Hagyományos Azure hálózati topológia
Fontos
Próbálja ki az új topológia (előzetes verzió) felületet, amely az Azure-erőforrások vizualizációját kínálja a készletkezelés és a hálózat nagy léptékű monitorozása érdekében. A Topológia előzetes verziójával megjelenítheti az erőforrásokat és azok függőségeit az előfizetések, régiók és helyek között. Erre a hivatkozásra kattintva navigálhat a felületre.
Megismerheti a Microsoft Azure hálózati topológiáit övező legfontosabb tervezési szempontokat és javaslatokat.
1. ábra: Egy hagyományos Azure-hálózati topológia.
Kialakítási szempontok:
A különböző hálózati topológiák több célzóna virtuális hálózatot is csatlakoztathatnak. A hálózati topológiák közé tartozik például egy nagy méretű, lapos virtuális hálózat, több, több Azure ExpressRoute-kapcsolatcsoporttal vagy kapcsolattal összekapcsolt virtuális hálózat, küllős, teljes hálós és hibrid.
A virtuális hálózatok nem tudják átlépni az előfizetés határait. A virtuális hálózatok közötti kapcsolatot azonban különböző előfizetések között virtuális hálózatok közötti társviszony-létesítéssel, ExpressRoute-kapcsolatcsoporttal vagy VPN-átjárókkal érheti el.
A virtuális hálózatok közötti társviszony-létesítés az Előnyben részesített módszer a virtuális hálózatok Azure-beli csatlakoztatásához. A virtuális hálózatok közötti társviszony-létesítéssel összekapcsolhat virtuális hálózatokat ugyanabban a régióban, különböző Azure-régiókban és különböző Microsoft Entra-bérlőkben.
A virtuális hálózatok közötti társviszony és a globális virtuális hálózatok közötti társviszony-létesítés nem tranzitív. A tranzithálózat engedélyezéséhez felhasználó által meghatározott útvonalakra (UDR-ekre) és hálózati virtuális berendezésekre (NVA-kra) van szükség. További információ: Küllős hálózati topológia az Azure-ban.
Az Azure DDoS Protection-csomagot egyetlen Microsoft Entra-bérlő összes virtuális hálózatában megoszthatja, hogy nyilvános IP-címekkel védje az erőforrásokat. További információ: Azure DDoS Protection.
Az Azure DDoS Protection-csomagok csak nyilvános IP-címmel rendelkező erőforrásokra vonatkoznak.
Az Azure DDoS Protection-csomagok költsége 100 nyilvános IP-címet tartalmaz a DDoS Protection-csomaghoz társított összes védett virtuális hálózatban. A további erőforrások védelme külön költséggel érhető el. Az Azure DDoS Protection csomag díjszabásával kapcsolatos további információkért tekintse meg az Azure DDoS Protection díjszabási oldalát vagy a gyakori kérdéseket.
Tekintse át az Azure DDoS Protection-csomagok támogatott erőforrásait.
ExpressRoute-kapcsolatcsoportokkal létesíthet kapcsolatot az ugyanazon geopolitikai régión belüli virtuális hálózatok között, vagy a prémium bővítmény használatával a geopolitikai régiók közötti kapcsolatokhoz. Tartsa szem előtt az alábbi szempontokat:
A hálózati forgalom nagyobb késést tapasztalhat, mivel a forgalomnak a Microsoft Enterprise Edge (M Standard kiadás E) útválasztóin kell lennie.
Az ExpressRoute-átjáró termékváltozata korlátozza a sávszélességet.
Az UDR-ek üzembe helyezése és kezelése, ha az UDR-eket meg kell vizsgálnia vagy naplóznia kell a virtuális hálózatok közötti forgalom szempontjából.
