Küllős hálózati topológia az Azure Virtual WAN használatával

Ez a küllős architektúra alternatív megoldást kínál a küllős hálózati topológia referenciaarchitektúráira az Azure-ban , és biztonságos hibrid hálózatot implementál.

A központ egy azure-beli virtuális hálózat, amely a helyszíni hálózathoz való kapcsolódás központi pontjaként működik. A küllők a központtal társviszonyban lévő virtuális hálózatok, amelyek a számítási feladatok elkülönítésére használhatók. A forgalom expressRoute- vagy VPN-átjárókapcsolaton keresztül áramlik a helyszíni adatközpont(ok) és a központ között. Ennek a megközelítésnek a fő különbsége az Azure Virtual WAN (VWAN) használata a központok felügyelt szolgáltatásként való helyettesítésére.

Ez az architektúra magában foglalja a szabványos küllős hálózati topológia előnyeit, és új előnyöket vezet be:

• Kevesebb üzemeltetési többletterhelés a meglévő központok teljes körűen felügyelt VWAN szolgáltatásra való lecserélésével.

• Költségmegtakarítás felügyelt szolgáltatás használatával és a hálózati virtuális berendezés szükségességének megszüntetésével.

• A biztonság javítása az Azure Firewall és a VWAN központilag felügyelt biztonságos központjainak bevezetésével a helytelen konfigurációval kapcsolatos biztonsági kockázatok minimalizálása érdekében.

• Kockázatok elkülönítése a központi IT (SecOps, InfraOps) és a számítási feladatok között (DevOps).

Lehetséges használati esetek

Az architektúra tipikus felhasználási módjai közé tartoznak az olyan esetek, amelyekben:

• Csatlakozás számítási feladatokhoz való hozzáférés központi ellenőrzést és hozzáférést igényel a megosztott szolgáltatásokhoz.

• A vállalatok központi ellenőrzést igényelnek a biztonsági szempontok, például a tűzfal felett, és elkülönített felügyeletet igényelnek az egyes küllők számítási feladataihoz.

Architektúra

Töltse le az architektúra Visio-fájlját.

Az architektúra a következőkből áll:

• Helyszíni hálózat. Egy szervezeten belül futó helyi magánhálózat (LAN).

• VPN-eszköz. A helyszíni hálózat számára külső kapcsolatot biztosító eszköz vagy szolgáltatás.

• VPN virtuális hálózati átjáró vagy ExpressRoute-átjáró. A virtuális hálózati átjáró lehetővé teszi, hogy a virtuális hálózat csatlakozzon a helyszíni hálózattal való kapcsolathoz használt VPN-eszközhöz vagy ExpressRoute-kapcsolatcsoporthoz .

• Virtual WAN Hub. A Virtual WAN a küllős topológiában használható központként. A központ a helyszíni hálózathoz való kapcsolódás központi pontja, valamint a küllős virtuális hálózatokban üzemeltetett különböző számítási feladatok által igénybe vehető szolgáltatások üzemeltetésének helye.

• Biztonságos virtuális központ. Virtuális WAN-központ az Azure Firewall Manager által konfigurált kapcsolódó biztonsági és útválasztási szabályzatokkal. A biztonságos virtuális központ beépített útválasztással rendelkezik, így nincs szükség felhasználó által meghatározott útvonalak konfigurálására.

• Átjáró-alhálózat. A virtuális hálózati átjárók ugyanazon az alhálózaton találhatók.

• Küllős virtuális hálózatok. Egy vagy több küllősként használt virtuális hálózat a küllős topológiában. A küllők a saját virtuális hálózataikban lévő számítási feladatok elkülönítésére használhatók, és más küllőktől elkülönítve kezelhetők. Minden számítási feladat több szintet tartalmazhat, amelyek alhálózatait Azure-terheléselosztók kapcsolják össze.

