In dit artikel wordt beschreven hoe u een IPv4-hub-and-spoke-netwerktopologie overgaat naar IPv6. Het presenteert de hub-and-spoke-netwerktopologie als uitgangspunt en beschrijft de stappen die u kunt nemen om IPv6-ondersteuning te implementeren.
In een hub-and-spoke-netwerk is het virtuele hubnetwerk een centraal punt van connectiviteit voor de virtuele spoke-netwerken. De virtuele spoke-netwerken maken verbinding met de hub en kunnen isolatie bieden voor toepassingsbronnen. Zie Overgang naar IPv6 voor meer informatie.
Architectuur
Een Visio-bestand van deze architectuur downloaden.
Workflow
Openbaar internet en cross-premises netwerk: gebruikers of services hebben toegang tot Azure-resources via het openbare internet. Het cross-premises netwerk heeft on-premises virtuele machines die veilig verbinding maken met het Azure-netwerk via een VPN-gateway.
Azure Virtual Network Manager: Dit onderdeel is de beheerlaag die toezicht houdt op de volledige netwerkinfrastructuur binnen Azure. Het verwerkt de routering, het beleid en de algehele status van het virtuele netwerk.
Virtueel hubnetwerk: de hub is het centrale punt van de netwerktopologie. De netwerkconfiguratie ondersteunt zowel IPv4 als IPv6 (dubbele stack).
- Azure Bastion biedt beveiligde en naadloze Remote Desktop Protocol/Secure Shell -connectiviteit (RDP/SSH) vanuit Azure Portal naar de virtuele machines rechtstreeks via Tls (Transport Layer Security).
- Azure Firewall inspecteert en filtert verkeer tussen de hub en het openbare internet.
- ExpressRoute verbindt het cross-premises netwerk met de hub.
- VPN Gateway verbindt het cross-premises netwerk ook met de hub en biedt redundantie.
- De services in het virtuele hubnetwerk verzenden logboeken en metrische gegevens (diagnostische gegevens) naar Azure Monitor voor bewaking.
Virtuele spoke-netwerken: er zijn vier spokes verbonden met de hub. Elke spoke is een netwerk met twee stacks, dat zowel IPv4 als IPv6 ondersteunt.
- Door de gebruiker gedefinieerde IPv6-routes (UDR's) definiëren aangepaste routes voor IPv6-verkeer vanuit de spoke.
- De virtuele spoke-netwerken zijn verbonden via peeringverbindingen of verbonden groepen. Peeringverbindingen en verbonden groepen zijn niet-transitieve verbindingen met lage latentie tussen virtuele netwerken. Gekoppelde of verbonden virtuele netwerken kunnen verkeer uitwisselen via de Azure-backbone.
- Al het uitgaande verkeer van de virtuele spoke-netwerken loopt via de hub, met behulp van een configuratie in Azure Firewall met de naam geforceerde tunneling.
- Binnen elke spoke zijn er drie subnetten aangewezen als resourcesubnetten, die elk als host fungeren voor een virtuele machine.
- Elke virtuele machine maakt verbinding met een interne load balancer die is geconfigureerd ter ondersteuning van IPv4- en IPv6-adresbereiken. De load balancer verdeelt binnenkomend netwerkverkeer over de virtuele machines.
Onderdelen
- Azure Virtual Network is de fundamentele bouwsteen voor privénetwerken in Azure. Met Virtual Network kunnen veel Azure-resources, zoals Azure Virtual Machines, veilig met elkaar communiceren, cross-premises netwerken en internet.
- Er is een virtuele netwerkinterface vereist voor communicatie tussen virtuele machines. U kunt virtuele machines en andere resources instellen voor meerdere netwerkinterfaces, waarmee u IPv4- en IPv6-configuraties (dual-stack) kunt maken.
- Een openbaar IP-adres wordt gebruikt voor binnenkomende IPv4- en IPv6-connectiviteit met Azure-resources.
- Virtual Network Manager wordt gebruikt voor het maken en beheren van netwerkgroepen en hun verbindingen.
- Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice. Hiermee worden uw Azure Virtual Network-resources beschermd. Een door Azure Firewall beheerd firewall-exemplaar bevindt zich in een eigen subnet.
- Azure VPN Gateway of Azure ExpressRoute kan worden gebruikt om een virtuele netwerkgateway te maken om een virtueel netwerk te verbinden met een VPN-apparaat (virtual private network) of een ExpressRoute-circuit. De gateway biedt cross-premises netwerkconnectiviteit.
