Globální výrobní společnost poskytla architekturu, kterou tento článek popisuje. Provozní technologie a oddělení informačních technologií společnosti jsou vysoce integrované a vyžadují jednu interní síť. Prostředí ale mají výrazně odlišné požadavky na zabezpečení a výkon. Vzhledem k citlivé povaze operací společnosti musí být veškerý provoz chráněný síťovým virtuálním zařízením, které zákazník hostuje na vlastních virtuálních počítačích, a musí být zavedený řešení IDPS (Detection and Protection System). Oddělení informačních technologií má méně náročné požadavky na zabezpečení sítě, ale toto oddělení chce optimalizovat výkon, takže uživatelé mají přístup k IT aplikacím s nízkou latencí.
Pracovníci s rozhodovací pravomocí ve společnosti se obrátili na Azure Virtual WAN, aby splňovali globální potřeby jedné sítě s různými požadavky na zabezpečení a výkon. Také mají řešení, které je snadné spravovat, nasazovat a škálovat. S tím, jak přidávají oblasti, můžou i nadále bezproblémově růst se sítí, která je vysoce optimalizovaná pro své potřeby.
Potenciální případy použití
Mezi obvyklé případy použití této architektury patří:
- Globální organizace, která vyžaduje centralizované řešení souborů pro důležité obchodní účely.
- Vysoce výkonné úlohy souborů, které vyžadují lokalizované soubory uložené v mezipaměti.
- Flexibilní vzdálení pracovníci pro uživatele v kanceláři i mimo kancelář.
- Požadavek na použití ručně hostovaných síťových virtuálních zařízení.
Architektura
Stáhněte si soubor Visia této architektury.
Tady je souhrn architektury:
- Uživatelé přistupuje k virtuálním sítím z větve.
- Azure ExpressRoute rozšiřuje místní sítě do cloudu Microsoftu přes privátní připojení s pomocí poskytovatele připojení.
- Centrum Virtual WAN směruje provoz odpovídajícím způsobem pro zabezpečení nebo výkon. Centrum obsahuje různé koncové body služby, které umožňují připojení.
- Trasy definované uživatelem vynucují provoz do síťových virtuálních zařízení v případě potřeby.
- Každé síťové virtuální zařízení kontroluje provoz, který proudí do virtuální sítě.
- Partnerský vztah virtuálních sítí poskytuje kontrolu virtuální sítě mezi virtuálními sítěmi v prostředí optimalizovaném pro výkon.
Společnost má více oblastí a pokračuje v nasazování oblastí do modelu. Společnost nasadí prostředí optimalizované pro zabezpečení nebo optimalizované pro výkon pouze v případě potřeby. Prostředí směrují následující provoz přes síťové virtuální zařízení:
Dopravní cesty
| Místa určení | |||||||
|---|---|---|---|---|---|---|---|
| Virtuální síť 1 | Virtuální síť 2 | VNet3 | VNet4 | Větev | Internet | ||
| Zdroj optimalizovaný pro zabezpečení | Virtuální síť 1 | Uvnitř virtuální sítě | NVA1-VNet2 | NVA1-hub-VNet3 | NVA1-hub-VNet4 | NvA1-hub-branch | Síťové virtuální zařízení 1 -internet |
| Zdroj optimalizovaný pro výkon | VNet3 | hub-NVA1-VNet1 | hub-NVA1-VNet2 | Uvnitř virtuální sítě | NVA2-VNet4 | hub-branch | NvA2-internet |
| Zdroj větve | Větev | hub-NVA1-VNet1 | hub-NVA1-VNet2 | hub-VNet3 | hub-VNet4 | Nelze použít | Nelze použít |
Jak ukazuje předchozí diagram, architektura síťového virtuálního zařízení a směrování vynutí všechny cesty provozu v prostředí optimalizovaném pro zabezpečení tak, aby používaly síťové virtuální zařízení mezi virtuálními sítěmi a centrem ve společné vrstvené architektuře.
Prostředí optimalizované pro výkon má více přizpůsobené schéma směrování. Toto schéma poskytuje bránu firewall a kontrolu provozu tam, kde jsou potřeba. Neposkytuje bránu firewall, kde není potřeba. Provoz typu VNet-to-VNet v prostoru optimalizovaném pro výkon je vynucený přes síťové virtuální zařízení 2, ale provoz mezi pobočkou a virtuální sítí může přecházet přímo přes centrum. Podobně cokoli směřuje do zabezpečeného prostředí, nemusí přejít na síť VNet2 síťového virtuálního zařízení, protože se kontroluje na okraji zabezpečeného prostředí síťovým virtuálním zařízením v síti VNet1 síťového virtuálního zařízení. Výsledkem je vysokorychlostní přístup k větvi. Architektura stále poskytuje kontrolu typu VNet-to-VNet v prostředí optimalizovaném pro výkon. To není nutné pro všechny zákazníky, ale můžete to provést prostřednictvím partnerských vztahů, které můžete vidět v architektuře.
