Architektura globalnej sieci tranzytowej i usługa Virtual WAN

Artykuł
10/18/2023

Nowoczesne przedsiębiorstwa wymagają wszechobecnej łączności między aplikacjami, danymi i użytkownikami w chmurze i lokalnie. Globalna architektura sieci tranzytowej jest wdrażana przez przedsiębiorstwa w celu konsolidacji, łączenia się i kontrolowania nowoczesnego, globalnego wpływu it przedsiębiorstwa na chmurę.

Globalna architektura sieci tranzytowej jest oparta na klasycznym modelu łączności piasty i szprych, w którym sieć hostowana w chmurze "hub" umożliwia przechodnią łączność między punktami końcowymi, które mogą być dystrybuowane między różnymi typami "szprych".

W tym modelu szprycha może być następująca:

Sieć wirtualna (sieci wirtualne)
Lokacja gałęzi fizycznej
Użytkownik zdalny
Internet

Rysunek 1. Globalna sieć tranzytowa piasty i szprych

Rysunek 1 przedstawia logiczny widok globalnej sieci tranzytowej, w której geograficznie dystrybuowani użytkownicy, lokacje fizyczne i sieci wirtualne są połączone za pośrednictwem koncentratora sieciowego hostowanego w chmurze. Ta architektura umożliwia logiczną łączność tranzytową z jednym przeskoku między punktami końcowymi sieci.

Globalna sieć tranzytowa z usługą Virtual WAN

Azure Virtual WAN to zarządzana przez firmę Microsoft usługa sieciowa w chmurze. Wszystkie składniki sieciowe, z których składa się ta usługa, są hostowane i zarządzane przez firmę Microsoft. Aby uzyskać więcej informacji na temat usługi Virtual WAN, zobacz artykuł Omówienie usługi Virtual WAN.

Usługa Azure Virtual WAN umożliwia globalną architekturę sieci tranzytowej, umożliwiając wszechobecną łączność między globalnie rozproszonymi zestawami obciążeń w chmurze w sieciach wirtualnych, lokacjach oddziałów, aplikacjach SaaS i PaaS oraz użytkownikach.

Rysunek 2. Globalna sieć tranzytowa i usługa Virtual WAN

W architekturze usługi Azure Virtual WAN koncentratory wirtualnej sieci WAN są aprowizowane w regionach świadczenia usługi Azure, do których można wybrać łączenie oddziałów, sieci wirtualnych i użytkowników zdalnych. Lokacje gałęzi fizycznej są połączone z centrum za pomocą usługi ExpressRoute w warstwie Premium lub Standardowa albo sieci VPN typu lokacja-lokacja, sieci wirtualne są połączone z koncentratorem przez połączenia sieci wirtualnej, a użytkownicy zdalni mogą bezpośrednio łączyć się z koncentratorem przy użyciu sieci VPN użytkownika (vpn typu punkt-lokacja). Usługa Virtual WAN obsługuje również połączenie między regionami sieci wirtualnej, w których sieć wirtualna w jednym regionie może być połączona z koncentratorem wirtualnej sieci WAN w innym regionie.

Wirtualną sieć WAN można ustanowić, tworząc pojedyncze wirtualne centrum sieci WAN w regionie o największej liczbie szprych (gałęzi, sieci wirtualnych, użytkowników), a następnie łącząc szprychy, które znajdują się w innych regionach z piastą. Jest to dobra opcja, gdy ślad przedsiębiorstwa znajduje się głównie w jednym regionie z kilkoma zdalnymi szprychami.

Łączność między koncentratorami

Ślad chmury przedsiębiorstwa może obejmować wiele regionów chmury i jest optymalny (mądry opóźnienie), aby uzyskać dostęp do chmury z regionu znajdującego się najbliżej ich witryny fizycznej i użytkowników. Jedną z kluczowych zasad globalnej architektury sieci tranzytowej jest umożliwienie łączności między wszystkimi punktami końcowymi sieci w chmurze i lokalnymi. Oznacza to, że ruch z gałęzi, która jest połączona z chmurą w jednym regionie, może dotrzeć do innej gałęzi lub sieci wirtualnej w innym regionie przy użyciu łączności piasty-koncentratora włączonej przez globalną sieć platformy Azure.

Rysunek 3. Łączność między regionami usługi Virtual WAN

Po włączeniu wielu koncentratorów w jednej wirtualnej sieci WAN koncentratory są automatycznie połączone za pośrednictwem łączy między piastą i koncentratorem, co umożliwia globalną łączność między gałęziami i sieciami wirtualnymi, które są rozproszone w wielu regionach.

