Hagyományos Azure hálózati topológia

  • Cikk

Fontos

Próbálja ki az új topológia (előzetes verzió) felületet, amely az Azure-erőforrások vizualizációját kínálja a készletkezelés és a hálózat nagy léptékű monitorozása érdekében. A Topológia előzetes verziójával megjelenítheti az erőforrásokat és azok függőségeit az előfizetések, régiók és helyek között. Erre a hivatkozásra kattintva navigálhat a felületre.

Megismerheti a Microsoft Azure hálózati topológiáit övező legfontosabb tervezési szempontokat és javaslatokat.

Diagram that illustrates a traditional Azure network topology.

1. ábra: Egy hagyományos Azure-hálózati topológia.

Kialakítási szempontok:

  • A különböző hálózati topológiák több célzóna virtuális hálózatot is csatlakoztathatnak. A hálózati topológiák közé tartozik például egy nagy méretű, lapos virtuális hálózat, több, több Azure ExpressRoute-kapcsolatcsoporttal vagy kapcsolattal összekapcsolt virtuális hálózat, küllős, teljes hálós és hibrid.

  • A virtuális hálózatok nem tudják átlépni az előfizetés határait. A virtuális hálózatok közötti kapcsolatot azonban különböző előfizetések között virtuális hálózatok közötti társviszony-létesítéssel, ExpressRoute-kapcsolatcsoporttal vagy VPN-átjárókkal érheti el.

  • A virtuális hálózatok közötti társviszony-létesítés az Előnyben részesített módszer a virtuális hálózatok Azure-beli csatlakoztatásához. A virtuális hálózatok közötti társviszony-létesítéssel összekapcsolhat virtuális hálózatokat ugyanabban a régióban, különböző Azure-régiókban és különböző Microsoft Entra-bérlőkben.

  • A virtuális hálózatok közötti társviszony és a globális virtuális hálózatok közötti társviszony-létesítés nem tranzitív. A tranzithálózat engedélyezéséhez felhasználó által meghatározott útvonalakra (UDR-ekre) és hálózati virtuális berendezésekre (NVA-kra) van szükség. További információ: Küllős hálózati topológia az Azure-ban.

  • Az Azure DDoS Protection-csomagot egyetlen Microsoft Entra-bérlő összes virtuális hálózatában megoszthatja, hogy nyilvános IP-címekkel védje az erőforrásokat. További információ: Azure DDoS Protection.

    • Az Azure DDoS Protection-csomagok csak nyilvános IP-címmel rendelkező erőforrásokra vonatkoznak.

    • Az Azure DDoS Protection-csomagok költsége 100 nyilvános IP-címet tartalmaz a DDoS Protection-csomaghoz társított összes védett virtuális hálózatban. A további erőforrások védelme külön költséggel érhető el. Az Azure DDoS Protection csomag díjszabásával kapcsolatos további információkért tekintse meg az Azure DDoS Protection díjszabási oldalát vagy a gyakori kérdéseket.

    • Tekintse át az Azure DDoS Protection-csomagok támogatott erőforrásait.

  • ExpressRoute-kapcsolatcsoportokkal létesíthet kapcsolatot az ugyanazon geopolitikai régión belüli virtuális hálózatok között, vagy a prémium bővítmény használatával a geopolitikai régiók közötti kapcsolatokhoz. Tartsa szem előtt az alábbi szempontokat:

    • A hálózati forgalom nagyobb késést tapasztalhat, mivel a forgalomnak a Microsoft Enterprise Edge (M Standard kiadás E) útválasztóin kell lennie.

    • Az ExpressRoute-átjáró termékváltozata korlátozza a sávszélességet.

    • Az UDR-ek üzembe helyezése és kezelése, ha az UDR-eket meg kell vizsgálnia vagy naplóznia kell a virtuális hálózatok közötti forgalom szempontjából.

