Szerkesztés

Küllős hálózatkezelés

Azure Firewall
Azure Virtual Network
Azure Virtual WAN
Azure VPN Gateway

Az Azure leggyakoribb hálózattervezési mintái közé tartozik a küllős virtuális hálózat topológiáinak létrehozása egy vagy több Azure-régióban, opcionálisan a helyszíni hálózatokhoz az Azure ExpressRoute-on vagy a helyek közötti virtuális magánhálózati (VPN-) alagutakon keresztül a nyilvános interneten keresztül.

A legtöbb tervezési útmutató a belső, helyszíni hálózatokon vagy az internetről érkező felhasználók által az adott virtuális hálózatok felé irányuló alkalmazásforgalomra összpontosít (amit az iparág általában az észak-déli forgalmat jelöli, mivel ezt gyakran függőleges vonalak jelölik a hálózati diagramokban). Ez a cikk a kelet-nyugati forgalomhoz elérhető különböző mintákkal foglalkozik. Ez azt jelzi, hogy az Azure-beli virtuális hálózatokban üzembe helyezett számítási feladatok közötti kommunikáció egy régión belül vagy különböző régiókban történik.

Annak biztosítása, hogy a hálózat kialakítása megfeleljen a kelet-nyugati forgalomra vonatkozó követelményeknek, kritikus fontosságú a teljesítmény, a méretezhetőség és a rugalmasság biztosítása az Azure-ban futó alkalmazások számára.

Lehetséges használati esetek

A küllős forgalom több esetben is fontos lehet:

  • Egy alkalmazás különböző szintjei külön virtuális hálózatokban találhatók. A szegélyhálózati virtuális hálózatok szegélyhálózati kiszolgálói (más néven DMZ-kiszolgálók) például kommunikálnak egy belső virtuális hálózat alkalmazásszolgáltatásaival.
  • A különböző környezetekben (fejlesztés, előkészítés, éles környezet) lévő alkalmazások számítási feladatainak egymás között kell replikálnia az adatokat.
  • A különböző alkalmazásoknak vagy mikroszolgáltatásoknak kommunikálniuk kell egymással.
  • Az adatbázisoknak régiók közötti adatokat kell replikálniuk, hogy vészhelyzet esetén garantálják az üzletmenet folytonosságát.
  • A felhasználók az Azure-beli virtuális hálózatokon belül vannak. Például az Azure Virtual Desktopot használják.

Küllős kommunikáció mintái és topológiái

Az Azure-tervekben két fő topológia használható, amelyek több virtuális hálózatot kereszteznek: a hagyományos központot és a küllőt , valamint az Azure Virtual WAN-t. Egy Virtual WAN-környezetben a Microsoft felügyeli a központi virtuális hálózatot és minden benne lévőt. Hagyományos küllős környezetben a központi virtuális hálózatot kezelheti.

A virtuális WAN és a küllős topológiák olyan architektúrákra mutatnak be példákat, amelyekben a számítási feladatok küllős virtuális hálózatokban futnak, és a helyszíni kapcsolat központosítva van egy központi virtuális hálózaton. A cikkben ismertetett fogalmak közül sok a küllős és a Virtual WAN-kialakításra is vonatkozik.

A küllős virtuális hálózatok egymáshoz való csatlakoztatásának két fő mintája van:

  • Küllők, amelyek közvetlenül csatlakoznak egymáshoz. A virtuális hálózatok közötti társviszonyok vagy VPN-alagutak a küllős virtuális hálózatok között jönnek létre, hogy közvetlen kapcsolatot biztosítsanak a központi virtuális hálózat bejárása nélkül.
  • A küllők hálózati berendezésen keresztül kommunikálnak. Minden küllős virtuális hálózat rendelkezik társviszony-létesítéssel a Virtual WAN-hoz vagy egy központi virtuális hálózathoz. A berendezés küllőről küllőre irányítja a forgalmat. A berendezést a Microsoft (a Virtual WAN-hez hasonlóan) vagy Ön felügyelheti.