Ponadto koncentratory, które są częścią tej samej wirtualnej sieci WAN, mogą być skojarzone z różnymi regionalnymi zasadami dostępu i zabezpieczeń. Aby uzyskać więcej informacji, zobacz Zabezpieczenia i kontrola zasad w dalszej części tego artykułu.

Łączność typu dowolna-dowolna

Globalna architektura sieci tranzytowej umożliwia łączność typu dowolna-dowolna za pośrednictwem koncentratorów wirtualnej sieci WAN. Ta architektura eliminuje lub zmniejsza potrzebę pełnej siatki lub częściowej łączności siatki między szprychami, które są bardziej złożone do tworzenia i konserwacji. Ponadto sterowanie routingiem w sieciach piasty i szprych i siatki jest łatwiejsze do konfigurowania i konserwacji.

Łączność dowolna-dowolna (w kontekście architektury globalnej) umożliwia przedsiębiorstwu z globalnie rozproszonymi użytkownikami, oddziałami, centrami danych, sieciami wirtualnymi i aplikacjami, aby łączyć się ze sobą za pośrednictwem koncentratorów "tranzytowych". Usługa Azure Virtual WAN działa jako globalny system tranzytowy.

Rysunek 4. Ścieżki ruchu usługi Virtual WAN

Usługa Azure Virtual WAN obsługuje następujące globalne ścieżki łączności tranzytowej. Litery w nawiasach mapuje na Rysunek 4.

Odgałęzienie do sieci wirtualnej (a)
Odgałęzienie do gałęzi (b)
Usługa ExpressRoute Global Reach i wirtualna sieć WAN
Zdalny użytkownik-sieć wirtualna (c)
Zdalny użytkownik-gałąź (d)
Sieć wirtualna-sieć wirtualna (e)
Odgałęzienie do centrum-koncentratora do gałęzi (f)
Odgałęzienie do centrum-koncentratora do sieci wirtualnej (g)
Sieć wirtualna-koncentrator-koncentrator-sieć wirtualna (h)

Między regionami odgałęzienia do sieci wirtualnej (a) i między regionami odgałęzienia do sieci wirtualnej (g)

Sieć wirtualna-gałąź jest ścieżką podstawową obsługiwaną przez usługę Azure Virtual WAN. Ta ścieżka umożliwia łączenie gałęzi z obciążeniami przedsiębiorstwa IAAS platformy Azure wdrożonych w sieciach wirtualnych platformy Azure. Gałęzie można połączyć z wirtualną siecią WAN za pośrednictwem usługi ExpressRoute lub sieci VPN typu lokacja-lokacja. Ruch przesyłany do sieci wirtualnych połączonych z koncentratorami wirtualnej sieci WAN za pośrednictwem sieci wirtualnej Połączenie ions. Jawny tranzyt bramy nie jest wymagany w przypadku usługi Virtual WAN, ponieważ usługa Virtual WAN automatycznie włącza tranzyt bramy do lokacji gałęzi. Zapoznaj się z artykułem Virtual WAN Partners (Partnerzy usługi Virtual WAN) na temat łączenia standardu SD-WAN CPE z wirtualną siecią WAN.

Usługa ExpressRoute Global Reach i wirtualna sieć WAN

Usługa ExpressRoute to prywatny i odporny sposób łączenia sieci lokalnych z chmurą firmy Microsoft. Usługa Virtual WAN obsługuje połączenia obwodu usługi Express Route. Następujące jednostki SKU obwodu usługi ExpressRoute można połączyć z usługą Virtual WAN: Lokalna, Standardowa i Premium.

Istnieją dwie opcje włączania łączności tranzytowej usługi ExpressRoute z usługą ExpressRoute podczas korzystania z usługi Azure Virtual WAN:

Możesz włączyć łączność tranzytową usługi ExpressRoute z usługą ExpressRoute, włączając usługę ExpressRoute Global Reach w obwodach usługi ExpressRoute. Global Reach to funkcja dodatku usługi ExpressRoute, która umożliwia łączenie obwodów usługi ExpressRoute w różnych lokalizacjach komunikacji równorzędnej w celu utworzenia sieci prywatnej. Usługa ExpressRoute do usługi ExpressRoute tranzytowa między obwodami z dodatkiem Global Reach nie będzie tranzytem koncentratora usługi Virtual WAN, ponieważ usługa Global Reach umożliwia bardziej optymalną ścieżkę w globalnej sieci szkieletowej.
Możesz użyć funkcji Intencja routingu z zasadami routingu ruchu prywatnego, aby włączyć łączność tranzytową usługi ExpressRoute za pośrednictwem urządzenia zabezpieczeń wdrożonego w usłudze Virtual WAN Hub. Ta opcja nie wymaga dostępu globalnego. Aby uzyskać więcej informacji, zobacz sekcję ExpressRoute w dokumentacji intencji routingu.