A Border Gateway Protocol (BGP) protokollal rendelkező VPN-átjárók tranzitívek az Azure-on és a helyszíni hálózatokon belül, de alapértelmezés szerint nem biztosítanak tranzitív hozzáférést az ExpressRoute-on keresztül csatlakoztatott hálózatokhoz. Ha tranzitív hozzáférésre van szüksége az ExpressRoute-on keresztül csatlakoztatott hálózatokhoz, fontolja meg az Azure Route Servert.
Ha több ExpressRoute-kapcsolatcsoportot csatlakoztat ugyanahhoz a virtuális hálózathoz, használjon kapcsolati súlyokat és BGP-technikákat a helyszíni hálózatok és az Azure közötti forgalom optimális útvonalának biztosításához. További információ: Az ExpressRoute-útválasztás optimalizálása.
Az ExpressRoute-útválasztást BGP-metrikák használatával az Azure-platformon kívül végzett konfigurációmódosítások befolyásolják. A szervezetnek vagy a kapcsolatszolgáltatónak ennek megfelelően kell konfigurálnia a helyszíni útválasztókat.
A prémium szintű bővítményekkel rendelkező ExpressRoute-kapcsolatcsoportok globális kapcsolatot biztosítanak.
Az ExpressRoute bizonyos korlátozásokkal rendelkezik; ExpressRoute-átjárónként maximális számú ExpressRoute-kapcsolat van, és az ExpressRoute privát társviszony-létesítése képes azonosítani az Azure-ból a helyszínire vezető útvonalak maximális számát. Az ExpressRoute-korlátokról további információt az ExpressRoute korlátai című témakörben talál.
A VPN-átjáró maximális összesített átviteli sebessége másodpercenként 10 gigabites. A VPN-átjárók legfeljebb 100 helyek közötti vagy hálózati alagutat támogatnak.
Ha egy NVA az architektúra része, fontolja meg az Azure Route Server használatát a hálózati virtuális berendezés (NVA) és a virtuális hálózat közötti dinamikus útválasztás egyszerűsítése érdekében. Az Azure Route Server lehetővé teszi az útválasztási adatok közvetlen cseréjét a Border Gateway Protocol (BGP) útválasztási protokollon keresztül bármely olyan NVA között, amely támogatja a BGP útválasztási protokollt és az Azure-beli szoftveralapú hálózatot (SDN) az Azure-beli virtuális hálózaton (VNet) anélkül, hogy manuálisan konfigurálnia vagy karbantartania kellene az útvonaltáblákat.
Tervezési javaslatok:
Fontolja meg a hagyományos küllős hálózati topológián alapuló hálózattervezést a következő forgatókönyvek esetében:
Egyetlen Azure-régióban üzembe helyezett hálózati architektúra.
Több Azure-régiót felölelő hálózati architektúra, amely nem igényel tranzitív kapcsolatot a virtuális hálózatok között a különböző régiók célzónáihoz.
Több Azure-régiót és globális virtuális hálózatok közötti társviszony-létesítést átfogó hálózati architektúra, amely összekapcsolhatja a virtuális hálózatokat az Azure-régiók között.
Nincs szükség átmenő kapcsolatra a VPN és az ExpressRoute kapcsolatok között.
A fő hibrid kapcsolati módszer az ExpressRoute, és a VPN-kapcsolatok száma VPN-átjárónként kevesebb, mint 100.
A központosított NVA-któl és a részletes útválasztástól függ.
A regionális üzemelő példányokhoz elsősorban a küllős topológiát használja. A következő forgatókönyvekhez használjon olyan célzóna virtuális hálózatokat, amelyek virtuális hálózatok közötti társviszony-létesítéssel csatlakoznak egy központi központi virtuális hálózathoz:
Helyszíni kapcsolat az ExpressRoute-on keresztül.
VPN az ágkapcsolathoz.
Küllős kapcsolatok NVA-n és UDR-n keresztül.
Internet-kimenő védelem az Azure Firewallon vagy más külső NVA-n keresztül.
