Architektura globální tranzitní sítě a Virtual WAN

Článek
01/10/2024

Moderní podniky vyžadují všudypřítomné připojení mezi hyperdistribuovanými aplikacemi, daty a uživateli v cloudu a místním prostředí. Globální architektura tranzitní sítě přijímá podniky za účelem konsolidace, propojení a řízení moderních, globálních podnikových IT stop, které jsou zaměřené na cloud.

Architektura globální tranzitní sítě je založená na klasickém modelu připojení hvězdicového připojení, kde cloud hostovaná síť Hub umožňuje tranzitivní připojení mezi koncové body, které se můžou distribuovat mezi různé typy paprsků.

V tomto modelu může být paprsk:

Virtuální síť (virtuální sítě)
Lokalita fyzické větve
Vzdálený uživatel
Internet

Obrázek 1: Globální tranzitní rozbočovač a paprsková síť

Obrázek 1 znázorňuje logické zobrazení globální tranzitní sítě, ve které jsou geograficky distribuovaní uživatelé, fyzické lokality a virtuální sítě vzájemně propojené prostřednictvím síťového centra hostovaného v cloudu. Tato architektura umožňuje logické jednosměrné připojení mezi koncovými body sítě.

Globální tranzitní síť se službou Virtual WAN

Azure Virtual WAN je cloudová síťová služba spravovaná Microsoftem. Všechny síťové komponenty, ze které se tato služba skládá, jsou hostované a spravované Microsoftem. Další informace o službě Virtual WAN najdete v článku Přehled služby Virtual WAN.

Azure Virtual WAN umožňuje globální architekturu tranzitní sítě tím, že umožňuje všudypřítomné a jakékoli připojení mezi globálně distribuovanými sadami cloudových úloh ve virtuálních sítích, pobočkách, aplikacích SaaS a PaaS a uživatelích.

Obrázek 2: Globální tranzitní síť a Virtual WAN

V architektuře služby Azure Virtual WAN se centra virtual WAN zřizují v oblastech Azure, ke kterým se můžete rozhodnout pro připojení větví, virtuálních sítí a vzdálených uživatelů. Lokality fyzických větví jsou připojené k rozbočovači pomocí Sítě VPN úrovně Premium nebo Standard ExpressRoute nebo site-to-VPN, virtuální sítě jsou připojené k rozbočovači připojeními virtuální sítě a vzdálení uživatelé se můžou k rozbočovači připojit přímo pomocí sítě VPN uživatele (VPN typu point-to-site). Virtual WAN také podporuje připojení virtuální sítě mezi oblastmi, kde je možné připojit virtuální síť v jedné oblasti k rozbočovači virtual WAN v jiné oblasti.

Virtuální síť WAN můžete vytvořit vytvořením jednoho centra virtuální sítě WAN v oblasti s největším počtem paprsků (větví, virtuálních sítí, uživatelů) a následným propojením paprsků, které jsou v jiných oblastech k centru. To je dobrá volba, když je nároky podniku většinou v jedné oblasti s několika vzdálenými paprsky.

Připojení rozbočovače k centru

Využití podnikového cloudu může zahrnovat několik cloudových oblastí a je optimální (podle latence) pro přístup ke cloudu z oblasti, která je nejblíže jejich fyzickým webům a uživatelům. Jedním z klíčových principů architektury globální tranzitní sítě je umožnit připojení mezi oblastmi mezi všemi koncovými body cloudu a místní sítě. To znamená, že provoz z větve, která je připojená ke cloudu v jedné oblasti, se může spojit s jinou větví nebo virtuální sítí v jiné oblasti pomocí připojení typu hub-to-hub, které povoluje globální síť Azure.

Obrázek 3: Připojení k virtuální síti WAN mezi oblastmi

Pokud je v jedné virtuální síti WAN povoleno více rozbočovačů, jsou rozbočovače automaticky vzájemně propojené prostřednictvím propojení typu hub-to-hub, a tím umožňují globální připojení mezi větvemi a virtuálními sítěmi, které jsou distribuovány napříč několika oblastmi.

Rozbočovače, které jsou všechny součástí stejné virtuální sítě WAN, je navíc možné přidružit k různým místním zásadám přístupu a zabezpečení. Další informace najdete v tématu Řízení zabezpečení a zásad dále v tomto článku.

Připojení any-to-any

Architektura globální tranzitní sítě umožňuje připojení typu any-to-any prostřednictvím center virtual WAN. Tato architektura eliminuje nebo snižuje potřebu úplného nebo částečného propojení sítě mezi paprsky, které jsou složitější pro sestavování a údržbu. Kromě toho je řízení směrování v hvězdicových a paprskových sítích jednodušší konfigurovat a udržovat.

