Architectuur van wereldwijde overdrachtsnetwerk en Virtual WAN

Artikel
01/10/2024

Moderne ondernemingen vereisen alomtegenwoordige connectiviteit tussen hyper gedistribueerde toepassingen, gegevens en gebruikers in de cloud en on-premises. De wereldwijde architectuur van het transitnetwerk wordt door ondernemingen gebruikt om de cloudgerichte moderne, wereldwijde IT-footprint te consolideren, te verbinden en te beheren.

De architectuur van het wereldwijde transitnetwerk is gebaseerd op een klassiek hub-and-spoke-connectiviteitsmodel, waarbij de in de cloud gehoste netwerk hub transitieve connectiviteit mogelijk maakt tussen eindpunten die kunnen worden verdeeld over verschillende typen spokes.

In dit model kan een spoke het volgende zijn:

Virtueel netwerk (VNets)
Fysieke vertakkingssite
Externe gebruiker
Internet

Afbeelding 1: Wereldwijde doorvoerhub-and-spoke-netwerk

In afbeelding 1 ziet u de logische weergave van het wereldwijde doorvoernetwerk waarin geografisch gedistribueerde gebruikers, fysieke sites en VNets zijn verbonden via een netwerkhub die wordt gehost in de cloud. Deze architectuur maakt logische connectiviteit met één hopoverdracht mogelijk tussen de netwerkeindpunten.

Wereldwijd doorvoernetwerk met Virtual WAN

Azure Virtual WAN is een door Microsoft beheerde cloudnetwerkservice. Alle netwerkonderdelen waarvan deze service bestaat, worden gehost en beheerd door Microsoft. Zie het artikel Overzicht van Virtual WAN voor meer informatie over Virtual WAN.

Azure Virtual WAN maakt een wereldwijde overdrachtsnetwerkarchitectuur mogelijk door alomtegenwoordige, any-to-any-connectiviteit mogelijk te maken tussen wereldwijd gedistribueerde sets cloudworkloads in VNets, vertakkingssites, SaaS- en PaaS-toepassingen en gebruikers.

Afbeelding 2: Wereldwijd doorvoernetwerk en Virtual WAN

In de Azure Virtual WAN-architectuur worden virtuele WAN-hubs ingericht in Azure-regio's, waarmee u ervoor kunt kiezen om uw vertakkingen, VNets en externe gebruikers te verbinden. De fysieke vertakkingssites zijn verbonden met de hub door Premium of Standard ExpressRoute of site-naar-site-VPN's, VNet's zijn verbonden met de hub via VNet-verbindingen en externe gebruikers kunnen rechtstreeks verbinding maken met de hub met behulp van gebruikers-VPN (punt-naar-site-VPN's). Virtual WAN biedt ook ondersteuning voor VNet-verbindingen tussen regio's, waarbij een VNet in één regio kan worden verbonden met een virtuele WAN-hub in een andere regio.

U kunt een virtueel WAN tot stand brengen door één virtuele WAN-hub te maken in de regio met het grootste aantal spokes (vertakkingen, VNets, gebruikers) en vervolgens de spokes te verbinden die zich in andere regio's met de hub bevinden. Dit is een goede optie wanneer een bedrijfsvoetafdruk zich voornamelijk in één regio bevindt met een paar externe spokes.

Hub-naar-hub-connectiviteit

Een enterprise-cloudvoetafdruk kan meerdere cloudregio's omvatten en het is optimaal (latentiegewijs) om toegang te krijgen tot de cloud vanuit een regio die zich het dichtst bij hun fysieke site en gebruikers bevindt. Een van de belangrijkste principes van de wereldwijde doorvoernetwerkarchitectuur is om connectiviteit tussen meerdere regio's mogelijk te maken tussen alle cloud- en on-premises netwerkeindpunten. Dit betekent dat verkeer van een vertakking die is verbonden met de cloud in de ene regio, een andere vertakking of een VNet in een andere regio kan bereiken met behulp van hub-naar-hub-connectiviteit die is ingeschakeld door Azure Global Network.