Az alábbi ábrán a küllős topológia látható. Ez a konfiguráció lehetővé teszi, hogy a megfelelő forgalomszabályozás megfeleljen a szegmentálásra és az ellenőrzésre vonatkozó legtöbb követelménynek.
2. ábra: Küllős hálózati topológia.
Használja több, több ExpressRoute-kapcsolatcsoporttal összekapcsolt virtuális hálózat topológiáját, ha az alábbi feltételek egyike igaz:
Magas szintű elkülönítésre van szükség.
Dedikált ExpressRoute-sávszélességre van szükség adott üzleti egységekhez.
Elérte az ExpressRoute-átjárónkénti kapcsolatok maximális számát (a maximális számra vonatkozó ExpressRoute-korlátokról szóló cikkben).
Az alábbi ábrán ez a topológia látható.
3. ábra: Több, több ExpressRoute-kapcsolatcsoporthoz csatlakoztatott virtuális hálózat.
Helyezzen üzembe minimális megosztott szolgáltatásokat, beleértve az ExpressRoute-átjárókat, a VPN-átjárókat (igény szerint) és az Azure Firewallt vagy a partner NVA-kat (igény szerint) a központi virtuális hálózaton. Ha szükséges, helyezzen üzembe Active Directory-tartományvezérlőket és DNS-kiszolgálókat is.
Az Azure Firewall vagy a partner NVA-k üzembe helyezése a központi központi virtuális hálózaton a kelet-nyugati vagy déli/északi forgalomvédelemhez és -szűréshez.
Partnerhálózati technológiák vagy NVA-k telepítésekor kövesse a partnerszállító útmutatását annak biztosításához, hogy:
A szállító támogatja az üzembe helyezést.
Az útmutató támogatja a magas rendelkezésre állást és a maximális teljesítményt.
Nincsenek ütköző konfigurációk az Azure-hálózatkezeléssel.
Ne helyezzen üzembe 7. rétegbeli bejövő NVA-kat, például Azure-alkalmazás Átjárót megosztott szolgáltatásként a központi központi virtuális hálózaton. Ehelyett helyezze üzembe őket az alkalmazással együtt a saját célzónájukban.
Egyetlen Standard Azure DDoS-védelmi csomag üzembe helyezése a kapcsolati előfizetésben.
- Ezt a tervet minden kezdőzóna- és platform-virtuális hálózatnak használnia kell.
A meglévő hálózat, a többprotocol címkeváltás és az SD-WAN használatával kapcsolhatja össze az ághelyeket a vállalati központtal. Ha nem használja az Azure Route Servert, akkor az ExpressRoute és a VPN-átjárók közötti azure-beli átvitel nem támogatott.
Ha küllős forgatókönyvben az ExpressRoute és a VPN-átjárók közötti tranzittivitásra van szüksége, használja az Azure Route Servert a jelen referenciaforgatókönyvben leírtak szerint.
Ha több Azure-régióban van küllős hálózata, és néhány kezdőzónának régiók közötti kapcsolatot kell létesítenie, a globális virtuális hálózatok közötti társviszony-létesítéssel közvetlenül csatlakoztathatja a forgalmat egymáshoz irányítandó célzóna-virtuális hálózatokat. A kommunikáló virtuális gép termékváltozatától függően a globális virtuális hálózatok közötti társviszony-létesítés magas hálózati átviteli sebességet biztosíthat. A közvetlen társviszonyban lévő kezdőzóna virtuális hálózatai közötti forgalom áthalad a központi virtuális hálózatokon belüli NVA-kon. A globális virtuális hálózatok közötti társviszony-létesítés korlátozásai a forgalomra vonatkoznak.
