Lokale Netzwerkintegration in Azure

Abgeschlossen

Ihr Unternehmen möchte den Großteil seiner lokalen Ressourcen zu Azure migrieren. Ein kleines Rechenzentrum soll jedoch lokal bleiben, um in das Azure-Netzwerk integriert werden zu können. Für das Architekturmodell muss dabei die Azure-Netzwerkkonnektivität berücksichtigt werden, da es einige Zweigbüros gibt. Sie sollten dafür eine hybride Netzwerkarchitektur verwenden, sodass Zugriff sowohl auf Ihre lokalen als auch auf Ihre cloudbasierten Ressourcen besteht.

Für die Migration erstellen Sie einen Netzwerkintegrationsplan für Azure, in dem eine Auswahl der besten Optionen für hybride Netzwerke enthalten ist, die in Azure verfügbar sind. Die Optionen müssen die Anforderungen der Organisation an hybride Konnektivität erfüllen.

In dieser Lerneinheit lernen Sie lokale Konnektivität auf der Azure-Plattform kennen. Außerdem erhalten Sie einen Überblick über Azure Virtual Network und erfahren, wie Datenverkehr in einem lokalen Netzwerk mithilfe von Azure VPN Gateway geschützt werden kann.

Microsoft Azure Virtual Network

Der Azure Virtual Network-Dienst bietet spezielle Tools und Ressourcen für das Erstellen einer cloudbasierten Netzwerkarchitektur für Ihre Organisation. Virtuelle Azure-Netzwerke sind ein sicherer virtueller Kommunikationskanal für alle zulässigen Azure-Ressourcen in Ihrem Abonnement.

Wenn Sie ein virtuelles Azure-Netzwerk verwenden, stehen Ihnen die folgenden Möglichkeiten zur Verfügung:

• Herstellen von Verbindungen zwischen virtuellen Computern und dem Internet
• Sicherstellen sicherer Kommunikation zwischen Azure-Ressourcen, die in verschiedenen Rechenzentren und Regionen gehostet werden.
• Isolieren und Verwalten von Azure-Ressourcen
• Herstellen von Verbindungen zu lokalen Computern
• Verwalten von Netzwerkdatenverkehr

Standardmäßig steht für alle Azure-Ressourcen innerhalb eines virtuellen Netzwerks Konnektivität für ausgehenden Datenverkehr in das Internet zur Verfügung. Eingehende Kommunikation von außerhalb Ihres Netzwerks muss über einen öffentlichen Endpunkt weitergeleitet werden. Alle internen Ressourcen verwenden einen privaten Endpunkt, um auf das virtuelle Netzwerk zuzugreifen.

Ein virtuelles Netzwerk besteht aus vielen Elementen. Dazu gehören u. a. Netzwerkschnittstellen, Lastenausgleichsmodule, Subnetze, Netzwerksicherheitsgruppen und öffentliche IP-Adressen. Diese Elemente arbeiten zusammen und sorgen für sichere und zuverlässige Netzwerkkommunikation zwischen Ihren Azure-Ressourcen, dem Internet und lokalen Netzwerken.

Weiterleiten von Datenverkehr in einem virtuellen Azure-Netzwerk

Ausgehender Datenverkehr aus einem Subnetz wird auf Grundlage der IP-Zieladresse weitergeleitet. In einer Routingtabelle ist festgelegt, wie der Datenverkehr weitergeleitet wird, und was danach geschieht. Eine IP-Zieladresse kann in mehreren Präfixdefinitionen von Routingtabellen vorhanden sein (z. B. 10.0.0.0/16 und 10.0.0.0/24). Der Router verwendet einen komplexen Algorithmus, um die längste Übereinstimmung mit einem Präfix zu finden. Datenverkehr, der an eine 10.0.0.6-Adresse gerichtet ist, würde in das 10.0.0.0/24-Präfix aufgelöst und wird entsprechend weitergeleitet.

Es gibt Systemroutingtabellen und benutzerdefinierte Routingtabellen.