• Virtuális hálózatok közötti társviszony-létesítés. Két virtuális hálózat csatlakoztatható virtuális hálózatok közötti társviszony-létesítési kapcsolattal. A társviszony-létesítési kapcsolatok nem tranzitív, alacsony késésű kapcsolatok a virtuális hálózatok között. A társviszony létesítése után a virtuális hálózatok az Azure gerinchálózatával cserélik a forgalmat, útválasztó nélkül. Küllős hálózati topológiában virtuális hálózati társviszony-létesítéssel csatlakoztathatja a központot minden küllőhöz. Az Azure Virtual WAN lehetővé teszi a hubok közötti tranzitivitást, ami nem csak társviszony-létesítés használatával lehetséges.

Összetevők

• Azure Virtual Network
• Azure Virtual WAN
• Azure VPN Gateway
• Azure ExpressRoute
• Azure Firewall

Alternatívák

A küllős architektúra kétféleképpen érhető el: az ügyfél által felügyelt központi infrastruktúra vagy a Microsoft által felügyelt központi infrastruktúra. Mindkét esetben a küllők virtuális hálózati társviszony-létesítéssel csatlakoznak a központhoz.

Előnyök

Töltse le az architektúra Visio-fájlját.

Ez az ábra az architektúra által nyújtott előnyöket mutatja be:

• Teljes hálós központ az Azure-beli virtuális hálózatok között
• Ág–Azure-kapcsolat
• Ág és ág közötti kapcsolat
• A VPN és az Express Route vegyes használata
• Felhasználói VPN vegyes használata a webhelyen
• Virtuális hálózat és virtuális hálózat közötti kapcsolat

Ajánlások

A legtöbb forgatókönyvre az alábbi javaslatok vonatkoznak. Kövesse őket, kivéve, ha van egy konkrét követelménye, amely felülírja őket.

Erőforráscsoportok

A központ és az egyes küllők különböző erőforráscsoportokban, és még jobb, különböző előfizetésekben implementálhatók. Ha különböző előfizetésekben társviszonyt létesít virtuális hálózatokkal, mindkét előfizetés ugyanahhoz vagy egy másik Microsoft Entra-bérlőhöz társítható. Ez lehetővé teszi az egyes számítási feladatok decentralizált kezelését, míg a központban fenntartott szolgáltatások megosztását.

Virtuális WAN

Hozzon létre egy standard virtuális WAN-t, ha az alábbiak egyikére van szüksége:

• Skálázás magasabb átviteli sebességhez

• Privát Csatlakozás tivitás (prémium szintű kapcsolatcsoportot igényel a globális elérésű helyen)

• ExpressRoute VPN Interconnect

• Integrált monitorozás az Azure Monitorral (metrikák és erőforrás-állapot)

A standard virtuális WAN-k alapértelmezés szerint teljes hálóban vannak csatlakoztatva. A Standard Virtual WAN támogatja a bármilyen kapcsolatot (helyek közötti VPN, VNet, ExpressRoute, pont–hely végpontok) egyetlen hubon, valamint a hubokon. Az alapszintű virtuális WAN csak a helyek közötti VPN-kapcsolatot, az ágak közötti kapcsolatot és az ág–VNet kapcsolatot támogatja egyetlen központban.

Virtuális WAN-központ

A virtuális központ egy Microsoft által felügyelt virtuális hálózat. A központ különböző szolgáltatásvégpontokat tartalmaz a kapcsolat engedélyezéséhez. Az elosztó a hálózat központja egy adott régióban. Azure-régiónként több központ is lehet. További információ: Virtual WAN – gyakori kérdések.

Amikor létrehoz egy központot az Azure Portal használatával, az létrehoz egy virtuális központ virtuális hálózatát és egy virtuális központ VPN-átjáróját. A Virtual WAN Hubhoz legalább /24 címtartomány szükséges. Ez az IP-címtér az átjáró és más összetevők alhálózatának lefoglalására szolgál.

Biztonságos virtuális központ

A virtuális központ biztonságos virtuális központként hozható létre, vagy a létrehozás után bármikor biztonságossá alakítható. További információ: A virtuális központ védelme az Azure Firewall Managerrel.

