Ta architektura piasty i szprych udostępnia alternatywne rozwiązanie topologii sieci piasty szprych na platformie Azure i implementuje bezpieczną sieć hybrydową.
Piasta to sieć wirtualna na platformie Azure, która działa jako centralny punkt łączności z siecią lokalną. Szprychy to sieci wirtualne, które są równorzędne z piastą i mogą służyć do izolowania obciążeń. Ruch przepływa między lokalnymi centrami danych i koncentratorem za pośrednictwem połączenia usługi ExpressRoute lub bramy sieci VPN. Głównym wyróżnikiem tego podejścia jest użycie usługi Azure Virtual WAN (VWAN) do zastąpienia koncentratorów jako usługi zarządzanej.
Ta architektura obejmuje zalety topologii sieci piasty i szprych i wprowadza nowe korzyści:
Mniejsze obciążenie operacyjne przez zastąpienie istniejących koncentratorów w pełni zarządzaną usługą VWAN.
Oszczędności kosztów dzięki użyciu usługi zarządzanej i usuwają konieczność korzystania z wirtualnego urządzenia sieciowego.
Ulepszone zabezpieczenia dzięki wprowadzeniu centralnie zarządzanych koncentratorów za pomocą usługi Azure Firewall i sieci VWAN w celu zminimalizowania zagrożeń bezpieczeństwa związanych z błędną konfiguracją.
Separację problemów między centralnym działem IT (SecOP, InfraOps) i obciążeniami (DevOps).
Potencjalne przypadki użycia
Typowe zastosowania tej architektury obejmują przypadki, w których:
Połączenie ivity między obciążeniami wymaga centralnej kontroli i dostępu do usług udostępnionych.
Przedsiębiorstwo wymaga centralnej kontroli nad aspektami zabezpieczeń, takimi jak zapora, i wymaga segregowanego zarządzania obciążeniami w każdej szprychy.
Architektura
Pobierz plik programu Visio z tą architekturą.
Architektura składa się z następujących elementów:
Sieć lokalna. Prywatna sieć lokalna (LAN) działająca w organizacji.
Urządzenie sieci VPN. Urządzenie lub usługa, która zapewnia sieci lokalnej łączność zewnętrzną.
Brama sieci wirtualnej VPN lub usługi ExpressRoute. Brama sieci wirtualnej umożliwia sieci wirtualnej łączenie się z urządzeniem sieci VPN lub obwodem usługi ExpressRoute używanym do łączności z siecią lokalną.
Koncentrator usługi Virtual WAN. Usługa Virtual WAN jest używana jako piasta w topologii piasty i szprych. Piasta jest centralnym punktem łączności z siecią lokalną oraz miejscem hostowania usług, które mogą być używane przez różne obciążenia hostowane w sieciach wirtualnych szprych.
Zabezpieczone koncentrator wirtualny. Koncentrator usługi Virtual WAN ze skojarzonymi zasadami zabezpieczeń i routingu skonfigurowanymi przez usługę Azure Firewall Manager. Zabezpieczone koncentrator wirtualny zawiera wbudowany routing, dzięki czemu nie ma potrzeby konfigurowania tras zdefiniowanych przez użytkownika.
Podsieć bramy. Bramy sieci wirtualnej są przechowywane w tej samej podsieci.
Sieci wirtualne będące szprychami. Co najmniej jedna sieć wirtualna używana jako szprycha w topologii piasty i szprych. Szprychy mogą służyć do izolowania obciążeń we własnych sieciach wirtualnych i są zarządzane oddzielnie od innych szprych. Każde obciążenie może zawierać wiele warstw z wieloma podsieciami połączonymi za pośrednictwem modułów równoważenia obciążenia platformy Azure.