Odgałęzienie do gałęzi (b) i między regionami odgałęzienia do gałęzi (f)

Gałęzie można połączyć z koncentratorem usługi Azure Virtual WAN przy użyciu obwodów usługi ExpressRoute i/lub połączeń sieci VPN typu lokacja-lokacja. Możesz połączyć gałęzie z koncentratorem wirtualnej sieci WAN znajdującym się w regionie znajdującym się najbliżej gałęzi.

Ta opcja umożliwia przedsiębiorstwom wykorzystanie sieci szkieletowej platformy Azure do łączenia gałęzi. Jednak mimo że ta funkcja jest dostępna, należy rozważyć korzyści wynikające z łączenia gałęzi za pośrednictwem usługi Azure Virtual WAN w porównaniu z użyciem prywatnej sieci WAN.

Uwaga

Wyłączenie Połączenie rozgałęziania w usłudze Virtual WAN — wirtualna sieć WAN można skonfigurować tak, aby wyłączyć łączność między oddziałami. Ta konfiguracja zablokuje propagację tras między sieciami VPN (S2S i P2S) i połączonymi lokacjami usługi Express Route. Ta konfiguracja nie będzie mieć wpływu na propagację tras między sieciami wirtualnymi i połączenia między sieciami wirtualnymi. Aby skonfigurować to ustawienie przy użyciu witryny Azure Portal: w menu Konfiguracja usługi Virtual WAN wybierz pozycję Ustawienie: Gałąź do gałęzi — wyłączona.

Zdalny użytkownik-sieć wirtualna (c)

Bezpośredni, bezpieczny dostęp zdalny do platformy Azure można włączyć przy użyciu połączenia punkt-lokacja z klienta użytkownika zdalnego do wirtualnej sieci WAN. Użytkownicy zdalni przedsiębiorstwa nie muszą już przypinać włosów do chmury przy użyciu firmowej sieci VPN.

Zdalny użytkownik-gałąź (d)

Ścieżka użytkownika zdalnego do gałęzi umożliwia zdalnym użytkownikom korzystającym z połączenia punkt-lokacja z dostępem do lokalnych obciążeń i aplikacji platformy Azure przez tranzyt przez chmurę. Ta ścieżka zapewnia użytkownikom zdalnym elastyczność dostępu do obciążeń wdrożonych zarówno na platformie Azure, jak i w środowisku lokalnym. Przedsiębiorstwa mogą włączyć centralną usługę bezpiecznego dostępu zdalnego opartą na chmurze w usłudze Azure Virtual WAN.

Tranzyt między sieciami wirtualnymi (e) i między sieciami wirtualnymi (h)

Tranzyt między sieciami wirtualnymi umożliwia sieciom wirtualnym łączenie się ze sobą w celu połączenia aplikacji wielowarstwowych wdrożonych w wielu sieciach wirtualnych. Opcjonalnie można połączyć sieci wirtualne ze sobą za pośrednictwem komunikacji równorzędnej sieci wirtualnych i może to być odpowiednie w przypadku niektórych scenariuszy, w których tranzyt za pośrednictwem koncentratora VWAN nie jest konieczny.

Wymuszone tunelowanie i trasa domyślna

Wymuszone tunelowanie można włączyć, konfigurując trasę domyślną włącz w sieci VPN, usłudze ExpressRoute lub połączeniu sieci wirtualnej w usłudze Virtual WAN.

Koncentrator wirtualny propaguje wyuczonej trasy domyślnej do sieci wirtualnej/sieci VPN typu lokacja-lokacja/połączenia usługi ExpressRoute, jeśli w połączeniu jest włączona flaga domyślna.

Ta flaga jest widoczna, gdy użytkownik edytuje połączenie sieci wirtualnej, połączenie sieci VPN lub połączenie usługi ExpressRoute. Domyślnie ta flaga jest wyłączona, gdy lokacja lub obwód usługi ExpressRoute jest połączony z koncentratorem. Jest ona domyślnie włączona po dodaniu połączenia sieci wirtualnej w celu połączenia sieci wirtualnej z koncentratorem wirtualnym. Trasa domyślna nie pochodzi z koncentratora usługi Virtual WAN; trasa domyślna jest propagowana, jeśli jest już poznana przez koncentrator usługi Virtual WAN w wyniku wdrożenia zapory w centrum lub jeśli włączono tunelowanie wymuszone przez inną połączoną lokację.

