Delen via

Virtual WAN-netwerktopologie

  • Artikel

Verken belangrijke ontwerpoverwegingen en aanbevelingen voor Virtual Wide Area Networks (Virtual WAN) in Microsoft Azure.

Diagram met een Virtual WAN-netwerktopologie.

Afbeelding 1: Virtual WAN-netwerktopologie. Download een Visio-bestand van deze architectuur.

Overwegingen bij het ontwerpen van virtual WAN-netwerken

Azure Virtual WAN is een door Microsoft beheerde oplossing die standaard end-to-end, wereldwijde en dynamische doorvoerconnectiviteit biedt. Door Virtual WAN-hubs hoeft de netwerkconnectiviteit niet meer handmatig te worden geconfigureerd. U hoeft bijvoorbeeld geen door de gebruiker gedefinieerde routes (UDR) of virtuele netwerkapparaten (NVA's) te beheren om wereldwijde doorvoerconnectiviteit mogelijk te maken.

  • Azure Virtual WAN vereenvoudigt end-to-end-netwerkconnectiviteit in Azure en naar Azure vanaf on-premises door een hub-and-spoke-netwerkarchitectuur te maken. De architectuur kan eenvoudig worden geschaald om ondersteuning te bieden voor meerdere Azure-regio's en on-premises locaties (any-to-any-connectiviteit), zoals wordt weergegeven in de volgende afbeelding:

    Diagram dat een globaal doorvoernetwerk illustreert met Virtual WAN.

Afbeelding 2: Globaal doorvoernetwerk met Virtual WAN.

  • Azure Virtual WAN any-to-any transitieve connectiviteit ondersteunt de volgende paden (binnen dezelfde regio en tussen regio's):

    • Virtueel netwerk naar virtueel netwerk
    • Virtueel netwerk naar vertakking
    • Vertakking naar virtueel netwerk
    • Vertakking naar vertakking

  • Azure Virtual WAN-hubs zijn beperkt tot de implementatie van door Microsoft beheerde resources. De enige resources die u binnen de WAN-hubs kunt implementeren, zijn:

    • Gateways voor virtuele netwerken (punt-naar-site-VPN, site-naar-site-VPN en Azure ExpressRoute)
    • Azure Firewall via Firewall Manager
    • Routetabellen
    • Sommige virtuele netwerkapparaten (NVA) voor leverancierspecifieke SD-WAN-mogelijkheden

  • Virtual WAN is gebonden aan azure-abonnementslimieten voor Virtual WAN.

  • Transitieve netwerk-naar-netwerkconnectiviteit (binnen een regio en tussen regio's via hub-naar-hub) is algemeen beschikbaar (GA).

  • De door Microsoft beheerde routeringsfunctie die deel uitmaakt van elke virtuele hub maakt de doorvoerverbinding tussen virtuele netwerken in Standard Virtual WAN mogelijk. Elke hub ondersteunt een geaggregeerde doorvoer van maximaal 50 Gbps voor VNet-naar-VNet-verkeer.

  • Eén Azure Virtual WAN-hub ondersteunt een specifiek maximum aantal VM-workloads in alle rechtstreeks gekoppelde VNets. Zie Azure Virtual WAN-limieten voor meer informatie.

  • U kunt meerdere Azure Virtual WAN-hubs in dezelfde regio implementeren om te schalen buiten de limieten van één hub.

  • Virtual WAN kan worden geïntegreerd met verschillende SD-WAN-providers.

  • Veel beheerde serviceproviders bieden beheerde services voor Virtual WAN.

  • Gebruikers-VPN-gateways (punt-naar-site) in Virtual WAN schalen tot 20 Gbps geaggregeerde doorvoer en 100.000 clientverbindingen per virtuele hub. Zie Azure Virtual WAN-limieten voor meer informatie.

  • Site-naar-site-VPN-gateways in Virtual WAN schalen tot 20 Gbps geaggregeerde doorvoer.

  • U kunt ExpressRoute-circuits verbinden met een Virtual WAN-hub met behulp van een Lokale, Standard- of Premium-SKU.

  • Overweeg ExpressRoute Metro voor implementaties in dezelfde stad.

  • ExpressRoute Standard- of Premium-circuits, op locaties die worden ondersteund door Azure ExpressRoute Global Reach, kunnen verbinding maken met een Virtual WAN ExpressRoute-gateway. En ze hebben alle mogelijkheden voor Virtual WAN-overdracht (VPN-naar-VPN, VPN en ExpressRoute-transit). ExpressRoute Standard- of Premium-circuits die zich op locaties bevinden die niet worden ondersteund door Global Reach, kunnen verbinding maken met Azure-resources, maar kunnen geen mogelijkheden voor Virtual WAN-transit gebruiken.

  • Azure Firewall Manager ondersteunt de implementatie van Azure Firewall in de Virtual WAN-hub, ook wel beveiligde virtuele hub genoemd. Zie het overzicht van Azure Firewall Manager voor beveiligde virtuele hubs en de meest recente beperkingen voor meer informatie.

  • Virtueel WAN-hub-naar-hubverkeer dat via Azure Firewall gaat in zowel bronhubs als doelhubs (beveiligde virtuele hubs) wordt ondersteund wanneer u routeringsintentie en beleid inschakelt. Zie Use cases for Virtual WAN hub routing intent and routing policies (Use cases for Virtual WAN hub routing intent and routing policies) (Use cases for Virtual WAN Hub routing intent and routing policies) (Use cases for Virtual WAN hub routing intent and routing policies) (Use

  • Voor de Virtual WAN-portalervaring moeten alle Virtual WAN-resources samen in dezelfde resourcegroep worden geïmplementeerd.