Komunikacja równorzędna sieci wirtualnych. Dwie sieci wirtualne można połączyć przy użyciu połączenia komunikacji równorzędnej sieci wirtualnych. Połączenia komunikacji równorzędnej to nieprzejeżające połączenia o małych opóźnieniach między sieciami wirtualnymi. Po komunikacji równorzędnej sieci wirtualne wymieniają ruch przy użyciu sieci szkieletowej platformy Azure bez konieczności używania routera. W topologii sieci piasty i szprych używasz komunikacji równorzędnej sieci wirtualnych, aby połączyć koncentrator z każdą szprychą. Usługa Azure Virtual WAN umożliwia przechodniość między koncentratorami, co nie jest możliwe wyłącznie przy użyciu komunikacji równorzędnej.
Składniki
Alternatywy
Architekturę piasty i szprych można osiągnąć na dwa sposoby: infrastrukturę koncentratora zarządzanego przez klienta lub infrastrukturę piasty zarządzanej przez firmę Microsoft. W obu przypadkach szprychy są połączone z koncentratorem przy użyciu komunikacji równorzędnej sieci wirtualnych.
Zalety
Pobierz plik programu Visio z tą architekturą.
Na tym diagramie przedstawiono kilka zalet, jakie może zapewnić ta architektura:
- Pełne centrum siatki między sieciami wirtualnymi platformy Azure
- Łączność między gałęziami i platformą Azure
- Łączność między gałęziami
- Mieszane użycie sieci VPN i usługi Express Route
- Mieszane użycie sieci VPN użytkownika do lokacji
- Łączność między sieciami wirtualnymi
Zalecenia
Poniższe zalecenia dotyczą większości scenariuszy. Postępuj zgodnie z nimi, chyba że masz określone wymaganie, które je zastępuje.
Grupy zasobów
Piastę i każdą szprychę można zaimplementować w różnych grupach zasobów, a nawet lepiej w różnych subskrypcjach. W przypadku komunikacji równorzędnej sieci wirtualnych w różnych subskrypcjach obie subskrypcje mogą być skojarzone z tą samą lub inną dzierżawą firmy Microsoft Entra. Umożliwia to zdecentralizowane zarządzanie każdym obciążeniem przy jednoczesnym udostępnianiu usług utrzymywanych w centrum.
Wirtualna sieć WAN
Utwórz usługę Virtual WAN w warstwie Standardowa, jeśli wymagane są następujące elementy:
Skalowanie pod kątem większej przepływności
Prywatna Połączenie ivity (wymaga obwodu Premium w lokalizacji Global Reach)
Połączenie między sieciami VPN usługi ExpressRoute
Zintegrowane monitorowanie za pomocą usługi Azure Monitor (metryki i kondycja zasobów)
Standardowe wirtualne sieci WAN są domyślnie połączone w pełnej siatce. Standardowa wirtualna sieć WAN obsługuje łączność typu dowolna-dowolna (sieć VPN typu lokacja-lokacja, sieć wirtualna, usługa ExpressRoute, punkty końcowe typu punkt-lokacja) w jednym koncentratorze, a także między koncentratorami. Podstawowa wirtualna sieć WAN obsługuje tylko łączność sieci VPN typu lokacja-lokacja, łączność między oddziałami i łączność między oddziałami a siecią wirtualną w jednym koncentratorze.
Koncentrator wirtualnej sieci WAN
Koncentrator wirtualny to zarządzana przez firmę Microsoft sieć wirtualna. Centrum zawiera różne punkty końcowe usługi umożliwiające łączność. Koncentrator to podstawowy element sieci w danym regionie. Może istnieć wiele centrów na region świadczenia usługi Azure. Aby uzyskać więcej informacji, zobacz Virtual WAN FAQ (Często zadawane pytania dotyczące usługi Virtual WAN).
Podczas tworzenia koncentratora przy użyciu witryny Azure Portal tworzy ona sieć wirtualną koncentratora wirtualnego i bramę sieci VPN koncentratora wirtualnego. Koncentrator usługi Virtual WAN wymaga zakresu adresów minimalnej /24. Ta przestrzeń adresowa IP będzie używana do rezerwowania podsieci dla bramy i innych składników.
