Tento článek popisuje, jak převést hvězdicovou síťovou topologii IPv4 na protokol IPv6. Představuje hvězdicovou síťovou topologii jako výchozí bod a popisuje kroky, které můžete provést při implementaci podpory protokolu IPv6.
V hvězdicové síti je centrální virtuální síť centrálním bodem připojení pro paprskové virtuální sítě. Paprskové virtuální sítě se připojují k centru a můžou poskytovat izolaci pro prostředky aplikace. Další informace najdete v tématu Přechod na protokol IPv6.
Architektura
Stáhněte si soubor aplikace Visio s touto architekturou.
Workflow
Veřejný internet a místní síť: Uživatelé nebo služby mají přístup k prostředkům Azure prostřednictvím veřejného internetu. Mezi místními sítěmi jsou místní virtuální počítače, které se bezpečně připojují k síti Azure přes bránu VPN.
Azure Virtual Network Manager: Tato komponenta je vrstva správy, která dohlíží na celou síťovou infrastrukturu v Rámci Azure. Zpracovává směrování, zásady a celkový stav virtuální sítě.
Virtuální síť centra: Centrum je centrálním bodem topologie sítě. Konfigurace sítě podporuje protokol IPv4 i IPv6 (duální zásobník).
- Azure Bastion poskytuje zabezpečené a bezproblémové připojení protokolu RDP/SSH (Remote Desktop Protocol/Secure Shell) z webu Azure Portal k virtuálním počítačům přímo přes protokol TLS (Transport Layer Security).
- Azure Firewall kontroluje a filtruje provoz mezi centrem a veřejným internetem.
- ExpressRoute propojuje místní síť s centrem.
- Služba VPN Gateway také připojuje místní síť k centru a zajišťuje redundanci.
- Služby ve virtuální síti centra odesílají protokoly a metriky (diagnostika) do služby Azure Monitor pro monitorování.
Paprskové virtuální sítě: K centru jsou připojené čtyři paprsky. Každý paprsk je síť se dvěma zásobníky, která podporuje protokolY IPv4 i IPv6.
- Trasy definované uživatelem iPv6 definují vlastní trasy pro provoz IPv6 z paprsku.
- Paprskové virtuální sítě jsou propojené prostřednictvím připojení peeringu nebo připojených skupin. Připojení peeringu a připojené skupiny jsou nepřecházení, připojení s nízkou latencí mezi virtuálními sítěmi. Partnerské nebo připojené virtuální sítě můžou vyměňovat provoz přes páteřní síť Azure.
- Veškerý odchozí provoz z paprskových virtuálních sítí prochází centrem pomocí konfigurace ve službě Azure Firewall označované jako vynucené tunelování.
- V každém paprsku jsou tři podsítě určené jako podsítě prostředků, z nichž každý je hostitelem virtuálního počítače.
- Každý virtuální počítač se připojí k internímu nástroji pro vyrovnávání zatížení nakonfigurovaného tak, aby podporoval rozsahy adres IPv4 a IPv6. Nástroj pro vyrovnávání zatížení distribuuje příchozí síťový provoz mezi virtuální počítače.
Komponenty
- Azure Virtual Network je základním stavebním blokem privátních sítí v Azure. Virtuální síť umožňuje mnoha prostředkům Azure, jako je Azure Virtual Machines, bezpečně komunikovat mezi sebou, mezi místními sítěmi a internetem.
- Pro komunikaci virtuálních počítačů se vyžaduje virtuální síťové rozhraní . Můžete nastavit virtuální počítače a další prostředky tak, aby měly více síťových rozhraní, což umožňuje vytvářet konfigurace duálního zásobníku (IPv4 a IPv6).
- Veřejná IP adresa se používá pro příchozí připojení IPv4 a IPv6 k prostředkům Azure.
- Virtual Network Manager slouží k vytváření a správě skupin sítí a jejich připojení.
- Azure Firewall je spravovaná cloudová služba zabezpečení sítě. Chrání vaše prostředky služby Azure Virtual Network. Spravovaná instance brány firewall služby Azure Firewall je ve své vlastní podsíti.
- Azure VPN Gateway nebo Azure ExpressRoute je možné použít k vytvoření brány virtuální sítě pro připojení virtuální sítě k zařízení virtuální privátní sítě (VPN) nebo okruhu ExpressRoute. Brána poskytuje připojení mezi místními sítěmi.