Připojení typu Any-to-any (v kontextu globální architektury) umožňuje podniku s globálně distribuovanými uživateli, větvemi, datovými centry, virtuálními sítěmi a aplikacemi se vzájemně připojovat prostřednictvím "tranzitních" center. Azure Virtual WAN funguje jako globální tranzitní systém.

Obrázek 4: Cesty provozu služby Virtual WAN

Azure Virtual WAN podporuje následující cesty globálního tranzitního připojení. Písmena v závorkách se mapují na obrázek 4.

Branch-to-VNet (a)
Větev k větvi (b)
ExpressRoute Global Reach a Virtual WAN
Vzdálená síť user-to-VNet (c)
Vzdálená větev user-to-branch (d)
VNet-to-VNet (e)
Branch-to-hub-to-Branch (f)
Branch-to-Hub-hub-to-VNet (g)
VNet-to-hub-hub-to-VNet (h)

Branch-to-VNet (a) a Branch-to-VNet Cross-Region (g)

Síť Branch-to-VNet je primární cesta podporovaná službou Azure Virtual WAN. Tato cesta umožňuje připojit větve k podnikovým úlohám Azure IAAS nasazených ve virtuálních sítích Azure. Větve se dají připojit k virtuální síti WAN přes ExpressRoute nebo vpn typu site-to-site. Provoz prochází do virtuálních sítí, které jsou připojené k centrem virtuální sítě WAN prostřednictvím virtuální sítě Připojení ions. Explicitní průchod bránou se pro Virtual WAN nevyžaduje, protože Virtual WAN automaticky umožňuje průchod bránou do pobočkové lokality. Informace o připojení SD-WAN CPE k Virtual WAN najdete v článku o partnerech virtual WAN.

ExpressRoute Global Reach a Virtual WAN

ExpressRoute je privátní a odolný způsob připojení místních sítí ke cloudu Microsoftu. Virtual WAN podporuje připojení okruhu ExpressRoute. Ke službě Virtual WAN je možné připojit následující skladové položky okruhu ExpressRoute: Místní, Standardní a Premium.

Existují dvě možnosti, jak povolit průchod ExpressRoute do ExpressRoute při použití služby Azure Virtual WAN:

Můžete povolit průchod ExpressRoute do ExpressRoute tím, že v okruhech ExpressRoute povolíte ExpressRoute Global Reach. Global Reach je doplňková funkce ExpressRoute, která umožňuje propojit okruhy ExpressRoute v různých umístěních partnerských vztahů a vytvořit tak privátní síť. Připojení ExpressRoute k ExpressRoute mezi okruhy s doplňkem Global Reach nepřejde centrem Virtual WAN, protože Global Reach umožňuje optimální cestu přes globální páteřní síť.
Pomocí funkce Záměr směrování se zásadami směrování privátního provozu můžete povolit připojení přenosu ExpressRoute přes bezpečnostní zařízení nasazené v centru Virtual WAN. Tato možnost nevyžaduje službu Global Reach. Další informace najdete v části ExpressRoute v dokumentaci ke záměru směrování.

Branch-to-branch (b) a Branch-to-Branch cross-region (f)

Větve je možné připojit k centru Azure Virtual WAN pomocí okruhů ExpressRoute nebo připojení VPN typu site-to-site. Větve můžete připojit k centru virtual WAN, které je v oblasti, která je nejblíže větvi.

Tato možnost umožňuje podnikům využít páteřní síť Azure k propojení větví. I když je tato funkce dostupná, měli byste zvážit výhody připojení větví přes Azure Virtual WAN a použití privátní sítě WAN.

Poznámka:

Zakázání služby Branch-to-Branch Připojení ivity ve službě Virtual WAN – Virtual WAN je možné nakonfigurovat tak, aby se zakázalo připojení branch-to-branch. Tato konfigurace bude blokovat šíření tras mezi sítěmi VPN (S2S a P2S) a připojenými lokalitami ExpressRoute. Tato konfigurace nebude mít vliv na šíření tras a připojení typu branch-to-Vnet a Vnet-to-Vnet. Pokud chcete toto nastavení nakonfigurovat pomocí webu Azure Portal: V nabídce Konfigurace služby Virtual WAN zvolte Nastavení: Branch-to-Branch – Zakázáno.

Vzdálená síť user-to-VNet (c)

Přímý a zabezpečený vzdálený přístup k Azure můžete povolit pomocí připojení typu point-to-site z klienta vzdáleného uživatele k virtuální síti WAN. Podnikoví vzdálení uživatelé už nemusí chloupat do cloudu pomocí podnikové sítě VPN.