Afbeelding 3: Connectiviteit tussen regio's van Virtual WAN

Wanneer meerdere hubs zijn ingeschakeld in één virtueel WAN, worden de hubs automatisch verbonden via hub-naar-hub-koppelingen, waardoor wereldwijde connectiviteit mogelijk is tussen vertakkingen en Vnets die over meerdere regio's worden gedistribueerd.

Daarnaast kunnen hubs die allemaal deel uitmaken van hetzelfde virtuele WAN, worden gekoppeld aan verschillende regionale toegangs- en beveiligingsbeleidsregels. Zie Beveiligings- en beleidsbeheer verderop in dit artikel voor meer informatie.

Any-to-any-connectiviteit

Wereldwijde architectuur voor doorvoernetwerk maakt any-to-any-connectiviteit mogelijk via virtuele WAN-hubs. Deze architectuur elimineert of vermindert de noodzaak van volledige mesh- of gedeeltelijke mesh-connectiviteit tussen spokes die complexer zijn om te bouwen en te onderhouden. Daarnaast is routeringsbeheer in hub-and-spoke-netwerken versus mesh-netwerken eenvoudiger te configureren en te onderhouden.

Met any-to-any-connectiviteit (in de context van een globale architectuur) kan een onderneming met wereldwijd gedistribueerde gebruikers, vertakkingen, datacenters, VNets en toepassingen verbinding maken met elkaar via de 'transit'-hub(s). Azure Virtual WAN fungeert als het wereldwijde doorvoersysteem.

Afbeelding 4: Virtual WAN-verkeerspaden

Azure Virtual WAN ondersteunt de volgende connectiviteitspaden voor wereldwijde doorvoer. De letters tussen haakjes zijn toegewezen aan afbeelding 4.

Vertakking naar VNet (a)
Vertakking naar vertakking (b)
ExpressRoute Global Reach en Virtual WAN
Externe gebruiker naar VNet (c)
Externe gebruiker-naar-vertakking (d)
VNet-naar-VNet (e)
Branch-to-hub-hub-to-Branch (f)
Branch-to-hub-hub-to-VNet (g)
VNet-naar-hub-hub-naar-VNet (h)

Vertakking naar VNet (a) en Vertakkings-naar-VNet-regio (g)

Branch-to-VNet is het primaire pad dat wordt ondersteund door Azure Virtual WAN. Met dit pad kunt u vertakkingen verbinden met Azure IAAS-bedrijfsworkloads die zijn geïmplementeerd in Azure VNets. Vertakkingen kunnen worden verbonden met het virtuele WAN via ExpressRoute of site-naar-site-VPN. Het verkeer wordt verzonden naar VNets die zijn verbonden met de virtuele WAN-hubs via VNet-Verbinding maken ions. Expliciete gatewaydoorvoer is niet vereist voor Virtual WAN, omdat Virtual WAN automatisch gatewayoverdracht naar vertakkingssite inschakelt. Zie het artikel Virtual WAN-partners over het verbinden van een SD-WAN CPE met Virtual WAN.

ExpressRoute Global Reach en Virtual WAN

ExpressRoute is een persoonlijke en flexibele manier om uw on-premises netwerken te verbinden met de Microsoft Cloud. Virtual WAN ondersteunt Express Route-circuitverbindingen. De volgende ExpressRoute-circuit-SKU's kunnen worden verbonden met Virtual WAN: Local, Standard en Premium.

