Definiowanie topologii sieci platformy Azure

  • Artykuł

Topologia sieci jest krytycznym elementem architektury strefy docelowej, ponieważ definiuje sposób, w jaki aplikacje mogą komunikować się ze sobą. W tej sekcji omówiono technologie i podejścia topologii dla wdrożeń platformy Azure. Koncentruje się na dwóch podstawowych podejściach: topologiach opartych na usłudze Azure Virtual WAN i tradycyjnych topologiach.

Usługa Virtual WAN jest używana do spełnienia wymagań dotyczących połączenia międzyoperacyjności na dużą skalę. Ponieważ jest to usługa zarządzana przez firmę Microsoft, zmniejsza również ogólną złożoność sieci i pomaga zmodernizować sieć organizacji. Topologia usługi Virtual WAN może być najbardziej odpowiednia, jeśli którekolwiek z następujących wymagań ma zastosowanie do organizacji:

  • Twoja organizacja zamierza wdrożyć zasoby w kilku regionach świadczenia usługi Azure i wymaga globalnej łączności między sieciami wirtualnymi w tych regionach platformy Azure i wielu lokalizacjach lokalnych.
  • Twoja organizacja zamierza zintegrować sieć oddziałów na dużą skalę bezpośrednio z platformą Azure za pośrednictwem wdrożenia zdefiniowanego programowo sieci WAN (SD-WAN) lub wymaga więcej niż 30 lokacji gałęzi na potrzeby natywnego zakończenia protokołu IPSec.
  • Wymagany jest routing przechodni między wirtualną siecią prywatną (VPN) i usługą Azure ExpressRoute. Na przykład zdalne gałęzie połączone za pośrednictwem sieci VPN typu lokacja-lokacja lub użytkownicy zdalni połączeni za pośrednictwem sieci VPN typu punkt-lokacja wymagają połączenia z połączonym z usługą ExpressRoute kontrolera domeny za pośrednictwem platformy Azure.

Tradycyjna topologia sieci piasty i szprych ułatwia tworzenie dostosowanych, rozszerzonych sieci na dużą skalę na platformie Azure. Dzięki tej topologii zarządzasz routingiem i zabezpieczeniami. Tradycyjna topologia może być najbardziej odpowiednia, jeśli którekolwiek z następujących wymagań ma zastosowanie do twojej organizacji:

  • Twoja organizacja zamierza wdrożyć zasoby w jednym lub kilku regionach świadczenia usługi Azure i, podczas gdy oczekiwany jest pewien ruch między regionami platformy Azure (na przykład ruch między dwiema sieciami wirtualnymi w dwóch różnych regionach świadczenia usługi Azure), nie jest wymagana pełna sieć siatki we wszystkich regionach świadczenia usługi Azure.
  • Masz niewielką liczbę lokalizacji zdalnych lub oddziałów na region. Oznacza to, że potrzebujesz mniej niż 30 tuneli IPSec typu lokacja-lokacja.
  • Aby ręcznie skonfigurować zasady routingu sieciowego platformy Azure, musisz mieć pełną kontrolę i stopień szczegółowości.

Topologia sieci wirtualnej sieci WAN (zarządzana przez firmę Microsoft)

Diagram that illustrates a Virtual WAN network topology.

Tradycyjna topologia sieci platformy Azure

Diagram that illustrates a traditional Azure network topology.

Menedżer usługi Azure Virtual Network Manager w strefach docelowych platformy Azure

Architektura koncepcyjna stref docelowych platformy Azure zaleca jedną z dwóch topologii sieci: topologię sieci opartą na usłudze Virtual WAN lub topologii sieci opartej na tradycyjnej architekturze piasty i szprych. Gdy wymagania biznesowe zmieniają się wraz z upływem czasu (na przykład migracja aplikacji lokalnych na platformę Azure, która wymaga łączności hybrydowej), możesz użyć Menedżera sieci wirtualnej, aby rozwinąć i wdrożyć zmiany sieci. W wielu przypadkach można to zrobić bez zakłócania tego, co zostało już wdrożone na platformie Azure.

