Předchozí

Další

Integrace místní sítě v Azure

Dokončeno

Vaše společnost plánuje migrovat většinu svých místních prostředků do Azure. Malé datové centrum ale musí zůstat místně, aby bylo potřeba integraci do sítě Azure. Model architektury musí brát v úvahu síťové připojení přes Azure u několika satelitních firemních poboček. Chcete používat hybridní síťovou architekturu, která uděluje přístup k místním i cloudovým prostředkům.

Pokud chcete migraci zvládnout, vytvoříte plán integrace sítě pro Azure, který zahrnuje výběr nejlepších možností hybridní sítě dostupných v Azure. Tyto možnosti musí splňovat požadavky organizace na hybridní připojení.

V této lekci prozkoumáte místní připojení na platformě Azure. Získáte také přehled služby Azure Virtual Network a zjistíte, jak pomocí služby Azure VPN Gateway zabezpečit provoz do místní sítě.

Virtuální síť Azure Virtual Network

Služba Azure Virtual Network obsahuje konkrétní sadu nástrojů a prostředků pro vytváření cloudové síťové architektury pro vaši organizaci. Virtuální sítě Azure poskytují zabezpečený virtuální komunikační kanál pro všechny povolené prostředky Azure v rámci vašeho předplatného.

Virtuální síť Azure vám umožní:

• Připojit virtuální počítače k internetu.
• Zajištění zabezpečené komunikace mezi prostředky Azure hostovanými v různých datacentrech a oblastech
• Izolovat a spravovat prostředky Azure.
• Připojovat se k místním počítačům.
• Spravovat přenosy v síti.

Ve výchozím nastavení mají všechny prostředky Azure v rámci virtuální sítě odchozí připojení k internetu. Externí příchozí komunikace musí procházet přes veřejně přístupný koncový bod. Všechny interní prostředky používají pro přístup k virtuální síti privátní koncový bod.

Virtuální síť se skládá z mnoha prvků. Zahrnuje síťová rozhraní, nástroje pro vyrovnávání zatížení, podsítě, skupiny zabezpečení sítě a veřejné IP adresy. Tyto prvky spolupracují a umožňují zabezpečenou a spolehlivou síťovou komunikaci mezi prostředky Azure, internetem a místními sítěmi.

Směrování přenosů ve virtuální síti Azure

Odchozí přenosy z podsítě se směrují na základě cílové IP adresy. Směrovací tabulka definuje, jak se tyto přenosy směrují a co následuje. Cílová IP adresa může existovat ve více definicích předpon ve směrovací tabulce (například 10.0.0.0/16 a 10.0.0.0/24). Směrovač používá sofistikovaný algoritmus k nalezení nejdelší shody předpon. Provoz směřující na adresu 10.0.0.6 by se přeložil na předponu 10.0.0.0/24 a odpovídajícím způsobem se směruje.

Existují dva základní typy směrovacích tabulek: systémové a vlastní.

Systémové směrovací tabulky

Azure automaticky vytváří sadu výchozích směrovacích tabulek pro virtuální síť a každou masku podsítě v rámci této virtuální sítě. Tyto systémové trasy jsou pevné a není možné je upravit ani odstranit. Výchozí nastavení však můžete přepsat pomocí vlastní směrovací tabulky.

Typická výchozí směrovací tabulka může vypadat třeba takto:

Source	Předpony adres	Typ dalšího směrování
Výchozí	Jedinečné pro virtuální síť	Virtuální síť
Výchozí	0.0.0.0/0	Internet
Výchozí	10.0.0.0/8	Nic
Výchozí	172.16.0.0/12	Nic
Výchozí	192.168.0.0/16	Nic
Výchozí	100.64.0.0/10	Nic

Směrovací tabulka se skládá ze zdroje, předpony adresy a typu dalšího segmentu směrování . Veškeré přenosy odcházející z podsítě pomocí této směrovací tabulky zjišťují, kam mají dál pokračovat. Hledají tedy další segment směrování v rámci své cesty.

Další segment směrování definuje, co se stane dál s tokem přenosu, na základě předpony. Existují tři typy dalších segmentů směrování:

• Virtuální síť: Provoz se směruje podle IP adresy v rámci virtuální sítě.
• Internet: Provoz se směruje na internet.
• Žádné: Provoz se zahodí.