Systemroutingtabellen

In Azure werden automatisch Standardroutingtabellen für das virtuelle Netzwerk und für jede Subnetzmaske innerhalb des virtuellen Netzwerks erstellt. Diese Systemrouten sind fest und können nicht bearbeitet oder gelöscht werden. Allerdings können die Standardeinstellungen mit einer benutzerdefinierten Routingtabelle überschrieben werden.

Eine typische Standardroutingtabelle könnte z. B. so aussehen:

Quelle	Adresspräfixe	Typ des nächsten Hops
Standard	Für das virtuelle Netzwerk eindeutig	Virtuelles Netzwerk
Standard	0.0.0.0/0	Internet
Standard	10.0.0.0/8	Keine
Standard	172.16.0.0/12	Keiner
Standard	192.168.0.0/16	Keine
Standard	100.64.0.0/10	Keine

Eine Routingtabelle besteht aus einer Quelle, einem Adresspräfix und einem Typ des nächsten Hops. Sämtlicher Datenverkehr, der das Subnetz verlässt, verwendet die Routingtabelle, um zu ermitteln, wohin er als Nächstes weitergeleitet wird. Dazu sucht der Datenverkehr auf seinem Weg nach dem nächsten Hop.

Der nächste Hop definiert basierend auf dem Präfix, was als Nächstes mit dem Verkehrsfluss geschieht. Es gibt drei Typen des nächsten Hops:

• Virtuelles Netzwerk: Der Datenverkehr wird entsprechend der IP-Adresse im virtuellen Netzwerk weitergeleitet.
• Internet: Der Datenverkehr wird ins Internet geleitet.
• Keiner: Der Datenverkehr wird verworfen.

Benutzerdefinierte Routingtabellen

Neben durch das System definierten Routingtabellen können Sie auch benutzerdefinierte Routingtabellen erstellen. Die benutzerdefinierten Routingtabellen überschreiben die Standardsystemtabelle. Die Anzahl der verfügbaren Routingelemente in einer benutzerdefinierten Tabelle ist beschränkt.

In der folgenden Tabelle werden einige der vielen Einschränkungen aufgeführt, die für virtuelle Netzwerke gelten:

Ressource	Standard oder maximale Anzahl
Virtuelle Netzwerke	1\.000
Subnetze pro virtuellem Netzwerk	3,000
VNET-Peerings pro virtuellem Netzwerk	500
Private IP-Adressen pro virtuellem Netzwerk	65.536

Genau wie die Systemroutingtabelle verfügen benutzerdefinierte Routingtabellen auch über einen Typ des nächsten Hop. Die benutzerdefinierten Routingtabellen bieten jedoch einige weitere Optionen:

• Virtuelles Gerät: Bei dieser Option handelt es sich in der Regel um einen virtuellen Computer, der eine bestimmte Netzwerkanwendung wie eine Firewall ausführt.
• Gateway des virtuellen Netzwerks: Verwenden Sie diese Option, wenn Sie Datenverkehr an ein Gateway des virtuellen Netzwerks senden wollen. Der Gatewaytyp für ein virtuelles Netzwerk muss VPN sein. Der Typ darf nicht Azure ExpressRoute sein. Dieser erfordert das Festlegen eines BGP-Routingprozesses (Border Gateway Protocol).
• Keiner: Diese Option verwirft den Datenverkehr, anstatt ihn weiterzuleiten.
• Virtuelles Netzwerk: Mit dieser Option können Sie ein Standardsystemrouting überschreiben.
• Internet: Mit dieser Option können Sie festlegen, dass jeder beliebige Präfix Datenverkehr an das Internet weiterleitet.

Verbinden von virtuellen Azure-Netzwerken

Sie können virtuelle Netzwerke auf verschiedene Art und Weise verbinden. Die Verbindung können Sie mithilfe von Azure-VPN-Gateway, ExpressRoute oder direkt über die Peeringmethode herstellen.

Azure-VPN-Gateway

Bei der Integration Ihres lokalen Netzwerks in Azure benötigen Sie eine Brücke. VPN Gateway ist ein Azure-Dienst, der diese Funktion bereitstellt. Ein VPN-Gateway sendet verschlüsselten Datenverkehr zwischen den beiden Netzwerken. VPN-Gateways unterstützen mehrere Verbindungen, über die VPN-Tunnel mit einer verfügbaren Bandbreite weitergeleitet werden können. Einem virtuellen Netzwerk kann nur ein Gateway zugewiesen werden. VPN-Gateways können auch für Verbindungen zwischen virtuellen Netzwerken in Azure verwendet werden.

