Práce s hybridními sítěmi v Azure

  • 10 min

Vaše organizace chce pokračovat v migraci do cloudu. Prozkoumali jste výhody použití Azure ExpressRoute k poskytování vyhrazeného vysokorychlostního připojení mezi vaší místní sítí a Azure.

Důkladná kontrola vyžaduje, abyste prozkoumali další dostupné možnosti hybridní architektury pro připojení místní sítě k Azure.

V této lekci:

  • Získejte přehled o připojeních virtuální privátní sítě.
  • Podívejte se na možnost odolnosti pro ExpressRoute.
  • Zvažte přínosy hub-spoke topologie sítě.

Co je hybridní síťová architektura?

hybridní síť je termín, který se používá, když se dvě různé síťové topologie kombinují a tvoří jednu soudržnou síť. Hybridní síť v Azure představuje sloučení nebo kombinování místní sítě s virtuální sítí Azure. Umožňuje pokračovat v používání stávající infrastruktury a zároveň poskytuje všechny výhody cloudových výpočtů a přístupu.

Existuje několik důvodů, proč byste mohli chtít přijmout hybridní síťové řešení. Mezi nejběžnější patří:

  • Migrace z čisté místní sítě na čistou cloudovou síť.
  • Pokud chcete rozšířit místní síť a prostředky tak, aby podporovaly cloudové služby.

Bez ohledu na to, co vás motivuje k přidávání cloudových služeb do vaší infrastruktury, je potřeba zvážit několik architektur. Probrali jsme ExpressRoute v předchozí lekci. Další architektury jsou:

  • Azure VPN Gateway
  • ExpressRoute s přepnutím na záložní režim VPN
  • Hvězdicová síťová topologie

Azure VPN Gateway

Azure VPN Gateway, služba brány virtuální sítě, umožňuje připojení VPN typu site-to-site a point-to-site mezi vaší místní sítí a Azure.

Síť VPN nebo virtuální privátní síť je dobře zavedená dobře známá síťová architektura.

Služba VPN Gateway používá vaše stávající připojení k internetu. Veškerá komunikace je však šifrovaná pomocí protokolů IKE (Internet Key Exchange) a IPsec (Internet Protocol Security). Pro každou virtuální síť můžete mít jenom jednu bránu virtuální sítě.

Při nastavování brány virtuální sítě musíte určit, jestli se jedná o bránu VPN nebo bránu ExpressRoute.

Typ sítě VPN závisí na typu topologie připojení, kterou potřebujete. Pokud například chcete vytvořit bránu typu point-to-site (P2S) nebo point-to-point (P2P), použijete typ RouteBased. Existují dva typy VPN:

  • PolicyBased: Používá tunel IPsec k šifrování datových paketů. Konfigurace zásad používá předpony adres získané z vaší virtuální sítě Azure a vaší propojované sítě.
  • RouteBased: Pomocí směrovacích nebo tabulek IP směruje datové pakety do správného tunelu. Každý tunel šifruje a dešifruje všechny pakety.

Jakmile zadáte typ sítě VPN pro bránu virtuální sítě, nemůžete ho změnit. Pokud potřebujete provést změnu, odstraňte bránu virtuální sítě a vytvořte ji znovu.

Místo-místo

Všechna připojení brány typu site-to-site používají tunel VPN IPsec/IKE k vytvoření připojení mezi Azure a vaší místní sítí. Připojení typu site-to-site vyžaduje místní zařízení VPN s veřejně přístupnou IP adresou.

diagram připojení VPN typu Site-to-Site mezi místní sítí a virtuální sítí Azure.

Připojení z bodu do místa

Připojení brány typu point-to-site vytvoří zabezpečené připojení mezi jednotlivými zařízeními a vaší virtuální sítí Azure. Tento typ brány je vhodný pro vzdálené pracovníky; Například uživatelé, kteří se účastní konference nebo pracují z domova. Připojení typu point-to-site nevyžaduje vyhrazené místní zařízení VPN.

diagram připojení VPN typu point-to-site mezi místní sítí a virtuální sítí Azure.

Výhody

Tady jsou některé výhody použití připojení VPN:

  • Jedná se o dobře známou technologii, která se snadno konfiguruje a udržuje.
  • Veškerý datový provoz je šifrovaný.
  • Je lepší pro práci s lehčími zatíženími datového provozu.

