Integrace místní sítě v Azure
Vaše společnost plánuje migrovat většinu místních prostředků do Azure. Malé datové centrum musí zůstat na místě pro integraci do sítě Azure. Model architektury musí zvážit použití síťového připojení Azure pro několik satelitních poboček. Chcete použít hybridní síťovou architekturu, která uděluje přístup k místním i cloudovým prostředkům.
Pokud chcete migraci zvládnout, vytvoříte plán integrace sítě pro Azure, který zahrnuje výběr nejlepších možností hybridní sítě dostupných v Azure. Možnosti musí splňovat požadavky organizace na hybridní připojení.
V této lekci prozkoumáte místní připojení na platformě Azure. Získáte také přehled služby Azure Virtual Network a zjistíte, jak pomocí služby Azure VPN Gateway zabezpečit provoz do místní sítě.
Informace o službě Azure Virtual Network
Služba Azure Virtual Network má specifickou sadu nástrojů a prostředků pro vytvoření cloudové síťové architektury pro vaši organizaci. Virtuální sítě Azure poskytují zabezpečený komunikační kanál pro všechny povolené prostředky Azure ve vašem předplatném.
S virtuální sítí Azure můžete:
- Připojte virtuální počítače k internetu.
- Zajištění zabezpečené komunikace mezi prostředky Azure hostovanými v různých datacentrech a oblastech
- Izolovat a spravovat prostředky Azure
- Připojte se k místním počítačům.
- Správa síťového provozu
Ve výchozím nastavení mají všechny prostředky Azure ve virtuální síti odchozí připojení k internetu. Externí příchozí komunikace musí projít veřejným koncovým bodem. Všechny interní prostředky používají privátní koncový bod pro přístup k virtuální síti.
Virtuální síť se skládá z mnoha prvků. Zahrnuje síťová rozhraní, nástroje pro vyrovnávání zatížení, podsítě, skupiny zabezpečení sítě a veřejné IP adresy. Tyto prvky spolupracují a umožňují zabezpečenou a spolehlivou síťovou komunikaci mezi vašimi prostředky Azure, internetem a místními sítěmi.
Směrování provozu ve virtuální síti Azure
Odchozí provoz z podsítě se směruje na základě cílové IP adresy. Směrovací tabulka definuje, jak se provoz směruje a co se stane dál. Cílová IP adresa může existovat napříč několika definicemi předpon směrovací tabulky (například 10.0.0.0/16 a 10.0.0.0/24). Směrovač používá sofistikovaný algoritmus k vyhledání nejdelší shody předpon. Provoz směřující na adresu 10.0.0.6 by se přeložil na předponu 10.0.0.0/24 a odpovídajícím způsobem se směruje.
Existují dvě hlavní směrovací tabulky: systém a vlastní.
Systémové směrovací tabulky
Azure automaticky vytvoří sadu výchozích směrovacích tabulek pro virtuální síť a každou masku podsítě ve virtuální síti. Tyto systémové trasy jsou pevné a nedají se upravovat ani odstraňovat. Výchozí nastavení ale můžete přepsat pomocí vlastní směrovací tabulky.
Typická výchozí směrovací tabulka může vypadat takto:
| Zdroj | Předpony adres | Typ dalšího přeskoku |
|---|---|---|
| Výchozí | Jedinečné pro virtuální síť | Virtuální síť |
| Výchozí | 0.0.0.0/0 | Internet |
| Výchozí | 10.0.0.0/8 | Žádný |
| Výchozí | 172.16.0.0/12 | Žádný |
| Výchozí | 192.168.0.0/16 | Žádný |
| Výchozí | 100.64.0.0/10 | Žádný |
Směrovací tabulka se skládá ze zdroje, předpony adresy a typu dalšího směrování. Veškerý provoz, který opustí podsíť, používá směrovací tabulku ke zjištění, kam má jít dál. V důsledku toho provoz hledá další skok na své cestě.