  • A Border Gateway Protocol (BGP) protokollal rendelkező VPN-átjárók tranzitívek az Azure-on és a helyszíni hálózatokon belül, de alapértelmezés szerint nem biztosítanak tranzitív hozzáférést az ExpressRoute-on keresztül csatlakoztatott hálózatokhoz. Ha tranzitív hozzáférésre van szüksége az ExpressRoute-on keresztül csatlakoztatott hálózatokhoz, fontolja meg az Azure Route Servert.

  • Ha több ExpressRoute-kapcsolatcsoportot csatlakoztat ugyanahhoz a virtuális hálózathoz, használjon kapcsolati súlyokat és BGP-technikákat a helyszíni hálózatok és az Azure közötti forgalom optimális útvonalának biztosításához. További információ: Az ExpressRoute-útválasztás optimalizálása.

  • Az ExpressRoute-útválasztást BGP-metrikák használatával az Azure-platformon kívül végzett konfigurációmódosítások befolyásolják. A szervezetnek vagy a kapcsolatszolgáltatónak ennek megfelelően kell konfigurálnia a helyszíni útválasztókat.

  • A prémium szintű bővítményekkel rendelkező ExpressRoute-kapcsolatcsoportok globális kapcsolatot biztosítanak.

  • Az ExpressRoute bizonyos korlátozásokkal rendelkezik; ExpressRoute-átjárónként maximális számú ExpressRoute-kapcsolat van, és az ExpressRoute privát társviszony-létesítése képes azonosítani az Azure-ból a helyszínire vezető útvonalak maximális számát. Az ExpressRoute-korlátokról további információt az ExpressRoute korlátai című témakörben talál.

  • A VPN-átjáró maximális összesített átviteli sebessége másodpercenként 10 gigabites. A VPN-átjárók legfeljebb 100 helyek közötti vagy hálózati alagutat támogatnak.

  • Ha egy NVA az architektúra része, fontolja meg az Azure Route Server használatát a hálózati virtuális berendezés (NVA) és a virtuális hálózat közötti dinamikus útválasztás egyszerűsítése érdekében. Az Azure Route Server lehetővé teszi az útválasztási adatok közvetlen cseréjét a Border Gateway Protocol (BGP) útválasztási protokollon keresztül bármely olyan NVA között, amely támogatja a BGP útválasztási protokollt és az Azure-beli szoftveralapú hálózatot (SDN) az Azure-beli virtuális hálózaton (VNet) anélkül, hogy manuálisan konfigurálnia vagy karbantartania kellene az útvonaltáblákat.

Tervezési javaslatok:

  • Fontolja meg a hagyományos küllős hálózati topológián alapuló hálózattervezést a következő forgatókönyvek esetében:

    • Egyetlen Azure-régióban üzembe helyezett hálózati architektúra.

    • Több Azure-régiót felölelő hálózati architektúra, amely nem igényel tranzitív kapcsolatot a virtuális hálózatok között a különböző régiók célzónáihoz.

    • Több Azure-régiót és globális virtuális hálózatok közötti társviszony-létesítést átfogó hálózati architektúra, amely összekapcsolhatja a virtuális hálózatokat az Azure-régiók között.

    • Nincs szükség átmenő kapcsolatra a VPN és az ExpressRoute kapcsolatok között.

    • A fő hibrid kapcsolati módszer az ExpressRoute, és a VPN-kapcsolatok száma VPN-átjárónként kevesebb, mint 100.

    • A központosított NVA-któl és a részletes útválasztástól függ.

  • A regionális üzemelő példányokhoz elsősorban a küllős topológiát használja. A következő forgatókönyvekhez használjon olyan célzóna virtuális hálózatokat, amelyek virtuális hálózatok közötti társviszony-létesítéssel csatlakoznak egy központi központi virtuális hálózathoz:

    • Helyszíni kapcsolat az ExpressRoute-on keresztül.

    • VPN az ágkapcsolathoz.

    • Küllős kapcsolatok NVA-n és UDR-n keresztül.

    • Internet-kimenő védelem az Azure Firewallon vagy más külső NVA-n keresztül.