GatewaySubnet

Az átjáró felállításáról további információkat az alábbi referenciaarchitektúrákban talál (a kapcsolattípustól függően):

• Hibrid hálózat ExpressRoute használatával

• Hibrid hálózat VPN Gateway használatával

A nagyobb rendelkezésre állás érdekében használhatja az ExpressRoute-ot és egy VPN-t a feladatátvételhez. További információ: Helyszíni hálózat csatlakoztatása az Azure-hoz VPN-feladatátvételt biztosító ExpressRoute használatával.

A küllős topológia átjáró nélkül nem használható, még akkor sem, ha nincs szüksége kapcsolatra a helyszíni hálózattal.

Virtuális hálózati társviszony

A virtuális hálózatok közötti társviszony nem tranzitív kapcsolat két virtuális hálózat között. Az Azure Virtual WAN azonban lehetővé teszi, hogy a küllők dedikált társviszony nélkül csatlakozzanak egymáshoz.

Ha azonban több küllővel is csatlakoznia kell egymással, a virtuális hálózatonkénti virtuális hálózatok közötti társviszony-létesítések számának korlátozása miatt nagyon gyorsan elfogynak a lehetséges társviszony-létesítési kapcsolatok. (További információ: Hálózatkezelési korlátok.) Ebben a forgatókönyvben az Azure VWAN a beépített funkciókkal fogja megoldani ezt a problémát. További információ: Globális átviteli hálózati architektúra és Virtual WAN.

Küllőket úgy is konfigurálhat, hogy a központi átjáróval kommunikáljanak a távoli hálózatokkal. Ahhoz, hogy az átjáróforgalom működjön a küllő és az agy között, a távoli hálózatok pedig kapcsolódjanak, a következők szükségesek:

• Konfigurálja a társviszony-létesítési kapcsolatot a központban az átjárótovábbítás engedélyezéséhez.

• Konfigurálja a társviszony-létesítési kapcsolatot az egyes küllőkben távoli átjárók használatára.

• Konfigurálja az összes társviszony-létesítési kapcsolatot a továbbított forgalom engedélyezéséhez.

További információ: Választás a virtuális hálózatok közötti társviszony-létesítés és a VPN-átjárók között.

Hub-bővítmények

Az olyan hálózati szintű megosztott szolgáltatások támogatásához, mint a DNS-erőforrások, az egyéni NVA-k, az Azure Bastion és mások, implementálják az egyes szolgáltatásokat a virtuális központ bővítménymintáját követve. Ezt a modellt követve létrehozhat és üzemeltethet egyfelelős bővítményeket, hogy külön-külön elérhetővé tegye ezeket az üzleti szempontból kritikus, megosztott szolgáltatásokat, amelyeket egyébként nem tud közvetlenül üzembe helyezni egy virtuális központban.

Megfontolások

Üzemeltetés

Az Azure VWAN a Microsoft által biztosított felügyelt szolgáltatás. Technológiai szempontból ez nem teljesen különbözik az ügyfél által felügyelt központi infrastruktúrától. Az Azure Virtual WAN leegyszerűsíti az általános hálózati architektúrát azáltal, hogy egy küllők közötti tranzitív hálózati kapcsolattal rendelkező hálós hálózati topológiát kínál. Az Azure VWAN monitorozása az Azure Monitor használatával érhető el. A helyek közötti konfiguráció és a helyszíni hálózatok és az Azure közötti kapcsolat teljesen automatizálható.

Megbízhatóság

Az Azure Virtual WAN kezeli az útválasztást, amely segít optimalizálni a küllők közötti hálózati késést, valamint biztosítani a késés kiszámíthatóságát. Az Azure Virtual WAN emellett megbízható kapcsolatot biztosít a különböző Azure-régiók között a több régióra kiterjedő számítási feladatokhoz. Ezzel a beállítással az Azure-ban a végpontok közötti folyamat láthatóbbá válik.