Další uzel definuje, co se stane s tokem provozu na základě předpony. Existují tři typy dalšího skoku:
- virtuální sítě: Provoz se směruje podle IP adresy ve virtuální síti.
- Internet: Provoz se směruje na internet.
- Žádné: Provoz je zahozen.
Vlastní směrovací tabulky
Kromě systémově definovaných směrovacích tabulek můžete také vytvořit vlastní směrovací tabulky. Tyto uživatelem definované směrovací tabulky přepíší výchozí systémovou tabulku. Počet směrovacích položek, které můžete mít ve vlastní tabulce, má určitá omezení.
Následující tabulka uvádí několik omezení, která platí pro virtuální sítě:
| Zdroj | Výchozí nebo maximální počet |
|---|---|
| Virtuální sítě | 1,000 |
| Podsítě na jednu virtuální síť | 3,000 |
| Propojení virtuálních sítí pro každou virtuální síť | 500 |
| Privátní IP adresy na virtuální síť | 65,536 |
Podobně jako systémová směrovací tabulka mají vlastní směrovací tabulky také typ dalšího směrování. Vlastní směrovací tabulky ale nabízejí několik dalších možností:
- virtuální zařízení: Tato možnost obvykle představuje virtuální počítač, na kterém běží konkrétní síťová aplikace, jako například brána firewall.
- brány virtuální sítě: Tuto možnost použijte, pokud chcete odesílat provoz do brány virtuální sítě. Typ brány virtuální sítě musí být VPN. Typ nemůže být Azure ExpressRoute, který vyžaduje nastavení procesu směrování protokolu BGP (Border Gateway Protocol).
- Žádné: Tato možnost zahodí provoz spíše než jeho přesměrování.
- virtuální sítě: Tato možnost umožňuje přepsat výchozí systémové směrování.
- Internet: Tato možnost vám umožňuje určit, že jakákoli předpona přesměrovává provoz na Internet.
Připojení virtuálních sítí Azure
Virtuální sítě můžete propojit několika způsoby. Můžete použít Azure VPN Gateway, ExpressRoute nebo přímo metodu propojení.
Azure VPN Gateway
Když pracujete na integraci místní sítě s Azure, potřebujete mezi nimi most. VPN Gateway je služba Azure, která tuto funkci poskytuje. Brána VPN může posílat šifrovaný provoz mezi těmito dvěma sítěmi. Brány VPN podporují více připojení, která jim umožňují směrovat tunely VPN využívající libovolnou dostupnou šířku pásma. Virtuální síť může mít přiřazenou jenom jednu bránu. Brány VPN se dají použít také pro připojení mezi virtuálními sítěmi v Azure.
Při implementaci brány VPN je potřeba nasadit dva nebo více virtuálních počítačů do podsítě, kterou jste vytvořili při nastavování virtuální sítě. V tomto případě se podsíť také označuje jako bránová podsíť . Každému virtuálnímu počítači je přiřazena výchozí konfigurace pro směrování a služby brány explicitně pro zřízenou bránu. Tyto virtuální počítače nemůžete konfigurovat přímo.
Při vytváření brány je k dispozici několik topologií. Tyto topologie, označované také jako typy brány , určují, jaké prvky jsou nakonfigurované a očekávaný typ připojení.
Místo-místo
Připojení typu site-to-site použijete pro konfigurace mezi místními sítěmi a hybridními sítěmi. Tato topologie připojení vyžaduje, aby VPN zařízení v místě mělo veřejně přístupnou IP adresu a nesmělo být umístěno za překladem síťových adres (NAT). Připojení používá tajný ASCII řetězec o délce až 128 znaků k ověření mezi bránou a zařízením VPN.
Více lokalit
Připojení ve více lokalitách se podobá připojení typu site-to-site, ale s mírnou variací. Funkce multisite podporuje několik připojení VPN k vašim lokálním zařízením VPN. Tato topologie připojení vyžaduje síť VPN RouteBased, která se označuje jako dynamická brána. Je důležité si uvědomit, že při konfiguraci multisite se všechna připojení směrují přes a sdílejí veškerou dostupnou šířku pásma.
