Ez a küllős architektúra alternatív megoldást kínál a küllős hálózati topológia referenciaarchitektúráira az Azure-ban , és biztonságos hibrid hálózatot implementál.
A központ egy azure-beli virtuális hálózat, amely a helyszíni hálózathoz való kapcsolódás központi pontjaként működik. A küllők a központtal társviszonyban lévő virtuális hálózatok, amelyek a számítási feladatok elkülönítésére használhatók. A forgalom expressRoute- vagy VPN-átjárókapcsolaton keresztül áramlik a helyszíni adatközpont(ok) és a központ között. Ennek a megközelítésnek a fő különbsége az Azure Virtual WAN (VWAN) használata a központok felügyelt szolgáltatásként való helyettesítésére.
Ez az architektúra magában foglalja a szabványos küllős hálózati topológia előnyeit, és új előnyöket vezet be:
Kevesebb üzemeltetési többletterhelés a meglévő központok teljes körűen felügyelt VWAN szolgáltatásra való lecserélésével.
Költségmegtakarítás felügyelt szolgáltatás használatával és a hálózati virtuális berendezés szükségességének megszüntetésével.
A biztonság javítása az Azure Firewall és a VWAN központilag felügyelt biztonságos központjainak bevezetésével a helytelen konfigurációval kapcsolatos biztonsági kockázatok minimalizálása érdekében.
Kockázatok elkülönítése a központi IT (SecOps, InfraOps) és a számítási feladatok között (DevOps).
Lehetséges használati esetek
Az architektúra tipikus felhasználási módjai közé tartoznak az olyan esetek, amelyekben:
A számítási feladatok közötti kapcsolat központi vezérlést és hozzáférést igényel a megosztott szolgáltatásokhoz.
A vállalatok központi ellenőrzést igényelnek a biztonsági szempontok, például a tűzfal felett, és elkülönített felügyeletet igényelnek az egyes küllők számítási feladataihoz.
Architektúra
Töltse le az architektúra Visio-fájlját.
Az architektúra a következőkből áll:
Helyszíni hálózat. Egy szervezeten belül futó helyi magánhálózat (LAN).
VPN-eszköz. A helyszíni hálózat számára külső kapcsolatot biztosító eszköz vagy szolgáltatás.
VPN virtuális hálózati átjáró vagy ExpressRoute-átjáró. A virtuális hálózati átjáró lehetővé teszi, hogy a virtuális hálózat csatlakozzon a helyszíni hálózattal való kapcsolathoz használt VPN-eszközhöz vagy ExpressRoute-kapcsolatcsoporthoz .
Virtual WAN Hub. A Virtual WAN a küllős topológiában használható központként. A központ a helyszíni hálózathoz való kapcsolódás központi pontja, valamint a küllős virtuális hálózatokban üzemeltetett különböző számítási feladatok által igénybe vehető szolgáltatások üzemeltetésének helye.
Biztonságos virtuális központ. Virtuális WAN-központ az Azure Firewall Manager által konfigurált kapcsolódó biztonsági és útválasztási szabályzatokkal. A biztonságos virtuális központ beépített útválasztással rendelkezik, így nincs szükség felhasználó által meghatározott útvonalak konfigurálására.
Átjáró-alhálózat. A virtuális hálózati átjárók ugyanazon az alhálózaton találhatók.
Küllős virtuális hálózatok. Egy vagy több küllősként használt virtuális hálózat a küllős topológiában. A küllők a saját virtuális hálózataikban lévő számítási feladatok elkülönítésére használhatók, és más küllőktől elkülönítve kezelhetők. Minden számítási feladat több szintet tartalmazhat, amelyek alhálózatait Azure-terheléselosztók kapcsolják össze.
