Stručně řečeno, musí být splněny následující požadavky:

• Poskytněte jak hlavní čtvrti (HQ), tak pobočky optimalizovanou cestu k aplikacím hostovaným v cloudu.
• Odstraňte závislost na stávajících místních datových centrech (DC) pro ukončení sítě VPN a zachovejte následující cesty připojení:
  • Pobočka na virtuální síť: Pobočky připojené k síti VPN musí mít přístup k aplikacím migrovaným do cloudu v místní oblasti Azure.
  • Pobočka do rozbočovače do sítě Hub-to-VNet: Pobočky připojené k síti VPN musí mít přístup k aplikacím migrovaným do cloudu ve vzdálené oblasti Azure.
  • Pobočka-pobočka: Regionální pobočky připojené k síti VPN musí být schopné vzájemně komunikovat a lokality HQ/DC připojené k ExpressRoute.
  • Pobočka-to-Hub-to-Branch: Globálně oddělené pobočky připojené k síti VPN musí být schopné komunikovat mezi sebou a všemi lokalitami připojenými k ExpressRoute HQ/DC.
  • Pobočka na internet: Připojené weby musí být schopné komunikovat s internetem. Tento provoz musí být filtrovaný a protokolovaný.
  • VNet-to-VNet: Paprskové virtuální sítě ve stejné oblasti musí být schopné vzájemně komunikovat.
  • Virtuální sítě typu VNet-to-Hub do hub-to-VNet: Paprskové virtuální sítě v různých oblastech musí být schopné vzájemně komunikovat.
• Poskytněte uživatelům služby Contoso roaming (přenosný počítač a telefon) možnost přístupu k prostředkům společnosti, když nejsou v podnikové síti.

Architektura Azure Virtual WAN

Následující obrázek znázorňuje základní zobrazení aktualizované cílové topologie pomocí Azure Virtual WAN, aby byly splněny požadavky popsané v předchozí části.

Obrázek: Architektura Azure Virtual WAN

Souhrn:

• Centrála v Evropě zůstává připojená k ExpressRoute, evropské místní řadiče domény se plně migrují do Azure a nyní jsou vyřazeny z provozu.
• Asia DC a HQ zůstávají připojené k privátní síti WAN. Azure Virtual WAN se teď používá k rozšíření sítě místního operátora a poskytování globálního připojení.
• Azure Virtual WAN rozbočovače nasazené v oblastech Azure v oblasti Západní Evropa a Jihovýchodní Asie, aby poskytovaly centrum připojení pro ExpressRoute a zařízení připojená k síti VPN.
• Rozbočovače také poskytují ukončení sítě VPN pro roamingové uživatele napříč různými typy klientů pomocí připojení OpenVPN ke globální síti mesh, což umožňuje přístup nejen k aplikacím migrovaným do Azure, ale také ke všem prostředkům, které zůstávají v místním prostředí.
• Připojení k internetu pro prostředky v rámci virtuální sítě poskytované službou Azure Virtual WAN.

Připojení k internetu pro vzdálené lokality také poskytuje Azure Virtual WAN. Místní internetový breakout podporovaný prostřednictvím integrace partnerů pro optimalizovaný přístup ke službám SaaS, jako je Microsoft 365.

Migrace na Virtual WAN

Tato část ukazuje různé kroky migrace do Azure Virtual WAN.

Krok 1: Hvězdicové centrum spravované zákazníkem v jedné oblasti

Následující obrázek znázorňuje topologii jedné oblasti pro Contoso před uvedením Azure Virtual WAN:

Obrázek 1: Ruční hub-and-paprsek pro jednu oblast

V souladu s hvězdicovým přístupem obsahuje virtuální síť centra spravovaná zákazníkem několik bloků funkcí:

• Sdílené služby (všechny společné funkce vyžadované více paprsky) Příklad: Contoso používá řadiče domény Windows Serveru na virtuálních počítačích IaaS (Infrastruktura jako služba).
• Služby brány firewall protokolu IP nebo směrování jsou poskytovány síťovým virtuálním zařízením třetí strany, které umožňuje směrování IP adresy vrstvy 3 paprsku do paprsku.
• Internetové služby příchozího/výchozího přenosu dat, včetně Azure Application Gateway pro příchozí požadavky HTTPS a služeb proxy třetích stran spuštěných na virtuálních počítačích pro filtrovaný odchozí přístup k internetovým prostředkům.
• ExpressRoute a brána virtuální sítě VPN pro připojení k místním sítím.

