Herkömmliche Azure-Netzwerktopologie
Wichtig
Probieren Sie die neue Topologieerfahrung (Vorschau) aus, die eine Visualisierung von Azure-Ressourcen bietet, um die Bestandsverwaltung und das Überwachen des Netzwerks im großen Stil zu vereinfachen. Verwenden Sie die Topologieerfahrung (Vorschau), um Ressourcen und ihre Abhängigkeiten über Abonnements, Regionen und Standorte hinweg zu visualisieren. Wählen Sie diesen Link aus, um zu der Erfahrung zu navigieren.
Erkunden Sie wesentliche Überlegungen zum Entwurf sowie Empfehlungen zu Netzwerktopologien in Microsoft Azure.
Abbildung 1: Eine herkömmliche Azure-Netzwerktopologie
Überlegungen zum Entwurf:
Verschiedene Netzwerktopologien können mehrere virtuelle Netzwerke für die Zielzone verbinden. Beispiele für Netzwerktopologien sind ein großes, flaches virtuelles Netzwerk, mehrere virtuelle Netzwerke, die an mehreren Azure ExpressRoute-Leitungen oder -Verbindungen angeschlossen sind, Hub-and-Spoke, vollständiges Mesh und Hybrid.
Virtuelle Netzwerke können Abonnementgrenzen nicht überschreiten. Allerdings können Sie Verbindungen zwischen virtuellen Netzwerken über unterschiedliche Abonnements hinweg herstellen, indem Sie das Peering virtueller Netzwerke, eine ExpressRoute-Leitung oder VPN-Gateways verwenden.
Peering virtueller Netzwerke ist die bevorzugte Methode, um virtuelle Netzwerke in Azure miteinander zu verbinden. Mit dem Peering virtueller Netzwerke können Sie virtuelle Netzwerke in derselben Region, über verschiedene Azure-Regionen hinweg und über verschiedene Microsoft Entra-Mandanten verbinden.
Das Peering virtueller Netzwerke und das globale Peering virtueller Netzwerke sind nicht transitiv. Um ein Transitnetzwerk zu ermöglichen, benötigen Sie benutzerdefinierte Routen (UDRs) und virtuelle Netzwerkgeräte (NVAs). Weitere Informationen finden Sie unter Hub-Spoke-Netzwerktopologie in Azure.
Sie können einen Azure DDoS Protection-Plan gemeinsam in allen virtuellen Netzwerken in einem einzelnen Microsoft Entra-Mandanten nutzen, um Ressourcen mit öffentlichen IP-Adressen zu schützen. Weitere Informationen finden Sie unter Azure DDoS Protection.
Azure DDoS Protection-Pläne decken nur Ressourcen mit öffentlichen IP-Adressen ab.
In den Kosten eines Azure DDoS Protection-Plans sind 100 öffentliche IP-Adressen für alle geschützten virtuellen Netzwerke enthalten, die dem DDoS Protection-Plan zugeordnet sind. Schutz für weitere Ressourcen ist zu gesonderten Kosten verfügbar. Weitere Informationen zu den Preisen des Azure DDoS Protection-Plans finden Sie auf der Azure DDoS Protection-Seite mit Preisen oder in den Häufig gestellten Fragen.
Prüfen Sie die unterstützten Ressourcen von Azure DDoS Protection-Plänen.
Über ExpressRoute-Leitungen können Verbindungen zwischen virtuellen Netzwerken innerhalb derselben geopolitischen Region hergestellt werden; auch das Premium-Add-On kann für die Konnektivität zwischen geopolitischen Regionen verwendet werden. Beachten Sie Folgendes:
Bei Datenverkehr zwischen Netzwerken kann es zu einer höheren Latenz kommen, da der Datenverkehr die MSEE-Router (Microsoft Enterprise Edge) durchlaufen muss.
Die ExpressRoute-Gateway-SKU schränkt die Bandbreite ein.
Stellen Sie UDRs bereit und verwalten Sie diese, wenn UDRs für den Datenverkehr zwischen virtuellen Netzwerken überprüft oder protokolliert werden müssen.
VPN-Gateways mit Border Gateway Protocol (BGP) sind innerhalb von Azure- und lokalen Netzwerken transitiv, bieten aber keinen transitiven Zugriff auf Netzwerke, die standardmäßig mittels ExpressRoute verbunden sind. Wenn Sie transitiven Zugriff auf Netzwerke benötigen, die über ExpressRoute verbunden sind, sollten Sie Azure Route Server in Betracht ziehen.