Vlastní směrovací tabulky

Vedle systémem definovaných směrovacích tabulek můžete také vytvářet vlastní směrovací tabulky. Tyto uživatelem definované směrovací tabulky přepíšou výchozí systémovou tabulku. Platí určité limity počtu položek směrování, které můžete mít ve vlastní tabulce.

Následující tabulka uvádí několik omezení, která platí pro virtuální sítě:

Prostředek	Výchozí hodnota nebo maximální počet
Virtuální sítě	1000
Podsítě v jedné virtuální síti	3 000
Partnerské vztahy virtuální sítě v jedné virtuální síti	500
Privátní IP adresy v jedné virtuální síti	65 536

Podobně, jak tomu je u systémové směrovací tabulky, mají vlastní směrovací tabulky také typ dalšího segmentu směrování. Vlastní směrovací tabulky ale nabízejí několik dalších možností:

• Virtuální zařízení: Tato možnost je obvykle virtuální počítač, na kterém běží konkrétní síťová aplikace, například brána firewall.
• Brána virtuální sítě: Tuto možnost použijte, pokud chcete odesílat provoz do brány virtuální sítě. Brána virtuální sítě musí být typu VPN. Nemůže být typu Azure ExpressRoute, protože ten vyžaduje nastavení procesu směrování BGP (Border Gateway Protocol).
• Žádné: Tato možnost zahodí provoz místo přesměrování.
• Virtuální síť: Tato možnost umožňuje přepsat výchozí systémové směrování.
• Internet: Tato možnost umožňuje určit, že všechny předpony předávají provoz na internet.

Připojování virtuálních sítí Azure

Virtuální sítě můžete připojit kterýmkoli z několika dostupných způsobů. Můžete použít bránu Azure VPN Gateway či připojení ExpressRoute, nebo přímo metodu partnerského vztahu.

Službu Azure VPN Gateway

Když pracujete na integraci místní sítě s Azure, potřebujete mezi nimi most. Brána VPN Gateway je služba Azure, která tuto funkci poskytuje. Brána VPN Gateway může odesílat šifrované přenosy mezi těmito dvěma sítěmi. Brány VPN Gateway podporují více připojení, která jim umožňují směrovat tunely VPN pomocí kterékoli dostupné šířky pásma. Virtuální síť může mít přiřazenou jenom jednu bránu. Brány VPN se také dají použít pro připojení mezi virtuálními sítěmi v Azure.

Při implementaci brány VPN je potřeba nasadit dva nebo více virtuálních počítačů do podsítě, kterou jste vytvořili při nastavování virtuální sítě. V tomto případě se podsíť označuje také jako podsíť brány. Každému virtuálnímu počítači je přiřazená výchozí konfigurace pro směrování a služby brány, která je explicitní pro zřízenou bránu. Tyto virtuální počítače nemůžete konfigurovat přímo.

Při vytváření brány je k dispozici několik topologií. Tyto topologie, označované také jako typy bran, určují, které prvky jsou nakonfigurované, a očekávaný typ připojení.

Site-to-Site

Připojení typu site-to-site se používá u konfigurací sítí mezi více místy a hybridních sítí. Tato topologie připojení vyžaduje, aby místní zařízení VPN mělo veřejně přístupnou IP adresu a nesmí být za překladem síťových adres (NAT). K ověřování mezi bránou a zařízením VPN používá toto připojení tajný kód v řetězci ASCII, který může obsahovat až 128 znaků.

Připojení typu multi-site

Připojení typu multi-site pro více lokalit je podobné typu site-to-site, ale mírně se liší. Připojení typu multi-site podporuje více připojení VPN k místním zařízením VPN. Tato topologie připojení vyžaduje síť VPN typu RouteBased, která se označuje jako dynamická brána. Je důležité si uvědomit, že při konfiguraci s více lokalitami se všechna připojení směrují přes veškerou dostupnou šířku pásma a sdílí ji.

Připojení typu point-to-site

Připojení typu point-to-site je vhodné pro vzdálené samostatné klientské zařízení, které se připojuje k vaší síti. Klientské zařízení musíte ověřit buď prostřednictvím ID Microsoft Entra, nebo pomocí ověřování certifikátů Azure. Tento model vyhovuje scénářům pro práci z domu.