1. minta: Egymáshoz közvetlenül csatlakozó küllők

A küllők közötti közvetlen kapcsolatok általában jobb átviteli sebességet, késést és méretezhetőséget biztosítanak, mint a hálózati virtuális berendezésen (NVA) áthaladó kapcsolatok a központban. A forgalom NVA-n keresztül történő elküldése késést okozhat a forgalom számára, ha az NVA-k másik rendelkezésre állási zónában vannak, és legalább két virtuális hálózati társviszonyt át kell lépni, amikor a forgalmat a központon keresztül küldik el. Két küllős virtuális hálózat közvetlen összekapcsolására több lehetőség is van: virtuális hálózatok közötti társviszony-létesítés, Azure Virtual Network Manager és VPN-alagutak.

  • Virtuális hálózatok közötti társviszony-létesítés. A küllőkkel szemben a közvetlen virtuális hálózatok közötti társviszony-létesítés előnyei a következők:

    • Alacsonyabb költség, mivel kevesebb virtuális hálózati társviszony-létesítési ugrásra van szükség.
    • Jobb teljesítmény, mert a forgalomnak nem kell áthaladnia egyetlen hálózati berendezésen sem, amely késést vagy lehetséges szűk keresztmetszeteket okoz.

    Más forgatókönyvek például a bérlők közötti kapcsolat. Előfordulhat azonban, hogy meg kell vizsgálnia a küllős virtuális hálózatok közötti forgalmat, ami szükségessé teheti a forgalom központi hálózati eszközökön keresztül történő küldését a központi virtuális hálózaton.

  • Azure Virtual Network Manager. A virtuális hálózatok közötti társviszony-létesítés előnyei mellett az Azure Virtual Network Manager olyan felügyeleti szolgáltatást is biztosít, amely lehetővé teszi a virtuális hálózati környezetek kezelését és a nagy léptékű kapcsolódást. Az Azure Virtual Network Manager használatával háromféle topológiát hozhat létre előfizetések között, meglévő és új virtuális hálózatokhoz is:

    • Küllőkkel, amelyek nincsenek egymáshoz csatlakoztatva.

    • Küllős küllőkkel, amelyek közvetlenül csatlakoznak egymáshoz, középen ugrás nélkül.

    • Összekapcsolt virtuális hálózatok hálós csoportja.

      Az Azure Virtual Network Manager által támogatott topológiákat bemutató hálózati diagram.

      Töltse le a cikkben szereplő összes Visio-diagramot .

      Ha küllős topológiát hoz létre az Azure Virtual Network Managerrel, amelyben küllők csatlakoznak egymáshoz, a küllős virtuális hálózatok közötti közvetlen kapcsolat ugyanabban a hálózati csoportban automatikusan kétirányúan jön létre. Az Azure Virtual Network Managerrel statikusan vagy dinamikusan hozhat létre küllős virtuális hálózatokat egy adott hálózati csoport tagjaivá, ami automatikusan létrehozza a kapcsolatot bármely virtuális hálózat számára.

      Több hálózati csoportot is létrehozhat, hogy elkülönítse a küllős virtuális hálózatok fürtöit a közvetlen kapcsolattól. Minden hálózati csoport ugyanazt a régiót és többrégiós támogatást nyújt a küllők közötti kapcsolatokhoz. Ügyeljen arra, hogy az Azure Virtual Network Managerre vonatkozó, az Azure Virtual Network Managerrel kapcsolatos gyakori kérdésekben ismertetett maximális korlátok alatt maradjon.

  • Virtuális hálózatokat összekötő VPN-alagutak. A VPN-szolgáltatásokat úgy konfigurálhatja, hogy közvetlenül csatlakozzanak küllős virtuális hálózatokhoz Microsoft VPN-átjárók vagy külső VPN NVA-k használatával. Ennek a lehetőségnek az az előnye, hogy a küllős virtuális hálózatok ugyanazon felhőszolgáltatón belül kereskedelmi és szuverén felhők között csatlakoznak, vagy felhők közötti kapcsolatot létesítenek. Továbbá, ha minden küllős virtuális hálózatban szoftveralapú széles körű hálózat (SD-WAN) NVA-k találhatók, ez a konfiguráció megkönnyítheti a külső szolgáltató vezérlősíkjának és funkciókészletének használatát a virtuális hálózati kapcsolatok kezeléséhez.