Bezpieczny koncentrator wirtualny
Koncentrator wirtualny można utworzyć jako zabezpieczone koncentrator wirtualny lub przekonwertować na bezpieczny w dowolnym momencie po utworzeniu. Aby uzyskać dodatkowe informacje, zobacz Zabezpieczanie koncentratora wirtualnego przy użyciu usługi Azure Firewall Manager.
GatewaySubnet
Aby uzyskać więcej informacji na temat konfigurowania bramy, zobacz następujące architektury referencyjne w zależności od typu połączenia:
Aby uzyskać większą dostępność, możesz użyć usługi ExpressRoute i sieci VPN do przejścia w tryb failover. Zobacz Connect an on-premises network to Azure using ExpressRoute with VPN failover (Łączenie sieci lokalnej z platformą Azure przy użyciu usługi ExpressRoute z trybem failover sieci VPN).
Topologia piasty i szprych nie może być używana bez bramy, nawet jeśli nie potrzebujesz łączności z siecią lokalną.
Komunikacja równorzędna sieci wirtualnej
Komunikacja równorzędna sieci wirtualnych to nietransitive relacja między dwiema sieciami wirtualnymi. Jednak usługa Azure Virtual WAN umożliwia szprychom łączenie się ze sobą bez konieczności posiadania dedykowanej komunikacji równorzędnej.
Jeśli jednak masz kilka szprych, które muszą się ze sobą łączyć, bardzo szybko zabraknie możliwych połączeń komunikacji równorzędnej ze względu na ograniczenie liczby komunikacji równorzędnej sieci wirtualnych na sieć wirtualną. (Aby uzyskać więcej informacji, zobacz Limity sieci). W tym scenariuszu usługa Azure VWAN rozwiąże ten problem z wbudowaną funkcjonalnością. Aby uzyskać dodatkowe informacje, zobacz Global transit network architecture (Architektura globalnej sieci tranzytowej) i Virtual WAN (Wirtualna sieć WAN).
Można również skonfigurować szprychy, aby używać bramy piasty do komunikowania się z sieciami zdalnymi. Aby zezwolić na przepływ ruchu bramy ze szprychy do piasty i nawiązać połączenie z sieciami zdalnymi, należy:
Skonfiguruj połączenie komunikacji równorzędnej w centrum, aby zezwolić na tranzyt bramy.
Skonfiguruj połączenie komunikacji równorzędnej w każdej szprychy, aby używać bram zdalnych.
Skonfiguruj wszystkie połączenia komunikacji równorzędnej, aby zezwolić na ruch przekazywany.
Aby uzyskać dodatkowe informacje, zobacz Wybieranie między komunikacją równorzędną sieci wirtualnych i bramami sieci VPN.
Rozszerzenia koncentratora
Aby obsługiwać usługi udostępnione dla całej sieci, takie jak zasoby DNS, niestandardowe urządzenia WUS, usługa Azure Bastion i inne, zaimplementuj każdą usługę zgodnie ze wzorcem rozszerzenia koncentratora wirtualnego. Zgodnie z tym modelem można tworzyć i obsługiwać rozszerzenia o pojedynczej odpowiedzialności, aby indywidualnie uwidocznić te usługi udostępnione o krytycznym znaczeniu dla działania firmy, których w przeciwnym razie nie można wdrożyć bezpośrednio w koncentratonie wirtualnym.
Kwestie wymagające rozważenia
Operacje
Azure VWAN to usługa zarządzana zapewniana przez firmę Microsoft. Z punktu widzenia technologii nie różni się ona zupełnie od infrastruktury koncentratora zarządzanego przez klienta. Usługa Azure Virtual WAN upraszcza ogólną architekturę sieci, oferując topologię sieci siatki z przechodnią łącznością sieciową między szprychami. Monitorowanie sieci VWAN platformy Azure można osiągnąć przy użyciu usługi Azure Monitor. Konfiguracja lokacja-lokacja i łączność między sieciami lokalnymi i platformą Azure mogą być w pełni zautomatyzowane.