Virtuális hálózatok közötti társviszony-létesítés. Két virtuális hálózat csatlakoztatható virtuális hálózatok közötti társviszony-létesítési kapcsolattal. A társviszony-létesítési kapcsolatok nem tranzitív, alacsony késésű kapcsolatok a virtuális hálózatok között. A társviszony létesítése után a virtuális hálózatok az Azure gerinchálózatával cserélik a forgalmat, útválasztó nélkül. Küllős hálózati topológiában virtuális hálózati társviszony-létesítéssel csatlakoztathatja a központot minden küllőhöz. Az Azure Virtual WAN lehetővé teszi a hubok közötti tranzitivitást, ami nem lehetséges kizárólag társviszony-létesítés használatával.
Összetevők
Alternatívák
A küllős architektúra kétféleképpen érhető el: az ügyfél által felügyelt központi infrastruktúra vagy a Microsoft által felügyelt központi infrastruktúra. Mindkét esetben a küllők virtuális hálózati társviszony-létesítéssel csatlakoznak a központhoz.
Előnyök
Töltse le az architektúra Visio-fájlját.
Ez az ábra az architektúra által nyújtott előnyöket mutatja be:
- Teljes hálós központ az Azure-beli virtuális hálózatok között
- Ág–Azure-kapcsolat
- Ág és ág közötti kapcsolat
- A VPN és az Express Route vegyes használata
- Felhasználói VPN vegyes használata a webhelyen
- Virtuális hálózat és virtuális hálózat közötti kapcsolat
Ajánlások
A legtöbb forgatókönyvre az alábbi javaslatok vonatkoznak. Kövesse őket, kivéve, ha van egy konkrét követelménye, amely felülírja őket.
Erőforráscsoportok
A központ és az egyes küllők különböző erőforráscsoportokban, és még jobb, különböző előfizetésekben implementálhatók. Ha különböző előfizetésekben társviszonyt létesít virtuális hálózatokkal, mindkét előfizetés ugyanahhoz vagy egy másik Microsoft Entra-bérlőhöz társítható. Ez lehetővé teszi az egyes számítási feladatok decentralizált kezelését, míg a központban fenntartott szolgáltatások megosztását.
Virtuális WAN
Hozzon létre egy standard virtuális WAN-t, ha az alábbiak egyikére van szüksége:
Skálázás magasabb átviteli sebességhez
Privát kapcsolat (prémium szintű kapcsolatcsoportot igényel globális elérésű helyen)
ExpressRoute VPN Interconnect
Integrált monitorozás az Azure Monitorral (metrikák és erőforrás-állapot)
A standard virtuális WAN-k alapértelmezés szerint teljes hálóban vannak csatlakoztatva. A Standard Virtual WAN támogatja a bármilyen kapcsolatot (helyek közötti VPN, VNet, ExpressRoute, pont–hely végpontok) egyetlen hubon, valamint a hubokon. Az alapszintű virtuális WAN csak a helyek közötti VPN-kapcsolatot, az ágak közötti kapcsolatot és az ág–VNet kapcsolatot támogatja egyetlen központban.
Virtuális WAN-központ
A virtuális központ egy Microsoft által felügyelt virtuális hálózat. A központ különböző szolgáltatásvégpontokat tartalmaz a kapcsolat engedélyezéséhez. Az elosztó a hálózat központja egy adott régióban. Azure-régiónként több központ is lehet. További információ: Virtual WAN – gyakori kérdések.
Amikor létrehoz egy központot az Azure Portal használatával, az létrehoz egy virtuális központ virtuális hálózatát és egy virtuális központ VPN-átjáróját. A Virtual WAN Hubhoz legalább /24 címtartomány szükséges. Ez az IP-címtér az átjáró és más összetevők alhálózatának lefoglalására szolgál.
Biztonságos virtuális központ
A virtuális központ biztonságos virtuális központként hozható létre, vagy a létrehozás után bármikor biztonságossá alakítható. További információ: A virtuális központ védelme az Azure Firewall Managerrel.