- Azure Load Balancer wordt gebruikt voor het inschakelen van meerdere computers die hetzelfde doel hebben om verkeer te delen. In deze architectuur verdelen de load balancers verkeer over meerdere subnetten die IPv6 ondersteunen.
- Een routetabel in Azure is een set UDR's die aangepaste paddefinities bieden voor netwerkverkeer.
- Azure Virtual Machines is een IaaS-computingoplossing (Infrastructure as a Service) die IPv6 ondersteunt.
- Azure Bastion is een volledig beheerd PaaS-aanbod (Platform as a Service) dat Microsoft biedt en onderhoudt. Het biedt veilige en naadloze extern bureaublad-protocol en SSH-toegang tot virtuele machines zonder blootstelling aan openbare IP-adressen.
- Monitor is een uitgebreide bewakingsoplossing voor het verzamelen, analyseren en reageren op bewakingsgegevens uit cloud- en on-premises omgevingen. U kunt Monitor gebruiken om de beschikbaarheid en prestaties van uw toepassingen en services te maximaliseren.
Een virtueel hubnetwerk overschakelen naar IPv6
Als u een virtueel hubnetwerk wilt overstappen ter ondersteuning van IPv6, moet u de netwerkinfrastructuur bijwerken om IPv6-adresbereiken te kunnen verwerken, zodat het centrale deel van het netwerk IPv6-verkeer kan verwerken. Deze aanpak zorgt ervoor dat de centrale hub het verkeer tussen verschillende netwerksegmenten (spokes) efficiënt kan routeren en beheren met behulp van IPv6. Voer de volgende stappen uit om IPv6 te implementeren in het virtuele hubnetwerk:
IPv6-adresruimte toevoegen aan het virtuele hubnetwerk en de hubsubnetten
U moet eerst IPv6-adresbereiken toevoegen aan het virtuele hubnetwerk en vervolgens aan de bijbehorende subnetten. Gebruik het /56-adresblok voor het virtuele netwerk en het /64-adresblok voor elk subnet. In de volgende tabel ziet u een voorbeeldinstallatie.
| Adresbereik van virtueel netwerk hub | Adresbereik van hubsubnet |
|---|---|
Virtueel hubnetwerk: 2001:db8:1234:0000::/56 |
Azure Bastion-subnet: 2001:db8:1234:0000::/64Azure Firewall-subnet: 2001:db8:1234:0001::/64VPN Gateway-subnet: 2001:db8:1234:0002::/64ExpressRoute-subnet: 2001:db8:1234:0003::/64 |
Deze IPv6-adressen zijn voorbeelden. Vervang dit door 2001:db8:1234:: het IPv6-adresblok van uw organisatie. Plan en documenteer uw IPv6-adrestoewijzingen zorgvuldig om overlappingen te voorkomen en ervoor te zorgen dat de adresruimte efficiënt wordt gebruikt. Als u de IPv6-adresruimte wilt toevoegen aan het virtuele hubnetwerk, kunt u Azure Portal, PowerShell of Azure CLI gebruiken.
Door de gebruiker gedefinieerde routes (UDR's) configureren voor elk hubsubnet
UDR's zijn routes die u handmatig instelt om de standaardsysteemroutes van Azure te overschrijven. In Azure zijn UDR's essentieel voor het beheren van de stroom van netwerkverkeer in een virtueel netwerk. U KUNT UDR's gebruiken om verkeer van één subnet naar specifieke apparaten, gateways of doelen binnen Azure of naar on-premises netwerken te leiden. Wanneer u IPv6-ondersteuning toevoegt aan het virtuele hubnetwerk, moet u het volgende doen:
- Voeg IPv6-routes toe. Als er een bestaande routetabel is, voegt u nieuwe routes toe waarmee de IPv6-adresvoorvoegsels worden opgegeven.
- Bestaande routes wijzigen. Als er al routes voor IPv4 zijn, moet u deze mogelijk wijzigen om ervoor te zorgen dat ze ook van toepassing zijn op IPv6-verkeer of afzonderlijke IPv6-specifieke routes maken.
- Koppel de routetabel aan subnetten. Nadat u de routes hebt gedefinieerd, koppelt u de routetabel aan de relevante subnetten in het virtuele netwerk. Deze koppeling bepaalt welke subnetten gebruikmaken van de routes die u hebt gedefinieerd.
