Топология сети с виртуальной глобальной сетью

Ознакомьтесь с основными рекомендациями по проектированию и рекомендациями для сетей виртуальной области (Виртуальная глобальная сеть) в Microsoft Azure.

Рис. 1. Топология Виртуальной глобальной сети. Скачайте файл Visio этой архитектуры.

рекомендации по проектированию сети Виртуальная глобальная сеть

Виртуальная глобальная сеть Azure — это управляемое корпорацией Майкрософт решение, которое по умолчанию предоставляет сквозное, глобальное и динамическое транзитное подключение. Концентраторы Виртуальной глобальной сети позволяют не настраивать сетевое подключение вручную. Например, вам не нужно управлять определяемыми пользователями маршрутами (UDR) или сетевыми виртуальными модулями (NVA), чтобы реализовать глобальное транзитное подключение.

• Azure Виртуальная глобальная сеть упрощает сквозное сетевое подключение в Azure и azure из локальной среды, создавая сетевую архитектуру концентратора и периферийной сети. Архитектура легко масштабируется для поддержки нескольких регионов Azure и локальных расположений (любое подключение), как показано на следующем рисунке:

  

Рис. 2. Глобальная транзитная сеть с виртуальной глобальной сетью.

• Azure Виртуальная глобальная сеть транзитивное подключение "любой к любому" поддерживает следующие пути (в одном регионе и в разных регионах):

  • от виртуальной сети к виртуальной сети;
  • от виртуальной сети к ветви;
  • от ветви к виртуальной сети.
  • Подключение между филиалами

• Центры Azure Виртуальная глобальная сеть ограничены развертыванием управляемых ресурсов Майкрософт. Единственными ресурсами, которые можно развернуть в центрах глобальной сети, являются:

  • Шлюзы виртуальной сети (VPN типа "точка — сеть", VPN типа "сеть — сеть" и Azure ExpressRoute)
  • Брандмауэр Azure через диспетчер брандмауэра
  • Таблицы маршрутов
  • Некоторые виртуальные сетевые (модуль) (NVA) для возможностей SD-WAN для конкретного поставщика

• Виртуальная глобальная сеть привязана Ограничения подписки Azure для Виртуальная глобальная сеть.

• Транзитивное подключение между сетями (в пределах региона и между регионами через концентратор) находится в общедоступной версии.

• Управляемая корпорацией Майкрософт функция маршрутизации, которая является частью каждого виртуального концентратора, обеспечивает транзитное подключение между виртуальными сетями в стандартной Виртуальная глобальная сеть. Каждый центр поддерживает агрегированную пропускную способность вплоть до 50 Гбит/с для трафика типа "виртуальная сеть — виртуальная сеть".

• Единый концентратор Azure Виртуальная глобальная сеть поддерживает определенное максимальное количество рабочих нагрузок виртуальных машин во всех подключенных виртуальных сетям. Дополнительные сведения см. в Виртуальная глобальная сеть ограничениях Azure.

• Вы можете развернуть несколько центров Azure Виртуальная глобальная сеть в одном регионе, чтобы масштабироваться за рамки одного концентратора.

• Виртуальная глобальная сеть интегрируется с различными поставщиками SD-WAN.

• Многие поставщики управляемых служб предлагают управляемые службы для Виртуальной глобальной сети.

• Шлюзы VPN пользователей (точка — сеть) в Виртуальная глобальная сеть масштабируются до 20 Гбит/с агрегированной пропускной способности и 100 000 клиентских подключений на виртуальный концентратор. Дополнительные сведения см. в Виртуальная глобальная сеть ограничениях Azure.

• VPN-шлюзы типа "сеть — сеть" в Виртуальная глобальная сеть масштабируются до 20 Гбит/с агрегированной пропускной способности.

• Каналы ExpressRoute можно подключить к концентратору Виртуальная глобальная сеть с помощью номера SKU "Локальный", "Стандартный" или "Премиум".

• Каналы ExpressRoute уровня "Стандартный" или "Премиум" в расположениях, поддерживаемых Azure ExpressRoute Global Reach, могут подключаться к шлюзу ExpressRoute Виртуальная глобальная сеть. И у них есть все возможности транзита Виртуальная глобальная сеть (транзит между VPN, VPN и ExpressRoute). Каналы ExpressRoute уровня "Стандартный" или "Премиум", не поддерживаемые Global Reach, могут подключаться к ресурсам Azure, но не могут использовать Виртуальная глобальная сеть возможности транзита.

• Брандмауэр Azure Manager поддерживает развертывание Брандмауэр Azure в центре Виртуальная глобальная сеть, известном как защищенный виртуальный концентратор. Дополнительные сведения см. в обзоре диспетчера Брандмауэр Azure для защищенных виртуальных центров и последних ограничений.

• Виртуальная глобальная сеть трафик концентратора к концентратору по Брандмауэр Azure в настоящее время не поддерживается, когда Брандмауэр Azure развертывается внутри самого концентратора Виртуальная глобальная сеть (защищенный виртуальный концентратор). В зависимости от ваших требований у вас есть обходные пути. Вы можете разместить Брандмауэр Azure в периферийной виртуальной сети или использовать группы безопасности сети для фильтрации трафика.

• Интерфейс портала Виртуальная глобальная сеть требует, чтобы все Виртуальная глобальная сеть ресурсы развертывались вместе в одной группе ресурсов.