GatewaySubnet
Az átjáró felállításáról további információkat az alábbi referenciaarchitektúrákban talál (a kapcsolattípustól függően):
A nagyobb rendelkezésre állás érdekében használhatja az ExpressRoute-ot és egy VPN-t a feladatátvételhez. További információ: Helyszíni hálózat csatlakoztatása az Azure-hoz VPN-feladatátvételt biztosító ExpressRoute használatával.
A küllős topológia átjáró nélkül nem használható, még akkor sem, ha nincs szüksége kapcsolatra a helyszíni hálózattal.
Virtuális hálózati társviszony
A virtuális hálózatok közötti társviszony nem tranzitív kapcsolat két virtuális hálózat között. Az Azure Virtual WAN azonban lehetővé teszi, hogy a küllők dedikált társviszony nélkül csatlakozzanak egymáshoz.
Ha azonban több küllővel is csatlakoznia kell egymással, a virtuális hálózatonkénti virtuális hálózatok közötti társviszony-létesítések számának korlátozása miatt nagyon gyorsan elfogynak a lehetséges társviszony-létesítési kapcsolatok. (További információ: Hálózatkezelési korlátok.) Ebben a forgatókönyvben az Azure VWAN a beépített funkciókkal fogja megoldani ezt a problémát. További információ: Globális átviteli hálózati architektúra és Virtual WAN.
Küllőket úgy is konfigurálhat, hogy a központi átjáróval kommunikáljanak a távoli hálózatokkal. Ahhoz, hogy az átjáróforgalom működjön a küllő és az agy között, a távoli hálózatok pedig kapcsolódjanak, a következők szükségesek:
Konfigurálja a társviszony-létesítési kapcsolatot a központban az átjárótovábbítás engedélyezéséhez.
Konfigurálja a társviszony-létesítési kapcsolatot az egyes küllőkben távoli átjárók használatára.
Konfigurálja az összes társviszony-létesítési kapcsolatot a továbbított forgalom engedélyezéséhez.
További információ: Választás a virtuális hálózatok közötti társviszony-létesítés és a VPN-átjárók között.
Hub-bővítmények
Az olyan hálózati szintű megosztott szolgáltatások támogatásához, mint a DNS-erőforrások, az egyéni NVA-k, az Azure Bastion és mások, implementálják az egyes szolgáltatásokat a virtuális központ bővítménymintáját követve. Ezt a modellt követve létrehozhat és üzemeltethet egyfelelős bővítményeket, hogy külön-külön elérhetővé tegye ezeket az üzleti szempontból kritikus, megosztott szolgáltatásokat, amelyeket egyébként nem tud közvetlenül üzembe helyezni egy virtuális központban.
Megfontolások
Üzemeltetés
Az Azure VWAN a Microsoft által biztosított felügyelt szolgáltatás. Technológiai szempontból ez nem teljesen különbözik az ügyfél által felügyelt központi infrastruktúrától. Az Azure Virtual WAN leegyszerűsíti az általános hálózati architektúrát azáltal, hogy egy küllők közötti tranzitív hálózati kapcsolattal rendelkező hálós hálózati topológiát kínál. Az Azure VWAN monitorozása az Azure Monitor használatával érhető el. A helyek közötti konfiguráció és a helyszíni hálózatok és az Azure közötti kapcsolat teljesen automatizálható.
Megbízhatóság
Az Azure Virtual WAN kezeli az útválasztást, amely segít optimalizálni a küllők közötti hálózati késést, valamint biztosítani a késés kiszámíthatóságát. Az Azure Virtual WAN emellett megbízható kapcsolatot biztosít a különböző Azure-régiók között a több régióra kiterjedő számítási feladatokhoz. Ezzel a beállítással az Azure-ban a végpontok közötti folyamat láthatóbbá válik.
Teljesítmény
Az Azure Virtual WAN segítségével kisebb késés érhető el a küllők és a régiók között. Az Azure Virtual WAN lehetővé teszi akár 20 Gb/s-os összesített átviteli sebesség skálázását.