Za pomocą menedżera sieci wirtualnej można utworzyć trzy typy topologii między subskrypcjami zarówno dla istniejących, jak i nowych sieci wirtualnych:

  • Topologia piasty i szprych
  • Topologia piasty i szprych z bezpośrednią łącznością między szprychami
  • Topologia siatki (w wersji zapoznawczej)

Diagram that shows Azure virtual network topologies.

Uwaga

Menedżer sieci wirtualnej nie obsługuje koncentratorów usługi Virtual WAN w ramach grupy sieciowej ani jako koncentratora w topologii. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące usługi Azure Virtual Network Manager.

Podczas tworzenia topologii piasty i szprych z bezpośrednią łącznością w Menedżerze sieci wirtualnej, gdzie szprychy są połączone ze sobą bezpośrednio, bezpośrednia łączność między sieciami wirtualnymi szprych w tej samej grupie sieci jest automatycznie włączona, dwukierunkowo, za pośrednictwem funkcji grupy Połączenie.

Menedżer sieci wirtualnej umożliwia statyczne lub dynamiczne dodawanie sieci wirtualnych do określonych grup sieci. W ten sposób definiuje i tworzy żądaną topologię na podstawie konfiguracji łączności w Menedżerze sieci wirtualnej.

Można utworzyć wiele grup sieciowych, aby odizolować grupy sieci wirtualnych od łączności bezpośredniej. Każda grupa sieci zapewnia tę samą obsługę regionu i wielu regionów na potrzeby łączności szprychowo-szprychowej. Pamiętaj, aby pozostać w granicach zdefiniowanych dla menedżera sieci wirtualnej, które zostały opisane w temacie Azure Virtual Network Manager FAQ (Menedżer sieci wirtualnej platformy Azure — często zadawane pytania).

Z punktu widzenia zabezpieczeń menedżer sieci wirtualnej zapewnia wydajny sposób stosowania reguł administratora zabezpieczeń w celu blokowania lub zezwalania na przepływy ruchu centralnie, niezależnie od tego, co jest zdefiniowane w sieciowych grupach zabezpieczeń. Ta funkcja umożliwia administratorom zabezpieczeń sieci wymuszanie kontroli dostępu i umożliwienie właścicielom aplikacji zarządzania własnymi regułami niższego poziomu w sieciowych grupach zabezpieczeń.

Za pomocą menedżera sieci wirtualnej można grupować sieci wirtualne. Następnie można zastosować konfiguracje do grup, a nie do poszczególnych sieci wirtualnych. Ta funkcja umożliwia wydajniejsze zarządzanie łącznością, konfiguracją i topologią, regułami zabezpieczeń i wdrażaniem w co najmniej jednym regionie jednocześnie bez utraty szczegółowej kontroli.

Sieci można segmentować według środowisk, zespołów, lokalizacji, linii biznesowych lub innej funkcji, która odpowiada Twoim potrzebom. Grupy sieciowe można definiować statycznie lub dynamicznie, tworząc zestaw warunków, które zarządzają członkostwem w grupach.

Menedżer sieci wirtualnej umożliwia zaimplementowanie zasad projektowania strefy docelowej platformy Azure w celu uwzględnienia wszystkich migracji, modernizacji i innowacji aplikacji na dużą skalę.