• Вы можете предоставить общий доступ к плану защиты от атак DDoS Azure во всех виртуальных сетям в одном клиенте Microsoft Entra для защиты ресурсов с помощью общедоступных IP-адресов. Дополнительные сведения см. в статье Защита от атак DDoS Azure.

  • Виртуальная глобальная сеть безопасные виртуальные центры не поддерживают стандартные планы защиты от атак DDoS Azure. Дополнительные сведения см. в разделах об известных проблемах Диспетчера брандмауэра Azure и о сравнении центральной виртуальной сети и защищенного виртуального центра.

  • Планы защиты от атак DDoS Azure охватывают только ресурсы с общедоступными IP-адресами.

    • План защиты от атак DDoS Azure включает 100 общедоступных IP-адресов. Эти общедоступные IP-адреса охватывают все защищенные виртуальные сети, связанные с планом защиты от атак DDoS. Плата за любые другие общедоступные IP-адреса, кроме 100, включенных в план, взимается отдельно. Дополнительные сведения о ценах на защиту от атак DDoS Azure см. на странице цен или на часто задаваемые вопросы.

  • Просмотрите поддерживаемые ресурсы планов защиты от атак DDoS Azure.

рекомендации по проектированию сети Виртуальная глобальная сеть

Мы рекомендуем виртуальную глобальную сеть Azure для новых крупномасштабных или глобальных сетевых развертываний в Azure, где требуется глобальное транзитное подключение между регионами Azure и локальными расположениями. Таким образом, вам не нужно вручную настраивать транзитную маршрутизацию для сетей Azure.

На следующей схеме приведен пример глобального корпоративного развертывания с центрами обработки данных в Европе и США. Развертывание содержит множество филиалов в обоих регионах. Среда использует глобальные подключения через Виртуальную глобальную сеть Azure и ExpressRoute Global Reach.

Рисунок 3. Пример сетевой топологии.

• Используйте центр Виртуальная глобальная сеть для каждого региона Azure для подключения нескольких целевых зон между регионами Azure с помощью общей глобальной Виртуальная глобальная сеть Azure.

• Разверните все Виртуальная глобальная сеть ресурсы в одной группе ресурсов в подписке на подключение, в том числе при развертывании в нескольких регионах.

• Используйте функции маршрутизации виртуальных центров, чтобы дополнительно сегментировать трафик между виртуальными сетями и ветвями.

• Подключите центры Виртуальной глобальной сети к локальным центрам обработки данных с помощью ExpressRoute.

• Разверните нужные общие службы, например DNS-серверы, в выделенной периферийной виртуальной сети. Развернутые клиентом общие ресурсы нельзя развернуть в самом центре Виртуальная глобальная сеть.

• Подключите ветви и удаленные расположения к ближайшему центру Виртуальной глобальной сети через VPN-подключение типа "сеть — сеть" или включите подключение ветвей к Виртуальной глобальной сети через партнерское решение SD-WAN.

• Подключите пользователей к центру Виртуальной глобальной сети через VPN-подключение типа "точка — сеть".

• Следуйте принципу "трафик в Azure остается в Azure", чтобы обмен данными между ресурсами в Azure осуществлялся через магистральную сеть Майкрософт даже в том случае, если ресурсы находятся в разных регионах.

• Для защиты и фильтрации исходящего Интернет-трафика рекомендуем развернуть Брандмауэр Azure в виртуальном центре.

• Безопасность, предоставляемая брандмауэрами NVA. Клиенты также могут развернуть виртуальные сетевые модули в концентраторе Виртуальной глобальной сети, которые обеспечивают как подключение SD-WAN, так и возможности брандмауэра следующего поколения. Клиенты могут подключать локальные устройства к NVA в концентраторе, а также использовать то же устройство для проверки всего трафика "север — юг", "восток — запад" и интернет-трафика.

• При развертывании сетевых технологий и NVA партнера следуйте рекомендациям поставщика партнера по недопущению конфликтующих конфигураций в сети Azure.

• Сведения о сценариях для существующих сред с переносом данных из звездообразной сетевой топологии, не основанной на Виртуальной глобальной сети, см. в статье Миграция в Виртуальную глобальную сеть Azure.

• Создайте ресурсы Виртуальной глобальной сети Azure и Брандмауэра Azure в подписке подключения.

• Не создавайте более 500 виртуальных подключений в одном виртуальном центре Виртуальной глобальной сети.

  • Если требуется более 500 подключений к виртуальной сети на Виртуальная глобальная сеть виртуальном концентраторе, можно развернуть другой Виртуальная глобальная сеть виртуальный концентратор. Разверните его в том же регионе, что и часть той же Виртуальная глобальная сеть и группы ресурсов.

• Тщательно спланируйте развертывание и убедитесь, что ваша сетевая архитектура соответствует ограничениям Виртуальной глобальной сети Azure.

• Используйте аналитику в Azure Monitor для Виртуальной глобальной сети (предварительная версия) для мониторинга сквозной топологии своей Виртуальной глобальной сети, а также состояния и ключевых метрик.

• Разверните отдельный план "Защиты от атак Azure DDoS" уровня "Стандартный" в подписке для подключения.

  • Этот план должны использовать все виртуальные сети целевой зоны и платформы.