Сеть корпорации Contoso
Чтобы внедрить инфраструктуру, включаемую в облако, компания Contoso разработала фундаментальный сдвиг в том, как передается сетевой трафик в облачные службы. Вместо внутренней звездообразной модели, которая фокусирует сетевое подключение и трафик для следующего уровня иерархии офиса, они сопоставляют расположения пользователей с локальным исходящим интернет-трафиком, а локальные подключения — с ближайшим сетевым расположением Microsoft 365 в Интернете.
Сетевая инфраструктура
Вот сетевые элементы, которые связывают офисы Contoso по всему миру:
Сеть WAN с многопротокольной коммутацией по меткам (MPLS)
Глобальная сеть MPLS соединяет штаб-квартиру в Париже с региональными офисами, а региональные офисы — со вспомогательными офисами в конфигурации периферийных и центральных. Сеть позволяет пользователям получать доступ к локальным серверам, которые составляют бизнес-приложения в штаб-квартире в Париже. Он также направляет любой общий интернет-трафик в парижский офис, где устройства сетевой безопасности открескивать запросы. В каждом офисе маршрутизаторы доставляют трафик к проводным узлам или беспроводным точкам доступа в подсетях, которые используют пространство частных IP-адресов.
Локальный прямой доступ в Интернет для трафика Microsoft 365
Каждый офис имеет программно-определяемое глобальное устройство (SD-WAN), которое имеет один или несколько локальных сетевых каналов интернет-провайдера с собственным подключением к Интернету через прокси-сервер. Обычно это реализуется в виде канала глобальной сети с локальным поставщиком услуг Интернета, который также предоставляет общедоступные IP-адреса и локальный DNS-сервер.
Интернет-представительство
Корпорации Contoso принадлежит общедоступное доменное имя contoso.com. Общедоступный веб-сайт Contoso для заказа продуктов — это набор серверов в подключенном к Интернету центре обработки данных в парижском кампусе. Компания Contoso использует диапазон общедоступных IP-адресов /24 в Интернете.
На рисунке 1 показана сетевая инфраструктура Contoso и ее подключения к Интернету.
Рис. 1. Сеть Contoso
Использование технологии SD-WAN для оптимального подключения к ресурсам Майкрософт
В компании Contoso следуют указанным ниже принципам сетевого подключения для Microsoft 365:
- Определение и дифференциация сетевого трафика Microsoft 365
- Локальная организация исходящего трафика для сетевых подключений.
- Недопущение "узких" мест в сети.
- Обход дублируемых устройств обеспечения безопасности сети.
Существует три категории сетевого трафика для Microsoft 365: Optimize, Allow и Default. Оптимизация и разрешение трафика — это доверенный сетевой трафик, зашифрованный и защищенный в конечных точках и предназначенный для сети Microsoft 365.
В компании Contoso решили следующее:
Используйте прямой исходящий интернет-трафик для оптимизации и разрешения трафика категории, а также для перенаправления всего трафика категории по умолчанию в центральное подключение к Интернету в Париже.
Разверните устройства SD-WAN в каждом офисе, чтобы следовать этим принципам и достичь оптимальной производительности сети для облачных служб Microsoft 365.
Устройство SD-WAN оснащено портом для подключения к локальной сети офиса и несколькими портами для подключения к глобальной сети. Один порт глобальной сети подключается к сети MPLS. Другой подключается к локальному каналу ISP. Устройство SD-WAN выполняет маршрутизацию оптимизированного и разрешенного сетевого трафика в канал поставщика услуг Интернета.
Инфраструктура бизнес-приложений Contoso
Компания Contoso проектировала инфраструктуру бизнес-приложений и серверной интрасети для следующих компонентов:
- В подчиненных офисах используются локальные кэширующие серверы для хранения часто используемых документов и внутренних веб-сайтов.
- Региональные центральные офисы используют региональные серверы приложений для региональных и подчиненных офисов. Эти серверы синхронизируются с серверами главного офиса в Париже.
- Центры обработки данных кампуса в Париже содержат централизованные серверы приложений, которые обслуживают всю организацию.
На рисунке 2 показана процентная доля емкости сетевого трафика, используемого при доступе к серверам в интрасети Contoso.
Рис. 2. Инфраструктура Contoso для внутренних приложений
Для вспомогательных или региональных центральных офисов 60 процентов ресурсов, необходимых сотрудникам, могут обслуживаться вспомогательными и региональными серверами центральных офисов. Дополнительные 40 процентов запросов на ресурсы должны проходить по каналу глобальной сети в Парижском кампусе.
Анализ сети и подготовка к Microsoft 365 для предприятий
Успешное внедрение Microsoft 365 для корпоративных служб пользователями Contoso зависит от высокой доступности и производительности подключения к Интернету или напрямую к облачным службам Майкрософт. Компания Contoso приняла следующие меры для планирования и реализации оптимизированного подключения к Microsoft 365 для корпоративных облачных служб:
Создание схемы сети глобальной сети компании для планирования
Чтобы начать планирование сети, компания Contoso создала схему, показывающую расположение офисов, существующее сетевое подключение, существующие устройства периметра сети и классы служб, управляемых в сети. Они использовали эту схему для каждого последующего этапа планирования и реализации сетевого подключения.
Создание плана microsoft 365 для корпоративного сетевого подключения
Компания Contoso использовала принципы сетевого подключения Microsoft 365 и примеры эталонных сетевых архитектур, чтобы определить SD-WAN в качестве предпочтительной топологии для подключения к Microsoft 365.
Анализ использования подключения к Интернету и пропускной способности MPLS-WAN в каждом офисе и увеличение пропускной способности по мере необходимости
Было проанализировано текущее использование каждого офиса, и каналы были увеличены, чтобы прогнозировалось, что облачный трафик Microsoft 365 будет работать в среднем 20 процентов неиспользуемой емкости.
Оптимизация производительности для сетевых служб Майкрософт
Компания Contoso определила набор Office 365, Intune и конечных точек Azure, а также настроенные брандмауэры, устройства безопасности и другие системы в пути к Интернету для обеспечения оптимальной производительности. Конечные точки для Office 365 Оптимизировать и Разрешить трафик категории были настроены на устройствах SD-WAN для маршрутизации по каналу ISP.
Настройка внутренней DNS
Для обеспечения трафика в Microsoft 365 необходима работоспособная DNS, которую можно найти в локальной сети.
Проверка подключения к конечной точке сети и портам
Компания Contoso запустила средства проверки сетевого подключения Майкрософт для проверки подключения к Microsoft 365 для облачных служб предприятия.
Оптимизация компьютеров сотрудников для сетевого подключения
Отдельные компьютеры были проверены, чтобы убедиться, что установлены последние обновления операционной системы и что мониторинг безопасности конечных точек был активен на всех клиентах.
Следующий этап
Узнайте, как компания Contoso использует свои локальная служба Active Directory доменных служб в облаке для сотрудников и федеративной проверки подлинности для клиентов и бизнес-партнеров.
См. также
Стратегия работы с сетями для Microsoft 365
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по