Er zijn twee opties om ExpressRoute naar ExpressRoute-transitconnectiviteit in te schakelen wanneer u Azure Virtual WAN gebruikt:

U kunt ExpressRoute inschakelen voor ExpressRoute-transitconnectiviteit door ExpressRoute Global Reach in te schakelen op uw ExpressRoute-circuits. Global Reach is een ExpressRoute-invoegtoepassingsfunctie waarmee u ExpressRoute-circuits in verschillende peeringlocaties kunt koppelen om een privénetwerk te maken. ExpressRoute naar ExpressRoute-transitconnectiviteit tussen circuits met de Global Reach-invoegtoepassing zal de Virtual WAN-hub niet doorvoeren, omdat Global Reach een beter pad mogelijk maakt via de wereldwijde backbone.
U kunt de functie Routeringsintentie met routeringsbeleid voor privéverkeer gebruiken om ExpressRoute-transitconnectiviteit mogelijk te maken via een beveiligingsapparaat dat is geïmplementeerd in de Virtual WAN-hub. Voor deze optie is Global Reach niet vereist. Zie de sectie ExpressRoute in de documentatie voor routeringsintenties voor meer informatie.

Vertakking naar vertakking (b) en vertakking naar vertakking tussen regio's (f)

Vertakkingen kunnen worden verbonden met een Virtuele WAN-hub van Azure met behulp van ExpressRoute-circuits en/of site-naar-site-VPN-verbindingen. U kunt de vertakkingen verbinden met de virtuele WAN-hub die zich in de regio het dichtst bij de vertakking bevindt.

Met deze optie kunnen ondernemingen gebruikmaken van de Azure-backbone om vertakkingen te verbinden. Hoewel deze mogelijkheid echter beschikbaar is, moet u de voordelen wegen van het verbinden van vertakkingen via Azure Virtual WAN versus het gebruik van een privé-WAN.

Notitie

Vertakking naar vertakking uitschakelen Verbinding maken iviteit in Virtual WAN - Virtual WAN kan worden geconfigureerd om branch-to-branch-connectiviteit uit te schakelen. Met deze configuratie wordt de doorgifte van routes tussen VPN (S2S en P2S) en verbonden Express Route-sites geblokkeerd. Deze configuratie heeft geen invloed op het doorgeven van vertakkingen naar Vnet- en Vnet-naar-Vnet-route en -connectiviteit. Als u deze instelling wilt configureren met behulp van De Azure-portal: kies onder het menu Virtual WAN-configuratie de optie Instelling: Branch-to-Branch - Uitgeschakeld.

Externe gebruiker naar VNet (c)

U kunt directe, veilige externe toegang tot Azure inschakelen met behulp van punt-naar-site-verbinding van een externe gebruikersclient naar een virtueel WAN. Externe gebruikers van ondernemingen hoeven niet langer te hairpinen naar de cloud met behulp van een bedrijfs-VPN.

Externe gebruiker-naar-vertakking (d)

Met het pad Externe gebruiker naar vertakking kunnen externe gebruikers die een punt-naar-site-verbinding met Azure gebruiken, on-premises workloads en toepassingen openen door de cloud te doorlopen. Dit pad biedt externe gebruikers de flexibiliteit om toegang te krijgen tot workloads die zowel in Azure als on-premises zijn geïmplementeerd. Ondernemingen kunnen een centrale, veilige externe toegangsservice in de cloud inschakelen in Azure Virtual WAN.

VNet-naar-VNet-transit (e) en VNet-naar-VNet-regio (h)

Met de VNet-naar-VNet-transit kunnen VNets verbinding maken met elkaar om toepassingen met meerdere lagen te verbinden die zijn geïmplementeerd in meerdere VNets. Desgewenst kunt u VNets met elkaar verbinden via VNet-peering. Dit kan geschikt zijn voor sommige scenario's waarbij doorvoer via de VWAN-hub niet nodig is.

Geforceerde tunneling en standaardroute

Geforceerde tunneling kan worden ingeschakeld door de standaardroute inschakelen te configureren voor een VPN-, ExpressRoute- of Virtual Network-verbinding in Virtual WAN.

Een virtuele hub geeft een geleerde standaardroute door naar een virtueel netwerk/site-naar-site-VPN-/ExpressRoute-verbinding als de standaardvlag ingeschakeld is voor de verbinding.