Network-to-Network

Připojení mezi sítěmi se používá k vytváření připojení mezi více virtuálními sítěmi Azure. Tato topologie připojení nevyžaduje na rozdíl od ostatních typologií veřejnou IP adresu nebo zařízení VPN. Ke zřízení kombinovaných připojení mezi místními sítěmi s připojením mezi virtuálními sítěmi můžete také použít připojení typu network-to-network v konfiguraci ve více lokalitách.

ExpressRoute

ExpressRoute vytváří přímé připojení mezi vaší místní sítí a virtuální sítí Azure, které nepoužívá internet. Pomocí ExpressRoute můžete rozšířit svou místní síť do prostředí virtuálních sítí Azure. Mnoho poskytovatelů připojení jiných společností než Microsoft nabízí službu ExpressRoute. Existují tři různé typy připojení ExpressRoute:

• Kolokace CloudExchange
• Ethernetové připojení typu Point-to-Point
• Připojení typu any-to-any mezi libovolnými body (IPVPN)

Peering

Virtuální sítě můžou vytvářet partnerské vztahy mezi jednotlivými předplatnými a oblastmi Azure. Po vytvoření partnerského vztahu mezi virtuálními sítěmi budou prostředky v těchto sítích navzájem komunikovat, jako by byly ve stejné síti. Provoz se směruje mezi prostředky pouze pomocí privátních IP adres. Partnerský virtuální síť směruje provoz přes síť Azure a udržuje připojení jako součást páteřní sítě Azure. Páteřní síť poskytuje síťová připojení s nízkou latencí a velkou šířkou pásma.

Referenční architektura brány VPN Gateway typu site-to-site

Ačkoli při navrhování hybridní sítě máte k dispozici mnoho referenčních architektur, je oblíbenou architekturou konfigurace typu site-to-site. Zjednodušená referenční architektura na následujícím diagramu znázorňuje, jak byste připojili místní síť k platformě Azure. Internetové připojení používá tunel VPN s protokolem IPsec.

Tato architektura obsahuje několik součástí:

• Místní síť, která představuje vaši místní službu Active Directory a veškerá data nebo prostředky.
• Brána zodpovídá za odesílání šifrovaných přenosů na virtuální IP adresu při používání veřejného připojení.
• Ve virtuální síti Azure jsou všechny vaše cloudové aplikace a všechny součásti brány Azure VPN Gateway.
• Brána Azure VPN Gateway poskytuje šifrované propojení mezi virtuální sítí Azure a vaší místní sítí. Azure VPN Gateway se skládá z těchto prvků.
  • Brána virtuální sítě
  • Brána místní sítě
  • Connection
  • Podsíť brány
• Cloudové aplikace jsou ty, které jste zpřístupnili prostřednictvím Azure.
• Interní nástroj pro vyrovnávání zatížení umístěný ve front-endu, který směruje cloudové přenosy do správné cloudové aplikace nebo prostředku.

Použití této architektury nabízí několik výhod, mezi které patří:

• Konfigurace a údržba jsou zjednodušené.
• Použití brány VPN pomáhá zajistit, aby všechna data a provoz byly šifrované mezi místní bránou a bránou Azure.
• Tato architektura se dá škálovat a rozšířit tak, aby vyhovovala síťovým potřebám vaší organizace.

Tato architektura se nepoužívá ve všech situacích, protože využívá existující internetové připojení jako propojení mezi těmito dvěma body s bránami. Omezení šířky pásma může způsobovat problémy s latencí kvůli opakovanému používání existující infrastruktury.

Kontrola znalostí

1.

Kde se vytváří připojení VPN typu point-to-site?

Brána VPN inicializuje připojení.

Připojení se naváže z hostitelského počítače.

Připojení se naváže z klientského počítače.

Ve virtuální síti Azure.

2.

Jak se ověřuje připojení VPN typu site-to-site?

Není potřeba žádné ověřování.

Pomocí účtu správce.

Prostřednictvím instančního objektu v Microsoft Entra ID.

Pomocí tajného klíče řetězce ASCII.

3.

Kterou metodu připojení byste použili při připojování k Azure pomocí sítě VPN?

Bránu VPN Gateway

Šifrované připojení

Virtuální počítač Azure

Tunel VPN

Před kontrolou vaší práce musíte odpovědět na všechny dotazy.

Pokračovat