Kontrola zabezpieczeń i zasad

Koncentratory usługi Azure Virtual WAN łączą wszystkie punkty końcowe sieci w sieci hybrydowej i potencjalnie widzą cały ruch sieciowy tranzytowy. Koncentratory usługi Virtual WAN można konwertować na bezpieczne koncentratory wirtualne, wdrażając rozwiązanie zabezpieczeń bump-in-the-wire w koncentratorze. Usługę Azure Firewall można wdrożyć, wybrać pozycję Wirtualne urządzenia sieciowe zapory nowej generacji lub zabezpieczenia oprogramowania jako usługi (SaaS) wewnątrz koncentratorów usługi Virtual WAN, aby włączyć zabezpieczenia, dostęp i zasady oparte na chmurze. Usługę Virtual WAN można skonfigurować tak, aby kierować ruch do rozwiązań zabezpieczeń w centrum przy użyciu intencji routingu koncentratora wirtualnego.

Orkiestracja usługi Azure Firewalls w wirtualnych centrach sieci WAN może być wykonywana przez usługę Azure Firewall Manager. Usługa Azure Firewall Manager zapewnia możliwości zarządzania i skalowania zabezpieczeń dla globalnych sieci tranzytowych. Usługa Azure Firewall Manager umożliwia centralne zarządzanie routingiem, globalne zarządzanie zasadami, zaawansowane usługi zabezpieczeń internetowych za pośrednictwem innych firm wraz z usługą Azure Firewall.

Aby uzyskać więcej informacji na temat wdrażania i organizowania wirtualnych urządzeń sieciowych zapory nowej generacji w koncentratorze usługi Virtual WAN, zobacz Zintegrowane wirtualne urządzenia sieciowe w koncentratorze wirtualnym. Aby uzyskać więcej informacji na temat rozwiązań zabezpieczeń SaaS, które można wdrożyć w koncentratorze usługi Virtual WAN, zobacz oprogramowanie jako usługa.

Rysunek 5. Zabezpieczone koncentrator wirtualny za pomocą usługi Azure Firewall

Usługa Virtual WAN obsługuje następujące globalne ścieżki łączności tranzytowej zabezpieczonej. Chociaż diagram i wzorce ruchu w tej sekcji opisują przypadki użycia usługi Azure Firewall, te same wzorce ruchu są obsługiwane w przypadku wirtualnych urządzeń sieciowych i rozwiązań zabezpieczeń SaaS wdrożonych w centrum. Litery w nawiasach mapuje na Rysunek 5.

Bezpieczny tranzyt między oddziałami i sieciami wirtualnymi (c)
Bezpieczny tranzyt między koncentratorami wirtualnymi (g), obsługiwany z intencją routingu
Bezpieczny tranzyt między sieciami wirtualnymi (e)
Bezpieczny tranzyt między sieciami wirtualnymi w koncentratorach wirtualnych (h), obsługiwany z intencją routingu
Bezpieczny tranzyt od gałęzi do gałęzi (b), obsługiwany z intencją routingu
Bezpieczny tranzyt między koncentratorami wirtualnymi (f), obsługiwany przy użyciu intencji routingu
Usługa zabezpieczeń między sieciami wirtualnymi lub innej firmy (i)
Odgałęzienie do Internetu lub usługa zabezpieczeń innej firmy (j)

Tranzyt zabezpieczony między sieciami wirtualnymi (e), bezpieczny tranzyt między sieciami wirtualnymi (h)

Bezpieczny tranzyt między sieciami wirtualnymi umożliwia sieciom wirtualnym łączenie się ze sobą za pośrednictwem urządzeń zabezpieczeń (Azure Firewall, wybieranie urządzeń WUS i SaaS) wdrożonych w koncentratorze usługi Virtual WAN.

Usługa zabezpieczeń między sieciami wirtualnymi lub innej firmy (i)

Sieć wirtualna-internet umożliwia sieciom wirtualnym łączenie się z Internetem za pośrednictwem urządzeń zabezpieczeń (Azure Firewall, wybieranie urządzenia WUS i SaaS) w koncentratorze wirtualnej sieci WAN. Ruch do Internetu za pośrednictwem obsługiwanych usług zabezpieczeń innych firm nie przepływa przez urządzenie zabezpieczające i jest kierowany prosto do usługi zabezpieczeń innej firmy. Ścieżkę między sieciami wirtualnymi można skonfigurować za pośrednictwem obsługiwanej usługi zabezpieczeń innej firmy przy użyciu usługi Azure Firewall Manager.