Úvahy

Při vyhodnocování použití této hybridní architektury zvažte následující body:

  • Připojení VPN používá internet.
  • V závislosti na velikosti šířky pásma a využití můžou existovat potenciální problémy s latencí.
  • Azure podporuje maximální šířku pásma 1,25 Gb/s.
  • Pro připojení typu site-to-site je potřeba místní zařízení VPN.

ExpressRoute se zálohováním přes VPN

Jednou z záruk používání ExpressRoute je, že poskytuje vysokou úroveň dostupnosti. Každý okruh ExpressRoute má dvě brány ExpressRoute. I když je tato úroveň odolnosti integrovaná do sítě na straně Azure, může dojít k přerušení připojení. Jedním ze způsobů, jak tuto situaci napravit a udržovat připojení, je poskytovat službu převzetí služeb při selhání sítě VPN.

Sloučení připojení VPN a ExpressRoute zlepšuje odolnost vašeho síťového připojení. Když funguje za normálních podmínek, ExpressRoute se chová přesně jako běžná architektura ExpressRoute, přičemž připojení VPN zůstává neaktivní. Pokud selže okruh ExpressRoute nebo přejde do režimu offline, připojení VPN se ujme řízení. Tato akce zajišťuje dostupnost sítě za všech okolností. Po obnovení okruhu ExpressRoute se veškerý provoz vrátí k používání připojení ExpressRoute.

Referenční architektura pro ExpressRoute s přepnutím na záložní VPN při selhání

Následující diagram znázorňuje, jak připojit místní síť k Azure pomocí ExpressRoute s možností přepnutí na VPN při selhání. Zvolená topologie v tomto řešení je připojení typu site-to-site založené na síti VPN s vysokým tokem provozu.

diagram referenční architektury ExpressRoute

V tomto modelu všechny síťové přenosy směrují přes privátní připojení ExpressRoute. Když dojde ke ztrátě připojení v okruhu ExpressRoute, podsíť brány se automaticky přepne na okruh brány VPN typu site-to-site. Tento scénář značí tečkovaná čára z brány do brány VPN ve virtuální síti Azure.

Po obnovení okruhu ExpressRoute se provoz automaticky přepne zpět z brány VPN.

Výhody

Následující výhoda je k dispozici při implementaci ExpressRoute s přepnutím na záložní VPN:

  • Vytvoří odolnou síť s vysokou dostupností.

Úvahy

Při implementaci ExpressRoute s architekturou záložního VPN připojení zvažte následující body:

  • Když dojde k selhání, šířka pásma se sníží na rychlost připojení VPN.

  • Prostředky brány ExpressRoute a VPN musí být ve stejné virtuální síti.

  • Existuje vysoce složitá konfigurace.

  • Implementace vyžaduje připojení ExpressRoute i připojení VPN.

  • Implementace vyžaduje redundantní bránu VPN a místní hardware VPN.

    Poznámka

    Redundantní brána VPN generuje poplatky, i když se nepoužívá.

Topologie sítě hub-spoke

Hvězdicová síťová topologie umožňuje strukturovat úlohy, které vaše servery provádějí. Jako centrum používá jednu virtuální síť, která se připojuje k vaší místní síti prostřednictvím sítě VPN nebo ExpressRoute. Paprsky jsou další virtuální sítě, které jsou propojeny s centrem. Ke každé větvi můžete přiřadit konkrétní úlohy a použít uzel pro sdílené služby.

Diagram hvězdicové architektury

Centrum a jednotlivé paprsky můžete implementovat v samostatných předplatných nebo skupinách prostředků a poté je propojit.

Tento model používá jeden ze tří dříve probíraných přístupů: VPN, ExpressRoute a ExpressRoute se zálohou VPN. Související výhody a výzvy jsou popsány v následujících částech.

Výhody

Implementace architektury hvězdicové topologie má následující výhody:

  • Použití sdílení a centralizovaných služeb v centru může snížit potřebu duplikování na větvích, což může snížit náklady.
  • Limity předplatného lze obcházet propojením virtuálních sítí.
  • Model náboj-paprsek umožňuje oddělení pracovních oblastí organizací na vyhrazená pracoviště, jako jsou SecOps, InfraOps a DevOps.

Úvahy

Při vyhodnocování použití této hybridní architektury zvažte následující bod:

  • Podívejte se na služby sdílené v centru a na to, co zůstává v paprskech.