Wenn Sie mehrere ExpressRoute-Leitungen mit demselben virtuellen Netzwerk verbinden, muss mit Verbindungsgewichtungen und BGP-Techniken ein optimaler Pfad für den Datenverkehr zwischen lokalen Netzwerken und Azure sichergestellt werden. Weitere Informationen finden Sie unter Optimieren von ExpressRoute-Routing.
Die Verwendung von BGP-Metriken zum Beeinflussen des ExpressRoute-Routings ist eine Konfigurationsänderung, die außerhalb der Azure-Plattform vorgenommen wird. Ihre Organisation oder Ihr Konnektivitätsanbieter müssen die lokalen Router entsprechend konfigurieren.
ExpressRoute-Verbindungen mit Premium-Add-Ons bieten globale Konnektivität.
ExpressRoute unterliegt bestimmten Grenzwerten. Es gibt eine maximale Anzahl von ExpressRoute-Verbindungen pro ExpressRoute-Gateway. Das private ExpressRoute-Peering kann die maximale Anzahl von Routen von Azure zu lokalen Standorten identifizieren. Weitere Informationen zu diesen Grenzwerten finden Sie unter ExpressRoute-Grenzwerte.
Der maximale aggregierte Durchsatz eines VPN-Gateways beträgt 10 Gigabits pro Sekunde. Ein VPN Gateway unterstütz bis zu 100 Tunnel zwischen Standorten (Site-to-Site) oder Netzwerken.
Wenn ein NVA Teil der Architektur ist, kann der Azure Route Server in Betracht gezogen werden, um das dynamische Routing zwischen Ihrem virtuellen Netzwerkgerät (Network Virtual Appliance, NVA) und Ihrem virtuellen Netzwerk zu vereinfachen. Mit Azure Route Server können Sie Routinginformationen direkt über das Border Gateway Protocol-Routingprotokoll (BGP-Routingprotokoll) zwischen jedem NVA, das das BGP-Routingprotokoll unterstützt, und dem softwaredefinierten Azure-Netzwerk (Software Defined Network, SDN) in Azure Virtual Network (VNet) austauschen, ohne Routingtabellen manuell konfigurieren oder verwalten zu müssen.
Entwurfsempfehlungen:
Ziehen Sie einen Netzwerkentwurf, der auf der herkömmlichen Hub-and-Spoke-Netzwerktopologie basiert, für die folgenden Szenarios in Betracht:
Eine Netzwerkarchitektur, die innerhalb einer einzelnen Azure-Region bereitgestellt wird.
Eine Netzwerkarchitektur, die mehrere Azure-Regionen umfasst, wobei keine Transitkonnektivität zwischen virtuellen Netzwerken für Zielzonen in verschiedenen Regionen benötigt wird.
Eine Netzwerkarchitektur, die sich über mehrere Azure-Regionen erstreckt, und globales virtuelles Netzwerk-Peering, das virtuelle Netzwerke über Azure-Regionen hinweg verbinden kann.
Transitkonnektivität zwischen VPN- und ExpressRoute-Verbindungen ist nicht erforderlich.
Die wichtigste hybride Konnektivitätsmethode ist ExpressRoute, und die Anzahl der VPN-Verbindungen beträgt weniger als 100 pro VPN Gateway.
Es besteht eine Abhängigkeit von zentralisierten NVAs und einem differenzierten Routing.
Verwenden Sie für regionale Bereitstellungen hauptsächlich die Hub-and-Spoke-Topologie. Verwenden Sie für die folgenden Szenarien virtuelle Zielzonennetzwerke, die eine Verbindung mit dem Peering virtueller Netzwerke mit einem zentralen virtuellen Hubnetzwerk herstellen:
Standortübergreifende Konnektivität mithilfe von ExpressRoute.
VPN für Branchkonnektivität.
Spoke-to-Spoke-Konnektivität über NVAs und UDRs.
Ausgehenden Internetschutz über Azure Firewall oder eine andere Drittanbieter-NVA.