Ha több Azure-régióban van küllős hálózata, és a legtöbb kezdőzónának régiók között kell csatlakoznia (vagy ha közvetlen társviszony-létesítést használ a központi NVA-k megkerüléséhez, nem kompatibilis a biztonsági követelményekkel), használja a központi NVA-kat az egyes régiókban lévő központi virtuális hálózatok összekapcsolására és a régiók közötti forgalom irányítására. A globális virtuális hálózatok közötti társviszony-létesítés vagy az ExpressRoute-kapcsolatcsoportok a következő módokon segíthetnek a központi virtuális hálózatok összekapcsolásában:
A globális virtuális hálózatok közötti társviszony-létesítés alacsony késést és nagy átviteli sebességet biztosít, de forgalmi díjakat hoz létre.
Az ExpressRoute-on keresztüli útválasztás nagyobb késéshez vezethet (az M Standard kiadás E-szőrszál miatt), és a kiválasztott ExpressRoute-átjáró termékváltozata korlátozza az átviteli sebességet.
Az alábbi ábrán mindkét lehetőség látható:
4. ábra: A hub-központ közötti kapcsolat beállításai.
Ha két Azure-régiónak kell csatlakoznia, használja a globális virtuális hálózatok közötti társviszony-létesítést mindkét központi virtuális hálózat összekapcsolásához.
Ha több mint két Azure-régiónak kell csatlakoznia, javasoljuk, hogy az egyes régiók központi virtuális hálózatai ugyanahhoz az ExpressRoute-kapcsolatcsoporthoz csatlakozzanak. A globális virtuális hálózatok közötti társviszony-létesítéshez számos társviszony-létesítési kapcsolat és a felhasználó által meghatározott útvonalak (UDR- k) összetett készlete szükséges több virtuális hálózaton. Az alábbi ábra bemutatja, hogyan csatlakoztathatók küllős hálózatok három régióban:
5. ábra: Az ExpressRoute több régió közötti központ-központ kapcsolatot biztosít.
Ha ExpressRoute-kapcsolatcsoportokat használ a régiók közötti kapcsolatokhoz, a különböző régiókban lévő küllők közvetlenül kommunikálnak, és megkerülik a tűzfalat, mert BGP-útvonalakon keresztül tanulnak a távoli központ küllőihez. Ha a küllők közötti forgalom vizsgálatához a központi virtuális hálózatok tűzfal NVA-jaira van szüksége, az alábbi lehetőségek egyikét kell implementálnia:
Hozzon létre pontosabb útvonalbejegyzéseket a küllős UDR-ekben a helyi központi virtuális hálózat tűzfalához, hogy átirányítsa a forgalmat a központok között.
Az útvonalkonfiguráció egyszerűsítése érdekében tiltsa le a BGP propagálását a küllős útvonaltáblákon.
Ha a szervezetnek küllős hálózati architektúrákra van szüksége több mint két Azure-régióban, és globális tranzitkapcsolatra van szükség a célzónák virtuális hálózatai között az Azure-régiók között, és minimalizálni szeretné a hálózatkezelési többletterhelést, javasoljuk a Virtual WAN-on alapuló felügyelt globális átviteli hálózati architektúrát.
Helyezze üzembe az egyes régiók központi hálózati erőforrásait külön erőforráscsoportokba, és rendezze őket az egyes üzembe helyezett régiókba.
Az Azure Virtual Network Manager használatával globálisan kezelheti a virtuális hálózatok kapcsolatát és biztonsági konfigurációját az előfizetések között.
Az Azure Monitor for Networks használatával monitorozza a hálózatok végpontok közötti állapotát az Azure-ban.
A küllős virtuális hálózatok központi központi virtuális hálózathoz való csatlakoztatásakor a következő két korlátot kell figyelembe vennie:
- A virtuális hálózatok közötti társviszony-létesítési kapcsolatok maximális száma virtuális hálózatonként.
- A privát társviszony-létesítéssel rendelkező ExpressRoute által meghirdetett előtagok maximális száma az Azure-ból a helyszínre.
Győződjön meg arról, hogy a központi virtuális hálózathoz csatlakoztatott küllős virtuális hálózatok száma nem haladja meg ezeket a korlátokat.