Traditionele Azure-netwerktopologie

  • Artikel

Belangrijk

Probeer de nieuwe topologieervaring (preview) die een visualisatie van Azure-resources biedt om het voorraadbeheer en het bewakingsnetwerk op schaal te vereenvoudigen. Gebruik de preview-versie van de topologie om resources en hun afhankelijkheden te visualiseren voor abonnementen, regio's en locaties. Selecteer deze koppeling om naar de ervaring te navigeren.

Verken belangrijke ontwerpoverwegingen en aanbevelingen rondom netwerktopologieën in Microsoft Azure.

Diagram that illustrates a traditional Azure network topology.

Afbeelding 1: Een traditionele Azure-netwerktopologie.

Overwegingen bij het ontwerpen:

  • Verschillende netwerktopologieën kunnen meerdere virtuele netwerken in de landingszone verbinden. Voorbeelden van netwerktopologieën zijn één groot plat virtueel netwerk, meerdere virtuele netwerken die zijn verbonden met meerdere Azure ExpressRoute-circuits of -verbindingen, hub-and-spoke, full mesh en hybride.

  • Virtuele netwerken kunnen geen abonnementsgrenzen passeren. U kunt echter connectiviteit bereiken tussen virtuele netwerken in verschillende abonnementen met behulp van peering van virtuele netwerken, een ExpressRoute-circuit of VPN-gateways.

  • Peering van virtuele netwerken is de voorkeursmethode om virtuele netwerken in Azure te verbinden. U kunt peering van virtuele netwerken gebruiken om virtuele netwerken in dezelfde regio, in verschillende Azure-regio's en in verschillende Microsoft Entra-tenants te verbinden.

  • Peering van virtuele netwerken en wereldwijde peering van virtuele netwerken zijn niet transitief. Als u een doorvoernetwerk wilt inschakelen, hebt u door de gebruiker gedefinieerde routes (UDR's) en virtuele netwerkapparaten (NVA's) nodig. Zie Hub-spoke-netwerktopologie in Azure voor meer informatie.

  • U kunt een Azure DDoS Protection-plan delen in alle virtuele netwerken in één Microsoft Entra-tenant om resources te beveiligen met openbare IP-adressen. Zie Azure DDoS Protection voor meer informatie.

  • U kunt ExpressRoute-circuits gebruiken om connectiviteit tot stand te brengen tussen virtuele netwerken binnen dezelfde geopolitieke regio of door de Premium-invoegtoepassing te gebruiken voor connectiviteit tussen geopolitieke regio's. Houd de volgende punten in gedachten:

    • Netwerk-naar-netwerkverkeer kan meer latentie ervaren, omdat verkeer moet worden vastgemaakt aan de MSEE-routers (Microsoft Enterprise Edge).

    • De ExpressRoute-gateway-SKU beperkt bandbreedte.

    • Implementeer en beheer UDR's als u UDR's wilt inspecteren of registreren voor verkeer in virtuele netwerken.

  • VPN-gateways met Border Gateway Protocol (BGP) zijn transitief binnen Azure- en on-premises netwerken, maar bieden geen transitieve toegang tot netwerken die zijn verbonden via ExpressRoute. Als u transitieve toegang nodig hebt tot netwerken die zijn verbonden via ExpressRoute, kunt u Azure Route Server overwegen.

  • Wanneer u meerdere ExpressRoute-circuits verbindt met hetzelfde virtuele netwerk, gebruikt u verbindingsgewichten en BGP-technieken om een optimaal pad voor verkeer tussen on-premises netwerken en Azure te garanderen. Zie ExpressRoute-routering optimaliseren voor meer informatie.

  • Het gebruik van metrische BGP-gegevens om ExpressRoute-routering te beïnvloeden, is een configuratiewijziging buiten het Azure-platform. Uw organisatie of uw connectiviteitsprovider moet de on-premises routers dienovereenkomstig configureren.

  • ExpressRoute-circuits met premium-invoegtoepassingen bieden wereldwijde connectiviteit.

  • ExpressRoute heeft bepaalde limieten; er is een maximum aantal ExpressRoute-verbindingen per ExpressRoute-gateway en persoonlijke ExpressRoute-peering kan een maximum aantal routes van Azure naar on-premises identificeren. Zie ExpressRoute-limieten voor meer informatie over ExpressRoute-limieten.

  • De maximale geaggregeerde doorvoer van een VPN-gateway is 10 gigabit per seconde. Een VPN-gateway ondersteunt maximaal 100 site-naar-site- of netwerk-naar-netwerktunnels.

