Definieren einer Azure-Netzwerktopologie

Die Netzwerktopologie ist ein wichtiges Element der Zielzonenarchitektur, da sie bestimmt, wie Anwendungen miteinander kommunizieren können. In diesem Abschnitt werden Technologien und Topologieansätze für Azure-Bereitstellungen behandelt. Der Schwerpunkt liegt auf zwei Hauptansätzen: Topologien basierend auf Azure Virtual WAN und herkömmlichen Topologien.

Virtual WAN wird Interkonnektivitätsanforderungen in großem Stil gerecht. Da es sich um einen von Microsoft verwalteten Dienst handelt, verringert er außerdem die generelle Komplexität des Netzwerks und kann zur Modernisierung des Netzwerks in Ihrer Organisation beitragen. Eine virtuelle WAN-Topologie ist möglicherweise am besten geeignet, wenn einer der folgenden Punkte Ihre Anforderungen erfüllt:

  • Ihre Organisation möchte Ressourcen in mehreren Azure-Regionen bereitstellen und erfordert globale Konnektivität zwischen VNets in diesen Azure-Regionen sowie mehreren lokalen Umgebungen.
  • Ihre Organisation beabsichtigt, ein umfassendes Zweignetzwerk direkt in Azure zu integrieren, entweder über eine softwaredefinierte WAN-Bereitstellung (SD-WAN), oder es sind mehr als 30 Zweigniederlassungen für den nativen IPSec-Abschluss erforderlich.
  • Sie benötigen transitives Routing zwischen VPN und ExpressRoute, z. B. über Site-to-Site-VPN verbundene Remotebranches oder über Point-to-Site-VPN verbundene Remotebenutzer. Diese erfordern Konnektivität mit einem mit ExpressRoute verbundenen Domänencontroller über Azure.

Eine herkömmliche Hub-and-Spoke-Netzwerktopologie hilft Ihnen, angepasste, sichere, umfassende Netzwerke in Azure mit Routing und Sicherheit zu erstellen, die vom Kunden verwaltet werden. Eine herkömmliche Topologie ist möglicherweise am besten geeignet, wenn einer der folgenden Punkte Ihre Anforderungen erfüllt:

  • Ihre Organisation beabsichtigt, Ressourcen in einer oder mehreren Azure-Regionen bereitzustellen, und während ein gewisser Datenverkehr über Azure-Regionen hinweg erwartet wird (z. B. Datenverkehr zwischen zwei virtuellen Netzwerken in zwei verschiedenen Azure-Regionen), ist kein vollständiges Mesh-Netzwerk in allen Azure-Regionen erforderlich.
  • Sie verfügen über eine geringe Anzahl von Remote- oder Zweigstellenstandorten pro Region. Das heißt Sie benötigen weniger als 30 IPSec-Site-to-Site-Tunnel.
  • Sie benötigen vollständige Kontrolle und Granularität für die manuelle Konfiguration der Routingrichtlinie Ihres Azure-Netzwerks.

Virtual WAN-Netzwerktopologie (von Microsoft verwaltet)

Diagram that illustrates a Virtual WAN network topology.

Abbildung 1: Virtual WAN-Netzwerktopologie.

Herkömmliche Azure-Netzwerktopologie

Diagram that illustrates a traditional Azure network topology.

Abbildung 2: Eine herkömmliche Azure-Netzwerktopologie.

Azure Virtual Network Manager in Azure-Zielzonen

Die konzeptionelle Architektur von Azure Landing Zones empfiehlt eine von zwei Netzwerktopologien: eine auf Azure Virtual WAN-basierte Netzwerktopologie oder eine Netzwerktopologie basierend auf einer herkömmlichen Hub-and-Spoke-Architektur. Da sich die Geschäftsanforderungen im Laufe der Zeit ändern (z. B. die Migration lokaler Anwendungen zu Azure, die hybride Konnektivität erfordert), können Sie mit AVNM Netzwerkänderungen erweitern und implementieren, in vielen Fällen, ohne das durcheinanderzubringen, was bereits in Azure bereitgestellt wurde.

Mithilfe von Azure Virtual Network Manager können Sie drei Arten von Topologien über Abonnements hinweg erstellen, sowohl für bestehende als auch für neue virtuelle Netzwerke:

  • Hub-Spoke-Topologie
  • Hub-Spoke-Topologie mit direkter Konnektivität
  • Mesh-Topologie (Preview)

Diagram that shows Azure Virtual Network topologies.