Az alábbi ábrán a küllős topológia látható. Ez a konfiguráció lehetővé teszi, hogy a megfelelő forgalomszabályozás megfeleljen a szegmentálásra és az ellenőrzésre vonatkozó legtöbb követelménynek.

Diagram that illustrates a hub-and-spoke network topology.

2. ábra: Küllős hálózati topológia.

  • Használja több, több ExpressRoute-kapcsolatcsoporttal összekapcsolt virtuális hálózat topológiáját, ha az alábbi feltételek egyike igaz:

    • Magas szintű elkülönítésre van szükség.

    • Dedikált ExpressRoute-sávszélességre van szükség adott üzleti egységekhez.

    • Elérte az ExpressRoute-átjárónkénti kapcsolatok maximális számát (a maximális számra vonatkozó ExpressRoute-korlátokról szóló cikkben).

Az alábbi ábrán ez a topológia látható.

Diagram that illustrates multiple virtual networks connected with multiple ExpressRoute circuits.

3. ábra: Több, több ExpressRoute-kapcsolatcsoporthoz csatlakoztatott virtuális hálózat.

  • Helyezzen üzembe minimális megosztott szolgáltatásokat, beleértve az ExpressRoute-átjárókat, a VPN-átjárókat (igény szerint) és az Azure Firewallt vagy a partner NVA-kat (igény szerint) a központi virtuális hálózaton. Ha szükséges, helyezzen üzembe Active Directory-tartományvezérlőket és DNS-kiszolgálókat is.

  • Az Azure Firewall vagy a partner NVA-k üzembe helyezése a központi központi virtuális hálózaton a kelet-nyugati vagy déli/északi forgalomvédelemhez és -szűréshez.

  • Partnerhálózati technológiák vagy NVA-k telepítésekor kövesse a partnerszállító útmutatását annak biztosításához, hogy:

    • A szállító támogatja az üzembe helyezést.

    • Az útmutató támogatja a magas rendelkezésre állást és a maximális teljesítményt.

    • Nincsenek ütköző konfigurációk az Azure-hálózatkezeléssel.

  • Ne helyezzen üzembe 7. rétegbeli bejövő NVA-kat, például Azure-alkalmazás Átjárót megosztott szolgáltatásként a központi központi virtuális hálózaton. Ehelyett helyezze üzembe őket az alkalmazással együtt a saját célzónájukban.

  • Egyetlen Standard Azure DDoS-védelmi csomag üzembe helyezése a kapcsolati előfizetésben.

    • Ezt a tervet minden kezdőzóna- és platform-virtuális hálózatnak használnia kell.

  • A meglévő hálózat, a többprotocol címkeváltás és az SD-WAN használatával kapcsolhatja össze az ághelyeket a vállalati központtal. Ha nem használja az Azure Route Servert, akkor az ExpressRoute és a VPN-átjárók közötti azure-beli átvitel nem támogatott.

  • Ha küllős forgatókönyvben az ExpressRoute és a VPN-átjárók közötti tranzittivitásra van szüksége, használja az Azure Route Servert a jelen referenciaforgatókönyvben leírtak szerint.

    Diagram that illustrates transitivity between ER and VPN gateways with Azure Route Server.

  • Ha több Azure-régióban van küllős hálózata, és néhány kezdőzónának régiók közötti kapcsolatot kell létesítenie, a globális virtuális hálózatok közötti társviszony-létesítéssel közvetlenül csatlakoztathatja a forgalmat egymáshoz irányítandó célzóna-virtuális hálózatokat. A kommunikáló virtuális gép termékváltozatától függően a globális virtuális hálózatok közötti társviszony-létesítés magas hálózati átviteli sebességet biztosíthat. A közvetlen társviszonyban lévő kezdőzóna virtuális hálózatai közötti forgalom áthalad a központi virtuális hálózatokon belüli NVA-kon. A globális virtuális hálózatok közötti társviszony-létesítés korlátozásai a forgalomra vonatkoznak.