  • Als een NVA deel uitmaakt van de architectuur, kunt u Azure Route Server overwegen om dynamische routering tussen uw virtuele netwerkapparaat (NVA) en uw virtuele netwerk te vereenvoudigen. Met Azure Route Server kunt u routeringsinformatie rechtstreeks uitwisselen via het BGP-routeringsprotocol (Border Gateway Protocol) tussen elke NVA die ondersteuning biedt voor het BGP-routeringsprotocol en het SDN (Software Defined Network) van Azure in het virtuele Azure-netwerk (VNet), zonder dat u routetabellen handmatig hoeft te configureren of onderhouden.

Ontwerpaanvelingen:

  • Overweeg een netwerkontwerp op basis van de traditionele hub-and-spoke-netwerktopologie voor de volgende scenario's:

    • Een netwerkarchitectuur die binnen één Azure-regio is geïmplementeerd.

    • Een netwerkarchitectuur die meerdere Azure-regio's omvat, zonder dat transitieve connectiviteit tussen virtuele netwerken voor landingszones tussen regio's nodig is.

    • Een netwerkarchitectuur die meerdere Azure-regio's omvat en wereldwijde peering van virtuele netwerken die virtuele netwerken in Azure-regio's kunnen verbinden.

    • Er is geen transitieve verbinding tussen VPN- en ExpressRoute-verbindingen nodig.

    • De belangrijkste hybride connectiviteitsmethode is ExpressRoute en het aantal VPN-verbindingen is minder dan 100 per VPN Gateway.

    • Er is een afhankelijkheid van gecentraliseerde NVA's en gedetailleerde routering.

  • Gebruik voor regionale implementaties voornamelijk de hub-and-spoke-topologie. Gebruik virtuele netwerken in landingszones die verbinding maken met peering van virtuele netwerken met een centraal hub-virtueel netwerk voor de volgende scenario's:

    • Cross-premises connectiviteit via ExpressRoute.

    • VPN voor vertakkingsconnectiviteit.

    • Spoke-to-spoke-connectiviteit via NVA's en UDR's.

    • Internet-uitgaande beveiliging via Azure Firewall of een andere NVA van derden.

In het volgende diagram ziet u de hub-and-spoke-topologie. Met deze configuratie kan de juiste verkeerscontrole voldoen aan de meeste vereisten voor segmentatie en inspectie.

Diagram that illustrates a hub-and-spoke network topology.

Afbeelding 2: Hub-and-spoke-netwerktopologie.

  • Gebruik de topologie van meerdere virtuele netwerken die zijn verbonden met meerdere ExpressRoute-circuits wanneer aan een van deze voorwaarden wordt voldaan:

    • U hebt een hoog isolatieniveau nodig.

    • U hebt toegewezen ExpressRoute-bandbreedte nodig voor specifieke bedrijfseenheden.

    • U hebt het maximum aantal verbindingen per ExpressRoute-gateway bereikt (raadpleeg het artikel ExpressRoute-limieten voor het maximumaantal).

In de volgende afbeelding ziet u deze topologie.

Diagram that illustrates multiple virtual networks connected with multiple ExpressRoute circuits.

Afbeelding 3: Meerdere virtuele netwerken die zijn verbonden met meerdere ExpressRoute-circuits.

  • Implementeer een set minimale gedeelde services, waaronder ExpressRoute-gateways, VPN-gateways (indien vereist) en Azure Firewall of partner-NVA's (zoals vereist) in het virtuele netwerk van de centrale hub. Implementeer indien nodig ook Active Directory-domeincontrollers en DNS-servers.

  • Implementeer AZURE Firewall- of partner-NVA's voor beveiliging van verkeer in oost/west of zuid/noord en filter in het virtuele netwerk van de centrale hub.

  • Wanneer u partnernetwerktechnologieën of NVA's implementeert, volgt u de richtlijnen van de leverancier van de partner om ervoor te zorgen dat:

    • De leverancier ondersteunt implementatie.

    • De richtlijnen ondersteunen hoge beschikbaarheid en maximale prestaties.

    • Er zijn geen conflicterende configuraties met Azure-netwerken.

  • Implementeer geen binnenkomende NVA's van Laag 7, zoals Azure-toepassing Gateway, als een gedeelde service in het virtuele netwerk van de centrale hub. Implementeer ze in plaats daarvan samen met de toepassing in hun respectieve landingszones.

  • Implementeer één Standaardbeveiligingsplan voor Azure DDoS in het connectiviteitsabonnement.

    • Alle landingszones en virtuele platformnetwerken moeten gebruikmaken van dit plan.

  • Gebruik uw bestaande netwerk, multiprotocol labelswitching en SD-WAN om vertakkingslocaties te verbinden met het hoofdkantoor van het bedrijf. Als u Azure Route Server niet gebruikt, is er geen ondersteuning voor transit in Azure tussen ExpressRoute en VPN-gateways.

  • Als u transitiviteit nodig hebt tussen ExpressRoute en VPN-gateways in een hub-and-spoke-scenario, gebruikt u Azure Route Server, zoals beschreven in dit referentiescenario.