- Azure Load Balancer slouží k povolení více počítačů, které mají stejný účel ke sdílení provozu. V této architektuře distribuují nástroje pro vyrovnávání zatížení provoz mezi více podsítí, které podporují protokol IPv6.
- Směrovací tabulka v Azure je sada tras, která poskytuje definice vlastních cest pro síťový provoz.
- Azure Virtual Machines je výpočetní řešení typu infrastruktura jako služba (IaaS), které podporuje protokol IPv6.
- Azure Bastion je plně spravovaná platforma jako služba (PaaS), kterou Microsoft poskytuje a udržuje. Poskytuje zabezpečený a bezproblémový protokol vzdálené plochy a přístup SSH k virtuálním počítačům bez vystavení veřejné IP adresy.
- Monitorování je komplexní řešení monitorování pro shromažďování, analýzu a reagování na data monitorování z cloudových a místních prostředí. Monitorování můžete použít k maximalizaci dostupnosti a výkonu aplikací a služeb.
Přechod virtuální sítě centra na protokol IPv6
Pokud chcete převést virtuální síť rozbočovače na podporu protokolu IPv6, musíte aktualizovat síťovou infrastrukturu tak, aby vyhovovala rozsahům adres IPv6, takže centrální a řídicí část sítě dokáže zpracovat provoz IPv6. Tento přístup zajišťuje, že centrální centrum dokáže efektivně směrovat a spravovat provoz mezi různými síťovými segmenty (paprsky) pomocí protokolu IPv6. Pokud chcete implementovat protokol IPv6 ve virtuální síti centra, postupujte takto:
Přidání adresního prostoru IPv6 do virtuální sítě centra a podsítí centra
Nejdřív je potřeba přidat rozsahy adres IPv6 do virtuální sítě centra a pak do jejích podsítí. Použijte blok adresy /56 pro virtuální síť a blok adresy /64 pro každou podsíť. Následující tabulka ukazuje příklad nastavení.
| Rozsah adres virtuální sítě centra | Rozsah adres podsítě centra |
|---|---|
Virtuální síť centra: 2001:db8:1234:0000::/56 |
Podsíť Služby Azure Bastion: 2001:db8:1234:0000::/64Podsíť služby Azure Firewall: 2001:db8:1234:0001::/64Podsíť služby VPN Gateway: 2001:db8:1234:0002::/64Podsíť ExpressRoute: 2001:db8:1234:0003::/64 |
Tyto adresy IPv6 jsou příklady. Měli byste nahradit 2001:db8:1234:: blokem adresy IPv6 vaší organizace. Pečlivě naplánujte a zdokumentujte přidělení adres IPv6, abyste se vyhnuli překrývání a zajistili efektivní využití adresního prostoru. Pokud chcete přidat adresní prostor IPv6 do virtuální sítě centra, můžete použít Azure Portal, PowerShell nebo Azure CLI.
Konfigurace tras definovaných uživatelem pro každou podsíť centra
Trasy definované uživatelem jsou trasy, které jste ručně nastavili tak, aby přepisovaly výchozí systémové trasy Azure. Trasy definované uživatelem v Azure jsou nezbytné pro řízení toku síťového provozu ve virtuální síti. Trasy definované uživatelem můžete použít k směrování provozu z jedné podsítě na konkrétní zařízení, brány nebo cíle v rámci Azure nebo do místních sítí. Když do virtuální sítě centra přidáte podporu protokolu IPv6, musíte:
- Přidejte trasy IPv6. Pokud existuje zavedená směrovací tabulka, přidejte nové trasy, které určují předpony adres IPv6.
- Upravte existující trasy. Pokud už existují trasy pro protokol IPv4, budete je možná muset upravit, aby se zajistilo, že se vztahují také na provoz IPv6, nebo vytvořit samostatné trasy specifické pro IPv6.
- Přidružte směrovací tabulku k podsítím. Po definování tras přidružte směrovací tabulku k příslušným podsítím ve virtuální síti. Toto přidružení určuje, které podsítě používají trasy, které jste definovali.
Nemusíte přidávat trasu pro každý prostředek, ale potřebujete trasu pro každou podsíť. Každá podsíť může mít více prostředků a všechny se řídí pravidly definovanými ve směrovací tabulce přidružené k jejich podsíti. Další informace najdete v tématu Přehled trasy definované uživatelem.