Méretezhetőség
Az Azure Virtual WAN teljes hálókapcsolatot biztosít a küllők között azáltal, hogy megőrzi a forgalom igény szerinti korlátozásának képességét. Ezzel az architektúrával nagy léptékű helyek közötti teljesítmény érhető el. Emellett globális átviteli hálózati architektúrát is létrehozhat, ha engedélyezi a globálisan elosztott felhőbeli számítási feladatok csoportjai közötti bármilyen kapcsolatot.
Biztonság
Az Azure VWAN-beli központok az Azure Firewall használatával konvertálhatók biztonságos HUB-kká. A felhasználó által definiált útvonalak (UDR-ek) továbbra is ugyanúgy használhatók a hálózatelkülönítés eléréséhez. Az Azure VWAN lehetővé teszi a helyszíni hálózatok és az Azure-beli virtuális hálózatok közötti forgalom titkosítását az ExpressRoute-on keresztül.
Az Azure DDoS Protection alkalmazástervezési ajánlott eljárásokkal kombinálva továbbfejlesztett DDoS-kockázatcsökkentési funkciókat biztosít, hogy nagyobb védelmet nyújtson a DDoS-támadásokkal szemben. Az Azure DDOS Protectiont minden peremhálózaton engedélyeznie kell.
Küllős kapcsolatok és megosztott szolgáltatások
A küllők közötti kapcsolat már elérhető az Azure Virtual WAN használatával. Az UDR-ek küllős forgalomban való használata azonban hasznos a virtuális hálózatok elkülönítéséhez. Bármely megosztott szolgáltatás ugyanazon a Virtual WAN-on is üzemeltethető, mint a küllő.
Virtuális hálózatok közötti társviszony-létesítés – Hub-kapcsolat
A virtuális hálózatok közötti társviszony nem tranzitív kapcsolat két virtuális hálózat között. Az Azure Virtual WAN használata során a virtuális hálózatok közötti társviszony-létesítést a Microsoft felügyeli. A központhoz hozzáadott összes kapcsolat a virtuális hálózatok közötti társviszony-létesítést is konfigurálja. A Virtual WAN segítségével minden küllő tranzitív kapcsolatban lesz.
Költségoptimalizálás
Az Azure Virtual WAN díjszabási oldalán megismerheti és megbecsülheti a hálózati topológia legköltséghatékonyabb megoldását. Az Azure Virtual WAN díjszabása több fő költségtényezőt is magában foglal:
- Üzembe helyezési órák: A Virtuális WAN-központok üzembe helyezésének és használatának díjai.
- Skálázási egység: A VPN -ek (S2S, P2S) és ExpressRoute-átjárók skálázásának sávszélesség-kapacitásán (Mbps/Gbps) alapuló díjak.
- Csatlakozási egység: A VPN-hez, az ExpressRoute-hoz vagy a távoli felhasználókhoz való minden kapcsolat költségei.
- Feldolgozott egység: A hubon keresztül feldolgozott adatok gb-onkénti díjai.
- Útválasztási infrastruktúraegység: A központ útválasztási képességeinek költségei.
- Azure Firewall biztonságos virtuális központtal: Ajánlott, és az üzembe helyezési egységenként és a feldolgozott adatokért további költséget ad hozzá.
- Központ–központ közötti adatátvitel: Az adatok régiók közötti (régión belüli/kontinensen belüli) díjak hatálya alá tartozó központok közötti adatátvitel költségei az Azure sávszélesség-díjszabásában leírtak szerint.
A gyakori hálózatkezelési forgatókönyvekhez igazodó díjszabást a virtual WAN díjszabásáról szóló cikkben talál.
Közreműködők
Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.
Fő szerző:
- Yunus Emre Alpozen | Programtervezők munkaterhelések közötti
A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.
Következő lépések
További információ:
Helyszíni hálózat csatlakoztatása az Azure-hoz az ExpressRoute használatával
Számítási feladatok védelme és szabályozása hálózati szintű szegmentálással