Vzdálená větev user-to-branch (d)

Cesta Vzdálený uživatel-větev umožňuje vzdáleným uživatelům, kteří používají připojení typu point-to-site k Azure, přistupovat k místním úlohám a aplikacím průchodem přes cloud. Tato cesta poskytuje vzdáleným uživatelům flexibilitu pro přístup k úlohám, které jsou nasazené v Azure i v místním prostředí. Podniky můžou ve službě Azure Virtual WAN povolit centrální cloudovou zabezpečenou službu vzdáleného přístupu.

Průchod mezi virtuálními sítěmi (e) a VNet-to-VNet mezi oblastmi (h)

Průchod typu VNet-to-VNet umožňuje propojení vícevrstvých aplikací, které jsou implementované napříč několika virtuálními sítěmi, vzájemně se vzájemně připojovat. Volitelně můžete vzájemně propojit virtuální sítě prostřednictvím partnerského vztahu virtuálních sítí a to může být vhodné pro některé scénáře, kdy není potřeba průchod přes centrum virtuální sítě WAN.

Vynucené tunelování a výchozí trasa

Vynucené tunelování je možné povolit konfigurací výchozí trasy pro připojení VPN, ExpressRoute nebo virtuální sítě ve službě Virtual WAN.

Virtuální centrum rozšíří naučenou výchozí trasu do virtuální sítě nebo připojení VPN typu site-to-site/ExpressRoute, pokud je v připojení povolený výchozí příznak Povoleno.

Tento příznak se zobrazí, když uživatel upraví připojení k virtuální síti, připojení VPN nebo připojení ExpressRoute. Ve výchozím nastavení je tento příznak zakázán, když je lokalita nebo okruh ExpressRoute připojený k centru. Ve výchozím nastavení je povolená, když se přidá připojení k virtuální síti pro připojení virtuální sítě k virtuálnímu centru. Výchozí trasa nepochází z centra Virtual WAN; Výchozí trasa se rozšíří, pokud se centrum Virtual WAN už naučilo v důsledku nasazení brány firewall v centru nebo pokud má jiná propojená lokalita povolené vynucené tunelování.

Řízení zabezpečení a zásad

Rozbočovače Azure Virtual WAN propojují všechny koncové body sítě v rámci hybridní sítě a potenciálně vidí veškerý provoz tranzitní sítě. Rozbočovače Virtual WAN je možné převést na zabezpečené virtuální rozbočovače nasazením řešení pro zabezpečení drátů v centru. Azure Firewall můžete nasadit, vybrat další generace síťových virtuálních zařízení brány firewall nebo zabezpečení softwaru jako služby (SaaS) v centrech Virtual WAN a povolit tak cloudové zabezpečení, přístup a řízení zásad. Službu Virtual WAN můžete nakonfigurovat tak, aby směrovat provoz do řešení zabezpečení v centru pomocí záměru směrování virtuálního centra.

Orchestraci bran Azure Firewall ve virtuálních centrech WAN může provádět Azure Firewall Manager. Azure Firewall Manager poskytuje možnosti pro správu a škálování zabezpečení globálních tranzitních sítí. Azure Firewall Manager poskytuje možnost centrálně spravovat směrování, globální správu zásad, pokročilé služby zabezpečení internetu prostřednictvím třetích stran společně se službou Azure Firewall.

Další informace o nasazení a orchestraci síťových virtuálních zařízení brány firewall nové generace v centru Virtual WAN najdete v tématu Integrovaná síťová virtuální zařízení ve virtuálním centru. Další informace o řešeních zabezpečení SaaS, která je možné nasadit v centru Virtual WAN, najdete v tématu software jako služba.

Obrázek 5: Zabezpečené virtuální centrum s využitím služby Azure Firewall

Virtual WAN podporuje následující globální zabezpečené cesty připojení k přenosu. Zatímco vzory diagramu a provozu v této části popisují případy použití služby Azure Firewall, stejné vzory provozu se podporují u síťových virtuálních zařízení a řešení zabezpečení SaaS nasazených v centru. Písmena v závorkách se mapují na obrázek 5.

Zabezpečený průchod mezi pobočkou a virtuální sítí (c)
Zabezpečený přenos mezi pobočkami a virtuální sítí napříč virtuálními rozbočovači (g), podporovaný záměrem směrování
Zabezpečený průchod typu VNet-to-VNet (e)
Zabezpečený průchod mezi virtuálními rozbočovači (h) mezi virtuálními sítěmi podporovaný záměrem směrování
Zabezpečený přenos mezi pobočkami (b) podporovaný záměrem směrování
Zabezpečený přenos mezi pobočkami napříč virtuálními rozbočovači (f) podporovaný záměrem směrování
Služba zabezpečení typu VNet-to-Internet nebo třetí strany (i)
Služba zabezpečení mezi pobočkou a internetem (j)

Zabezpečený průchod typu VNet-to-VNet (e), zabezpečený průchod mezi virtuálními sítěmi (h)

Zabezpečený průchod typu VNet-to-VNet umožňuje virtuálním sítím vzájemně se připojovat přes bezpečnostní zařízení (Azure Firewall, výběr síťového virtuálního zařízení a SaaS) nasazených v centru Virtual WAN.

