Definieren einer Azure-Netzwerktopologie

  • Artikel

Die Netzwerktopologie ist ein wichtiges Element einer Zielzonenarchitektur, da sie bestimmt, wie Anwendungen miteinander kommunizieren können. In diesem Abschnitt werden Technologien und Topologieansätze für Azure-Bereitstellungen behandelt. Der Schwerpunkt liegt auf zwei Hauptansätzen: auf Azure Virtual WAN basierende Topologien und herkömmlichen Topologien.

Virtual WAN wird Interkonnektivitätsanforderungen in großem Stil gerecht. Da es sich um einen von Microsoft verwalteten Dienst handelt, verringert er außerdem die generelle Komplexität des Netzwerks und kann zur Modernisierung des Netzwerks in Ihrer Organisation beitragen. Eine Virtual WAN-Topologie könnte am besten geeignet sein, wenn eine der folgenden Anforderungen für Ihre Organisation gilt:

  • Ihre Organisation möchte Ressourcen in mehreren Azure-Regionen bereitstellen und benötigt globale Konnektivität zwischen VNets in diesen Azure-Regionen sowie mehreren lokalen Umgebungen.
  • Ihre Organisation beabsichtigt, ein umfassendes Zweignetzwerk direkt in Azure zu integrieren, entweder über eine softwaredefinierte WAN-Bereitstellung (SD-WAN), oder es sind mehr als 30 Zweigniederlassungen für den nativen IPSec-Abschluss erforderlich.
  • Sie benötigen transitives Routing zwischen einem virtuellen privaten Netzwerk (VPN) und Azure ExpressRoute. Beispielsweise erfordern Remotebranches, die über Site-to-Site-VPN verbunden sind, oder Remotebenutzer*innen, die über ein Point-to-Site-VPN verbunden sind, eine Verbindung mit einem mit ExpressRoute verbundenen Domänencontroller über Azure.

Eine herkömmliche Hub-and-Spoke-Netzwerktopologie hilft Ihnen beim Erstellen angepasster, großer Netzwerke mit verbesserter Sicherheit in Azure. Mit dieser Topologie verwalten Sie das Routing und die Sicherheit. Eine herkömmliche Topologie könnte am besten geeignet sein, wenn eine der folgenden Anforderungen für Ihre Organisation gilt:

  • Ihre Organisation beabsichtigt, Ressourcen in einer oder mehreren Azure-Regionen bereitzustellen, und während ein gewisser Datenverkehr in den Azure-Regionen erwartet wird (z. B. Datenverkehr zwischen zwei virtuellen Netzwerken in zwei verschiedenen Azure-Regionen), ist kein vollständiges Meshnetzwerk in allen Azure-Regionen erforderlich.
  • Sie verfügen über eine geringe Anzahl von Remote- oder Zweigstellenstandorten pro Region. Das heißt, Sie benötigen weniger als 30 IPSec-Site-to-Site-Tunnel.
  • Sie benötigen vollständige Kontrolle und Granularität für die manuelle Konfiguration der Routingrichtlinie Ihres Azure-Netzwerks.

Virtual WAN-Netzwerktopologie (von Microsoft verwaltet)

Diagram that illustrates a Virtual WAN network topology.

Herkömmliche Azure-Netzwerktopologie

Diagram that illustrates a traditional Azure network topology.

Azure Virtual Network Manager in Azure-Zielzonen

Die konzeptionelle Architektur der Azure-Zielzonen empfiehlt eine von zwei Netzwerktopologien: eine Netzwerktopologie, die auf Virtual WAN oder einer Netzwerktopologie basiert, die auf einer herkömmlichen Hub-and-Spoke-Architektur basiert. Wenn sich Ihre Geschäftsanforderungen im Laufe der Zeit ändern (z. B. durch eine Migration lokaler Anwendungen zu Azure, was hybride Konnektivität erfordert), können Sie Virtual Network Manager verwenden, um Netzwerkänderungen zu erweitern und zu implementieren. In vielen Fällen ist das ohne Auswirkungen auf die Bereitstellungen in Azure möglich.

Mithilfe von Virtual Network Manager können Sie drei Arten abonnementübergreifenden Topologien erstellen, sowohl für bestehende als auch für neue virtuelle Netzwerke:

  • Hub-and-Spoke-Topologie
  • Hub-and-Spoke-Topologie mit direkter Konnektivität zwischen Speichen
  • Meshtopologie (in der Vorschauphase)

Diagram that shows Azure virtual network topologies.