Das folgende Diagramm zeigt die Hub-and-Spoke-Topologie. Diese Konfiguration ermöglicht der entsprechenden Datenverkehrskontrolle, die meisten Anforderungen an Segmentierung und Überprüfung zu erfüllen.
Abbildung 2: Hub-and-Spoke-Netzwerktopologie
Verwenden Sie die Topologie mehrerer virtueller Netzwerke, die an mehrere ExpressRoute-Leitungen angeschlossen sind, wenn eine der folgenden Bedingungen zutrifft:
Sie benötigen eine hohe Isolationsebene.
Sie benötigen eine dedizierte ExpressRoute-Bandbreite für bestimmte Geschäftseinheiten.
Die maximale Anzahl von Verbindungen pro ExpressRoute-Gateway wurde erreicht (die maximale Anzahl finden Sie im Artikel ExpressRoute-Limits).
Die folgende Abbildung zeigt diese Topologie.
Abbildung 3: Mehrere virtuelle Netzwerke sind mit mehreren ExpressRoute-Leitungen verbunden
Stellen Sie im virtuellen Netzwerk für den zentralen Hub eine minimale Gruppe von gemeinsamen Diensten bereit, einschließlich ExpressRoute-Gateways, VPN-Gateways (sofern erforderlich) und Azure Firewall oder Partner-NVAs (falls erforderlich). Bei Bedarf stellen Sie auch Active Directory-Domänencontroller und DNS-Server bereit.
Stellen Sie Azure Firewall oder Partner-NVAs zum Schützen und Filtern des Ost-West- und/oder Süd-Nord-Datenverkehrs im virtuellen Netzwerk für den zentralen Hub bereit.
Wenn Sie Partnernetzwerktechnologien oder NVAs bereitstellen, befolgen Sie die Anweisungen des Partneranbieters, um Folgendes sicherzustellen:
Der Anbieter unterstützt die Bereitstellung.
Der Leitfaden umfasst Hochverfügbarkeit und maximale Leistung.
Es gibt keine in Konflikt stehenden Konfigurationen mit Azure-Netzwerken vorhanden.
Stellen Sie keine Layer 7-Eingangs-NVAs (wie Azure Application Gateway) als gemeinsamer Dienst im virtuellen Netzwerk für den zentralen Hub bereit. Stattdessen stellen Sie diese in der jeweiligen Zielzone zusammen mit der Anwendung bereit.
Stellen Sie einen einzelnen Azure DDoS-Standardschutzplans im Konnektivitätsabonnement bereit.
- Alle virtuellen Netzwerke der Zielzone und der Plattform sollten diesen Plan verwenden.
Verwenden Sie Ihr vorhandenes Netzwerk, Multiprotocol Label Switching und SD-WAN, um Zweigstellen mit dem Hauptsitz des Unternehmens zu verbinden. Wenn Sie Azure Route Server nicht verwenden, wird die Übertragung in Azure zwischen ExpressRoute und VPN Gateways nicht unterstützt.
Wenn Transitivität zwischen ExpressRoute und VPN-Gateways in einem Hub-and-Spoke-Szenario erforderlich ist, verwenden Sie Azure Route Server, wie in diesem Referenzszenario beschrieben.
Wenn Sie über Hub-and-Spoke-Netzwerke in mehreren Azure-Regionen verfügen und einige Zielzonen regionsübergreifend eine Verbindung herstellen müssen, verwenden Sie das globale Peering virtueller Netzwerke. Damit können Sie die virtuellen Netzwerke der Zielzone, die datenverkehrsübergreifend weiterleiten müssen, direkt verbinden. Abhängig von der SKU des kommunizierenden virtuellen Computers kann das globale Peering virtueller Netzwerke einen hohen Netzwerkdurchsatz bieten. Der Datenverkehr zwischen virtuellen Zielzonennetzwerken mit direktem Peering umgeht NVAs in den virtuellen Hubnetzwerken. Es gelten Einschränkungen für globales Peering virtueller Netzwerke für den Datenverkehr.