Wenn Sie ein VPN-Gateway implementieren, müssen Sie mindestens zwei VMs im Subnetz bereitstellen, die Sie beim Einrichten des virtuellen Netzwerks erstellen. In diesem Fall wird das Subnetz auch als Gatewaysubnetz bezeichnet. Den einzelnen VMs wird eine Standardkonfiguration für Routing- und Gatewaydienste zugewiesen, die für das bereitgestellte Gateway explizit ist. Sie können diese VMs nicht direkt konfigurieren.

Beim Erstellen eines Gateway sind mehrere Topologien verfügbar. Diese Topologien, auch Gatewaytypen genannt, bestimmen, welche Elemente konfiguriert werden sowie den erwarteten Verbindungstyp.

Site-to-Site

Sie verwenden eine Site-to-Site-Verbindung für standortübergreifende und hybride Netzwerkkonfigurationen. Diese Verbindungstopologie fordert, dass ein lokales VPN-Gerät über eine öffentlich zugängliche IP-Adresse verfügt und sich nicht hinter einer Netzwerkadressenübersetzung (NAT) verbirgt. Für die Verbindung wird eine geheime ASCII-Zeichenfolge mit bis zu 128 Zeichen verwendet, um zwischen dem Gateway und dem VPN-Gerät zu authentifizieren.

Mehrere Standorte

Eine Verbindung für mehrere Standorte unterscheidet sich nur geringfügig von der Site-to-Site-Verbindung. Eine Verbindung für mehrere Standorte unterstützt mehrere VPN-Verbindungen mit Ihren lokalen VPN-Geräten. Für diese Verbindungstopologie ist ein RouteBased-VPN erforderlich, das als dynamisches Gateway bezeichnet wird. Beachten Sie, dass bei einer Konfiguration für mehrere Standorte alle Verbindungen die gesamte verfügbare Bandbreite durchlaufen und diese gemeinsam nutzen.

Point-to-Site

Eine Point-to-Site-Verbindung eignet sich für ein einzelnes Remoteclientgerät, das sich mit Ihrem Netzwerk verbindet. Das Clientgerät muss entweder über Microsoft Entra ID oder mithilfe der Azure-Zertifikatauthentifizierung authentifiziert werden. Dieses Modell eignet sich für Arbeitsszenarios.

Netzwerk-zu-Netzwerk

Sie verwenden eine Netzwerk-zu-Netzwerk-Verbindung, um Verbindungen zwischen mehreren virtuellen Azure-Netzwerken herzustellen. Diese Verbindungstopologie erfordert im Gegensatz zu den anderen weder eine öffentliche IP-Adresse noch ein VPN-Gerät. Sie können auch eine Netzwerk-zu-Netzwerk-Verbindung in einer Konfiguration mit mehreren Standorten verwenden, um kombinierte standortübergreifende Verbindungen mit Konnektivität zwischen virtuellen Netzwerken herzustellen.

ExpressRoute

ExpressRoute erstellt eine direkte Verbindung zwischen Ihrem lokalen Netzwerk und dem virtuellen Azure-Netzwerk, das keine Verbindung zum Internet nutzt. Sie verwenden ExpressRoute für eine nahtlose Erweiterung Ihres lokalen Netzwerks zum virtuellen Azure-Netzwerkraum. Der ExpressRoute-Dienst wird von vielen Nicht-Microsoft-Konnektivitätsanbietern angeboten. Es gibt drei verschiedene ExpressRoute-Verbindungstypen:

• CloudExchange-Housing
• Point-to-Point-Ethernet-Verbindung
• Any-to-Any-Verbindung (IPVPN)

Peering

Virtuelle Netzwerke können über Abonnements und Azure-Regionen hinweg über ein Peer verfügen. Sobald die virtuellen Netzwerke über ein Peer verfügen, kommunizieren Ressourcen in diesem Netzwerk miteinander, so als würden sie sich im gleichen Netzwerk befinden. Der Datenverkehr wird zwischen Ressourcen nur unter Verwendung privater IP-Adressen weitergeleitet. Ein virtuelles Netzwerk mit einem Peer leitet den Datenverkehr im Azure-Netzwerk weiter und hält die Verbindung als Teil des Azure-Backbonenetzwerks privat. Das Backbonenetzwerk biete eine geringe Latenz und eine Netzwerkverbindung mit hoher Bandbreite.

