Sternetwerktopologie met Azure Virtual WAN

Deze hub-spoke-architectuur biedt een alternatieve oplossing voor de referentiearchitecturen hub-spoke-netwerktopologie in Azure en implementeer een beveiligd hybride netwerk.

De hub is een virtueel netwerk in Azure dat fungeert als een centraal punt van connectiviteit met uw on-premises netwerk. De spokes zijn virtuele netwerken die peeren met de hub en kunnen worden gebruikt om workloads te isoleren. Verkeer stroomt tussen de on-premises datacenters en de hub via een ExpressRoute- of VPN-gatewayverbinding. De belangrijkste differentiator van deze benadering is het gebruik van Azure Virtual WAN (VWAN) om hubs te vervangen als een beheerde service.

Deze architectuur bevat de voordelen van de standaard hub-spoke-netwerktopologie en introduceert nieuwe voordelen:

• Minder operationele overhead door bestaande hubs te vervangen door een volledig beheerde VWAN-service.

• Kostenbesparingen door gebruik te maken van een beheerde service en de noodzaak van virtueel netwerkapparaat te verwijderen.

• Verbeterde beveiliging door centraal beheerde beveiligde hubs te introduceren met Azure Firewall en VWAN om beveiligingsrisico's met betrekking tot onjuiste configuratie te minimaliseren.

• Scheiding van problemen tussen centrale IT (SecOps, InfraOps) en workloads (DevOps).

Potentiële gebruikscases

Typische toepassingen voor deze architectuur zijn gevallen waarin:

• Verbinding maken iviteit tussen workloads vereist centrale controle en toegang tot gedeelde services.

• Een onderneming vereist centrale controle over beveiligingsaspecten, zoals een firewall, en vereist gescheiden beheer voor de workloads in elke spoke.

Architectuur

Een Visio-bestand van deze architectuur downloaden.

De architectuur bestaat uit:

• On-premises netwerk. Een lan (Private Local Area Network) dat binnen een organisatie wordt uitgevoerd.

• VPN-apparaat. Een apparaat of service dat een externe verbinding met het on-premises netwerk biedt.

• Virtuele VPN-netwerkgateway of ExpressRoute-gateway. Met de gateway van het virtuele netwerk kan het virtuele netwerk verbinding maken met het VPN-apparaat of het ExpressRoute-circuit , dat wordt gebruikt voor connectiviteit met uw on-premises netwerk.

• Virtual WAN-hub. De Virtual WAN wordt gebruikt als de hub in de hub-spoke-topologie. De hub is het centrale punt van connectiviteit met uw on-premises netwerk en een locatie voor het hosten van services die kunnen worden gebruikt door de verschillende workloads die worden gehost in de virtuele spoke-netwerken.

• Beveiligde virtuele hub. Een Virtual WAN-hub met gekoppeld beveiligings- en routeringsbeleid dat is geconfigureerd door Azure Firewall Manager. Een beveiligde virtuele hub wordt geleverd met een ingebouwde routering, zodat u door de gebruiker gedefinieerde routes niet hoeft te configureren.

• Gatewaysubnet. De virtuele netwerkgateways zijn ondergebracht in hetzelfde subnet.

• Virtuele spoke-netwerken. Een of meer virtuele netwerken die worden gebruikt als spokes in de stertopologie. Spokes kunnen worden gebruikt om workloads in hun eigen virtuele netwerken te isoleren en afzonderlijk van andere spokes te worden beheerd. Elke workload kan meerdere lagen bevatten, met meerdere subnetten die zijn verbonden via Azure-load balancers.

• Peering van virtuele netwerken. Er kunnen twee virtuele netwerken worden verbonden met behulp van een VNet-peeringverbinding. Peeringverbindingen zijn niet-transitieve verbindingen met lage latentie tussen virtuele netwerken. Na peering wisselen virtuele netwerken verkeer uit met behulp van de Azure-backbone, zonder dat er een router nodig is. In een sternetwerktopologie gebruikt u peering van virtuele netwerken om de hub te verbinden met elke spoke. Azure Virtual WAN maakt transitiviteit mogelijk tussen hubs, wat niet alleen mogelijk is met behulp van peering.

Onderdelen

• Azure Virtual Network
• Azure Virtual WAN
• Azure VPN Gateway
• Azure ExpressRoute
• Azure Firewall

Alternatieven

Een hub-spoke-architectuur kan op twee manieren worden bereikt: een door de klant beheerde hubinfrastructuur of een door Microsoft beheerde hubinfrastructuur. In beide gevallen zijn spokes verbonden met de hub met behulp van peering van virtuele netwerken.

Voordelen

Een Visio-bestand van deze architectuur downloaden.