Bod-k-síti
Připojení typu point-to-site je vhodné pro vzdálené individuální klientské zařízení, které se připojuje k síti. Klientské zařízení musíte ověřit buď prostřednictvím ID Microsoft Entra, nebo pomocí ověřování certifikátů Azure. Tento model vyhovuje scénářům domácí práce.
Síť-k-síti
K vytvoření připojení mezi několika virtuálními sítěmi Azure použijete připojení k síti. Tato topologie připojení, na rozdíl od ostatních, nevyžaduje veřejnou IP adresu nebo zařízení VPN. Můžete také použít připojení typu network-to-network v konfiguraci pro více lokalit k vytvoření kombinovaných připojení mezi místními sítěmi a propojováním mezi virtuálními sítěmi.
ExpressRoute
ExpressRoute vytvoří přímé připojení mezi vaší místní sítí a virtuální sítí Azure, která nepoužívá internet. ExpressRoute můžete použít k bezproblémovému rozšíření místní sítě do prostoru virtuální sítě Azure. Mnoho poskytovatelů připojení jiných společností než Microsoft nabízí službu ExpressRoute. Existují tři různé typy připojení ExpressRoute:
- Kolokace CloudExchange
- Ethernetové připojení typu point-to-point
- Připojení typu Any-to-any (IPVPN)
Nahlížení
Virtuální sítě mohou navazovat propojení mezi předplatnými a regiony Azure. Jakmile jsou virtuální sítě propojeny, prostředky v těchto sítích spolu komunikují, jako kdyby byly ve stejné síti. Provoz se směruje mezi prostředky pouze pomocí privátních IP adres. Propojená virtuální síť směruje provoz přes síť Azure a udržuje připojení v soukromí jako součást páteřní sítě Azure. Páteřní síť poskytuje nízkou latenci a síťová připojení s velkou šířkou pásma.
Referenční architektura brány VPN typu Site-to-Site
Přestože je při návrhu hybridní sítě k dispozici mnoho referenčních architektur, jednou z oblíbených architektur je konfigurace site-to-site. Zjednodušená referenční architektura znázorněná v následujícím diagramu znázorňuje, jak byste připojili místní síť k platformě Azure. Připojení k internetu používá tunel VPN IPsec.
Architektura obsahuje několik komponent:
- Místní síť představuje místní službu Active Directory a všechna data nebo prostředky.
- Brána zodpovídá za odesílání šifrovaného provozu na virtuální IP adresu, když používá veřejné připojení.
- virtuální síť Azure obsahuje všechny cloudové aplikace a všechny komponenty brány VPN Azure.
-
azure VPN Gateway poskytuje šifrované propojení mezi virtuální sítí Azure a vaší místní sítí. Azure VPN Gateway se skládá z těchto prvků.
- Brána virtuální sítě
- Brána místní sítě
- Připojení
- Podsíť brány
- Cloudové aplikace jsou ty, které jste zpřístupnili prostřednictvím Azure.
- Interní nástroj pro vyrovnávání zatížení , který se nachází na front-endu, směruje cloudový provoz do správné cloudové aplikace nebo prostředku.
Použití této architektury nabízí několik výhod, mezi které patří:
- Konfigurace a údržba jsou zjednodušené.
- Použití brány VPN pomáhá zajistit, aby všechna data a provoz byly šifrované mezi místní bránou a bránou Azure.
- Architekturu je možné škálovat a rozšířit tak, aby vyhovovala potřebám vaší organizace v sítích.
Tato architektura není použitelná ve všech situacích, protože používá existující internetové připojení jako propojení mezi dvěma body brány. Omezení šířky pásma můžou způsobit problémy s latencí, které vyplývají z opakovaného použití stávající infrastruktury.