IPv6 küllős hálózati topológia

Ez a cikk azt ismerteti, hogyan válthat át egy IPv4 küllős hálózati topológiát IPv6-ra. Kiindulópontként a küllős hálózati topológiát mutatja be, és ismerteti az IPv6-támogatás implementálásához szükséges lépéseket.

Küllős hálózatokban a küllős virtuális hálózatok központi csatlakozási pontja a központi virtuális hálózat. A küllős virtuális hálózatok csatlakoznak a központhoz, és elkülönítést biztosítanak az alkalmazáserőforrások számára. További információ: Váltás IPv6-ra.

Architektúra

Töltse le az architektúra Visio-fájlját.

Munkafolyamat

1. Nyilvános internet és helyek közötti hálózat: A felhasználók vagy szolgáltatások nyilvános interneten keresztül érhetik el az Azure-erőforrásokat. A helyszíni hálózat helyszíni virtuális gépekkel rendelkezik, amelyek biztonságosan csatlakoznak az Azure-hálózathoz egy VPN-átjárón keresztül.

2. Azure Virtual Network Manager: Ez az összetevő az Azure teljes hálózati infrastruktúrájának felügyeletét ellátó felügyeleti réteg. Kezeli a virtuális hálózat útválasztását, szabályzatait és általános állapotát.

3. Központi virtuális hálózat: A központ a hálózati topológia központi pontja. A hálózati konfiguráció az IPv4 és az IPv6 (kettős verem) használatát is támogatja.

   • Az Azure Bastion biztonságos és zökkenőmentes Távoli asztali protokoll/Secure Shell (RDP/SSH) kapcsolatot biztosít az Azure Portalról a virtuális gépekre közvetlenül a Transport Layer Security (TLS) használatával.
   • Az Azure Firewall ellenőrzi és szűri a központ és a nyilvános internet közötti forgalmat.
   • Az ExpressRoute csatlakoztatja a telephelyek közötti hálózatot a központhoz.
   • A VPN Gateway emellett csatlakoztatja a telephelyek közötti hálózatot a központhoz, és redundanciát biztosít.
   • A központi virtuális hálózat szolgáltatásai naplókat és metrikákat (diagnosztika) küldenek az Azure Monitornak monitorozásra.

4. Küllős virtuális hálózatok: Négy küllő csatlakozik a központhoz. Minden küllő két veremből álló hálózat, amely támogatja az IPv4-et és az IPv6-ot is.

   • Az IPv6 felhasználó által definiált útvonalak (UDR-ek) egyéni útvonalakat határoznak meg a küllőből érkező IPv6-forgalomhoz.
   • A küllős virtuális hálózatok társviszony-létesítési kapcsolatokon vagy csatlakoztatott csoportokon keresztül csatlakoznak. A társviszony-létesítési kapcsolatok és a csatlakoztatott csoportok nem tranzitív, alacsony késésű kapcsolatok a virtuális hálózatok között. A társviszonyban lévő vagy csatlakoztatott virtuális hálózatok az Azure gerinchálózatán keresztül cserélhetik a forgalmat.
   • A küllős virtuális hálózatokról érkező összes kimenő forgalom a központon keresztül áramlik az Azure Firewall kényszerített bújtatás nevű konfigurációjának használatával.
   • Minden küllőn belül három alhálózat van kijelölve erőforrás-alhálózatként, amelyek mindegyike egy virtuális gépet üzemeltet.
   • Minden virtuális gép csatlakozik egy belső terheléselosztóhoz, amely az IPv4- és IPv6-címtartományok támogatására van konfigurálva. A terheléselosztó elosztja a bejövő hálózati forgalmat a virtuális gépek között.