Dit diagram illustreert een aantal voordelen die deze architectuur kan bieden:

• Een volledige meshed hub tussen Azure Virtual Networks
• Vertakking naar Azure-connectiviteit
• Vertakking naar vertakkingsconnectiviteit
• Gemengd gebruik van VPN en Express Route
• Gemengd gebruik van gebruikers-VPN naar de site
• VNET-naar-VNET-connectiviteit

Aanbevelingen

De volgende aanbevelingen zijn van toepassing op de meeste scenario's. Volg deze, tenzij u een specifieke vereiste hebt die deze overschrijft.

Resourcegroepen

De hub en elke spoke kunnen worden geïmplementeerd in verschillende resourcegroepen en, nog beter, in verschillende abonnementen. Wanneer u virtuele netwerken in verschillende abonnementen peert, kunnen beide abonnementen worden gekoppeld aan dezelfde of een andere Microsoft Entra-tenant. Dit maakt een gedecentraliseerd beheer van elke workload mogelijk, terwijl services worden gedeeld die in de hub worden onderhouden.

Virtuele WAN

Maak een Standard Virtual WAN als u een van de volgende vereisten hebt:

• Schalen voor hogere doorvoer

• Privé-Verbinding maken iviteit (vereist Premium Circuit in Global Reach-locatie)

• ExpressRoute VPN Interconnect

• Geïntegreerde bewaking met Azure Monitor (metrische gegevens en resourcestatus)

Standaard virtuele WAN's zijn standaard verbonden in een volledige mesh. Standard Virtual WAN ondersteunt any-to-any-connectiviteit (site-naar-site-VPN, VNet, ExpressRoute, punt-naar-site-eindpunten) in één hub en tussen hubs. Basic Virtual WAN ondersteunt alleen site-naar-site-VPN-connectiviteit, vertakkings-naar-vertakkingsconnectiviteit en vertakkings-naar-VNet-connectiviteit in één hub.

Virtual WAN-hub

een virtuele hub is een virtueel netwerk dat door Microsoft wordt beheerd. De hub bevat verschillende service-eindpunten die verbindingen mogelijk maken. De hub is de kern van uw netwerk in een regio. Er kunnen meerdere hubs per Azure-regio zijn. Zie Veelgestelde vragen over Virtual WAN voor meer informatie.

Wanneer u een hub maakt met behulp van Azure Portal, wordt er een VNet van een virtuele hub en een VPN-gateway voor een virtuele hub gemaakt. Voor een Virtual WAN-hub is minimaal /24 een adresbereik vereist. Deze IP-adresruimte wordt gebruikt voor het reserveren van een subnet voor gateway en andere onderdelen.

Beveiligde virtuele hub

Een virtuele hub kan worden gemaakt als een beveiligde virtuele hub of worden geconverteerd naar een beveiligde hub wanneer deze is gemaakt. Zie Uw virtuele hub beveiligen met Behulp van Azure Firewall Manager voor meer informatie.

GatewaySubnet

Zie voor meer informatie over het instellen van de gateway de volgende referentiearchitecturen, afhankelijk van het verbindingstype:

• Hybride netwerk dat ExpressRoute gebruikt

• Hybride netwerk met behulp van een VPN Gateway

Voor een grotere beschikbaarheid kunt u ExpressRoute plus een VPN gebruiken voor failover. Zie Een on-premises netwerk verbinden met behulp van ExpressRoute met VPN-failover.

Een hub-spoke-topologie kan niet worden gebruikt zonder een gateway, zelfs als u geen verbinding met uw on-premises netwerk nodig hebt.

Peering op virtueel netwerk

Peering van virtuele netwerken is een niet-transitieve relatie tussen twee virtuele netwerken. Met Azure Virtual WAN kunnen spokes echter met elkaar verbinding maken zonder dat er een toegewezen peering tussen hen is.

Als u echter meerdere spokes hebt die met elkaar moeten worden verbonden, hebt u te weinig mogelijk peeringverbindingen vanwege de beperking van het aantal peerings per virtueel netwerk. (Zie voor meer informatie Netwerklimieten.) In dit scenario lost Azure VWAN dit probleem op met de out-of-box-functionaliteit. Zie Global Transit Network Architecture en Virtual WAN voor meer informatie.

U kunt spokes ook configureren om de hubgateway te gebruiken om te communiceren met externe netwerken. Als u gateway-verkeer wilt laten lopen van knooppunt naar hub en verbinding wilt maken met externe netwerken, voert u de volgende stappen uit:

• Configureer de peeringverbinding in de hub om gatewaydoorvoer toe te staan.

• Configureer de peeringverbinding in elke spoke om externe gateways te gebruiken.

• Configureer alle peeringverbindingen om doorgestuurd verkeer toe te staan.

Zie Kiezen tussen peering van virtuele netwerken en VPN-gateways voor meer informatie.

Hubextensies

Als u netwerkbrede gedeelde services, zoals DNS-resources, aangepaste NVA's, Azure Bastion en andere, wilt ondersteunen, implementeert u elke service volgens het patroon van de virtuele hub-extensie. Na dit model kunt u extensies met één verantwoordelijkheid bouwen en gebruiken om deze bedrijfskritieke, gedeelde services die u anders niet rechtstreeks in een virtuele hub kunt implementeren, beschikbaar te maken en te gebruiken.