Teljesítmény

Az Azure Virtual WAN segítségével kisebb késés érhető el a küllők és a régiók között. Az Azure Virtual WAN lehetővé teszi akár 20 Gb/s-os összesített átviteli sebesség skálázását.

Méretezhetőség

Az Azure Virtual WAN teljes hálókapcsolatot biztosít a küllők között azáltal, hogy megőrzi a forgalom igény szerinti korlátozásának képességét. Ezzel az architektúrával nagy léptékű helyek közötti teljesítmény érhető el. Emellett globális átviteli hálózati architektúrát is létrehozhat, ha engedélyezi a globálisan elosztott felhőbeli számítási feladatok csoportjai közötti bármilyen kapcsolatot.

Biztonság

Az Azure VWAN-beli központok az Azure Firewall használatával konvertálhatók biztonságos HUB-kká. A felhasználó által definiált útvonalak (UDR-ek) továbbra is ugyanúgy használhatók a hálózatelkülönítés eléréséhez. Az Azure VWAN lehetővé teszi a helyszíni hálózatok és az Azure-beli virtuális hálózatok közötti forgalom titkosítását az ExpressRoute-on keresztül.

Az Azure DDoS Protection alkalmazástervezési ajánlott eljárásokkal kombinálva továbbfejlesztett DDoS-kockázatcsökkentési funkciókat biztosít, hogy nagyobb védelmet nyújtson a DDoS-támadásokkal szemben. Az Azure DDOS Protectiont minden peremhálózaton engedélyeznie kell.

Küllős kapcsolatok és megosztott szolgáltatások

Csatlakozás küllők között már elérhető az Azure Virtual WAN használata. Az UDR-ek küllős forgalomban való használata azonban hasznos a virtuális hálózatok elkülönítéséhez. Bármely megosztott szolgáltatás ugyanazon a Virtual WAN-on is üzemeltethető, mint a küllő.

Virtuális hálózatok közötti társviszony-létesítés – Hub-kapcsolat

A virtuális hálózatok közötti társviszony nem tranzitív kapcsolat két virtuális hálózat között. Az Azure Virtual WAN használata során a virtuális hálózatok közötti társviszony-létesítést a Microsoft felügyeli. A központhoz hozzáadott összes kapcsolat a virtuális hálózatok közötti társviszony-létesítést is konfigurálja. A Virtual WAN segítségével minden küllő tranzitív kapcsolatban lesz.

Költségoptimalizálás

Az ügyfél által felügyelt hubinfrastruktúra felügyeleti költségeket vezet be az alapul szolgáló Azure-erőforrásokhoz. Ha kiszámítható késéssel szeretne tranzitív kapcsolatot létesíteni, minden központban üzembe kell helyeznie egy hálózati virtuális berendezést (NVA- vagy Azure Firewall-t). Ha az Azure Firewallt bármelyik választással használja, azzal alacsonyabb lesz a költség az NVA-hoz képest. Az Azure Firewall költségei mindkét beállítás esetében azonosak. Az Azure Virtual WAN többletköltséggel jár; azonban sokkal kevésbé költséges, mint a saját központi infrastruktúra kezelése.

További információkért lásd a Virtual WAN díjszabását.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

• Yunus Emre Alpozen | Programtervezők munkaterhelések közötti

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések

További információ:

• Küllős hálózati topológia az Azure-ban

• Hibrid tartománynévrendszer-megoldás tervezése az Azure-ral

• Biztonságos hibrid hálózat megvalósítása

• Mi az Az Azure ExpressRoute?

• helyszíni hálózat Csatlakozás az Azure-ba az ExpressRoute használatával

• Tűzfal és Application Gateway virtuális hálózatokhoz

• Helyszíni hálózat kiterjesztése VPN használatával

• Számítási feladatok védelme és szabályozása hálózati szintű szegmentálással

Kapcsolódó erőforrások

• A biztonsági helyzet megerősítése az Azure-ral

• Virtual Network

• Azure ExpressRoute

• VPN Gateway

• Azure Firewall