  • U kunt een Azure DDoS Protection-plan delen in alle VNets in één Microsoft Entra-tenant om resources met openbare IP-adressen te beveiligen. Zie Azure DDoS Protection voor meer informatie.

    • Virtuele WAN-beveiligde virtuele hubs bieden geen ondersteuning voor Azure DDoS-standaardbeveiligingsplannen. Zie bekende problemen met Azure Firewall Manager en het virtuele hubnetwerk en de vergelijking van beveiligde virtuele hubs voor meer informatie.

    • Azure DDoS Protection-abonnementen hebben alleen betrekking op resources met openbare IP-adressen.

      • Een Azure DDoS Protection-plan bevat 100 openbare IP-adressen. Deze openbare IP-adressen omvatten alle beveiligde VNets die zijn gekoppeld aan het DDoS-beveiligingsplan. Alle andere openbare IP-adressen, buiten de 100 die bij het abonnement zijn inbegrepen, worden afzonderlijk in rekening gebracht. Zie de pagina met prijzen of de veelgestelde vragen over prijzen voor Azure DDoS Protection voor meer informatie.

    • Bekijk de ondersteunde resources van Azure DDoS Protection-abonnementen.

Aanbevelingen voor virtual WAN-netwerkontwerp

Wij raden Virtual WAN aan voor nieuwe grote of wereldwijde netwerkimplementaties in Azure waarbij u wereldwijde overdrachtsconnectiviteit nodig hebt voor alle Azure-regio's en on-premises locaties. Op die manier hoeft u niet handmatig transitieve routering voor het Azure-netwerk in te stellen.

In de volgende afbeelding ziet u een voorbeeld van een wereldwijde bedrijfsimplementatie met datacenters verspreid over Europa en de Verenigde Staten. De implementatie bevat veel filialen binnen beide regio's. De omgeving is wereldwijd verbonden via Azure Virtual WAN en ExpressRoute Global Reach.

Diagram van een voorbeeldnetwerktopologie.

Afbeelding 3: Voorbeeldnetwerktopologie.

  • Gebruik een Virtual WAN-hub per Azure-regio om meerdere landingszones te verbinden tussen Azure-regio's via een algemeen algemeen Azure Virtual WAN.

  • Implementeer alle Virtual WAN-resources in één resourcegroep in het connectiviteitsabonnement, inclusief wanneer u in meerdere regio's implementeert.

  • Gebruik routeringsfuncties voor virtuele hubs om verkeer tussen VNets en vertakkingen verder te segmenteren.

  • Verbind Virtual WAN-hubs met on-premises datacenters met behulp van ExpressRoute.

  • Implementeer vereiste gedeelde services, zoals DNS-servers, in een toegewezen virtueel spoke-netwerk. Door de klant geïmplementeerde gedeelde resources kunnen niet worden geïmplementeerd binnen de Virtual WAN-hub zelf.

  • Verbind vertakkingen en externe locaties met de dichtstbijzijnde Virtual WAN-hub via site-naar-site-VPN of schakel vertakkingsconnectiviteit met Virtual WAN in via een SD-WAN-partneroplossing.

  • Verbind gebruikers met de Virtual WAN-hub via een punt-naar-site-VPN.

  • Volg het principe 'verkeer in Azure blijft in Azure' zodat communicatie tussen resources in Azure plaatsvindt via het Backbone-netwerk van Microsoft, zelfs wanneer de resources zich in verschillende regio's bevinden.

  • Voor uitgaande beveiliging en filtering van internet kunt u Overwegen Om Azure Firewall in de virtuele hub te implementeren.

  • Beveiliging geleverd door NVA-firewalls. Klanten kunnen NVA's ook implementeren in een Virtual WAN-hub die zowel SD-WAN-connectiviteit als next-generation firewallmogelijkheden uitvoert. Klanten kunnen on-premises apparaten verbinden met de NVA in de hub en ook hetzelfde apparaat gebruiken om al het noord-zuid-, oost-west- en internetverkeer te inspecteren.

  • Wanneer u partnernetwerktechnologieën en NVA's implementeert, volgt u de richtlijnen van de leverancier van de partner om ervoor te zorgen dat er geen conflicterende configuraties zijn met Azure-netwerken.

  • Zie Migreren naar Azure Virtual WAN voor scenario's waarin u migreert van een hub-and-spoke-netwerktopologie die niet is gebaseerd op Virtual WAN.

  • Maak Azure Virtual WAN- en Azure Firewall-resources binnen het connectiviteitsabonnement.

  • Gebruik routeringsintentie en routeringsbeleid voor Virtual WAN-hubs ter ondersteuning van verkeer tussen beveiligde hubs.

  • Maak niet meer dan 500 virtuele netwerkverbindingen per virtuele WAN-hub.

    • Als u meer dan 500 virtuele netwerkverbindingen per virtuele WAN-hub nodig hebt, kunt u een andere virtuele WAN-hub implementeren. Implementeer deze in dezelfde regio als onderdeel van dezelfde Virtual WAN en resourcegroep.

  • Plan uw implementatie zorgvuldig en zorg ervoor dat uw netwerkarchitectuur binnen de limieten van Azure Virtual WAN valt.

  • Gebruik inzichten in Azure Monitor voor Virtual WAN (preview) om de end-to-endtopologie van uw Virtual WAN en de status en belangrijke metrische gegevens te bewaken.

  • Implementeer één Standaardbeveiligingsplan voor Azure DDoS in het connectiviteitsabonnement.

    • Alle landingszones en platform-VNets moeten dit plan gebruiken.