Uwagi dotyczące projektowania

  • W przypadku tradycyjnego wdrożenia piasty i szprych połączenia komunikacji równorzędnej sieci wirtualnych są tworzone i obsługiwane ręcznie. Menedżer sieci wirtualnej wprowadza warstwę automatyzacji dla komunikacji równorzędnej sieci wirtualnych, co sprawia, że duże i złożone topologie sieci, takie jak siatka, łatwiej zarządzać na dużą skalę. Aby uzyskać więcej informacji, zobacz Omówienie grupy sieciowej.
  • Wymagania dotyczące zabezpieczeń różnych funkcji biznesowych określają potrzebę tworzenia grup sieciowych. Grupa sieci to zestaw sieci wirtualnych wybranych ręcznie lub za pomocą instrukcji warunkowych, zgodnie z opisem we wcześniejszej części tego dokumentu. Podczas tworzenia grupy sieciowej należy określić zasady lub Menedżer sieci wirtualnej może utworzyć zasady, jeśli jawnie zezwolisz na to. Te zasady umożliwiają usłudze Virtual Network Manager powiadamianie o zmianach. Aby zaktualizować istniejące inicjatywy zasad platformy Azure, należy wdrożyć zmiany w grupie sieciowej w ramach zasobu usługi Virtual Network Manager.
  • Aby zaprojektować odpowiednie grupy sieciowe, należy ocenić, które części sieci mają wspólne cechy zabezpieczeń. Można na przykład utworzyć grupy sieciowe dla firm i online, aby zarządzać ich regułami łączności i zabezpieczeń na dużą skalę.
  • Jeśli wiele sieci wirtualnych w ramach subskrypcji organizacji współużytkuje te same atrybuty zabezpieczeń, możesz użyć menedżera sieci wirtualnej, aby efektywnie je zastosować. Należy na przykład umieścić wszystkie systemy używane przez jednostkę biznesową, na przykład dział kadrowy lub finanse w oddzielnej grupie sieciowej, ponieważ musisz zastosować do nich różne reguły administratora.
  • Menedżer sieci wirtualnej może centralnie stosować reguły administratora zabezpieczeń, które mają wyższy priorytet niż reguły sieciowej grupy zabezpieczeń, które są stosowane na poziomie podsieci. (Ta funkcja jest dostępna w wersji zapoznawczej). Ta funkcja umożliwia zespołom ds. sieci i zabezpieczeń efektywne wymuszanie zasad firmy i tworzenie barier zabezpieczających na dużą skalę, ale umożliwia zespołom produktów jednoczesne kontrolowanie sieciowych grup zabezpieczeń w ramach subskrypcji strefy docelowej.
  • Za pomocą funkcji reguł administratora zabezpieczeń menedżera sieci wirtualnej można jawnie zezwalać na określone przepływy sieciowe lub odmawiać ich niezależnie od konfiguracji sieciowej grupy zabezpieczeń na poziomach podsieci lub interfejsu sieciowego. Możesz na przykład użyć tej funkcji, aby zezwolić na zawsze dozwolone przepływy sieciowe usług zarządzania. Sieciowe grupy zabezpieczeń kontrolowane przez zespoły aplikacji nie mogą zastąpić tych reguł.
  • Sieć wirtualna może być częścią aż dwóch połączonych grup.

Zalecenia dotyczące projektowania

  • Zdefiniuj zakres menedżera sieci wirtualnej. Zastosuj reguły administratora zabezpieczeń, które wymuszają reguły na poziomie organizacji w głównej grupie zarządzania (dzierżawie). Dzięki temu hierarchicznie stosuje reguły automatycznie do istniejących i nowych zasobów oraz do wszystkich skojarzonych grup zarządzania.
  • Utwórz wystąpienie menedżera sieci wirtualnej w subskrypcji Połączenie ivity z zakresem pośredniej głównej grupy zarządzania (na przykład Contoso). Włącz funkcję administratora zabezpieczeń w tym wystąpieniu. Ta konfiguracja umożliwia zdefiniowanie reguł administratora zabezpieczeń, które mają zastosowanie we wszystkich sieciach wirtualnych i podsieciach w hierarchii strefy docelowej platformy Azure i pomaga demokratyzować sieciowe grupy zabezpieczeń dla właścicieli i zespołów strefy docelowej aplikacji.
  • Segmentuj sieci, grupując sieci wirtualne statycznie (ręcznie) lub dynamicznie (oparte na zasadach).
  • Włącz bezpośrednią łączność między szprychami, gdy wybrane szprychy muszą często komunikować się z małymi opóźnieniami i wysoką przepływnością, oprócz uzyskiwania dostępu do typowych usług lub urządzeń WUS w centrum.
  • Włącz siatkę globalną, gdy wszystkie sieci wirtualne w różnych regionach muszą komunikować się ze sobą.
  • Przypisz wartość priorytetu do każdej reguły administratora zabezpieczeń w kolekcjach reguł. Im niższa wartość, tym wyższy priorytet reguły.
  • Użyj reguł administratora zabezpieczeń, aby jawnie zezwalać na przepływy sieciowe lub blokować je niezależnie od konfiguracji sieciowych grup zabezpieczeń, które są kontrolowane przez zespoły aplikacji. Dzięki temu można również w pełni delegować kontrolę nad sieciowymi grupami zabezpieczeń i ich regułami do zespołów aplikacji.