Plánování virtuálních sítí v Azure

8 min

Na základě průzkumu jste se rozhodli implementovat hvězdicovou síťovou architekturu pro migraci vaší společnosti do Azure. Jako hlavní architekt tohoto projektu se staráte o vytvoření návrhu virtuálních sítí pomocí Azure ExpressRoute pro připojení v ústředí. Musíte také rozhodnout, jak připojit satelitní pobočky vaší společnosti k nové hvězdicové síti.

V této lekci prozkoumáte virtuální sítě na platformě Azure, aspekty návrhu a postup implementace ExpressRoute pro připojení k místním sítím.

Architectural diagram showing hub and spokes connecting to the on-premises resources.

Úvod do virtuálních sítí Azure

Virtuální sítě poskytují v Azure síťové služby a umožňují rozšířit vaši stávající místní infrastrukturu. Virtuální síť Azure dokáže zastoupit vaši privátní IT infrastrukturu v cloudu a logicky izolovat vyhrazené prostředky ve vašich předplatných. Virtuální sítě umožňují:

Externí připojení k Internetu
Komunikaci mezi různými prostředky Azure
Izolaci výše zmíněných prostředků
Připojení k místním počítačům
Správu síťového provozu

Dvěma důležitými prvky virtuálních sítí jsou podsítě a skupiny zabezpečení sítě.

Image showing Azure Virtual Network component architecture.

Podsítě: Každá virtuální síť může obsahovat mnoho podsítí. Každá podsíť má své jedinečné vlastnosti.
Skupiny zabezpečení sítě: Tyto skupiny zabezpečení sítě umožňují filtrovat příchozí a odchozí provoz prostřednictvím virtuální sítě nebo podsítě. Skupiny zabezpečení sítě můžete také použít k filtrování provozu podle zdrojové a cílové IP adresy, portu nebo protokolu.

Co je třeba vzít do úvahy při plánování a návrhu virtuálních sítí

Jakákoli síť, ať už místní nebo v cloudu, vyžaduje nějakou metodu pro řízení toku, směru a typu provozu, který přes ni prochází. U virtuálních sítí byste měli vzít na zřetel několik faktorů:

Segmentace: Je důležité zvážit potenciální izolaci provozu do různých podsítí nebo virtuálních sítí nebo do samostatných předplatných.
Zabezpečení: Pomocí skupin zabezpečení sítě a síťových virtuálních zařízení můžete filtrovat síťový provoz do a z prostředků ve virtuální síti.
Připojení ivity: Virtuální síť můžete připojit k jiným virtuálním sítím pomocí partnerského vztahu virtuálních sítí nebo k místním sítím pomocí ExpressRoute nebo služby Azure VPN Gateway.
Směrování: Virtuální sítě Azure automaticky vytvářejí směrovací tabulky v rámci každé podsítě a přidávají do tabulek výchozí systémové trasy. Vlastní trasy vám umožní přepsat tyto výchozí systémové trasy. Vlastní trasy umožňují směrovat provoz přes síťová virtuální zařízení, což zajistí lepší možnosti zabezpečení a filtrování.

Připojení místní sítě

Pokud máte v úmyslu integrovat svoji místní síť s Azure, potřebujete tyto dvě sítě přemostit. Tuto funkci poskytuje Azure VPN Gateway. Brána VPN Gateway odesílá šifrovaný provoz mezi těmito dvěma sítěmi přes internet. Brány podporují více připojení, která směrují tunely VPN přes dostupnou šířku pásma, ačkoli virtuální síť může mít přiřazenou jen jednu bránu. Bránu VPN můžete použít také k vzájemnému propojení sítí v Azure.

Další možnost přemostění představuje Azure ExpressRoute. ExpressRoute umožňuje rozšířit vaše místní sítě do Azure přes privátní připojení. Toto připojení je realizováno konektivitou poskytovatele cloudové výměny. ExpressRoute se neomezuje jen na prostředky Azure a umožňuje navázat připojení k jiným cloudovým službám Microsoftu, jako je Office 365.

Implementace ExpressRoute nějakou dobu trvá. Vyžaduje spolupráci s poskytovatelem připojení a může vyžadovat implementaci fyzického síťového zařízení. V době, kdy probíhá implementace, můžete použít síť typu site-to-site VPN, která přidá připojení mezi vašimi místními prostředky a virtuálními sítěmi Azure. Jakmile poskytovatel služby potvrdí, že nastavení je hotové, můžete migrovat na nové připojení ExpressRoute.

Použití ExpressRoute v hvězdicové topologii

Použití ExpressRoute v hvězdicové topologii se nijak neliší od jiných vzorů architektury. ExpressRoute, která podporuje připojení mezi centrem a místní sítí, funguje nejlépe, když je vysoká propustnost dat příchozí i odchozí.

Okruhy slouží ke správě a směrování provozu, propojení ExpressRoute do virtuální sítě v Azure. Okruhy, které se mají připojit k virtuální síti, mohou být v odlišných oblastech nebo předplatných. Počet virtuálních sítí v jednom okruhu ExpressRoute je omezený. Pro úroveň Standard je limit aktuálně 10 sítí. Při použití doplňku Premium se omezení zvýší podle velikosti okruhu. Nejnižším číslem je 20 virtuálních sítí v okruhu 50 Mb/s, až 100 pro okruhy, které jsou 10 Gb/s nebo vyšší.

Kontrola znalostí

Která z těchto možností představuje způsob, jak mezi sebou můžou prostředky komunikovat v Rámci Azure?

Necháte spolu prostředky komunikovat přes připojení ExpressRoute.

Necháte prostředky uvnitř jedné virtuální sítě.

Necháte každý prostředek určit koncový bod sítě.

Jaké je omezení počtu virtuálních sítí, které můžete připojit k ExpressRoute?

100

Závisí na velikosti okruhu.

Před kontrolou vaší práce musíte odpovědět na všechny dotazy.

Pokračovat