Hinweis

Azure Virtual Network Manager unterstützt keine Azure Virtual WAN-Hubs als Teil einer Netzwerkgruppe oder als Hub in einer Topologie. Weitere Informationen finden Sie unter Azure Virtual Network Manager FAQ.

Wenn Sie eine Hub-and-Spoke-Topologie mit direkter Konnektivität in Azure Virtual Network Manager erstellen, in der die Spokes direkt miteinander verbunden sind, wird die direkte Verbindung zwischen virtuellen Spoke-Netzwerken in derselben Netzwerkgruppe automatisch über das Feature Verbundene Gruppe aktiviert.

Mit Azure Virtual Network Manager können Sie virtuelle Netzwerke statisch oder dynamisch hinzufügen, um Mitglieder einer bestimmten Netzwerkgruppe zu werden, die die gewünschte Topologie basierend auf Ihrer Konnektivitätskonfiguration in Azure Virtual Network Manager definiert und erstellt.

Sie können mehrere Netzwerkgruppen erstellen, um Gruppen verschiedener virtueller Netzwerke von direkter Konnektivität zu isolieren. Jede Netzwerkgruppe bietet dieselbe Region und die Unterstützung mehrerer Regionen für Spoke-to-Spoke-Konnektivität. Achten Sie darauf, dass Sie die Höchstgrenzen für Azure Virtual Network Manager, die in den Häufig gestellten Fragen zu Azure Virtual Network Manager beschrieben sind, nicht überschreiten

Aus Sicherheitsgründen bietet Azure Virtual Network Manager eine effiziente Möglichkeit, Sicherheitsadministratorregeln anzuwenden, um Datenverkehrsflüsse außerhalb der in NSGs definierten zentral zu verweigern/zuzulassen. Auf diese Weise können Netzwerksicherheitsadministratoren Zugriffskontrollen erzwingen und Anwendungsbesitzern die Verwaltung ihrer eigenen Regeln auf niedrigerer Ebene innerhalb von NSGs ermöglichen.

AVNM ermöglicht die Gruppierung virtueller Netzwerke, Konfigurationen auf diese Gruppen anzuwenden, anstatt auf ein einzelnes virtuelles Netzwerk. Dies ermöglicht eine effizientere Verwaltung von Konnektivität, Konfiguration und Topologie, Sicherheitsregeln und Bereitstellung in einer oder mehreren Regionen gleichzeitig, während eine differenzierte Kontrolle beibehalten wird.

Netzwerke können Ihren Anforderungen entsprechend nach Umgebung, Teams, Standort, Branchen oder einer anderen Funktion segmentiert werden. Netzwerkgruppen können statisch oder dynamisch definiert werden, indem sie eine Reihe von Bedingungen definieren, die die Gruppenmitgliedschaft steuern.

MIT AVNM können Sie die Designprinzipien von Azure Landing Zone implementieren, um alle Anwendungsmigrations-, Modernisierungs- und Innovationsprinzipien im großen Umfang zu berücksichtigen.

Überlegungen zum Entwurf:

