Plánování virtuálních sítí v Azure

  • 8 min

Na základě průzkumu jste se rozhodli implementovat hvězdicovou síťovou architekturu pro migraci vaší společnosti do Azure. Jako vedoucí architekt projektu spravujete produkci návrhu virtuálních sítí pomocí Azure ExpressRoute pro připojení k ústředí. Musíte také rozhodnout, jak připojit satelitní pobočky vaší společnosti k nové hvězdicové síti.

V této lekci prozkoumáte virtuální sítě na platformě Azure, aspekty návrhu a postup implementace ExpressRoute pro připojení k místním sítím.

diagram architektury znázorňující hvězdicové připojení k místním prostředkům

Úvod do virtuálních sítí Azure

Virtuální sítě poskytují síťové služby v Azure a umožňují rozšířit stávající místní infrastrukturu. Virtuální síť Azure může představovat vaši privátní IT infrastrukturu v cloudu a logicky izolovat vyhrazené prostředky ve vašich předplatných. Virtuální sítě umožňují:

  • Externí připojení k internetu
  • Komunikace mezi různými interními zdroji Azure
  • Izolace těchto zdrojů
  • Připojení k místním počítačům
  • Správa síťového provozu.

Dva důležité prvky virtuálních sítí jsou podsítě a skupiny zabezpečení sítě.

image znázorňující architekturu komponent služby Azure Virtual Network

  • podsítě: Každá virtuální síť může obsahovat mnoho podsítí. Každá podsíť má své vlastní jedinečné vlastnosti.
  • skupiny zabezpečení sítě: Tyto skupiny zabezpečení sítě umožňují filtrovat příchozí a odchozí provoz prostřednictvím virtuální sítě nebo podsítě. Skupiny zabezpečení sítě můžete také použít k filtrování provozu podle zdrojové a cílové IP adresy, portu nebo protokolu.

Aspekty plánování a návrhu pro virtuální sítě

Jakákoli síť, ať už místní nebo cloudová, vyžaduje metodu správy toku, směru a typu provozu přes ni. Pro virtuální sítě je potřeba vzít v úvahu několik aspektů:

  • segmentace: Je důležité zvážit potenciální izolaci provozu do různých podsítí nebo virtuálních sítí nebo do samostatných předplatných.
  • zabezpečení: Pomocí skupin zabezpečení sítě a síťových virtuálních zařízení můžete filtrovat síťový provoz do a z prostředků ve virtuální síti.
  • Připojení: Virtuální síť můžete připojit k jiným virtuálním sítím pomocí propojování virtuálních sítí nebo k místním sítím pomocí ExpressRoute nebo Azure VPN Gateway.
  • směrování: Virtuální sítě Azure automaticky vytvářejí směrovací tabulky v rámci každé podsítě a přidávají do tabulek výchozí systémové trasy. Vlastní trasy umožňují přepsat tyto výchozí systémové trasy. Pomocí vlastních tras můžete směrovat provoz prostřednictvím síťových virtuálních zařízení, abyste zajistili lepší možnosti zabezpečení a filtrování.

Připojení místní sítě

Při práci na integraci místní sítě s Azure je potřeba přemostit mezi těmito dvěma sítěmi. Azure VPN Gateway tuto funkci poskytuje. Brána VPN Gateway odesílá šifrovaný provoz mezi těmito dvěma sítěmi přes internet. Brány podporují více připojení, která směrují tunely VPN přes dostupnou šířku pásma, i když virtuální síť může mít přiřazenou jenom jednu bránu. Bránu VPN můžete také použít pro síťová připojení v Azure.

Azure ExpressRoute je další možností, jak zvážit přemostění. ExpressRoute umožňuje rozšířit vaše místní sítě přes privátní připojení k Azure. Toto připojení usnadňuje poskytovatel připojení nebo poskytovatel cloudové výměny. ExpressRoute rozšiřuje více než jen prostředky Azure a umožňuje navázat připojení k dalším cloudovým službám Microsoftu, jako je Office 365.

Implementace ExpressRoute nějakou dobu trvá. Musíte pracovat s poskytovatelem připojení a může vyžadovat implementaci fyzického síťového zařízení. Pokud chcete zajistit připojení v průběhu této implementace, můžete pomocí sítě VPN typu site-to-site přidat připojení mezi místními prostředky a virtuálními sítěmi Azure. Když poskytovatel služeb potvrdí, že je nastavení hotové, pak migrujete na nové připojení ExpressRoute.

Použití ExpressRoute v hvězdicové topologii

Použití ExpressRoute v hub-spoke topologii se nijak neliší od jiných architektonických vzorů. ExpressRoute, která podporuje připojení mezi centrem a místní sítí, funguje nejlépe, když je vysoká propustnost dat příchozí i odchozí.

Okruhy slouží ke správě a směrování provozu, propojení ExpressRoute do virtuální sítě v Azure. Okruhy, které se mají připojit k virtuální síti, můžou být v různých oblastech nebo předplatných. Počet virtuálních sítí na okruh ExpressRoute je omezený. Pro úroveň Standard je limit aktuálně 10 sítí. Pokud použijete doplněk Premium, limit se zvýší na základě velikosti okruhu. Nejnižším číslem je 20 virtuálních sítí v okruhu 50 Mb/s, až 100 pro okruhy, které jsou 10 Gb/s nebo vyšší.