Hinweis

Virtual Network Manager unterstützt keine Virtual WAN-Hubs als Teil einer Netzwerkgruppe oder als Hub in einer Topologie. Weitere Informationen finden Sie unter Azure Virtual Network Manager FAQ.

Wenn Sie eine Hub-and-Spoke-Topologie mit direkter Konnektivität in Virtual Network Manager erstellen, in der die Spokes direkt miteinander verbunden sind, wird die direkte Konnektivität zwischen virtuellen Spokenetzwerken in derselben Netzwerkgruppe automatisch über das Feature Verbundene Gruppe aktiviert.

Sie können Virtual Network Manager verwenden, um virtuelle Netzwerke statisch oder dynamisch zu bestimmten Netzwerkgruppen hinzuzufügen. Dadurch wird die gewünschte Topologie basierend auf Ihrer Konnektivitätskonfiguration in Virtual Network Manager definiert und erstellt.

Sie können mehrere Netzwerkgruppen erstellen, um Gruppen virtueller Netzwerke von direkter Konnektivität zu isolieren. Jede Netzwerkgruppe bietet dieselbe Region und die Unterstützung mehrerer Regionen für Spoke-to-Spoke-Konnektivität. Achten Sie darauf, die für Virtual Network Manager definierten Grenzwerte einzuhalten, die unter Häufig gestellte Fragen zu Azure Virtual Network Manager beschrieben werden.

Aus Sicherheitsgründen bietet Virtual Network Manager eine effiziente Möglichkeit, Sicherheitsadministratorregeln anzuwenden, um den Datenverkehrsfluss unabhängig von der NSG-Konfiguration zentral zu verweigern oder zuzulassen. Mit diesem Feature können Netzwerksicherheitsadministrator*innen Zugriffskontrollen erzwingen und Anwendungsbesitzer*innen die Verwaltung ihrer eigenen Regeln auf NSG-Ebene ermöglichen.

Sie können Virtual Network Manager verwenden, um virtuelle Netzwerke zu gruppieren. Anschließend können Sie Konfigurationen auf die Gruppen statt auf einzelne virtuelle Netzwerke anwenden. Dieses Feature ermöglicht eine effizientere Verwaltung von Konnektivität, Konfiguration und Topologie, Sicherheitsregeln und Bereitstellung in einer oder mehreren Regionen gleichzeitig, ohne die differenzierte Kontrolle einzubüßen.

Sie können Netzwerke nach Umgebungen, Teams, Standorten, Branchen oder anderen Faktoren segmentieren, die Ihren Anforderungen entsprechen. Sie können Netzwerkgruppen statisch oder dynamisch definieren, indem Sie eine Reihe von Bedingungen erstellen, die die Gruppenmitgliedschaft steuern.

Sie können Virtual Network Manager verwenden, um die Entwurfsprinzipien für Azure-Zielzonen zu implementieren, damit alle Anwendungsmigrations-, Modernisierungs- und Innovationsgrundsätze in jeder Größenordnung berücksichtigt werden.