Přidružení a šíření centra Virtual WAN
Nakonfigurujte trasy pro centrum Virtual WAN následujícím způsobem:
| Název | Přidruženo k | Šíření do |
|---|---|---|
| Síťová virtuální síť 1 | defaultRouteTable | defaultRouteTable |
| Síť VNet2 síťového virtuálního zařízení 2 | Tabulka PerfOptimizedRoute | defaultRouteTable |
| VNet3 | Tabulka PerfOptimizedRoute | defaultRouteTable |
| VNet4 | Tabulka PerfOptimizedRoute | defaultRouteTable |
Požadavky směrování
Vlastní trasa ve výchozí směrovací tabulce v centru Virtual WAN pro směrování veškerého provozu pro virtuální síť VNet1 a VNet2 do secOptConnection.
Název trasy Typ cíle Cílová předpona Další směrování IP adresa dalšího segmentu směrování Trasa optimalizovaná pro zabezpečení CIDR 10.1.0.0/16 secOptConnection <IP adresa síťového virtuálního zařízení 1> Statická trasa na scOptConnection přesměrovává provoz pro virtuální síť VNet1 a VNet2 na IP adresu síťového virtuálního zařízení 1.
Název Předpona adresy Typ dalšího směrování IP adresa dalšího segmentu směrování Rt-to-secOptimized 10.1.0.0/16 Virtuální zařízení <IP adresa síťového virtuálního zařízení 1> Vlastní směrovací tabulka v centru Virtual WAN s názvem perfOptimizedRouteTable. Tato tabulka slouží k zajištění toho, aby virtuální sítě optimalizované pro výkon vzájemně nekomunikovaly přes centrum a musí používat partnerský vztah k virtuální síti NVA VNet2.
Trasa definovaná uživatelem přidružená ke všem podsítím ve virtuální síti VNet1 a VNet2 pro směrování veškerého provozu zpět do síťového virtuálního zařízení 1.
Název Předpona adresy Typ dalšího směrování IP adresa dalšího segmentu směrování rt-all 0.0.0.0/0 Virtuální zařízení <IP adresa síťového virtuálního zařízení 1> Trasa definovaná uživatelem přidružená ke všem podsítím v síti VNet3 a VNet4 pro směrování provozu typu VNet-to-VNet a internetového provozu do síťového virtuálního zařízení 2.
Název Předpona adresy Typ dalšího směrování IP adresa dalšího segmentu směrování rt-to-internet 0.0.0.0/0 Virtuální zařízení <IP adresa síťového virtuálního zařízení2> vnet-to-vnet 10.2.0.0/16 Virtuální zařízení <IP adresa síťového virtuálního zařízení2>
Poznámka:
Ip adresy síťového virtuálního zařízení můžete nahradit IP adresami nástroje pro vyrovnávání zatížení ve směrování, pokud nasazujete architekturu s vysokou dostupností s několika síťovými virtuálními virtuálními zařízeními za nástrojem pro vyrovnávání zatížení.
Komponenty
- Azure Virtual WAN. Virtual WAN je síťová služba, která spojuje mnoho síťových funkcí, zabezpečení a směrování, aby poskytovala jedno provozní rozhraní. V tomto případě zjednodušuje a škáluje směrování na připojené virtuální sítě a větve.
- Azure ExpressRoute. ExpressRoute rozšiřuje místní sítě do cloudu Microsoftu přes privátní připojení.
- Azure Virtual Network. Virtuální síť je základním stavebním blokem vaší privátní sítě v Azure. Virtuální síť umožňuje mnoho typů prostředků Azure, jako jsou virtuální počítače Azure, komunikovat s lepším zabezpečením mezi sebou, internetem a místními sítěmi.
- Centrum Virtual WAN Virtuální centrum je virtuální síť, kterou spravuje Microsoft. Centrum obsahuje různé koncové body služby, které umožňují připojení.
- Připojení virtuální sítě rozbočovače. Prostředek připojení k virtuální síti rozbočovače bezproblémově propojuje centrum s vašimi virtuálními sítěmi.
- Statické trasy. Statické trasy poskytují mechanismus řízení provozu prostřednictvím IP adresy dalšího segmentu směrování.