  • Im Vergleich zur herkömmlichen Hub-and-Spoke-Bereitstellung (bei der virtuelle Netzwerk-Peering-Verbindungen manuell erstellt und verwaltet werden), führt Virtual Network Manager eine Automatisierungsebene für das Peering virtueller Netzwerke ein, wodurch große und komplexe Netzwerktopologien wie Gitter einfacher im großen Stil zu verwalten sind. Weitere Informationen finden Sie unter AVNM-Netzwerkgruppenübersicht.
  • Die Sicherheitsanforderungen verschiedener Geschäftsfunktionen bestimmen die Notwendigkeit zum Erstellen von Netzwerkgruppen. Eine Netzwerkgruppe ist eine Gruppe virtueller Netzwerke, die manuell oder mithilfe von bedingten Anweisungen, wie zuvor beschrieben ausgewählt werden. Wenn eine Netzwerkgruppe erstellt wird, muss der Benutzer eine Richtlinie angeben, oder AVNM kann eine Richtlinie erstellen, wenn der Benutzer sie explizit zulässt. Auf diese Weise kann Azure Network Manager über Änderungen benachrichtigt werden, Aktualisierungen vorhandener Azure-Richtlinieninitiativen erfordern die Bereitstellung von Änderungen an der Netzwerkgruppe innerhalb der Azure Virtual Network Manager-Ressource.
  • Wägen Sie ab, welche Teile Ihres Netzwerks gemeinsame Sicherheitsmerkmale aufweisen, um die entsprechende Netzwerkgruppe zu entwerfen. Sie können z. B. Netzwerkgruppen für Unternehmen und Onlinepräsenzen erstellen, um ihre Konnektivitäts- und Sicherheitsregeln im großen Stil zu verwalten.
  • Wenn mehrere virtuelle Netzwerke in den Abonnements Ihrer Organisation dieselben Sicherheitsattribute aufweisen, ermöglicht Virtual Network Manager Ihnen diese effizient anzuwenden. Beispielsweise gehören alle Systeme, die von einer Geschäftseinheit wie HR oder Finance verwendet werden, zu einer separaten Netzwerkgruppe, da sie unterschiedliche Administratorregeln anwenden müssen.
  • Virtual Network Manager kann Sicherheitsadministratorregeln zentral anwenden, die eine höhere Priorität haben als NSG-Regeln, die auf Subnetzebene angewendet werden (noch in der Vorschau). Dies ermöglicht es den Netzwerk- und Sicherheitsteams, Unternehmensrichtlinien effektiv durchzusetzen und Sicherheitsschutzschienen zu erstellen, während Produktteams gleichzeitig die Kontrolle über NSGs innerhalb ihrer Zielzonenabonnements behalten können.
  • Die Sicherheitsadministratorregeln (Vorschau) Features von Virtual Network Manager bieten die Möglichkeit, bestimmte Netzwerkflüsse unabhängig von NSG-Konfigurationen auf Subnetz- oder Netzwerkschnittstellenebene explizit zuzulassen oder zu verweigern. Dies ist z. B. hilfreich, um Verwaltungsdienstnetzwerkflüsse immer zuzulassen; NSGs, die von Anwendungsteams gesteuert werden, können dies nicht außer Kraft setzen.
  • Ein virtuelles Netzwerk kann nur zu höchstens zwei verbundenen Gruppen gehören

Entwurfsempfehlungen:

  • Definieren Sie den Bereich von AVNM-, wenden Sie Sicherheitsadministratorregeln an, die Regeln auf Organisationsebene in der Stammverwaltungsgruppe (Mandant) erzwingen, die hierarchisch automatisch auf vorhandene und neue Ressourcen und auf alle zugeordneten Verwaltungsgruppen angewendet werden.
  • Erstellen Sie eine AVNM-Instanz im Konnektivitätsabonnement mit dem Bereich der Zwischenstammverwaltungsgruppe (z. B. "contoso"), wobei das Feature "Sicherheitsadministrator" aktiviert ist.
    • Auf diese Weise kann eine Organisation Sicherheitsadministratorregeln definieren, die in allen VNets und Subnetzen innerhalb ihrer ALZ-Hierarchie angewendet werden und sie bei der Demokratisierung von NSGs für Anwendungszielzonenbesitzer und -teams unterstützen
  • Netzwerke können durch Gruppieren von VNets entweder statisch (manuell) oder dynamisch (richtlinienbasiert) segmentiert werden
  • Ermöglichen Sie die direkte Konnektivität zwischen Speichen, wenn ausgewählte Speichen häufig kommunizieren müssen, mit Anforderungen mit geringer Latenz und hohem Durchsatz, zusätzlich zum Zugriff auf gemeinsame Dienste oder NVAs im Hub.
  • Aktivieren Sie Global Mesh wenn alle virtuellen Netzwerke in allen Regionen miteinander kommunizieren müssen.
  • Weisen Sie jeder Sicherheitsadministratorregel in Regelsammlungen eine Priorität zu. Eine niedrigere Priorität hat Vorrang vor höheren Werten.
  • Verwenden Sie Sicherheitsadministratorregeln, um Netzwerkflüsse außerhalb der von Anwendungsteams gesteuerten NSG-Konfigurationen explizit zuzulassen oder zu verweigern.
    • Auf diese Weise können Sie die Kontrolle von NSGs und deren Regeln vollständig an Anwendungsteams delegieren.