Überlegungen zum Entwurf

  • In einer herkömmlichen Hub-and-Spoke-Bereitstellung werden Verbindungen mit Peering virtueller Netzwerke manuell erstellt und verwaltet. Virtual Network Manager führt eine Automatisierungsschicht für das Peering virtueller Netzwerke ein, wodurch selbst große und komplexe Netzwerktopologien wie Meshnetzwerke einfacher verwaltet werden können. Weitere Informationen finden Sie unter Übersicht über Netzwerkgruppen.
  • Die Sicherheitsanforderungen verschiedener Geschäftsfunktionen bestimmen die Notwendigkeit, Netzwerkgruppen zu erstellen. Eine Netzwerkgruppe ist eine Gruppe virtueller Netzwerke, die manuell oder über bedingte Anweisungen ausgewählt werden, wie weiter oben in diesem Dokument beschrieben. Wenn Sie eine Netzwerkgruppe erstellen, müssen Sie eine Richtlinie angeben, oder Virtual Network Manager kann eine Richtlinie erstellen, wenn Sie das explizit zulassen. Diese Richtlinie ermöglicht es Virtual Network Manager, über Änderungen benachrichtigt zu werden. Um vorhandene Azure-Richtlinieninitiativen zu aktualisieren, müssen Sie Änderungen an der Netzwerkgruppe innerhalb der Virtual Network Manager-Ressource bereitstellen.
  • Wägen Sie ab, welche Bestandteile Ihres Netzwerks gemeinsame Sicherheitsmerkmale aufweisen, um die entsprechenden Netzwerkgruppen zu entwerfen. Sie können z. B. Netzwerkgruppen für Unternehmen und Onlinepräsenzen erstellen, um ihre Konnektivitäts- und Sicherheitsregeln im großen Stil zu verwalten.
  • Wenn mehrere virtuelle Netzwerke in den Abonnements Ihrer Organisation dieselben Sicherheitsattribute aufweisen, können Sie diese mit Virtual Network Manager effizient anwenden. Sie sollten beispielsweise alle Systeme, die von einer Geschäftseinheit wie der Personal- oder Finanzabteilung verwendet werden, in einer separaten Netzwerkgruppe platzieren, da Sie unterschiedliche Administratorregeln auf diese anwenden müssen.
  • Virtual Network Manager kann Sicherheitsadministratorregeln zentral anwenden, die eine höhere Priorität haben als NSG-Regeln, die auf Subnetzebene angewendet werden. Dieses Feature befindet sich in der Vorschauphase. Dieses Feature ermöglicht es Netzwerk- und Sicherheitsteams, Unternehmensrichtlinien effektiv durchzusetzen und Schutzmaßnahmen einzurichten, während Produktteams gleichzeitig die Kontrolle über NSGs innerhalb ihrer Zielzonenabonnements behalten können.
  • Sie können das Virtual Network Manager-Feature Sicherheitsadministratorregeln verwenden, um bestimmte Netzwerkflüsse unabhängig von NSG-Konfigurationen auf Subnetz- oder Netzwerkschnittstellenebene explizit zuzulassen oder zu verweigern. Sie können dieses Feature beispielsweise verwenden, um zuzulassen, dass Netzwerkflüsse von Verwaltungsdiensten immer zulässig sind. NSGs, die von Anwendungsteams gesteuert werden, können diese Regeln nicht außer Kraft setzen.
  • Ein virtuelles Netzwerk kann Teil von bis zu zwei verbundenen Gruppen sein.

Entwurfsempfehlungen

  • Definieren Sie den Bereich von Virtual Network Manager. Wenden Sie Sicherheitsadministratorregeln an, die Regeln auf Organisationsebene in der Stammverwaltungsgruppe (dem Mandanten) erzwingen. Dadurch werden hierarchische Regeln automatisch auf vorhandene Ressourcen, neue Ressourcen und alle zugehörigen Verwaltungsgruppen angewendet.
  • Erstellen Sie eine Virtual Network Manager-Instanz im Konnektivitätsabonnement, deren Bereich auf die zwischengeschaltete Stammverwaltungsgruppe (z. B. Contoso) festgelegt ist. Aktivieren Sie das Sicherheitsadministratorfeature für diese Instanz. Mit dieser Konfiguration können Sie Sicherheitsadministratorregeln definieren, die für alle virtuellen Netzwerke und Subnetze in Ihrer Azure-Zielzonenhierarchie gelten und Ihnen helfen, NSGs für Anwendungszielzonenbesitzer*innen und -teams zu demokratisieren.
  • Segmentieren Sie Netzwerke, indem Sie virtuelle Netzwerke entweder statisch (manuell) oder dynamisch (richtlinienbasiert) gruppieren.
  • Ermöglichen Sie die direkte Konnektivität zwischen Spokes, wenn ausgewählte Spokes häufig mit niedriger Latenz und hohem Durchsatz kommunizieren müssen, zusätzlich zum Zugriff auf gemeinsame Dienste oder NVAs im Hub.
  • Aktivieren Sie globales Meshing wenn alle virtuellen Netzwerke in allen Regionen miteinander kommunizieren müssen.
  • Weisen Sie jeder Sicherheitsadministratorregel in Ihrer Regelsammlung einen Prioritätswert zu. Je niedriger der Wert, desto höher ist die Priorität der Regel.
  • Verwenden Sie Sicherheitsadministratorregeln, um Netzwerkflüsse explizit zuzulassen oder zu verweigern, unabhängig von NSG-Konfigurationen, die von Anwendungsteams gesteuert werden. Auf diese Weise können Sie die Kontrolle von NSGs und deren Regeln vollständig an Anwendungsteams delegieren.