Összetevők

• Az Azure Virtual Network az Azure-beli magánhálózatok alapvető építőeleme. A virtuális hálózat számos Azure-erőforrás, például az Azure Virtual Machines számára teszi lehetővé az egymással, a helyek közötti hálózatokkal és az internettel való biztonságos kommunikációt.
• A virtuálisgép-kommunikációhoz virtuális hálózati adapter szükséges. A virtuális gépeket és más erőforrásokat úgy állíthatja be, hogy több hálózati adapterrel rendelkezzenek, így kettős verem (IPv4 és IPv6) konfigurációk hozhatók létre.
• A rendszer nyilvános IP-címet használ az Azure-erőforrásokhoz való bejövő IPv4- és IPv6-kapcsolatokhoz.
• A Virtual Network Manager hálózati csoportok és azok kapcsolatainak létrehozására és kezelésére szolgál.
• Az Azure Firewall egy felügyelt, felhőalapú hálózati biztonsági szolgáltatás. Védi az Azure-beli virtuális hálózati erőforrásokat. Az Azure Firewall által felügyelt tűzfalpéldányok saját alhálózatban találhatóak.
• Az Azure VPN Gateway vagy az Azure ExpressRoute segítségével virtuális hálózati átjárót hozhat létre, amellyel virtuális hálózatot csatlakoztathat egy virtuális magánhálózati eszközhöz vagy egy ExpressRoute-kapcsolatcsoporthoz. Az átjáró helyszíni hálózati kapcsolatot biztosít.
• Az Azure Load Balancer használatával több olyan gép is engedélyezhető, amelyek azonos céllal osztják meg a forgalmat. Ebben az architektúrában a terheléselosztók több, az IPv6-ot támogató alhálózat között osztják el a forgalmat.
• Az Azure-beli útvonaltáblák olyan UDR-ek, amelyek egyéni útvonaldefiníciókat biztosítanak a hálózati forgalomhoz.
• Az Azure Virtual Machines egy szolgáltatásként nyújtott infrastruktúra (IaaS) számítástechnikai megoldás, amely támogatja az IPv6-ot.
• Az Azure Bastion egy teljes körűen felügyelt szolgáltatásként nyújtott platform (PaaS), amelyet a Microsoft nyújt és tart fenn. Biztonságos és zökkenőmentes távoli asztali protokollt és SSH-hozzáférést biztosít a virtuális gépekhez nyilvános IP-címexpozíció nélkül.
• A Monitor egy átfogó monitorozási megoldás a felhőből és a helyszíni környezetekből származó monitorozási adatok gyűjtésére, elemzésére és megválaszolására. A Monitorral maximalizálhatja az alkalmazások és szolgáltatások rendelkezésre állását és teljesítményét.

Központi virtuális hálózat átalakítása IPv6-ra

Ha át szeretne váltani egy központi virtuális hálózatot az IPv6 támogatására, frissítenie kell a hálózati infrastruktúrát az IPv6-címtartományok fogadására, így a hálózat központi, vezérlő része képes kezelni az IPv6-forgalmat. Ez a megközelítés biztosítja, hogy a központi központ hatékonyan irányíthatja és kezelheti a forgalmat a különböző hálózati szegmensek (küllők) között az IPv6 használatával. Az IPv6 központi virtuális hálózatban való implementálásához kövesse az alábbi lépéseket:

IPv6-címtér hozzáadása a központi virtuális hálózathoz és a központi alhálózatokhoz

Először IPv6-címtartományokat kell hozzáadnia a központi virtuális hálózathoz, majd annak alhálózataihoz. Használja a virtuális hálózat /56-os címblokkot és az egyes alhálózatok /64-címblokkot. Az alábbi táblázat egy példabeállítást mutat be.

Ezek az IPv6-címek példák. Cserélje le 2001:db8:1234:: a szervezet IPv6-címblokkjára. Gondosan tervezze meg és dokumentálja az IPv6-címfoglalásokat az átfedések elkerülése és a címtér hatékony használata érdekében. Ha hozzá szeretné adni az IPv6-címteret a központi virtuális hálózathoz, használhatja az Azure Portalt, a PowerShellt vagy az Azure CLI-t.