    Ezzel a beállítással a macsec-titkosítással még nem rendelkező azure-adatközpontokban lévő virtuális hálózatok közötti forgalom titkosítására vonatkozó megfelelőségi követelményeknek is megfelelhet. Ez a lehetőség azonban az IPsec-alagutak sávszélességkorlátja (alagútonként 1,25 Gb/s) és a virtuális hálózati átjárók központi és küllős virtuális hálózatokban való használatának tervezési korlátai miatt is saját kihívásokkal jár: Ha a küllős virtuális hálózat virtuális hálózati átjáróval rendelkezik, akkor nem csatlakoztatható a Virtual WAN-hoz, és nem használhatja a központ virtuális hálózati átjáróját a helyszíni hálózatokhoz való csatlakozáshoz.

1. minta: Egyrégió

Függetlenül attól, hogy milyen technológiát használ a küllős virtuális hálózatok egymáshoz való csatlakoztatásához, a hálózati topológiák egyetlen régió esetében így néznek ki:

Hálózati diagram, amely egy egyrégiós küllős küllős kialakítást mutat be, virtuális hálózati társviszony-létesítésen keresztül csatlakoztatott küllőkkel.

1. minta: Több régió

Az összes küllős virtuális hálózatot egymással összekötő kialakítások több régióra is kiterjeszthetők. Ebben a topológiában az Azure Virtual Network Manager még kritikusabb, hogy csökkentse a szükséges nagyszámú kapcsolat fenntartásával járó adminisztratív többletterhelést.

A kétrégiós küllős küllős kialakítást ábrázoló hálózati diagram, amelyben az azonos régióban lévő küllők virtuális hálózati társviszonyokon keresztül csatlakoznak.

Feljegyzés

Ha a küllős virtuális hálózatokat közvetlenül, akár egy régióban, akár több régióban csatlakoztatja, fontolja meg a küllős virtuális hálózatok használatát ugyanabban a környezetben. Csatlakoztathat például egy küllős fejlesztési virtuális hálózatot egy másik küllős fejlesztői virtuális hálózathoz. De ne csatlakoztassa a küllős fejlesztési virtuális hálózatot egy küllős éles virtuális hálózathoz.

Ha egy teljesen hálós topológiában közvetlenül csatlakozik egymáshoz a küllős virtuális hálózatok, figyelembe kell vennie a virtuális hálózatok közötti társviszony-létesítések lehetséges nagy számát. Az alábbi ábra ezt a problémát szemlélteti. Ebben a forgatókönyvben erősen ajánlott az Azure Virtual Network Manager használata, hogy automatikusan létre tudja hozni a virtuális hálózati kapcsolatokat.

A küllők számával együtt a társviszonyok szükséges számának növekedését szemléltető diagram.

2. minta: Hálózati berendezésen keresztül kommunikáló küllők

A küllős virtuális hálózatok közvetlen összekapcsolása helyett hálózati berendezésekkel továbbíthatja a küllők közötti forgalmat. A hálózati berendezések további hálózati szolgáltatásokat nyújtanak, például a mély csomagvizsgálatot, a forgalom szegmentálását vagy monitorozását, de késést és teljesítménybeli szűk keresztmetszeteket okozhatnak, ha nem megfelelő méretűek. Ezek a berendezések általában egy központi virtuális hálózaton találhatók, amelyhez a küllők csatlakoznak. A küllők közötti forgalom továbbítására több lehetőség is van:

  • Virtual WAN hub útválasztó. A Microsoft által teljes mértékben felügyelt Virtual WAN egy virtuális útválasztót tartalmaz, amely a küllőkről érkező forgalmat vonzza, és egy másik virtuális hálózatra irányítja, amely a Virtual WAN-hoz vagy a helyszíni hálózatokhoz csatlakozik az ExpressRoute-on keresztül, vagy helyek közötti vagy pont–hely VPN-alagutakon keresztül. A Virtual WAN-útválasztó automatikusan fel- és leskálázható, ezért csak arról kell gondoskodnia, hogy a küllők közötti forgalom a Virtual WAN korlátain belül maradjon.