Krok 2: Nasazení Virtual WAN Hubs

Nasaďte centrum Virtual WAN v každé oblasti. Nastavte centrum Virtual WAN s funkcemi VPN a ExpressRoute, jak je popsáno v následujících článcích:

• Kurz: Vytvoření připojení typu site-to-site pomocí služby Azure Virtual WAN
• Kurz: Vytvoření přidružení ExpressRoute pomocí Azure Virtual WAN

Poznámka

Azure Virtual WAN musí používat skladovou položku Standard, aby bylo možné povolit některé cesty provozu uvedené v tomto článku.

Obrázek 2: Migrace hvězdicového centra spravovaného zákazníkem do Virtual WAN

Krok 3: Připojení vzdálených lokalit (ExpressRoute a VPN) k Virtual WAN

Připojte centrum Virtual WAN ke stávajícím okruhům ExpressRoute a nastavte sítě VPN typu site-to-site přes internet pro všechny vzdálené větve.

Obrázek 3: Migrace hvězdicového centra spravovaného zákazníkem na Virtual WAN

V tomto okamžiku začne místní síťová zařízení přijímat trasy odrážející adresní prostor IP adres přiřazený virtuální síti centra spravované Virtual WAN. Vzdálené větve připojené k síti VPN v této fázi uvidí dvě cesty ke všem existujícím aplikacím v paprskových virtuálních sítích. Tato zařízení by měla být nakonfigurovaná tak, aby dál používala tunel do centra spravovaného zákazníkem, aby se zajistilo symetrické směrování během fáze přechodu.

Krok 4: Testování hybridního připojení přes Virtual WAN

Než použijete spravované centrum Virtual WAN pro připojení k produkčnímu prostředí, doporučujeme nastavit virtuální síť s testovacím paprskem a Virtual WAN připojení virtuální sítě. Než budete pokračovat v dalších krocích, ověřte, že připojení k tomuto testovacímu prostředí fungují přes ExpressRoute a vpn site-to-site.

Obrázek 4: Hvězdicová migrace do Virtual WAN spravovaného zákazníkem

V této fázi je důležité si uvědomit, že původní virtuální síť centra spravovaná zákazníkem i nové centrum Virtual WAN jsou připojené ke stejnému okruhu ExpressRoute. Z tohoto důvodu máme cestu provozu, kterou je možné použít ke komunikaci paprsků v obou prostředích. Například provoz z paprsku, který je připojený k virtuální síti centra spravované zákazníkem, bude procházet zařízeními MSEE používanými pro okruh ExpressRoute, aby se dostal k libovolnému paprsku připojenému přes připojení virtuální sítě k novému centru Virtual WAN. To umožňuje fázovanou migraci paprsků v kroku 5.

Krok 5: Přechod připojení k centru virtual WAN

Obrázek 5: Migrace hvězdicového centra spravovaného zákazníkem na Virtual WAN

a. Odstraňte existující připojení peeringu z virtuálních sítí paprsků do starého centra spravovaného zákazníkem. Přístup k aplikacím v paprskových virtuálních sítích je nedostupný, dokud nebudou dokončeny kroky a až c.

b. Připojte paprskové virtuální sítě k centru Virtual WAN prostřednictvím připojení virtuální sítě.

c. Odeberte všechny trasy definované uživatelem dříve používané ve virtuálních sítích paprsků pro komunikaci mezi paprsky. Tato cesta je teď povolená dynamickým směrováním dostupným v centru Virtual WAN.

d. Stávající služby ExpressRoute a brány VPN Gateway v centru spravovaném zákazníkem se teď vyřadí z provozu, aby bylo možné provést další krok (e).

e. Připojte staré centrum spravované zákazníkem (virtuální síť centra) k centru Virtual WAN prostřednictvím nového připojení virtuální sítě.