Niezawodność
Usługa Azure Virtual WAN obsługuje routing, który pomaga zoptymalizować opóźnienie sieci między szprychami, a także zapewnić przewidywalność opóźnienia. Usługa Azure Virtual WAN zapewnia również niezawodną łączność między różnymi regionami świadczenia usługi Azure dla obciążeń obejmujących wiele regionów. Dzięki tej konfiguracji pełny przepływ na platformie Azure staje się bardziej widoczny.
Wydajność
Za pomocą usługi Azure Virtual WAN można osiągnąć mniejsze opóźnienie między szprychami i regionami. Usługa Azure Virtual WAN umożliwia skalowanie w górę do 20 Gb/s zagregowanej przepływności.
Skalowalność
Usługa Azure Virtual WAN zapewnia pełną łączność siatki między szprychami, zachowując możliwość ograniczenia ruchu na podstawie potrzeb. Dzięki tej architekturze można uzyskać wydajność typu lokacja-lokacja na dużą skalę. Ponadto można utworzyć globalną architekturę sieci tranzytowej, umożliwiając łączność między globalnie rozproszonymi zestawami obciążeń w chmurze.
Zabezpieczenia
Koncentratory w sieci VWAN platformy Azure można konwertować na bezpieczne pakiety HUB, korzystając z usługi Azure Firewall. Trasy zdefiniowane przez użytkownika mogą być nadal używane w taki sam sposób, aby osiągnąć izolację sieci. Usługa Azure VWAN umożliwia szyfrowanie ruchu między sieciami lokalnymi i sieciami wirtualnymi platformy Azure za pośrednictwem usługi ExpressRoute.
Usługa Azure DDoS Protection w połączeniu z najlepszymi rozwiązaniami dotyczącymi projektowania aplikacji zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS w celu zapewnienia większej ochrony przed atakami DDoS. Należy włączyć usługę Azure DDOS Protection w dowolnej sieci wirtualnej obwodowej.
Łączność szprychy i usługi udostępnione
Połączenie ivity wśród szprych jest już osiągana przy użyciu usługi Azure Virtual WAN. Jednak używanie tras zdefiniowanych przez użytkownika w ruchu szprych jest przydatne do izolowania sieci wirtualnych. Dowolna usługa udostępniona może być również hostowana w tej samej usłudze Virtual WAN co szprycha.
Komunikacja równorzędna sieci wirtualnych — połączenie koncentratora
Komunikacja równorzędna sieci wirtualnych to nietransitive relacja między dwiema sieciami wirtualnymi. Podczas korzystania z usługi Azure Virtual WAN komunikacja równorzędna sieci wirtualnych jest zarządzana przez firmę Microsoft. Każde połączenie dodane do koncentratora spowoduje również skonfigurowanie komunikacji równorzędnej sieci wirtualnych. Dzięki pomocy wirtualnej sieci WAN wszystkie szprychy będą miały przechodnią relację.
Optymalizacja kosztów
Infrastruktura centrum zarządzanego przez klienta wprowadza koszt zarządzania podstawowymi zasobami platformy Azure. Aby osiągnąć przechodnią łączność z przewidywalnym opóźnieniem, musisz mieć urządzenie wirtualne sieci (WUS) lub usługę Azure Firewall wdrożona w każdym koncentratorze. Użycie usługi Azure Firewall z wybranym wyborem spowoduje obniżenie kosztów w porównaniu z urządzeniem WUS. Koszty usługi Azure Firewall są takie same dla obu opcji. Istnieje dodatkowy koszt usługi Azure Virtual WAN; jednak jest to znacznie mniej kosztowne niż zarządzanie własną infrastrukturą piasty.
Aby uzyskać więcej informacji, zobacz Cennik usługi Virtual WAN.
Współautorzy
Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.
Główny autor:
- Yunus Emre Alpozen | Architekt programu między obciążeniami
Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.
Następne kroki
Więcej informacji:
Projektowanie hybrydowego rozwiązania systemu nazw domen za pomocą platformy Azure
Połączenie sieci lokalnej na platformę Azure przy użyciu usługi ExpressRoute
Zabezpieczanie i zarządzanie obciążeniami przy użyciu segmentacji na poziomie sieci