  • Azure Firewall.Az Azure Firewall egy olyan hálózati berendezés, amelyet a Microsoft felügyel, és üzembe helyezhető a felügyelt központi virtuális hálózatokban vagy a Virtual WAN-központokban. Továbbíthatja az IP-csomagokat, és megvizsgálhatja őket, és alkalmazhatja a szabályzatokban meghatározott forgalomszegmentálási szabályokat. Automatikus skálázást biztosít az Azure Firewall korlátaihoz , hogy ne legyen szűk keresztmetszet. Vegye figyelembe, hogy az Azure Firewall csak akkor biztosít beépített többrégiós képességeket, ha a Virtual WAN-t használja. A Virtual WAN nélkül felhasználó által meghatározott útvonalakat kell implementálnia a küllők közötti kommunikáció megvalósításához.

  • Külső hálózati virtuális berendezések. Ha egy Microsoft-partnertől származó hálózati virtuális berendezést szeretne használni útválasztási és hálózati szegmentálás végrehajtásához, a hálózati virtuális berendezéseket központi és küllős vagy Virtual WAN-topológiában is üzembe helyezheti. További információ: Magas rendelkezésre állású NVA-k vagy NVA-k üzembe helyezése virtuális WAN-központban. Győződjön meg arról, hogy a hálózati virtuális berendezés támogatja a küllős kommunikáció által generált sávszélességet.

  • Azure VPN Gateway. Az Azure VPN-átjárót használhatja a felhasználó által definiált útvonalak következő ugrási típusaként, de a Microsoft nem javasolja a VPN virtuális hálózati átjárók használatát küllők közötti forgalom irányításához. A helyszíni helyekre vagy VPN-felhasználókra irányuló forgalom titkosítására szolgálnak. Például nincs garancia a küllők közötti sávszélességre, amelyet egy VPN-átjáró irányíthat.

  • ExpressRoute. Bizonyos konfigurációkban az ExpressRoute-átjárók olyan útvonalakat hirdethetnek, amelyek küllős kommunikációt vonzanak, és forgalmat küldenek a Microsoft peremhálózati útválasztójára, ahol a küllőhöz irányítják. A Microsoft határozottan elriasztja ezt a forgatókönyvet, mert késést eredményez azáltal, hogy a forgalmat a Microsoft gerinchálózatára és hátoldalára küldi. Ráadásul a Microsoft nem javasolja ezt a megközelítést az egyetlen meghibásodási pont és a nagy robbanási sugár miatt. Ez a forgatókönyv az ExpressRoute-infrastruktúrára (az átjáróra és a fizikai útválasztókra) gyakorolt extra nyomás miatt több problémát is bemutat. Ez a további nyomás csomagcsökkenést okozhat.

A központosított NVA-kkal rendelkező küllős hálózati kialakításokban a berendezés általában a központba kerül. A küllős virtuális hálózatok közötti virtuális hálózati társviszonyokat manuálisan vagy automatikusan kell létrehozni az Azure Virtual Network Managerrel:

  • Manuális virtuális hálózati társviszonyok. Ez a megközelítés akkor elegendő, ha kevés küllős virtuális hálózattal rendelkezik, de nagy léptékű felügyeleti többletterhelést okoz.

  • Azure Virtual Network Manager. Ahogy korábban már említettük, az Azure Virtual Network Manager a virtuális hálózati környezetek és társviszonyok nagy léptékű kezelésére szolgáló funkciókat biztosít. A küllős virtuális hálózatok közötti társviszony-létesítési konfigurációk automatikusan kétirányúan vannak konfigurálva a hálózati csoportok számára.

    Az Azure Virtual Network Manager lehetővé teszi a küllős virtuális hálózati tagságok statikus vagy dinamikus hozzáadását egy adott hálózati csoporthoz, amely automatikusan létrehozza a társviszony-létesítési kapcsolatot az új tagok számára. A hálózati csoportok küllős virtuális hálózatai a központi VPN- vagy ExpressRoute-átjárókat használhatják a kapcsolatokhoz. Ügyeljen arra, hogy az Azure Virtual Network Manager maximális korlátja alatt maradjon.