Wenn Sie über Hub-and-Spoke-Netzwerke in mehreren Azure-Regionen verfügen und die meisten Zielzonen regionsübergreifend eine Verbindung herstellen müssen (oder wenn das direkte Peering zur Umgehung von Hub-NVAs nicht mit Ihren Sicherheitsanforderungen kompatibel ist), verwenden Sie Hub-NVAs, um die virtuellen Hubnetzwerke in jeder Region miteinander zu verbinden und den Datenverkehr regionsübergreifend weiterzuleiten. Das globale Peering virtueller Netzwerke oder ExpressRoute-Verbindungen können dabei helfen, virtuelle Hubnetzwerke auf die folgenden Arten zu verbinden:
Das globale Peering virtueller Netzwerke bietet eine Verbindung mit einer geringen Latenz und einem hohen Durchsatz, es generiert aber die Datenverkehrsgebühren.
Das Routing über ExpressRoute kann zu einer höheren Latenz (aufgrund der haarnadelförmigen MSEE) führen, und die ausgewählte ExpressRoute-Gateway-SKU schränkt den Durchsatz ein.
Die folgende Abbildung zeigt beide Optionen:
Abbildung 4: Die Optionen für die Hub-zu-Hub-Konnektivität.
Wenn zwei Azure-Regionen miteinander verbunden werden müssen, verwenden Sie das Peering für globale virtuelle Netzwerke, um beide virtuellen Hub-Netzwerke miteinander zu verbinden.
Wenn mehr als zwei Azure-Regionen eine Verbindung herstellen müssen, empfehlen wir, dass virtuelle Hubnetzwerke in jeder Region eine Verbindung mit denselben ExpressRoute-Leitungen herstellen. Das globale Peering virtueller Netzwerke erfordert die Verwaltung einer großen Anzahl von Peering-Beziehungen und eines komplexen Satzes benutzerdefinierter Routen (USER Defined Routes, UDRs) über mehrere virtuelle Netzwerke hinweg. Das folgende Diagramm zeigt, wie Sie Hub-and-Spoke-Netzwerke in drei Regionen verbinden:
Abbildung 5: ExpressRoute für die Bereitstellung von Hub-zu-Hub-Konnektivität zwischen mehreren Regionen.
Wenn Sie ExpressRoute-Verbindungen für eine regionsübergreifende Konnektivität verwenden, kommunizieren Spokes in verschiedenen Regionen direkt und umgehen die Firewall, weil sie über die BGP-Routen zu den Spokes des Remotehubs lernen. Wenn bei Ihnen der Spokes-übergreifende Datenverkehr von den Firewall-NVAs in den virtuellen Hubnetzwerken überprüft werden muss, müssen Sie eine der folgenden Optionen implementieren:
Erstellen Sie spezifischere Routeneinträge in den Spoke-UDRs für die Firewall im lokalen virtuellen Hubnetzwerk, um Datenverkehr über Hubs umzuleiten.
Deaktivieren Sie die BGP-Weitergabe auf den Spokes-Routingtabellen, wodurch die Routenkonfiguration vereinfacht wird.
Wenn Ihr Unternehmen Hub-and-Spoke-Netzwerkarchitekturen in mehr als zwei Azure-Regionen sowie globale Transitkonnektivität zwischen virtuellen Zielzonennetzwerken zwischen Azure-Regionen erfordert, und Sie den Netzwerkverwaltungsaufwand minimieren möchten, empfehlen wir eine verwaltete globale Transitnetzwerkarchitektur, die auf einem virtuellen WAN basiert.
Stellen Sie die Hubnetzwerkressourcen jeder Region in separaten Ressourcengruppen bereit und sortieren Sie sie in jeder bereitgestellten Region.
Verwenden Sie Azure Virtual Network Manager, um die Konfiguration von Konnektivität und Sicherheit von virtuellen Netzwerken global und abonnementübergreifend zu verwalten.
Verwenden Sie Azure Monitor für Netzwerke, um den End-to-End-Zustand Ihrer Netzwerke in Azure zu überwachen.
Bei der Verbindung virtueller Spoke-Netzwerke mit dem zentralen virtuellen Hubnetzwerk müssen Sie die folgenden zwei Grenzwerte beachten:
- Die maximale Anzahl der Verbindungen für das Peering virtueller Netzwerke pro virtuellem Netzwerk.
- Die maximale Anzahl von Präfixen, die von Azure zu lokalen Standorten über ExpressRoute mit privatem Peering angekündigt werden.
Stellen Sie sicher, dass die Anzahl der mit dem virtuellen Hubnetzwerk verbundenen virtuellen Spoke-Netzwerke keins dieser Limits überschreitet.