Felhasználó által definiált útvonalak (UDR-ek) konfigurálása az egyes központi alhálózatokhoz

Az UDR-ek olyan útvonalak, amelyeket manuálisan állít be az Azure alapértelmezett rendszerútvonalainak felülbírálásához. Az Azure-ban az UDR-ek nélkülözhetetlenek a virtuális hálózatok hálózati forgalmának szabályozásához. Az UDR-ek használatával az egyik alhálózatról adott berendezésekre, átjárókra vagy célokra irányíthatja a forgalmat az Azure-ban vagy a helyszíni hálózatokon. Amikor IPv6-támogatást ad hozzá a központi virtuális hálózathoz, a következőt kell elvégeznie:

• IPv6-útvonalak hozzáadása. Ha van egy létrehozott útvonaltábla, adjon hozzá új útvonalakat, amelyek megadják az IPv6-címelőtagokat.
• Meglévő útvonalak módosítása. Ha már vannak útvonalak az IPv4-hez, előfordulhat, hogy módosítania kell őket, hogy azok az IPv6-forgalomra is vonatkozzanak, vagy külön IPv6-specifikus útvonalakat hozzon létre.
• Társítsa az útvonaltáblát alhálózatokhoz. Az útvonalak definiálása után társítsa az útvonaltáblát a virtuális hálózaton belüli megfelelő alhálózatokkal. Ez a társítás határozza meg, hogy mely alhálózatok használják a megadott útvonalakat.

Nem kell minden erőforráshoz útvonalat hozzáadnia, de minden alhálózathoz szüksége van egy útvonalra. Minden alhálózat több erőforrással is rendelkezhet, és mindegyik az alhálózathoz társított útvonaltáblában meghatározott szabályokat követi. További információ: Felhasználó által definiált útvonal áttekintése.

A példaarchitektúra esetében a központi virtuális hálózat négy alhálózattal rendelkezik: Az Azure Bastion, az Azure Firewall, a VPN Gateway és az ExpressRoute. Az alábbi táblázat az egyes alhálózatokhoz tartozó UDR-eket mutatja be.

Az UDR-ek beállításakor igazodnia kell a szervezeti hálózati szabályzatokhoz és az Azure-üzemelő példány architektúrájához.

Az ExpressRoute-kapcsolatcsoport módosítása (ha van)

Az ExpressRoute-kapcsolatcsoport IPv6-támogatással való biztosításához a következőkre van szükség:

• Engedélyezze az IPv6 privát társviszony-létesítést. Engedélyezze az IPv6 privát társviszony-létesítést az ExpressRoute-kapcsolatcsoporthoz. Ez a konfiguráció lehetővé teszi a helyszíni hálózat és a központi virtuális hálózat közötti IPv6-forgalmat.
• IPv6-címtér lefoglalása. Adjon meg IPv6-alhálózatokat az elsődleges és másodlagos ExpressRoute-kapcsolatokhoz.
• Útvonaltáblák frissítése. Győződjön meg arról, hogy az IPv6-forgalmat megfelelően irányítja az ExpressRoute-kapcsolatcsoporton keresztül.

Ezek a konfigurációk egy ExpressRoute-kapcsolatcsoporton keresztül bővítik az IPv6-kapcsolatot az Azure-szolgáltatásokhoz, így egyszerre irányíthatja a kétveremes képességeket. Az ExpressRoute módosításához használhatja az Azure Portalt, a PowerShellt vagy az Azure CLI-t.

Küllős virtuális hálózatok áttűnése IPv6-ra

A küllős virtuális hálózatok a központi központhoz csatlakoznak. Ha IPv6-támogatást biztosít a küllős virtuális hálózatoknak, minden küllős hálózat a fejlettebb IPv6 protokollon keresztül tud kommunikálni, és az egységességet a hálózaton is kiterjeszti. A küllős virtuális hálózatok IPv6-támogatással való biztosításához kövesse az alábbi lépéseket:

IPv6-címtér hozzáadása küllős virtuális hálózatokhoz és küllős alhálózatokhoz

A központi virtuális hálózathoz hasonlóan minden küllős virtuális hálózathoz, majd az alhálózatokhoz IPv6-címtartományokat kell hozzáadnia. Használja a /56-os címblokkot a virtuális hálózatokhoz és az alhálózatok /64-címblokkjait. Az alábbi táblázat a küllős virtuális hálózatok és alhálózataik IPv6-címtartományait szemlélteti.