V příkladu architektury má virtuální síť centra čtyři podsítě: Azure Bastion, Azure Firewall, VPN Gateway a ExpressRoute. Následující tabulka ukazuje ukázkové trasy definované uživatelem pro každou podsíť.
| Podsíť centra | Popis | Rozsah adres IPv6 | Název trasy | Cíl | Další směrování |
|---|---|---|---|---|---|
| Azure Bastion | Směrování do brány firewall | 2001:db8:1234:0000::/64 |
Internetová trasa | ::/0 |
2001:db8:1234:0001::/64 (Azure Firewall) |
| Azure Firewall | Výchozí trasa | 2001:db8:1234:0001::/64 |
Internetová trasa | ::/0 |
Internetová brána |
| VPN Gateway | Místní trasa | 2001:db8:1234:0002::/64 |
Místní trasa | 2001:db8:abcd::/56 |
VPN Gateway |
| ExpressRoute | Místní trasa | 2001:db8:1234:0003::/64 |
Místní trasa | 2001:db8:efgh::/56 |
ExpressRoute |
Když nastavíte trasy definované uživatelem, musíte je sladit se zásadami sítě organizace a architekturou nasazení Azure.
Úprava okruhu ExpressRoute (pokud je k dispozici)
Pokud chcete okruh ExpressRoute poskytnout podporu protokolu IPv6, musíte:
- Povolte privátní partnerský vztah IPv6. Povolte privátní partnerský vztah IPv6 pro okruh ExpressRoute. Tato konfigurace umožňuje provoz IPv6 mezi vaší místní sítí a virtuální sítí centra.
- Přidělení adresního prostoru IPv6 Zadejte podsítě IPv6 pro primární a sekundární propojení ExpressRoute.
- Aktualizujte směrovací tabulky. Ujistěte se, že přes okruh ExpressRoute správně směrujete provoz IPv6.
Tyto konfigurace rozšiřují připojení IPv6 ke službám Azure prostřednictvím okruhu ExpressRoute, abyste mohli souběžně směrovat možnosti duálního zásobníku. K úpravě ExpressRoute můžete použít Azure Portal, PowerShell nebo Azure CLI.
Převod paprskových virtuálních sítí na protokol IPv6
Paprskové virtuální sítě jsou připojené k centrálnímu centru. Když poskytnete paprskové virtuální sítě s podporou protokolu IPv6, může každá paprsková síť komunikovat prostřednictvím pokročilejšího protokolu IPv6 a rozšiřuje jednotnost v síti. Pokud chcete paprskovým virtuálním sítím poskytnout podporu protokolu IPv6, postupujte takto:
Přidání adresního prostoru IPv6 do paprskových virtuálních sítí a podsítí paprsků
Podobně jako u virtuální sítě centra musíte přidat rozsahy adres IPv6 do každé paprskové virtuální sítě a pak jejich podsítě. Použijte blok adresy /56 pro virtuální sítě a blok adresy /64 pro podsítě. Následující tabulka obsahuje příklad rozsahů adres IPv6 pro paprskové virtuální sítě a jejich podsítě.
| Rozsah adres paprskové virtuální sítě | Rozsah adres podsítě paprsku |
|---|---|
Paprsková virtuální síť 1: 2001:db8:1234:0100::/56 |
Podsíť 1: 2001:db8:1234:0100::/64Podsíť 2: 2001:db8:1234:0101::/64Podsíť 3: 2001:db8:1234:0102::/64 |
Paprsková virtuální síť 2: 2001:db8:1234:0200::/56 |
Podsíť 1: 2001:db8:1234:0200::/64Podsíť 2: 2001:db8:1234:0201::/64Podsíť 3: 2001:db8:1234:0202::/64 |
Paprsková virtuální síť 3: 2001:db8:1234:0300::/56 |
Podsíť 1: 2001:db8:1234:0300::/64Podsíť 2: 2001:db8:1234:0301::/64Podsíť 3: 2001:db8:1234:0302::/64 |
Paprsková virtuální síť 4: 2001:db8:1234:0400::/56 |
Podsíť 1: 2001:db8:1234:0400::/64Podsíť 2: 2001:db8:1234:0401::/64Podsíť 3: 2001:db8:1234:0402::/64 |
Pro nastavení upravte adresy IPv6 podle přidělování a potřeb vaší organizace.