  • Ha több Azure-régióban van küllős hálózata, és a legtöbb kezdőzónának régiók között kell csatlakoznia (vagy ha közvetlen társviszony-létesítést használ a központi NVA-k megkerüléséhez, nem kompatibilis a biztonsági követelményekkel), használja a központi NVA-kat az egyes régiókban lévő központi virtuális hálózatok összekapcsolására és a régiók közötti forgalom irányítására. A globális virtuális hálózatok közötti társviszony-létesítés vagy az ExpressRoute-kapcsolatcsoportok a következő módokon segíthetnek a központi virtuális hálózatok összekapcsolásában:

    • A globális virtuális hálózatok közötti társviszony-létesítés alacsony késést és nagy átviteli sebességet biztosít, de forgalmi díjakat hoz létre.

    • Az ExpressRoute-on keresztüli útválasztás nagyobb késéshez vezethet (az M Standard kiadás E-szőrszál miatt), és a kiválasztott ExpressRoute-átjáró termékváltozata korlátozza az átviteli sebességet.

Az alábbi ábrán mindkét lehetőség látható:

Diagram that illustrates options for hub-to-hub connectivity.

4. ábra: A hub-központ közötti kapcsolat beállításai.

  • Ha két Azure-régiónak kell csatlakoznia, használja a globális virtuális hálózatok közötti társviszony-létesítést mindkét központi virtuális hálózat összekapcsolásához.

  • Ha több mint két Azure-régiónak kell csatlakoznia, javasoljuk, hogy az egyes régiók központi virtuális hálózatai ugyanahhoz az ExpressRoute-kapcsolatcsoporthoz csatlakozzanak. A globális virtuális hálózatok közötti társviszony-létesítéshez számos társviszony-létesítési kapcsolat és a felhasználó által meghatározott útvonalak (UDR- k) összetett készlete szükséges több virtuális hálózaton. Az alábbi ábra bemutatja, hogyan csatlakoztathatók küllős hálózatok három régióban:

Diagram that illustrates ExpressRoute providing hub-to-hub connectivity between multiple regions.

5. ábra: Az ExpressRoute több régió közötti központ-központ kapcsolatot biztosít.

  • Ha ExpressRoute-kapcsolatcsoportokat használ a régiók közötti kapcsolatokhoz, a különböző régiókban lévő küllők közvetlenül kommunikálnak, és megkerülik a tűzfalat, mert BGP-útvonalakon keresztül tanulnak a távoli központ küllőihez. Ha a küllők közötti forgalom vizsgálatához a központi virtuális hálózatok tűzfal NVA-jaira van szüksége, az alábbi lehetőségek egyikét kell implementálnia:

  • Ha a szervezetnek küllős hálózati architektúrákra van szüksége több mint két Azure-régióban, és globális tranzitkapcsolatra van szükség a célzónák virtuális hálózatai között az Azure-régiók között, és minimalizálni szeretné a hálózatkezelési többletterhelést, javasoljuk a Virtual WAN-on alapuló felügyelt globális átviteli hálózati architektúrát.

  • Helyezze üzembe az egyes régiók központi hálózati erőforrásait külön erőforráscsoportokba, és rendezze őket az egyes üzembe helyezett régiókba.

  • Az Azure Virtual Network Manager használatával globálisan kezelheti a virtuális hálózatok kapcsolatát és biztonsági konfigurációját az előfizetések között.

  • Az Azure Monitor for Networks használatával monitorozza a hálózatok végpontok közötti állapotát az Azure-ban.

  • A küllős virtuális hálózatok központi központi virtuális hálózathoz való csatlakoztatásakor a következő két korlátot kell figyelembe vennie:

    • A virtuális hálózatok közötti társviszony-létesítési kapcsolatok maximális száma virtuális hálózatonként.
    • A privát társviszony-létesítéssel rendelkező ExpressRoute által meghirdetett előtagok maximális száma az Azure-ból a helyszínre.

    Győződjön meg arról, hogy a központi virtuális hálózathoz csatlakoztatott küllős virtuális hálózatok száma nem haladja meg ezeket a korlátokat.