A beállításhoz módosítsa az IPv6-címeket a szervezet lefoglalásának és igényeinek megfelelően.

Küllős virtuális hálózati erőforrások módosítása

Minden küllős virtuális hálózat több virtuális gépet és egy belső terheléselosztót tartalmaz. A belső terheléselosztó lehetővé teszi az IPv4- és IPv6-forgalom átirányítását a virtuális gépekre. Módosítania kell a virtuális gépeket és a belső terheléselosztókat, hogy támogassák az IPv6-ot.

Minden virtuális géphez létre kell hoznia egy IPv6 hálózati adaptert, és hozzá kell rendelnie a virtuális géphez az IPv6-támogatás hozzáadásához. További információ: IPv6-konfiguráció hozzáadása virtuális géphez.

Ha nincs belső terheléselosztó az egyes küllős virtuális hálózatokban, létre kell hoznia egy két veremből álló belső terheléselosztót. További információ: Kettős veremű belső terheléselosztó létrehozása. Ha van belső terheléselosztó, a PowerShell vagy az Azure CLI használatával IPv6-támogatást adhat hozzá.

Felhasználó által definiált útvonalak (UDR-ek) konfigurálása minden küllős alhálózathoz

Az UDR-ek konfigurálásához a küllős virtuális hálózatok ugyanazt a konfigurációt használják, mint a központi virtuális hálózatok: Amikor IPv6-támogatást ad hozzá egy küllős virtuális hálózathoz, a következőkre van szükség:

• IPv6-útvonalak hozzáadása. Ha van egy létrehozott útvonaltábla, adjon hozzá új útvonalakat, amelyek megadják az IPv6-címelőtagokat.

• Meglévő útvonalak módosítása. Ha már vannak útvonalak az IPv4-hez, előfordulhat, hogy módosítania kell őket, hogy azok az IPv6-forgalomra is vonatkozzanak, vagy külön IPv6-specifikus útvonalakat hozzon létre.

• Társítsa az útvonaltáblát alhálózatokhoz. Az útvonalak definiálása után társítsa az útvonaltáblát a virtuális hálózaton belüli megfelelő alhálózatokkal. Ez a társítás határozza meg, hogy mely alhálózatok használják a megadott útvonalakat.

Az alábbi táblázat egy küllős virtuális hálózat egyes alhálózataihoz tartozó UDR-eket mutatja be.

A beállításhoz az UDR-eket össze kell hangolnia a szervezeti hálózati szabályzatokkal és az Azure-telepítés architektúrájával.

Közreműködők

A Microsoft fenntartja ezt a cikket. A cikket eredetileg a következő közreműködők írták.

Fő szerző:

• Werner Rall | Vezető felhőmegoldás-tervező mérnök

Egyéb közreműködők:

• Sherri Babylon | Vezető műszaki programmenedzser
• Dawn Bedard | Vezető műszaki programmenedzser
• Brandon Stephenson | Vezető ügyfélmérnök

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések

• Virtuális gép létrehozása IPv6 kétveremes hálózattal
• IP-címtartományok kezelése
• felhőadaptálási keretrendszer: AZ IP-címzés megtervezése
• IPv6 azure-beli virtuális hálózathoz
• IPv6-támogatás hozzáadása az ExpressRoute-on keresztül
• Az Azure DNS IPv6 támogatása
• IPv6 az Azure Load Balancerhez
• IPv6-támogatás hozzáadása privát társviszony-létesítéshez az Azure Portal használatával

Kapcsolódó erőforrások

• Váltás IPv6-ra
• Választás a virtuális hálózatok közötti társviszony-létesítés és a VPN-átjárók között
• Tűzfal és Application Gateway virtuális hálózatokhoz
• Virtuális hálózatba integrált kiszolgáló nélküli mikroszolgáltatások
• AD DS üzembe helyezése Azure-beli virtuális hálózaton