Služba zabezpečení typu VNet-to-Internet nebo třetí strany (i)

VNet-to-Internet umožňuje virtuálním sítím připojit se k internetu přes bezpečnostní zařízení (Azure Firewall, vybrat síťové virtuální zařízení a SaaS) ve virtuálním centru WAN. Provoz do internetu prostřednictvím podporovaných bezpečnostních služeb třetích stran neprochází přes bezpečnostní zařízení a směruje se přímo do služby zabezpečení třetí strany. Cestu typu Vnet-to-Internet můžete nakonfigurovat prostřednictvím podporované služby zabezpečení třetích stran pomocí Azure Firewall Manageru.

Služba zabezpečení mezi pobočkou a internetem (j)

Služba Branch-to-Internet umožňuje větvím připojit se k internetu přes bránu Azure Firewall v centru virtual WAN. Provoz do internetu prostřednictvím podporovaných bezpečnostních služeb třetích stran neprochází přes bezpečnostní zařízení a směruje se přímo do služby zabezpečení třetí strany. Pomocí Azure Firewall Manageru můžete nakonfigurovat cestu branch-to-internet prostřednictvím podporované služby zabezpečení třetích stran.

Průchod zabezpečenou větví mezi pobočkou, průchod zabezpečený mezi pobočkou (b), (f)

Větve se dají připojit k zabezpečenému virtuálnímu centru pomocí služby Azure Firewall pomocí okruhů ExpressRoute nebo připojení VPN typu site-to-site. Větve můžete připojit k centru virtual WAN, které je v oblasti, která je nejblíže větvi. Konfigurace záměru směrování v centrech Virtual WAN umožňuje, aby se ve službě Virtual WAN nasazovaly síťová virtuální zařízení (NVA a SaaS) ve stejném centru nebo mezi pobočkami mezi centry nebo mezi oblastmi kontroly pomocí bezpečnostních zařízení (Azure Firewall, výběr síťového virtuálního zařízení a SaaS) nasazených v centru Virtual WAN.

Průchod zabezpečený mezi pobočkou a virtuální sítí (c), průchod zabezpečený mezi pobočkou a virtuální sítí (g)

Zabezpečený průchod branch-to-VNet umožňuje větvím komunikovat s virtuálními sítěmi ve stejné oblasti jako centrum virtual WAN a také jinou virtuální síť připojenou k jinému rozbočovači virtuální sítě WAN v jiné oblasti (kontrola provozu mezi centry podporovaná pouze se záměrem směrování).

Návody povolení výchozí trasy (0.0.0.0/0) v zabezpečeném virtuálním centru

Bránu Azure Firewall nasazenou v centru Virtual WAN (zabezpečené virtuální centrum) je možné nakonfigurovat jako výchozí směrovač pro všechny větve (připojené přes VPN nebo ExpressRoute), paprskové virtuální sítě a uživatele (připojené přes síť VPN typu P2S). Tuto konfiguraci je potřeba provést pomocí Azure Firewall Manageru. Informace o směrování provozu do centra najdete v tématu Konfigurace veškerého provozu z větví (včetně uživatelů) a virtuálních sítí do internetu prostřednictvím služby Azure Firewall.

Toto je dvoustupňová konfigurace:

Nakonfigurujte směrování internetového provozu pomocí nabídky Nastavení trasy zabezpečeného virtuálního centra. Nakonfigurujte virtuální sítě a větve, které můžou odesílat provoz do internetu přes bránu firewall.
Nakonfigurujte, které Připojení (virtuální síť a větev) můžou směrovat provoz na internet (0.0.0.0/0) přes Azure FW v centru nebo důvěryhodném poskytovateli zabezpečení. Tento krok zajistí, že se výchozí trasa rozšíří do vybraných větví a virtuálních sítí připojených k centru Virtual WAN prostřednictvím Připojení ions.

Vynucení tunelování provozu do místní brány firewall v zabezpečeném virtuálním centru

Pokud už virtuální centrum z jedné z větví (lokalit VPN nebo ER) naučí výchozí trasu (přes protokol BGP), tato výchozí trasa se přepíše z nastavení Azure Firewall Manageru. V tomto případě se veškerý provoz, který zadává centrum z virtuálních sítí a větví určených k internetu, směruje do služby Azure Firewall nebo důvěryhodného zprostředkovatele zabezpečení.