U hoeft geen route toe te voegen voor elke resource, maar u hebt wel een route nodig voor elk subnet. Elk subnet kan meerdere resources hebben en ze volgen allemaal de regels die zijn gedefinieerd in de routetabel die aan hun subnet is gekoppeld. Zie Routeoverzicht door gebruiker definiëren voor meer informatie.
Voor de voorbeeldarchitectuur heeft het virtuele hubnetwerk vier subnetten: Azure Bastion, Azure Firewall, VPN Gateway en ExpressRoute. In de volgende tabel ziet u voorbeeld-UDR's voor elk subnet.
| Hubsubnet | Beschrijving | IPv6-adresbereik | Routenaam | Doel | Volgende hop |
|---|---|---|---|---|---|
| Azure Bastion | Route naar firewall | 2001:db8:1234:0000::/64 |
Internetroute | ::/0 |
2001:db8:1234:0001::/64 (Azure Firewall) |
| Azure Firewall | Standaardroute | 2001:db8:1234:0001::/64 |
Internetroute | ::/0 |
Internetgateway |
| VPN Gateway | On-premises route | 2001:db8:1234:0002::/64 |
On-premises route | 2001:db8:abcd::/56 |
VPN Gateway |
| ExpressRoute | On-premises route | 2001:db8:1234:0003::/64 |
On-premises route | 2001:db8:efgh::/56 |
ExpressRoute |
Wanneer u uw UDR's instelt, moet u deze afstemmen op het netwerkbeleid van uw organisatie en de architectuur van uw Azure-implementatie.
Het ExpressRoute-circuit wijzigen (indien van toepassing)
Als u het ExpressRoute-circuit wilt voorzien van IPv6-ondersteuning, moet u het volgende doen:
- Persoonlijke IPv6-peering inschakelen. IPv6-privépeering inschakelen voor het ExpressRoute-circuit. Met deze configuratie kunt u IPv6-verkeer tussen uw on-premises netwerk en het virtuele hubnetwerk inschakelen.
- IPv6-adresruimte toewijzen. Geef IPv6-subnetten op voor de primaire en secundaire ExpressRoute-koppelingen.
- Routetabellen bijwerken. Zorg ervoor dat u het IPv6-verkeer op de juiste wijze via het ExpressRoute-circuit omleidt.
Deze configuraties breiden de IPv6-connectiviteit met uw Azure-services uit via een ExpressRoute-circuit, zodat u mogelijkheden met dubbele stack tegelijk kunt routeren. Als u ExpressRoute wilt wijzigen, kunt u Azure Portal, PowerShell of Azure CLI gebruiken.
Virtuele spoke-netwerken overschakelen naar IPv6
Virtuele spoke-netwerken zijn verbonden met de centrale hub. Wanneer u de virtuele spoke-netwerken met IPv6-ondersteuning biedt, kan elk spoke-netwerk communiceren via het geavanceerdere IPv6-protocol en wordt de uniformiteit in het netwerk uitgebreid. Voer de volgende stappen uit om de virtuele spoke-netwerken te voorzien van IPv6-ondersteuning:
IPv6-adresruimte toevoegen aan de virtuele spoke-netwerken en spoke-subnetten
Net als het virtuele hubnetwerk moet u IPv6-adresbereiken toevoegen aan elk virtueel spoke-netwerk en vervolgens de bijbehorende subnetten. Gebruik het /56-adresblok voor de virtuele netwerken en het /64-adresblok voor de subnetten. De volgende tabel bevat een voorbeeld van IPv6-adresbereiken voor virtuele spoke-netwerken en hun subnetten.
| Adresbereik van virtueel spoke-netwerk | Adresbereik van spoke-subnet |
|---|---|
Virtueel spoke-netwerk 1: 2001:db8:1234:0100::/56 |
Subnet 1: 2001:db8:1234:0100::/64Subnet 2: 2001:db8:1234:0101::/64Subnet 3: 2001:db8:1234:0102::/64 |
Virtueel spoke-netwerk 2: 2001:db8:1234:0200::/56 |
Subnet 1: 2001:db8:1234:0200::/64Subnet 2: 2001:db8:1234:0201::/64Subnet 3: 2001:db8:1234:0202::/64 |
Virtueel spoke-netwerk 3: 2001:db8:1234:0300::/56 |
Subnet 1: 2001:db8:1234:0300::/64Subnet 2: 2001:db8:1234:0301::/64Subnet 3: 2001:db8:1234:0302::/64 |
Virtueel spoke-netwerk 4: 2001:db8:1234:0400::/56 |
Subnet 1: 2001:db8:1234:0400::/64Subnet 2: 2001:db8:1234:0401::/64Subnet 3: 2001:db8:1234:0402::/64 |
Pas voor uw installatie de IPv6-adressen aan op basis van de toewijzing en behoeften van uw organisatie.