- Směrovací tabulky centra Můžete vytvořit trasu virtuálního centra a použít ji na směrovací tabulku virtuálního centra.
- Partnerský vztah virtuálních sítí Pomocí partnerského vztahu virtuálních sítí můžete bezproblémově propojit dvě nebo více virtuálních sítí v Azure.
- Trasy definované uživatelem Trasy definované uživatelem jsou statické trasy, které přepíší výchozí systémové trasy Azure nebo přidávají další trasy do směrovací tabulky podsítě. V případě potřeby se používají k vynucení provozu do síťových virtuálních zařízení.
- Síťová virtuální zařízení Síťová virtuální zařízení jsou nabízená na marketplace. V tomto případě společnost nasadila síťové virtuální zařízení Palo Alto, ale brána firewall síťového virtuálního zařízení by tady fungovala.
Alternativy
Pokud samoobslužné hostování síťových virtuálních zařízení není požadavek, existuje jednodušší řešení, kde je síťové virtuální zařízení hostované v centru zabezpečeném virtuální sítí Azure a pro každé připojení virtuální sítě se upraví interní kontrola provozu. Toto řešení však neumožňuje rozlišovat mezi provozem typu vnet-to-vnet a vnet-to-cross-premises.
Pokud chcete nasadit jenom vysoce zabezpečené prostředí síťového virtuálního zařízení, můžete postupovat podle tohoto modelu: Směrování provozu přes síťové virtuální zařízení.
Pokud chcete nasadit vlastní model síťového virtuálního zařízení, který podporuje směrování provozu do vyhrazené brány firewall pro internet i směrování provozu větve přes síťové virtuální zařízení, přečtěte si téma Směrování provozu přes síťová virtuální zařízení pomocí vlastních nastavení.
Předchozí alternativa nasadí prostředí s vysokým zabezpečením za síťové virtuální zařízení a nabízí určitou možnost nasazení vlastního prostředí. Liší se ale od případu použití popsaného v tomto článku dvěma způsoby. Nejprve se zobrazí dva modely v izolaci, nikoli v kombinaci. Zadruhé nepodporuje provoz typu VNet-to-VNet ve vlastním prostředí (to, co zde nazýváme prostředí optimalizované pro výkon).
Důležité informace
V tomto nasazení trasy, které procházejí centrem Virtual WAN, do prostředí optimalizovaného pro výkon neprocházejí přes síťové virtuální zařízení v tomto prostředí. To představuje potenciální problém s provozem mezi oblastmi, který je znázorněn tady:
Provoz mezi oblastmi mezi prostředími optimalizovanými pro výkon neprochází mezi síťovým virtuálním zařízením. Jedná se o omezení přímého směrování provozu centra do virtuálních sítí.
Dostupnost
Virtual WAN je vysoce dostupná síťová služba. Můžete nastavit více připojení nebo cest z větve, abyste získali více cest ke službě Virtual WAN. V rámci služby virtuální sítě WAN ale nepotřebujete nic dalšího.
Síťová virtuální zařízení byste měli nastavit v architektuře s vysokou dostupností, která je podobná té, která je popsaná tady: Nasaďte síťová virtuální zařízení s vysokou dostupností.
Výkon
Toto řešení v případě potřeby optimalizuje výkon sítě. Směrování můžete upravit podle vlastních požadavků a umožnit tak provozu do větve překračovat síťové virtuální zařízení a provoz mezi virtuálními sítěmi volně proudit nebo použít jednu bránu firewall pro výchozí přenos dat z internetu.
Škálovatelnost
Tato architektura je škálovatelná napříč oblastmi. Při nastavování popisků směrování pro seskupování tras a přesměrování provozu větví mezi virtuálními rozbočovači zvažte své požadavky.
Zabezpečení
U síťových virtuálních zařízení můžete používat funkce, jako je IDPS se službou Virtual WAN.
Odolnost
Informace o odolnosti najdete v části Dostupnost v dřívější části tohoto článku.
Optimalizace nákladů
Ceny pro tuto architekturu výrazně závisí na síťových virtuálních zařízeních, které nasadíte. V případě připojení ER o rychlosti 2 Gb/s a centra Virtual WAN, které zpracovává 10 TB za měsíc, najdete v tomto odhadu cen.
Přispěvatelé
Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.
Hlavní autor:
- John Poetzinger | Vedoucí architekt cloudových řešení
Další kroky
- Co je Azure Virtual WAN?
- Co je Azure ExpressRoute?
- Konfigurace směrování virtuálního centra – Azure Virtual WAN
- Brána firewall a Application Gateway pro virtuální sítě
- Azure Virtual WAN a podpora práce na dálku