Krok 6: Staré centrum se změní na paprsky sdílených služeb

Síť Azure jsme přepracovali tak, aby centrum Virtual WAN bylo ústředním bodem naší nové topologie.

Obrázek 6: Migrace hvězdicového centra spravovaného zákazníkem na Virtual WAN

Vzhledem k tomu, že centrum Virtual WAN je spravovaná entita a neumožňuje nasazení vlastních prostředků, jako jsou virtuální počítače, blok sdílených služeb teď existuje jako paprsková virtuální síť a hostuje funkce, jako je příchozí přenos dat z internetu, prostřednictvím Azure Application Gateway nebo síťového virtualizovaného zařízení. Provoz mezi prostředím sdílených služeb a back-endovými virtuálními počítači teď prochází centrem spravovaným Virtual WAN.

Krok 7: Optimalizace místního připojení za účelem plného využití Virtual WAN

V této fázi společnost Contoso většinou dokončila migrace obchodních aplikací do Microsoft Cloudu, přičemž v místním řadiči domény zbývá jen několik starších aplikací.

Obrázek 7: Hvězdicová migrace Virtual WAN spravovaná zákazníkem

Aby společnost Contoso využila všechny funkce Azure Virtual WAN, rozhodne se vyřadit starší místní připojení VPN z provozu. Všechny větve, které mají přístup k sítím HQ nebo DC, můžou projíždět globální sítí Microsoftu pomocí integrovaného tranzitního směrování Azure Virtual WAN.

Poznámka

ExpressRoute Global Reach se vyžaduje pro zákazníky, kteří chtějí využívat páteřní síť Microsoftu k poskytování přenosu ExpressRoute do ExpressRoute (obrázek 7 se nezobrazuje).

Architektura koncového stavu a cesty provozu

Obrázek: Duální Virtual WAN oblastí

Tato část obsahuje souhrn toho, jak tato topologie splňuje původní požadavky, a to pomocí některých ukázkových toků provozu.

Cesta 1

Cesta 1 ukazuje tok provozu z větve připojené k síti VPN S2S v Asii do virtuální sítě Azure v oblasti Jihovýchodní Asie.

Provoz se směruje takto:

• Větev Asie je připojena prostřednictvím odolných tunelů s povoleným protokolem S2S BGP do centra jihovýchodní Asie Virtual WAN.

• Centrum Asie Virtual WAN směruje provoz místně do připojené virtuální sítě.

Cesta 2

Cesta 2 ukazuje tok provozu z evropského hlavního centra připojeného k ExpressRoute do virtuální sítě Azure v oblasti jihovýchodní Asie.

Provoz se směruje takto:

• Evropská centrála je připojena prostřednictvím okruhu ExpressRoute k centru Západní Evropa Virtual WAN.

• Virtual WAN globální připojení typu hub-to-hub umožňuje přenos provozu do virtuální sítě připojené ve vzdálené oblasti.

Cesta 3

Cesta 3 ukazuje tok provozu z místního řadiče domény Asie připojeného k privátní síti WAN do větve připojené k evropské službě S2S.

Provoz se směruje takto:

• Asia DC je připojený k místnímu privátnímu operátorovi WAN.

• Okruh ExpressRoute se místně ukončí v privátní síti WAN, která se připojuje k centru Virtual WAN jihovýchodní Asie.

• Virtual WAN globální připojení typu hub-to-hub umožňuje přenos provozu.