Odgałęzienie do Internetu lub usługa zabezpieczeń innej firmy (j)

Usługa Branch-to-Internet umożliwia gałęziom łączenie się z Internetem za pośrednictwem usługi Azure Firewall w koncentratorze wirtualnej sieci WAN. Ruch do Internetu za pośrednictwem obsługiwanych usług zabezpieczeń innych firm nie przepływa przez urządzenie zabezpieczające i jest kierowany prosto do usługi zabezpieczeń innej firmy. Ścieżkę odgałęzienia do Internetu można skonfigurować za pośrednictwem obsługiwanej usługi zabezpieczeń innej firmy przy użyciu usługi Azure Firewall Manager.

Tranzyt zabezpieczony od gałęzi do gałęzi, bezpieczny tranzyt między oddziałami (b), (f)

Gałęzie mogą być połączone z zabezpieczonym koncentratorem wirtualnym za pomocą usługi Azure Firewall przy użyciu obwodów usługi ExpressRoute i/lub połączeń sieci VPN typu lokacja-lokacja. Możesz połączyć gałęzie z koncentratorem wirtualnej sieci WAN znajdującym się w regionie znajdującym się najbliżej gałęzi. Konfigurowanie intencji routingu w koncentratorach usługi Virtual WAN umożliwia wdrożenie w koncentratorze wirtualnym urządzeniach zabezpieczeń (azure Firewall, nvA i SaaS) wdrożonych w koncentratorze usługi Virtual WAN Hub.

Tranzyt zabezpieczony między sieciami wirtualnymi (c), tranzyt zabezpieczony między sieciami wirtualnymi (g)

Bezpieczny tranzyt między sieciami wirtualnymi umożliwia gałęziom komunikowanie się z sieciami wirtualnymi w tym samym regionie co koncentrator wirtualnej sieci WAN, a także inna sieć wirtualna połączona z innym koncentratorem wirtualnej sieci WAN w innym regionie (inspekcja ruchu między koncentratora obsługiwana tylko z intencją routingu).

Jak mogę włączyć trasę domyślną (0.0.0.0/0) w zabezpieczonym koncentratonie wirtualnym

Usługę Azure Firewall wdrożoną w koncentratorze usługi Virtual WAN (Secure Virtual Hub) można skonfigurować jako domyślny router do Internetu lub zaufanego dostawcy zabezpieczeń dla wszystkich gałęzi (połączonych za pomocą sieci VPN lub usługi Express Route), sieci wirtualnych szprych i użytkowników (połączonych za pośrednictwem sieci VPN typu punkt-lokacja). Tę konfigurację należy wykonać przy użyciu usługi Azure Firewall Manager. Zobacz Kierowanie ruchu do centrum, aby skonfigurować cały ruch z gałęzi (w tym użytkowników), a także sieci wirtualne do Internetu za pośrednictwem usługi Azure Firewall.

Jest to konfiguracja dwuetapowa:

Skonfiguruj routing ruchu internetowego przy użyciu menu Ustawienia trasy bezpiecznego koncentratora wirtualnego. Skonfiguruj sieci wirtualne i gałęzie, które mogą wysyłać ruch do Internetu za pośrednictwem zapory.
Skonfiguruj, które Połączenie ions (sieć wirtualna i gałąź) mogą kierować ruch do Internetu (0.0.0.0/0) za pośrednictwem usługi Azure FW w centrum lub zaufanego dostawcy zabezpieczeń. Ten krok gwarantuje, że trasa domyślna jest propagowana do wybranych gałęzi i sieci wirtualnych dołączonych do koncentratora usługi Virtual WAN za pośrednictwem Połączenie ions.

Wymuszanie tunelowania ruchu do zapory lokalnej w zabezpieczonym koncentratonie wirtualnym

Jeśli istnieje już trasa domyślna wyuczone (za pośrednictwem protokołu BGP) przez koncentrator wirtualny z jednej z gałęzi (sieci VPN lub lokacji ER), ta trasa domyślna jest zastępowana przez domyślne trasy poznane w ustawieniu usługi Azure Firewall Manager. W takim przypadku cały ruch, który wchodzi do centrum z sieci wirtualnych i oddziałów przeznaczonych do Internetu, będzie kierowany do usługi Azure Firewall lub zaufanego dostawcy zabezpieczeń.