Overwegingen

Operations

Azure VWAN is een beheerde service die wordt geleverd door Microsoft. Vanuit het oogpunt van technologie is het niet volledig anders dan een door de klant beheerde hubinfrastructuur. Azure Virtual WAN vereenvoudigt de algehele netwerkarchitectuur door een mesh-netwerktopologie met transitieve netwerkconnectiviteit tussen spokes aan te bieden. Bewaking van Azure VWAN kan worden bereikt met behulp van Azure Monitor. Site-naar-site-configuratie en -connectiviteit tussen on-premises netwerken en Azure kunnen volledig worden geautomatiseerd.

Betrouwbaarheid

Azure Virtual WAN verwerkt routering, wat helpt de netwerklatentie tussen spokes te optimaliseren en voorspelbaarheid van latentie te garanderen. Azure Virtual WAN biedt ook betrouwbare connectiviteit tussen verschillende Azure-regio's voor de workloads die meerdere regio's omvatten. Met deze installatie wordt de end-to-end-stroom in Azure beter zichtbaar.

Prestaties

Met behulp van Azure Virtual WAN kan een lagere latentie tussen spokes en tussen regio's worden bereikt. Met Azure Virtual WAN kunt u schalen tot 20 Gbps geaggregeerde doorvoer.

Schaalbaarheid

Azure Virtual WAN biedt een volledige mesh-connectiviteit tussen spokes door de mogelijkheid te behouden om verkeer te beperken op basis van behoeften. Met deze architectuur is het mogelijk om grootschalige site-naar-site-prestaties te hebben. Bovendien kunt u een wereldwijde netwerkarchitectuur voor doorvoer maken door any-to-any-connectiviteit mogelijk te maken tussen wereldwijd gedistribueerde sets van cloudworkloads.

Beveiliging

Hubs in Azure VWAN kunnen worden geconverteerd naar beveiligde HUBs door gebruik te maken van Azure Firewall. Door de gebruiker gedefinieerde routes (UDR's) kunnen nog steeds op dezelfde manier worden gebruikt om netwerkisolatie te bereiken. Azure VWAN maakt versleuteling van verkeer mogelijk tussen de on-premises netwerken en virtuele Azure-netwerken via ExpressRoute.

Azure DDoS Protection, gecombineerd met best practices voor toepassingsontwerp, biedt verbeterde DDoS-risicobeperkingsfuncties om meer bescherming te bieden tegen DDoS-aanvallen. Schakel Azure DDOS Protection in voor elk virtueel perimeternetwerk.

Spoke-connectiviteit en gedeelde services

Verbinding maken iviteit tussen spokes wordt al bereikt met behulp van Azure Virtual WAN. Het gebruik van UDR's in het spoke-verkeer is echter handig om virtuele netwerken te isoleren. Elke gedeelde service kan ook worden gehost op hetzelfde Virtual WAN als een spoke.

Peering van virtuele netwerken - Hubverbinding

Peering van virtuele netwerken is een niet-transitieve relatie tussen twee virtuele netwerken. Tijdens het gebruik van Azure Virtual WAN wordt peering van virtuele netwerken beheerd door Microsoft. Elke verbinding die aan een hub wordt toegevoegd, configureert ook peering van virtuele netwerken. Met behulp van Virtual WAN hebben alle spokes een transitieve relatie.

Kostenoptimalisatie

Een door de klant beheerde hubinfrastructuur introduceert beheerkosten voor onderliggende Azure-resources. Als u een transitieve connectiviteit met een voorspelbare latentie wilt bereiken, moet u een NVA (Network Virtual Appliance) of Azure Firewall in elke hub hebben geïmplementeerd. Als u Azure Firewall met een van beide opties gebruikt, worden de kosten verlaagd ten opzichte van een NVA. Azure Firewall-kosten zijn hetzelfde voor beide opties. Er zijn extra kosten verbonden aan Azure Virtual WAN; Het is echter veel goedkoper dan het beheren van uw eigen hubinfrastructuur.

Zie Prijzen voor Virtual WAN voor meer informatie.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

• Yunus Emre Alpozen | Programmaarchitect cross-workload

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

Meer informatie:

• Hub-spoke-netwerktopologie in Azure

• Een hybride Domain Name System-oplossing ontwerpen met Azure

• Een beveiligd hybride netwerk implementeren

• Wat is Azure ExpressRoute?

• Verbinding maken een on-premises netwerk naar Azure met behulp van ExpressRoute

• Firewall en Application Gateway voor virtuele netwerken

• Een on-premises netwerk uitbreiden met VPN

• Workloads beveiligen en beheren met segmentatie op netwerkniveau

Verwante resources

• Uw beveiligingspostuur versterken met Azure

• Virtueel netwerk

• Azure ExpressRoute

• VPN Gateway

• Azure Firewall