Úprava prostředků paprskové virtuální sítě
Každá paprsková virtuální síť obsahuje několik virtuálních počítačů a interní nástroj pro vyrovnávání zatížení. Interní nástroj pro vyrovnávání zatížení umožňuje směrovat provoz IPv4 a IPv6 do virtuálních počítačů. Musíte upravit virtuální počítače a interní nástroje pro vyrovnávání zatížení, aby podporovaly protokol IPv6.
Pro každý virtuální počítač musíte vytvořit síťové rozhraní IPv6 a přidružit ho k virtuálnímu počítači, aby se přidala podpora IPv6. Další informace najdete v tématu Přidání konfigurace IPv6 do virtuálního počítače.
Pokud v každé paprskové virtuální síti není interní nástroj pro vyrovnávání zatížení, měli byste vytvořit interní nástroj pro vyrovnávání zatížení se dvěma zásobníky. Další informace najdete v tématu Vytvoření interního nástroje pro vyrovnávání zatížení se dvěma zásobníky. Pokud existuje interní nástroj pro vyrovnávání zatížení, můžete k přidání podpory protokolu IPv6 použít PowerShell nebo Azure CLI .
Konfigurace tras definovaných uživatelem (UDR) pro každou podsíť paprsku
Pokud chcete nakonfigurovat trasy definované uživatelem, paprskové virtuální sítě používají stejnou konfiguraci jako virtuální sítě centra, když do paprskové virtuální sítě přidáte podporu protokolu IPv6, musíte:
Přidejte trasy IPv6. Pokud existuje zavedená směrovací tabulka, přidejte nové trasy, které určují předpony adres IPv6.
Upravte existující trasy. Pokud už existují trasy pro protokol IPv4, budete je možná muset upravit, aby se zajistilo, že se vztahují také na provoz IPv6, nebo vytvořit samostatné trasy specifické pro IPv6.
Přidružte směrovací tabulku k podsítím. Po definování tras přidružte směrovací tabulku k příslušným podsítím ve virtuální síti. Toto přidružení určuje, které podsítě používají trasy, které jste definovali.
Následující tabulka ukazuje ukázkové trasy definované uživatelem pro každou podsíť ve virtuální síti paprsku.
| Podsíť paprsku | Popis | Rozsah adres IPv6 | Název trasy | Cíl | Další směrování |
|---|---|---|---|---|---|
| Podsíť 1 | Směrování do brány firewall | 2001:db8:1234:0100::/64 |
Internetová trasa | ::/0 |
2001:db8:1234:0001::/64 (Azure Firewall) |
| Podsíť 2 | Trasa ke službě VPN Gateway | 2001:db8:1234:0101::/64 |
Trasa VPN | 2001:db8:abcd::/64 |
2001:db8:1234:0002::/64 (VPN Gateway) |
| Podsíť 3 | Trasa do ExpressRoute | 2001:db8:1234:0102::/64 |
Trasa ExpressRoute | 2001:db8:5678::/64 |
2001:db8:1234:0003::/64 (ExpressRoute) |
Pro nastavení musíte sladit trasy definované uživatelem se zásadami sítě vaší organizace a architekturou nasazení Azure.
Přispěvatelé
Microsoft udržuje tento článek. Následující přispěvatelé původně napsali článek.
Hlavní autor:
- Werner Rall | Vedoucí inženýr architekta cloudových řešení
Další přispěvatelé:
- Sherri Babylon | Vedoucí technický programový manažer
- Dawn Bedard | Hlavní technický programový manažer
- Brandon Stephenson | Vedoucí zákaznický inženýr
Pokud chcete zobrazit nepublikované profily LinkedIn, přihlaste se na LinkedIn.
Další kroky
- Vytvoření virtuálního počítače se sítí IPv6 se dvěma zásobníky
- Správa rozsahů IP adres
- Architektura přechodu na cloud: Plánování přidělování IP adres
- IPv6 pro Azure Virtual Network
- Přidání podpory IPv6 přes ExpressRoute
- Podpora protokolu IPv6 pro Azure DNS
- IPv6 pro Azure Load Balancer
- Přidání podpory IPv6 pro privátní partnerský vztah pomocí webu Azure Portal