Referenzarchitektur für Site-to-Site-VPN-Gateway

Beim Entwerfen eines Hybridnetzwerks stehen viele Referenzarchitekturen zur Verfügung. Eine beliebte Architektur ist die Site-to-Site-Verbindung. Die vereinfachte Referenzarchitektur in der folgenden Abbildung veranschaulicht, wie Sie ein lokales Netzwerk mit der Azure-Plattform verbinden. Die Internetverbindung verwendet einen IPsec-VPN-Tunnel.

Die Architektur umfasst mehrere Komponenten:

• Das lokale Netzwerk stellt Ihren lokalen Active Directory-Dienst und sämtliche Daten oder Ressourcen dar.
• Das Gateway ist für das Senden von verschlüsseltem Datenverkehr an eine virtuelle IP-Adresse verantwortlich, wenn eine öffentliche Verbindung verwendet wird.
• Das virtuelle Azure-Netzwerk enthält alle Ihre Cloudanwendungen sowie alle Komponenten von Azure-VPN-Gateway.
• Ein Azure-VPN-Gateway stellt die verschlüsselte Verknüpfung zwischen dem virtuellen Azure-Netzwerk und Ihrem lokalen Netzwerk bereit. Ein Azure VPN Gateway besteht aus den folgenden Elementen.
  • Gateway des virtuellen Netzwerks
  • Lokales Netzwerkgateway
  • Verbindung
  • Gatewaysubnetz
• Cloudanwendungen sind die Komponenten, die Sie über Azure zur Verfügung gestellt haben.
• Ein interner Lastenausgleich, der sich im Front-End befindet, leitet den Clouddatenverkehr an die richtige cloudbasierte Anwendung oder Ressource weiter.

Die Verwendung dieser Architektur bietet verschiedene Vorteile, einschließlich:

• Die Konfiguration und Wartung lassen sich einfach durchführen.
• Durch die Verwendung eines VPN-Gateways wird sichergestellt, dass alle Daten und der gesamte Datenverkehr zwischen dem lokalen Gateway und dem Azure-Gateway verschlüsselt werden.
• Die Architektur kann skaliert und erweitert werden, um die Netzwerkanforderungen Ihrer Organisation zu erfüllen.

Diese Architektur ist nicht auf alle Situationen anwendbar, da eine vorhandene Internetverbindung als Verknüpfung zwischen den beiden Gatewaypunkten verwendet wird. Einschränkungen der Bandbreite können aufgrund der erneuten Verwendung der vorhandenen Infrastruktur Latenzprobleme verursachen.

Überprüfen Sie Ihr Wissen

1.

Wo wird eine Point-to-Site-Verbindung hergestellt?

Das VPN-Gateway initialisiert die Verbindung.

Die Verbindung wird vom Hostcomputer hergestellt.

Sie stellen die VPN-Verbindung über den Clientcomputer her.

In einem virtuellen Azure-Netzwerk.

2.

Wie wird ein Site-to-Site-VPN authentifiziert?

Es ist keine Authentifizierung erforderlich.

Mithilfe eines Administratorkontos.

Über einen Dienstprinzipal, in Microsoft Entra ID.

Mithilfe eines ASCII-Zeichenfolgengeheimnisses.

3.

Welche Verbindungsmethode würden Sie für eine Verbindung zu Azure über ein VPN verwenden?

Ein VPN-Gateway

Eine verschlüsselte Verbindung

Ein virtueller Azure-Computer

Ein VPN-Tunnel

Sie müssen alle Fragen beantworten, bevor Sie Ihre Arbeit überprüfen können.