Hybride cloudnetwerken
Een traditioneel on-premises netwerk van meerdere locaties moet mogelijk verbinding maken tussen meerdere filialen en een hoofdkantoor. Evenzo moeten bij hybride cloudnetwerken geschikte technologieën worden gebruikt om on-premises gebruikers, toepassingen en gegevens naadloos onderling te verbinden met toepassingen en gegevens die in de cloud worden gehost.
In ons scenario zien we dat Tailwind Traders zijn on-premises locaties veilig moet kunnen verbinden met de resources die in Azure worden uitgevoerd. Tailwind Traders moet dit bereiken zodat er voor het personeel niet echt een verschil bestaat tussen het openen van een workload die wordt uitgevoerd in een on-premises datacentrum van Tailwind Traders en een workload die wordt uitgevoerd in Azure.
In deze les krijgt u meer informatie over netwerktechnologieën waarmee on-premises resources en cloudresources samen in het netwerk van één hybride cloud kunnen worden geplaatst.
Wat is een Azure VPN?
Met een Azure VPN-gateway kunt u uw on-premises netwerk verbinden met Azure met behulp van een beveiligde VPN-tunnel via het openbare internet. Azure VPN-verbindingen zijn vergelijkbaar met traditionele VPN-verbindingen die tussen een filiaal en een hoofdkantoorlocatie kunnen bestaan. Elk virtuele netwerk mag maar één VPN-gateway hebben, maar elke VPN-gateway biedt ondersteuning voor meerdere verbindingen.
In de volgende afbeelding ziet u een verbinding tussen een perimetergatewayapparaat van een on-premises netwerk en een VPN-gateway op een virtueel Azure-netwerk. De verbinding tussen een Azure Stack-apparaat en een VPN-gateway wordt weergegeven.
In het voorbeeld van Tailwind Traders gebruikt het bedrijf mogelijk Azure VPN-gateways om verbindingen van kleinere filialen toe te staan waarvoor niet het type toegewezen koppeling nodig is dat een Azure ExpressRoute-verbinding biedt. Het belangrijkste nadeel van Azure VPN-gateways is dat ze afhankelijk zijn van de internetverbinding van de internetprovider (ISP). Als uw ISP met een storing te kampen heeft, worden VPN-verbindingen niet tot stand gebracht. Op dezelfde manier kan de snelheid van de VPN-verbinding tussen een on-premises locatie en Azure aanzienlijk afnemen als er sprake is van een grote opstopping bij uw internetprovider.
Organisaties met bestaande VPN-verbindingen tussen filiaallocaties kampen al met de uitdagingen van toegewezen VPN-verbindingen.
Wat is Azure ExpressRoute?
Met Microsoft Azure ExpressRoute kan een organisatie een toegewezen snelle privéverbinding van zijn on-premises netwerk naar Azure gebruiken. Deze verbinding loopt niet via het openbare internet. In feite is het een toegewezen glasvezelkabel die rechtstreeks van een on-premises locatie naar het dichtstbijzijnde Azure-datacentrum loopt.
In tegenstelling tot een VPN-gateway wordt de apparatuur die deze verbinding biedt, beheerd door de ExpressRoute-provider. Omdat de ExpressRoute-provider alle apparatuur beheert, kan deze een SLA (Service Level Agreement) bieden wat de betrouwbaarheid en bandbreedte betreft die niet beschikbaar zijn voor gebruikers van Azure VPN-gatewayverbindingen.
In de volgende afbeelding ziet u de ExpressRoute-verbinding tussen de on-premises omgeving en workloads die worden uitgevoerd in Azure. De ExpressRoute-provider beheert het ExpressRoute-circuit en de lokale routers aan de rand.
Naast het leveren van een toegewezen bandbreedteverbinding tussen de on-premises omgeving en Azure, kan een organisatie met behulp van ExpressRoute garanderen dat gevoelig verkeer niet via het openbare internet wordt verzonden. Dit is belangrijk in rechtsgebieden waar bepaalde informatietypen niet via internet mogen worden verzonden vanwege bepaalde governancevereisten.
In de voorbeeldcasestudy gaat Tailwind Traders een ExpressRoute-verbinding tot stand brengen vanuit grotere kantoren zoals Melbourne, Sydney en Auckland, waar meer mensen zijn. Mogelijk heeft het bedrijf ook ExpressRoute nodig als het bepaalde typen gegevens verwerkt die niet via internet kunnen worden overgedragen vanwege nalevingsvereisten.
Wat is hybride DNS?
Wanneer u een hybride cloud implementeert, moet u ervoor zorgen dat de adressen van cloudworkloads door on-premises workloads kunnen worden omgezet en dat cloudworkloads de adressen van on-premises workloads kunnen omzetten. Voor DNS-implementaties (Domain Name System) in de hybride cloud zijn doorgaans on-premises DNS-servers en DNS-servers in Azure vereist. Daarnaast moeten DNS-zone-overdrachten worden geconfigureerd tussen on-premises en de cloud. Een alternatief is om DNS-forwarders te configureren als de on-premises DNS-zone apart wordt gebruikt van de DNS-zone die is gekoppeld met workloads die in Azure worden uitgevoerd.
In de volgende afbeelding ziet u DNS-servers die on-premises DNS-informatie repliceren op DNS-servers die worden uitgevoerd in Azure. In dit scenario wordt een virtuele machine (VM) geïmplementeerd als een DNS-server in Azure. In de afbeelding maakt on-premises DNS verbinding met een hubabonnement met DNS-servers in VM's. Andere Azure-abonnementen maken verbinding met het hubabonnement.
Azure DNS Private Resolver is ook een service waarmee u query's kunt uitvoeren op privézones van Azure DNS vanuit een on-premises omgeving en vice versa zonder op VM's gebaseerde DNS-servers te implementeren. De privé-resolver-service wordt volledig beheerd en heeft ingebouwde functies voor hoge beschikbaarheid.
Tailwind Traders kan azure DNS Private Resolver gebruiken om ervoor te zorgen dat alle workloads die worden uitgevoerd in Azure, de DNS-namen van hosts in het interne netwerk van Tailwind Traders kunnen omzetten. Het zorgt er ook voor dat alle interne netwerkhosts van Tailwind Traders de DNS-namen kunnen omzetten van workloads die in de cloud worden uitgevoerd.
Wat is Azure Virtual WAN?
Met behulp van Azure Virtual WAN kan een organisatie het netwerk van Azure gebruiken in een hub en spoke-architectuur. Het Azure-netwerk fungeert als een hub voor transitieve connectiviteit tussen eindpunten die als spokes fungeren.
Van oudsher beschikt u mogelijk over een netwerktopologie waarin elk filiaal een VPN-verbinding met het hoofdkantoor heeft. Als verkeer wordt doorgegeven van het ene naar het andere filiaal, wordt dit doorgegeven via de hubsite om de bestemming te bereiken. Als de sites van het hoofdkantoor-en filialen allemaal zijn verbonden met Azure, hetzij door VPN of door ExpressRoute, kunnen deze verbindingen de spokes vormen. Azure Virtual WAN kan worden gebruikt als routeringshub voor verkeer tussen on-premises locaties.
In de volgende afbeelding ziet u een Azure Virtual WAN-topologie.
Met Azure Virtual WAN kan Tailwind Traders stoppen met het gebruik van VPN-verbindingen om filialen en de datacentrumlocaties in Sydney, Melbourne en Auckland met elkaar te verbinden. Het biedt een topologie waarin elk filiaal en datacentrum een VPN- of ExpressRoute-verbinding met Azure hebben. De Azure Virtual WAN-service beheert de routering van verkeer tussen locaties.