Cesta 4

Cesta 4 ukazuje tok provozu z virtuální sítě Azure v oblasti Jihovýchodní Asie do virtuální sítě Azure v oblasti Západní Evropa.

Provoz se směruje takto:

• Virtual WAN globální připojení typu hub-to-hub umožňuje nativní přenos všech připojených virtuálních sítí Azure bez další uživatelské konfigurace.

Cesta 5

Cesta 5 ukazuje tok provozu od uživatelů roamingové sítě VPN (P2S) do virtuální sítě Azure v oblasti Západní Evropa.

Provoz se směruje takto:

• Uživatelé přenosných počítačů a mobilních zařízení používají klienta OpenVPN pro transparentní připojení k bráně VPN P2S v oblasti Západní Evropa.

• Centrum Západní Evropa Virtual WAN směruje provoz místně do připojené virtuální sítě.

Zabezpečení a řízení zásad prostřednictvím Azure Firewall

Společnost Contoso teď ověřila připojení mezi všemi větvemi a virtuálními sítěmi v souladu s požadavky probíranými výše v tomto článku. Aby byly splněny požadavky na řízení zabezpečení a izolaci sítě, musí dál oddělovat a protokolovat provoz přes síť rozbočovače. Dříve tuto funkci provádělo síťové virtuální zařízení (NVA). Společnost Contoso chce také vyřadit své stávající proxy služby a využívat nativní služby Azure pro odchozí filtrování internetu.

Obrázek: Azure Firewall v Virtual WAN (zabezpečené virtuální centrum)

K zavedení Azure Firewall do Virtual WAN center je potřeba provést následující základní kroky, které umožní jednotné řízení zásad. Další informace o tomto procesu a konceptech služby Secure Virtual Hubs najdete v tématu Azure Firewall Manager.

1. Vytvořte zásady Azure Firewall.
2. Propojte zásady brány firewall s centrem Azure Virtual WAN. Tento krok umožňuje, aby stávající centrum Virtual WAN fungovalo jako zabezpečené virtuální centrum a nasadí požadované Azure Firewall prostředky.

Poznámka

Existují omezení týkající se používání zabezpečených virtuálních center, včetně provozu mezi oblastmi. Další informace najdete v tématu Firewall Manager – známé problémy.

Následující cesty ukazují cesty připojení povolené pomocí virtuálních center zabezpečených azure:

Cesta 6

Cesta 6 ukazuje zabezpečený tok provozu mezi virtuálními sítěmi ve stejné oblasti.

Provoz se směruje takto:

• Virtuální sítě připojené ke stejnému zabezpečenému virtuálnímu centru teď směrují provoz přes Azure Firewall.

• Azure Firewall můžete na tyto toky použít zásady.

Cesta 7

Cesta 7 ukazuje tok provozu z virtuální sítě Azure do internetu nebo služby zabezpečení třetí strany.

Provoz se směruje takto:

• Virtuální sítě připojené k zabezpečenému virtuálnímu centru můžou odesílat provoz do veřejných cílů na internetu pomocí zabezpečeného centra jako centrálního bodu přístupu k internetu.

• Tento provoz je možné filtrovat místně pomocí pravidel plně kvalifikovaného názvu domény Azure Firewall nebo ho odeslat ke kontrole službě zabezpečení třetí strany.

Cesta 8

Cesta 8 ukazuje tok provozu z větve do internetu nebo služby zabezpečení třetí strany.

Provoz se směruje takto:

• Větve připojené k zabezpečenému virtuálnímu centru můžou odesílat provoz do veřejných cílů na internetu pomocí zabezpečeného centra jako centrálního bodu přístupu k internetu.

• Tento provoz je možné filtrovat místně pomocí pravidel plně kvalifikovaného názvu domény Azure Firewall nebo ho odeslat ke kontrole službě zabezpečení třetí strany.

Další kroky

• Přečtěte si další informace o azure Virtual WAN.
• Konfigurace Virtual WAN pro Azure NetApp Files