Deze vlag wordt weergegeven als de gebruiker een verbinding met een virtueel netwerk, een VPN-verbinding of een ExpressRoute aanpast. Deze vlag wordt standaard uitgeschakeld wanneer een site of een ExpressRoute-circuit met een hub wordt verbonden. Deze functie wordt standaard ingeschakeld wanneer een virtuele netwerkverbinding wordt toegevoegd om een VNet te verbinden met een virtuele hub. De standaardroute is niet afkomstig uit de Virtual WAN-hub; de standaardroute wordt doorgegeven als deze al door de Virtual WAN-hub is geleerd als gevolg van het implementeren van een firewall in de hub of als voor een andere verbonden site geforceerde tunneling is ingeschakeld.

Beveiliging en beleidsbeheer

De Azure Virtual WAN-hubs verbinden alle netwerkeindpunten in het hybride netwerk en zien mogelijk al het transitnetwerkverkeer. Virtual WAN-hubs kunnen worden geconverteerd naar beveiligde virtuele hubs door een bump-in-the-wire-beveiligingsoplossing in de hub te implementeren. U kunt Azure Firewall implementeren, virtuele netwerkapparaten van de volgende generatie selecteren of SaaS (Software-as-a-Service) in Virtual WAN-hubs gebruiken om beveiliging, toegang en beleidsbeheer in de cloud mogelijk te maken. U kunt Virtual WAN configureren om verkeer naar beveiligingsoplossingen in de hub te routeren met behulp van de intentie voor routering van virtuele hubs.

Indeling van Azure Firewalls in virtuele WAN-hubs kan worden uitgevoerd door Azure Firewall Manager. Azure Firewall Manager biedt de mogelijkheden voor het beheren en schalen van beveiliging voor wereldwijde transitnetwerken. Azure Firewall Manager biedt de mogelijkheid om routering, globaal beleidsbeheer, geavanceerde internetbeveiligingsservices via derden samen met de Azure Firewall centraal te beheren.

Zie Integrated Network Virtual Appliances in de Virtual Hub voor meer informatie over het implementeren en organiseren van virtuele apparaten van het volgende generatie-firewallnetwerk in de Virtual WAN-hub. Zie software-as-a-service voor meer informatie over SaaS-beveiligingsoplossingen die kunnen worden geïmplementeerd in de Virtual WAN-hub.

Afbeelding 5: Beveiligde virtuele hub met Azure Firewall

Virtual WAN ondersteunt de volgende wereldwijde beveiligde doorvoerconnectiviteitspaden. Hoewel in het diagram en de verkeerspatronen in deze sectie gebruiksvoorbeelden van Azure Firewall worden beschreven, worden dezelfde verkeerspatronen ondersteund met virtuele netwerkapparaten en SaaS-beveiligingsoplossingen die zijn geïmplementeerd in de hub. De letters tussen haakjes zijn toegewezen aan afbeelding 5.

Beveiligde doorvoer van vertakking naar VNet (c)
Vertakkings-naar-VNet-beveiligde overdracht tussen virtuele hubs (g), ondersteund met routeringsintentie
Beveiligde doorvoer van VNet-naar-VNet (e)
Beveiligde doorvoer van VNet-naar-VNet tussen virtuele hubs (h), ondersteund met routeringsintentie
Beveiligde transit van vertakking naar vertakking (b), ondersteund met routeringsintentie
Beveiligde transit van vertakking naar vertakking tussen virtuele hubs (f), ondersteund met routeringsintentie
VNet-naar-internet of externe beveiligingsservice (i)
Vertakking naar internet of beveiligingsservice van derden (j)

Beveiligde doorvoer van VNet-naar-VNet (e), VNet-naar-VNet-beveiligde doorvoer tussen regio's(h)

Met het beveiligde VNet-naar-VNet-transit kunnen VNets verbinding maken met elkaar via beveiligingsapparaten (Azure Firewall, NVA en SaaS selecteren) die zijn geïmplementeerd in de Virtual WAN-hub.