Resources voor virtuele spoke-netwerken wijzigen
Elk virtueel spoke-netwerk bevat meerdere virtuele machines en een interne load balancer. Met de interne load balancer kunt u IPv4- en IPv6-verkeer routeren naar de virtuele machines. U moet de virtuele machines en interne load balancers wijzigen zodat ze IPv6 ondersteunen.
Voor elke virtuele machine moet u een IPv6-netwerkinterface maken en deze koppelen aan de virtuele machine om IPv6-ondersteuning toe te voegen. Zie IPv6-configuratie toevoegen aan een virtuele machine voor meer informatie.
Als er geen interne load balancer is in elk virtueel spoke-netwerk, moet u een interne load balancer met twee stacks maken. Zie voor meer informatie een interne load balancer met twee stacks maken. Als er een interne load balancer is, kunt u PowerShell of Azure CLI gebruiken om IPv6-ondersteuning toe te voegen.
Door de gebruiker gedefinieerde routes (UDR's) configureren voor elk spoke-subnet
Als u UDR's wilt configureren, gebruiken spoke-virtuele netwerken dezelfde configuratie als virtuele hubnetwerken wanneer u IPv6-ondersteuning toevoegt aan een virtueel spoke-netwerk, moet u het volgende doen:
Voeg IPv6-routes toe. Als er een bestaande routetabel is, voegt u nieuwe routes toe waarmee de IPv6-adresvoorvoegsels worden opgegeven.
Bestaande routes wijzigen. Als er al routes voor IPv4 zijn, moet u deze mogelijk wijzigen om ervoor te zorgen dat ze ook van toepassing zijn op IPv6-verkeer of afzonderlijke IPv6-specifieke routes maken.
Koppel de routetabel aan subnetten. Nadat u de routes hebt gedefinieerd, koppelt u de routetabel aan de relevante subnetten in het virtuele netwerk. Deze koppeling bepaalt welke subnetten gebruikmaken van de routes die u hebt gedefinieerd.
In de volgende tabel ziet u voorbeeld-UDR's voor elk subnet in een virtueel spoke-netwerk.
| Spoke-subnet | Beschrijving | IPv6-adresbereik | Routenaam | Doel | Volgende hop |
|---|---|---|---|---|---|
| Subnet 1 | Route naar firewall | 2001:db8:1234:0100::/64 |
Internetroute | ::/0 |
2001:db8:1234:0001::/64 (Azure Firewall) |
| Subnet 2 | Route naar VPN Gateway | 2001:db8:1234:0101::/64 |
VPN-route | 2001:db8:abcd::/64 |
2001:db8:1234:0002::/64 (VPN Gateway) |
| Subnet 3 | Route naar ExpressRoute | 2001:db8:1234:0102::/64 |
ExpressRoute-route | 2001:db8:5678::/64 |
2001:db8:1234:0003::/64 (ExpressRoute) |
Voor uw installatie moet u de UDR's afstemmen op het netwerkbeleid van uw organisatie en de architectuur van uw Azure-implementatie.
Medewerkers
Microsoft onderhoudt dit artikel. De volgende inzenders hebben het artikel oorspronkelijk geschreven.
Hoofdauteur:
- Werner Rall | Senior Cloud Solutions Architect Engineer
Andere Inzenders:
- Sherri Babylon | Senior Technical Program Manager
- Dawn Bedard | Principal Technical Program Manager
- Brandon Stephenson | Senior klanttechnicus
Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.
Volgende stappen
- Een virtuele machine maken met een IPv6-netwerk met dubbele stack
- IP-adresbereiken beheren
- Cloud Adoption Framework: IP-adressering plannen
- IPv6 voor Azure Virtual Network
- IPv6-ondersteuning toevoegen via ExpressRoute
- Ondersteuning voor Azure DNS IPv6
- IPv6 voor Azure Load Balancer
- IPv6-ondersteuning voor privépeering toevoegen met behulp van Azure Portal