2. minta: Egyrégió

Az alábbi ábrán egy egyrégiós küllős topológia látható, amely a küllők közötti forgalmat a központi virtuális hálózaton üzembe helyezett Azure-tűzfalon keresztül küldi el. A rendszer a küllős alhálózatokra alkalmazott, felhasználó által megadott útvonalakon továbbítja a forgalmat a központosított berendezésnek a központban.

A központosított NVA-n keresztül összekapcsolt küllőkkel rendelkező alapszintű küllős kialakítást bemutató hálózati diagram.

Bizonyos körülmények között előnyös lehet elkülöníteni a küllős és internetes forgalmat kezelő hálózati virtuális berendezéseket a méretezhetőség érdekében. Ezt az elkülönítést a következő módon végezheti el:

  • A küllők útvonaltábláinak finomhangolása magáncímek (az RFC 1918 előtagokhoz tartozó útvonallal rendelkezők) küldésére egy Olyan NVA-nak, amely az Azure-ból az Azure-ba és az Azure-ból a helyszíni forgalomba (más néven kelet-nyugati forgalom) felelős.
  • Az internetes forgalom (amelynek 0.0.0.0/0 útvonala van) hangolása egy második NVA-ra. Ez az NVA felelős az Azure-ból az internetre irányuló forgalomért (más néven észak-déli forgalomért).

Az alábbi ábrán ez a konfiguráció látható:

Hálózati diagram, amely egy alapszintű küllős kialakítást mutat be, két központosított NVA-n keresztül csatlakozva az internethez és a magánforgalomhoz.

Feljegyzés

Az Azure-tűzfal megköveteli, hogy csak egy Azure Firewall-erőforrás legyen üzembe helyezve egy virtuális hálózaton. Ezért további Azure Firewall-erőforrásokhoz külön központi virtuális hálózatra van szükség. NVA-forgatókönyvek esetén egyetlen központi virtuális hálózatot használhat további NVA-üzemelő példányokhoz.

2. minta: Több régió

Ugyanazt a konfigurációt több régióra is kiterjesztheti. Az Azure Firewallt használó küllős kialakításban például további útvonaltáblákat kell alkalmaznia a küllőkhöz a távoli régióban lévő küllőkhöz az egyes központokban található Azure Firewall-alhálózatokon. Ez a konfiguráció biztosítja, hogy a régiók közötti forgalom továbbítható legyen az egyes központi virtuális hálózatok Azure-tűzfalai között. A küllős virtuális hálózatok közötti régiók közötti forgalom ezután mindkét Azure-tűzfalon áthalad. További információkért tekintse meg az Azure Firewallt egy többközpontos és küllős topológia irányításához:

Hálózati diagram, amely kétrégiós küllős küllős kialakítást jelenít meg a központokban található NVA-kon keresztül.

A többrégiós küllős topológiában az észak-déli és a kelet-nyugati forgalomhoz külön Azure-tűzfalakkal vagy hálózati virtuális berendezésekkel rendelkező tervezési változat is lehetséges:

Kétrégiós küllős kialakítást ábrázoló hálózati diagram, amely az egyes régiók kelet-nyugati és észak-déli tűzfalaival rendelkezik.

Feljegyzés

Az Azure-tűzfal megköveteli, hogy csak egy Azure Firewall-erőforrás legyen üzembe helyezve egy virtuális hálózaton. Ezért további Azure Firewall-erőforrásokhoz külön központi virtuális hálózatra van szükség. NVA-forgatókönyvek esetén egyetlen központi virtuális hálózatot használhat további NVA-üzemelő példányokhoz.

A Virtual WAN hasonló topológiát hoz létre, és átveszi az útválasztás összetettségét. Ez mind a központokban (amelyeket a Microsoft felügyel), mind a küllőkben (ahol az útvonalak injektálhatók, és nem kell manuálisan definiálni az útvonaltáblákban). A hálózati rendszergazdának tehát csak a küllős virtuális hálózatokat kell csatlakoztatnia egy Virtual WAN-központhoz, és nem kell aggódnia a régiók közötti forgalom átirányítása miatt.