VNet-naar-internet of externe beveiligingsservice (i)

Met het VNet-naar-internet kunnen VNets verbinding maken met internet via de beveiligingsapparaten (Azure Firewall, NVA en SaaS selecteren) in de virtuele WAN-hub. Verkeer naar internet via ondersteunde beveiligingsservices van derden stroomt niet via een beveiligingsapparaat en wordt rechtstreeks doorgestuurd naar de beveiligingsservice van derden. U kunt het Vnet-naar-internet-pad configureren via een ondersteunde beveiligingsservice van derden met behulp van Azure Firewall Manager.

Vertakking naar internet of beveiligingsservice van derden (j)

Met branch-to-internet kunnen vertakkingen verbinding maken met internet via de Azure Firewall in de virtuele WAN-hub. Verkeer naar internet via ondersteunde beveiligingsservices van derden stroomt niet via een beveiligingsapparaat en wordt rechtstreeks doorgestuurd naar de beveiligingsservice van derden. U kunt branch-naar-internet-pad configureren via ondersteunde beveiligingsservice van derden met behulp van Azure Firewall Manager.

Beveiligde transit van vertakking naar vertakking, met vertakking beveiligde doorvoer tussen regio's (b), (f)

Vertakkingen kunnen worden verbonden met een beveiligde virtuele hub met Azure Firewall met behulp van ExpressRoute-circuits en/of site-naar-site-VPN-verbindingen. U kunt de vertakkingen verbinden met de virtuele WAN-hub die zich in de regio het dichtst bij de vertakking bevindt. Door routeringsintentie op Virtual WAN-hubs te configureren, kunnen dezelfde hub of branch-to-branch inter-hub-/interregio-inspectie door beveiligingsapparaten (Azure Firewall, NVA en SaaS selecteren) worden geïmplementeerd in de Virtual WAN-hub.

Met vertakking naar VNet beveiligde transit (c), met branch-naar-VNet beveiligde doorvoer tussen regio's (g)

Met de beveiligde doorvoer van vertakkingen naar VNet kunnen vertakkingen communiceren met virtuele netwerken in dezelfde regio als de virtuele WAN-hub en een ander virtueel netwerk dat is verbonden met een andere virtuele WAN-hub in een andere regio (inspectie van verkeer tussen hubs wordt alleen ondersteund met routeringsintentie).

Hoe kan ik standaardroute (0.0.0.0/0) inschakelen in een beveiligde virtuele hub

Azure Firewall die is geïmplementeerd in een Virtual WAN-hub (beveiligde virtuele hub) kan worden geconfigureerd als standaardrouter naar internet of vertrouwde beveiligingsprovider voor alle vertakkingen (verbonden via VPN of Express Route), spoke-Vnet's en gebruikers (verbonden via P2S VPN). Deze configuratie moet worden uitgevoerd met Behulp van Azure Firewall Manager. Zie Verkeer routeren naar uw hub om al het verkeer van vertakkingen (inclusief gebruikers) en Vnet's naar internet te configureren via de Azure Firewall.

Dit is een configuratie in twee stappen:

Configureer routering van internetverkeer met behulp van het menu Route-instelling voor beveiligde virtuele hub. Configureer Vnets en vertakkingen die verkeer naar internet kunnen verzenden via de firewall.
Configureer welke Verbinding maken ions (Vnet en Branch) verkeer kunnen routeren naar internet (0.0.0.0/0) via de Azure FW in de hub of vertrouwde beveiligingsprovider. Deze stap zorgt ervoor dat de standaardroute wordt doorgegeven aan geselecteerde vertakkingen en Vnets die zijn gekoppeld aan de Virtual WAN-hub via de Verbinding maken ions.

Verkeer naar een on-premises firewall geforceerd tunnelen in een beveiligde virtuele hub

Als er al een standaardroute is die is geleerd (via BGP) door de virtuele hub van een van de branches (VPN of ER-sites), wordt deze standaardroute overschreven door de standaardroute die is geleerd vanuit de Azure Firewall Manager-instelling. In dit geval wordt al het verkeer dat de hub binnenkomt van Vnets en vertakkingen die bestemd zijn voor internet, doorgestuurd naar de Azure Firewall of vertrouwde beveiligingsprovider.