    Diagram that illustrates transitivity between ER and VPN gateways with Azure Route Server.

  • Wanneer u hub-and-spoke-netwerken in meerdere Azure-regio's hebt en een paar landingszones verbinding moeten maken tussen regio's, gebruikt u wereldwijde peering voor virtuele netwerken voor virtuele netwerken in de landingszone die verkeer naar elkaar moeten routeren. Afhankelijk van de SKU van de communicerende VM kan wereldwijde peering van virtuele netwerken hoge netwerkdoorvoer bieden. Verkeer tussen rechtstreeks gekoppelde landingszone virtuele netwerken omzeilt NVA's binnen virtuele hubnetwerken. Beperkingen voor wereldwijde peering van virtuele netwerken zijn van toepassing op het verkeer.

  • Wanneer u hub-and-spoke-netwerken in meerdere Azure-regio's hebt en de meeste landingszones verbinding moeten maken tussen regio's (of wanneer u directe peering gebruikt om hub-NVA's te omzeilen die niet compatibel zijn met uw beveiligingsvereisten), gebruikt u hub-NVA's om virtuele hubnetwerken in elke regio met elkaar te verbinden en verkeer over regio's te routeren. Wereldwijde peering van virtuele netwerken of ExpressRoute-circuits kunnen u helpen om virtuele hubnetwerken op de volgende manieren te verbinden:

    • Wereldwijde peering voor virtuele netwerken biedt een verbinding met lage latentie en hoge doorvoer, maar genereert wel verkeerskosten.

    • Routering via ExpressRoute kan leiden tot een verhoogde latentie (vanwege de MSEE-hairpin) en de geselecteerde ExpressRoute-gateway-SKU beperkt de doorvoer.

In de volgende afbeelding ziet u beide opties:

Diagram that illustrates options for hub-to-hub connectivity.

Afbeelding 4: Opties voor hub-naar-hub-connectiviteit.

  • Wanneer twee Azure-regio's verbinding moeten maken, gebruikt u globale peering voor virtuele netwerken om beide virtuele hubnetwerken te verbinden.

  • Wanneer meer dan twee Azure-regio's verbinding moeten maken, raden we u aan dat de virtuele hubnetwerken in elke regio verbinding maken met dezelfde ExpressRoute-circuits. Voor wereldwijde peering van virtuele netwerken moet een groot aantal peeringrelaties en een complexe set door de gebruiker gedefinieerde routes (UDR's) in meerdere virtuele netwerken worden beheerd. In het volgende diagram ziet u hoe u hub-and-spoke-netwerken in drie regio's verbindt:

Diagram that illustrates ExpressRoute providing hub-to-hub connectivity between multiple regions.

Afbeelding 5: ExpressRoute biedt hub-naar-hub-connectiviteit tussen meerdere regio's.

  • Wanneer u ExpressRoute-circuits gebruikt voor connectiviteit tussen regio's, communiceren spokes in verschillende regio's rechtstreeks en omzeilen ze de firewall omdat ze via BGP-routes naar de spokes van de externe hub leren. Als u de firewall-NVA's in de virtuele hubnetwerken nodig hebt om verkeer tussen spokes te controleren, moet u een van de volgende opties implementeren:

    • Maak specifiekere routevermeldingen in de spoke-UDR's voor de firewall in het virtuele netwerk van de lokale hub om verkeer om te leiden tussen hubs.

    • Schakel BGP-doorgifte uit op de spoke-routetabellen om de configuratie van de route te vereenvoudigen.

  • Wanneer uw organisatie hub-and-spoke-netwerkarchitecturen vereist in meer dan twee Azure-regio's en wereldwijde transitconnectiviteit tussen virtuele netwerken in Azure-regio's en u netwerkbeheeroverhead wilt minimaliseren, raden we een beheerde wereldwijde netwerkarchitectuur aan die is gebaseerd op Virtual WAN.

  • Implementeer de hubnetwerkresources van elke regio in afzonderlijke resourcegroepen en sorteer ze in elke geïmplementeerde regio.

  • Gebruik Azure Virtual Network Manager om connectiviteit en beveiligingsconfiguratie van virtuele netwerken wereldwijd te beheren in abonnementen.

  • Gebruik Azure Monitor voor netwerken om de end-to-endstatus van uw netwerken in Azure te bewaken.

  • Houd rekening met de volgende twee limieten wanneer u virtuele spoke-netwerken verbindt met het virtuele netwerk van de centrale hub:

    • Het maximum aantal peeringverbindingen voor virtuele netwerken per virtueel netwerk.
    • Het maximum aantal voorvoegsels dat ExpressRoute met persoonlijke peering adverteert van Azure naar on-premises.

    Zorg ervoor dat het aantal virtuele spoke-netwerken dat is verbonden met het virtuele hubnetwerk deze limieten niet overschrijdt.