Hálózati diagram, amely egy Virtual WAN-kialakítást jelenít meg a Virtual WAN-on keresztül csatlakoztatott küllőkkel.

Hibrid minták

Sok esetben olyan hibrid megközelítésre van szükség, amely egyesíti a korábban ismertetett két mintát. Ebben a megközelítésben bizonyos küllők közötti forgalomnak közvetlen kapcsolatokon kell áthaladnia, de a küllők többi része egy központi hálózati berendezésen keresztül kommunikál. Virtuális WAN-környezetben például közvetlenül csatlakoztathat két olyan küllőt, amelyek nagy sávszélességre és alacsony késésre vonatkozó követelményekkel rendelkeznek. Egy másik forgatókönyv a küllős virtuális hálózatokat foglalja magában, amelyek egyetlen környezet részei. Engedélyezheti például, hogy a küllős fejlesztési virtuális hálózatok közvetlenül csatlakozzanak egy másik küllős fejlesztői virtuális hálózathoz, de a fejlesztési és éles számítási feladatoknak a központi berendezésen keresztüli kommunikációra kell kényszerítenie.

Kétrégiós küllős kialakítást ábrázoló hálózati diagram, amelyen egyes küllők virtuális hálózati társviszonyokon keresztül csatlakoznak.

Egy másik gyakori minta magában foglalja a küllők csatlakoztatását egy régióban közvetlen virtuális hálózati társviszonyok vagy Azure Virtual Network Manager csatlakoztatott csoportok révén, de lehetővé teszi a régiók közötti forgalmat az NVA-k között. A modell fő motivációja általában az architektúra virtuális hálózati társviszonyainak számának csökkentése. Az első modellhez (küllők közötti közvetlen kapcsolat) képest azonban az ebben a modellben bevezetett egyik hátránya a régiók közötti forgalom virtuális hálózati társviszony-létesítési ugrásai. Ezek a ugrások növelik a költségeket, mert több virtuális hálózati társviszony van átlépve. Egy másik hátránya az, hogy a központi NVA-k többletterhelése minden régióközi forgalom előtt áll.

Kétrégiós küllős kialakítást bemutató hálózati diagram. Az egyetlen régióban lévő küllők virtuális hálózati társviszony-létesítésen keresztül csatlakoznak egymáshoz.

Ugyanezek a kialakítások érvényesek a Virtual WAN-ra is. Az egyik szempont azonban az, hogy a küllős virtuális hálózatok közötti közvetlen kapcsolatot manuálisan kell konfigurálni a virtuális hálózatok között, nem pedig a Virtual WAN-erőforráson keresztül. Az Azure Virtual Network Manager jelenleg nem támogatja a Virtual WAN-alapú architektúrákat. Példa:

Hálózati diagram, amely egy Virtual WAN-kialakítást mutat be, amely a Virtual WAN-on keresztül csatlakoztatott küllőkkel és néhány virtuális hálózati társviszonysal rendelkezik.

Feljegyzés

Hibrid megközelítések esetén fontos tisztában lenni azzal, hogy a virtuális hálózatok közötti társviszony-létesítésen keresztüli közvetlen kapcsolat propagálja a csatlakozó virtuális hálózatok rendszerútvonalait, amelyek gyakran pontosabbak, mint az útvonaltáblákon konfigurált egyéni útvonalak. Ezért a virtuális hálózat társviszony-létesítési útvonala előnyben részesíti azokat az egyéni útvonalakat, amelyek a leghosszabb előtagegyeztetési útvonal kiválasztását követik.

Kevésbé gyakori esetekben azonban, ha egy rendszerútvonal és egy egyéni, felhasználó által megadott útvonal is ugyanazzal a címelőtaggal rendelkezik, a felhasználó által megadott útvonal elsőbbséget élvez a rendszerútvonalakkal szemben (amelyeket a virtuális hálózatok közötti társviszony-létesítés automatikusan hoz létre). Ez a viselkedés küllős virtuális hálózati forgalmat eredményez, amely a központi virtuális hálózaton keresztül halad át, még akkor is, ha társviszony-létesítés révén közvetlen kapcsolat van.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerzők:

Egyéb közreműködők:

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések