Bearbeiten

Freigeben über


IPv6-Hub-Spoke-Netzwerktopologie

Azure Firewall
Azure Virtual Network
Azure Virtual WAN
Azure VPN Gateway

In diesem Artikel wird beschrieben, wie Sie eine IPv4-Hub-and-Spoke-Netzwerktopologie auf IPv6 umstellen. Sie stellt die Hub-and-Spoke-Netzwerktopologie als Ausgangspunkt dar und beschreibt die Schritte zum Implementieren der IPv6-Unterstützung.

In einem Hub-and-Spoke-Netzwerk ist das virtuelle Hub-Netzwerk ein zentraler Verbindungspunkt für die virtuellen Spoke-Netzwerke. Die virtuellen Spoke-Netzwerke stellen eine Verbindung mit dem Hub her und können eine Isolation für Anwendungsressourcen bereitstellen. Weitere Informationen finden Sie unter Umstellung auf IPv6.

Aufbau

Diagramm, das eine Hub-and-Spoke-Architektur mit den für die IPv6-Unterstützung erforderlichen Komponenten zeigt.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Workflow

  1. Öffentliches Internet und standortübergreifendes Netz: Benutzer oder Dienste können über das öffentliche Internet auf Azure-Ressourcen zugreifen. Das standortübergreifende Netzwerk besteht aus virtuellen Maschinen vor Ort, die über ein VPN-Gateway eine sichere Verbindung zum Azure-Netzwerk herstellen.

  2. Azure Virtual Network Manager: Diese Komponente ist die Verwaltungsebene, die die gesamte Netzwerkinfrastruktur in Azure überwacht. Es behandelt das Routing, die Richtlinien und die allgemeine Integrität des virtuellen Netzwerks.

  3. Virtuelles Hub-Netzwerk: Der Hub ist der zentrale Punkt der Netzwerktopologie. Die Netzwerkkonfiguration unterstützt sowohl IPv4 als auch IPv6 (Dual Stack).

    • Azure Bastion bietet sichere und nahtlose Remote Desktop Protocol/Secure Shell (RDP/SSH) Konnektivität vom Azure Portal zu den virtuellen Maschinen direkt über Transport Layer Security (TLS).
    • Azure Firewall prüft und filtert den Datenverkehr zwischen dem Hub und dem öffentlichen Internet.
    • ExpressRoute verbindet das standortübergreifende Netzwerk mit dem Hub.
    • Das VPN-Gateway verbindet auch das standortübergreifende Netzwerk mit dem Hub und bietet Redundanz.
    • Die Dienste im virtuellen Hubnetzwerk senden Protokolle und Metriken (Diagnose) an Azure Monitor zur Überwachung.
  4. Virtuelle Speichen-Netzwerke: Es gibt vier Speichen, die mit dem Hub verbunden sind. Jede Speiche ist ein Dual-Stack-Netzwerk, das sowohl IPv4 als auch IPv6 unterstützt.

    • Benutzerdefinierte IPv6-Routen (UDRs) definieren benutzerdefinierte Routen für IPv6-Verkehr von der Speiche.
    • Die virtuellen Speichennetzwerke werden über Peeringverbindungen oder verbundene Gruppen verbunden. Peering-Verbindungen und verbundene Gruppen sind nicht-transitive Verbindungen mit geringer Latenz zwischen virtuellen Netzwerken. Durch Peering verbundene oder verbundene virtuelle Netzwerke können Datenverkehr über den Azure-Backbone austauschen.
    • Der gesamte ausgehende Datenverkehr aus den virtuellen Speichennetzwerken fließt über den Hub, wobei eine Konfiguration in Azure Firewall verwendet wird, die als erzwungenes Tunneling bezeichnet wird.
    • Innerhalb jeder Speiche gibt es drei Subnetze, die als Ressourcen-Subnetze bezeichnet werden und jeweils eine virtuelle Maschine beherbergen.
    • Jede virtuelle Maschine ist mit einem internen Load Balancer verbunden, der für die Unterstützung von IPv4- und IPv6-Adressbereichen konfiguriert ist. Der Load Balancer verteilt den eingehenden Netzwerkverkehr auf die virtuellen Maschinen.

Komponenten

  • Azure Virtual Network ist der grundlegende Baustein für private Netzwerke in Azure. Virtual Network ermöglicht vielen Azure-Ressourcen, wie z. B. virtuellen Azure-Maschinen, die sichere Kommunikation untereinander, mit standortübergreifenden Netzwerken und dem Internet.
  • Eine virtuelle Netzwerkschnittstelle ist für die Kommunikation zwischen virtuellen Maschinen erforderlich. Sie können virtuelle Maschinen und andere Ressourcen so einrichten, dass sie über mehrere Netzwerkschnittstellen verfügen, wodurch Sie Dual-Stack-Konfigurationen (IPv4 und IPv6) erstellen können.
  • Eine öffentliche IP-Adresse wird für eingehende IPv4- und IPv6-Konnektivität mit Azure-Ressourcen verwendet.
  • Virtual Network Manager wird zum Erstellen und Verwalten von Netzwerkgruppen und deren Verbindungen verwendet.
  • Azure Firewall ist ein verwalteter, Cloud-basierter Netzwerksicherheitsdienst. Es schützt Ihre Azure Virtual Network-Ressourcen. Eine von Azure Firewall verwaltete Firewall-Instanz befindet sich in einem eigenen Subnetz.
  • Azure VPN-Gateway oder Azure ExpressRoute können verwendet werden, um ein virtuelles Netzwerkgateway zu erstellen, um ein virtuelles Netzwerk mit einem VPN-Gerät (Virtual Private Network) oder einem ExpressRoute-Schaltkreis zu verbinden. Das Gateway bietet standortübergreifende Netzwerkkonnektivität.
  • Azure Load Balancer wird verwendet, um mehrere Computer zu aktivieren, die denselben Zweck haben, Datenverkehr freizugeben. In dieser Architektur verteilen die Lastenausgleichsgeräte Datenverkehr zwischen mehreren Subnetzen, die IPv6 unterstützen.
  • Eine Routentabelle in Azure ist eine Reihe von UDRs, die benutzerdefinierte Pfaddefinitionen für Netzwerkdatenverkehr bereitstellen.
  • Azure Virtual Machines ist eine Infrastruktur als IaaS-Computerlösung, die IPv6 unterstützt.
  • Azure Bastion ist eine vollständig verwaltete Plattform als Dienst (PaaS), die Microsoft bereitstellt und Standard tains. Es bietet sicheren und nahtlosen Remote-Desktop-Protokoll- und SSH-Zugriff auf virtuelle Maschinen ohne Offenlegung der öffentlichen IP-Adresse.
  • Monitor ist eine umfassende Überwachungslösung zum Sammeln, Analysieren und Reagieren auf Überwachungsdaten aus Cloud- und lokalen Umgebungen. Mit Monitor können Sie die Verfügbarkeit und Leistung Ihrer Anwendungen und Dienste maximieren.

Umstellen eines virtuellen Hub-Netzwerks auf IPv6

Um ein virtuelles Hubnetzwerk zur Unterstützung von IPv6 zu übertragen, müssen Sie die Netzwerkinfrastruktur so aktualisieren, dass sie IPv6-Adressbereiche aufnehmen kann, sodass der zentrale Teil des Netzwerks IPv6-Datenverkehr verarbeiten kann. Mit diesem Ansatz wird sichergestellt, dass der zentrale Hub den Datenverkehr mithilfe von IPv6 effizient zwischen verschiedenen Netzwerksegmenten (Speichen) leiten und verwalten kann. Um IPv6 im virtuellen Netzwerk des Hubs zu implementieren, gehen Sie folgendermaßen vor:

Hinzufügen von IPv6-Adressraum zum virtuellen Netzwerk des Hubs und zu den Subnetzen des Hubs

Sie müssen zuerst IPv6-Adressbereiche zum virtuellen Hubnetzwerk und dann zu seinen Subnetzen hinzufügen. Verwenden Sie den /56-Adressblock für das virtuelle Netzwerk und den /64-Adressblock für jedes Subnetz. Die folgende Tabelle zeigt ein Beispiel-Setup.

Bereich der virtuellen Netzwerkadressen des Hubs Hub-Subnetz-Adressbereich
Virtuelles Hub-Netzwerk: 2001:db8:1234:0000::/56 Azure Bastion-Subnetz: 2001:db8:1234:0000::/64
Azure Firewall-Subnetz: 2001:db8:1234:0001::/64
VPN-Gateway-Subnetz: 2001:db8:1234:0002::/64
ExpressRoute-Subnetz: 2001:db8:1234:0003::/64

Diese IPv6-Adressen sind Beispiele. Sie sollten 2001:db8:1234:: durch den IPv6-Adressblock Ihrer Organisation ersetzen. Planen und dokumentieren Sie Ihre IPv6-Adresszuweisungen sorgfältig, um Überschneidungen zu vermeiden und eine effiziente Nutzung des Adressraums sicherzustellen. Um den IPv6-Adressraum zum virtuellen Netzwerk des Hubs hinzuzufügen, können Sie das Azure-Portal, PowerShell oder Azure CLI verwenden.

Konfigurieren Sie benutzerdefinierte Routen (UDRs) für jedes Hub-Subnetz

UDRs sind Routen, die Sie manuell einrichten, um die Standardsystemrouten von Azure außer Kraft zu setzen. In Azure sind UDRs für die Steuerung des Netzwerkdatenverkehrs in einem virtuellen Netzwerk unerlässlich. Sie können UDRs verwenden, um den Datenverkehr von einem Subnetz zu bestimmten Anwendung, Gateways oder Zielen in Azure oder zu lokalen Netzwerken zu leiten. Wenn Sie dem virtuellen Hubnetzwerk IPv6-Unterstützung hinzufügen, müssen Sie:

  • IPv6-Routen hinzufügen. Wenn eine festgelegte Routentabelle vorhanden ist, fügen Sie neue Routen hinzu, die die IPv6-Adresspräfixe angeben.
  • Vorhandene Routen ändern. Wenn bereits Routen für IPv4 vorhanden sind, müssen Sie diese möglicherweise ändern, um sicherzustellen, dass sie auch für IPv6-Datenverkehr gelten, oder separate IPv6-spezifische Routen erstellen.
  • Verknüpfen Sie die Routentabelle mit Subnetzen Nachdem Sie die Routen definiert haben, ordnen Sie die Routentabelle den relevanten Subnetzen innerhalb des virtuellen Netzwerks zu. Diese Zuordnung bestimmt, welche Subnetze die von Ihnen definierten Routen verwenden.

Sie müssen keine Route für jede Ressource hinzufügen, aber Sie benötigen eine Route für jedes Subnetz. Jedes Subnetz kann über mehrere Ressourcen verfügen, und alle folgen den Regeln, die in der Routingtabelle definiert sind, die ihrem Subnetz zugeordnet ist. Weitere Informationen finden Sie unter Benutzerdefinierte Routenübersicht.

Für die Beispielarchitektur verfügt das virtuelle Hubnetzwerk über vier Subnetze: Azure Bastion, Azure Firewall, VPN-Gateway und ExpressRoute. Die folgende Tabelle zeigt Beispiel-UDRs für jedes Subnetz.

Hub-Teilnetz Beschreibung IPv6-Adressbereich Routenname Destination Nächster Hop
Azure Bastion Route zu Firewall 2001:db8:1234:0000::/64 Internetroute ::/0 2001:db8:1234:0001::/64 (Azure Firewall)
Azure Firewall Standardroute 2001:db8:1234:0001::/64 Internetroute ::/0 Internet-Gateway
VPN Gateway Lokale Route 2001:db8:1234:0002::/64 Lokale Route 2001:db8:abcd::/56 VPN Gateway
ExpressRoute Lokale Route 2001:db8:1234:0003::/64 Lokale Route 2001:db8:efgh::/56 ExpressRoute

Wenn Sie Ihre UDRs einrichten, müssen Sie sie an Ihre Organisationsnetzwerkrichtlinien und die Architektur Ihrer Azure-Bereitstellung anpassen.

Ändern Sie die ExpressRoute-Verbindung (falls zutreffend).

Um den ExpressRoute-Schaltkreis mit IPv6-Unterstützung bereitzustellen, müssen Sie:

  • IPv6 privates Peering aktivieren. Das private IPv6-Peering für den ExpressRoute-Schaltkreis aktivieren. Diese Konfiguration ermöglicht IPv6-Datenverkehr zwischen Ihrem lokalen Netzwerk und dem virtuellen Hubnetzwerk.
  • Zuordnen des IPv6-Adressraums. Stellen Sie IPv6-Subnetze für die primären und sekundären ExpressRoute-Verbindungen bereit.
  • Aktualisieren von Route-Tabellen: Stellen Sie sicher, dass Sie IPv6-Datenverkehr entsprechend über den ExpressRoute-Schaltkreis leiten.

Diese Konfigurationen erweitern die IPv6-Konnektivität mit Ihren Azure-Diensten über einen ExpressRoute-Schaltkreis, sodass Sie Dual-Stack-Funktionen gleichzeitig weiterleiten können. Zum Ändern von ExpressRoute können Sie das Azure Portal, PowerShell oder Azure CLI verwenden.

Übergang von virtuellen Spoke-Netzwerken zu IPv6

Virtuelle Spoke-Netzwerke, die direkt mit dem zentralen Hub verbunden sind. Wenn Sie die virtuellen Speichennetzwerke mit IPv6-Unterstützung bereitstellen, kann jedes Speichennetzwerk über das erweiterte IPv6-Protokoll kommunizieren und die Einheitlichkeit über das Netzwerk erweitert. Führen Sie die folgenden Schritte aus, um die virtuellen Speichennetze mit IPv6-Unterstützung auszustatten:

Hinzufügen von IPv6-Adressraum zu den virtuellen Speichennetzen und Speichensubnetzen

Wie das virtuelle Hubnetzwerk müssen Sie IPv6-Adressbereiche zu jedem virtuellen Speichennetzwerk und dann ihren Subnetzen hinzufügen. Verwenden Sie den Adressblock /56 für die virtuellen Netzwerke und den Adressblock /64 für die Subnetze. Die folgende Tabelle enthält ein Beispiel für IPv6-Adressbereiche für virtuelle Speichennetzwerke und deren Subnetze.

Adressbereich des virtuellen Netzes der Speichen Spoke-Subnetz-Adressbereich
Spoke virtuelles Netzwerk 1: 2001:db8:1234:0100::/56 Subnetz 1: 2001:db8:1234:0100::/64
Subnetz 2: 2001:db8:1234:0101::/64
Subnetz 3: 2001:db8:1234:0102::/64
Spoke virtuelles Netzwerk 2: 2001:db8:1234:0200::/56 Subnetz 1: 2001:db8:1234:0200::/64
Subnetz 2: 2001:db8:1234:0201::/64
Subnetz 3: 2001:db8:1234:0202::/64
Spoke virtuelles Netzwerk 3: 2001:db8:1234:0300::/56 Subnetz 1: 2001:db8:1234:0300::/64
Subnetz 2: 2001:db8:1234:0301::/64
Subnetz 3: 2001:db8:1234:0302::/64
Spoke virtuelles Netzwerk 4: 2001:db8:1234:0400::/56 Subnetz 1: 2001:db8:1234:0400::/64
Subnetz 2: 2001:db8:1234:0401::/64
Subnetz 3: 2001:db8:1234:0402::/64

Passen Sie für Ihr Setup die IPv6-Adressen entsprechend der Zuordnung und den Anforderungen Ihrer Organisation an.

Ändern der Ressourcen des virtuellen Speichennetzes

Jedes virtuelle Spoke-Netzwerk enthält mehrere virtuelle Maschinen und einen internen Load Balancer. Der interne Load Balancer ermöglicht es Ihnen, IPv4- und IPv6-Datenverkehr an die virtuellen Maschinen zu leiten. Sie müssen die virtuellen Maschinen und internen Load Balancer so anpassen, dass sie IPv6 unterstützen.

Für jede virtuelle Maschine müssen Sie eine IPv6-Netzwerkschnittstelle erstellen und diese mit der virtuellen Maschine verknüpfen, um IPv6-Unterstützung hinzuzufügen. Weitere Informationen finden Sie unter IPv6-Konfiguration zu einer virtuellen Maschine hinzufügen.

Wenn in jedem virtuellen Speichennetzwerk kein interner Lastenausgleich vorhanden ist, sollten Sie einen internen Dual-Stack-Lastenausgleich erstellen. Weitere Informationen finden Sie unter Erstellen eines internen Dual-Stack-Lastenausgleichs. Wenn es einen internen Load Balancer gibt, können Sie PowerShell oder Azure CLI verwenden, um IPv6-Unterstützung hinzuzufügen.

Konfigurieren Sie benutzerdefinierte Routen (UDRs) für jedes Speichen-Subnetz

Um UDRs zu konfigurieren, verwenden virtuelle Speichennetzwerke dieselbe Konfiguration wie virtuelle Hub-Netzwerke Wenn Sie einem virtuellen Speichennetzwerk IPv6-Unterstützung hinzufügen, müssen Sie dies tun:

  • IPv6-Routen hinzufügen. Wenn eine festgelegte Routentabelle vorhanden ist, fügen Sie neue Routen hinzu, die die IPv6-Adresspräfixe angeben.

  • Vorhandene Routen ändern. Wenn bereits Routen für IPv4 vorhanden sind, müssen Sie diese möglicherweise ändern, um sicherzustellen, dass sie auch für IPv6-Datenverkehr gelten, oder separate IPv6-spezifische Routen erstellen.

  • Verknüpfen Sie die Routentabelle mit Subnetzen Nachdem Sie die Routen definiert haben, ordnen Sie die Routentabelle den relevanten Subnetzen innerhalb des virtuellen Netzwerks zu. Diese Zuordnung bestimmt, welche Subnetze die von Ihnen definierten Routen verwenden.

Die folgende Tabelle zeigt Beispiel-UDRs für jedes Subnetz in einem virtuellen Spoke-Netzwerk.

Spoke-Teilnetz Beschreibung IPv6-Adressbereich Routenname Destination Nächster Hop
Subnetz 1 Route zu Firewall 2001:db8:1234:0100::/64 Internetroute ::/0 2001:db8:1234:0001::/64 (Azure Firewall)
Subnetz 2 Route zum VPN-Gateway 2001:db8:1234:0101::/64 VPN-Route 2001:db8:abcd::/64 2001:db8:1234:0002::/64 (VPN Gateway)
Subnetz 3 Route zu ExpressRoute 2001:db8:1234:0102::/64 ExpressRoute-Route 2001:db8:5678::/64 2001:db8:1234:0003::/64 (ExpressRoute)

Für Ihre Einrichtung müssen Sie die UDRs an den Netzwerkrichtlinien Ihrer Organisation und der Architektur Ihrer Azure-Bereitstellung ausrichten.

Beitragende

Microsoft pflegt diesen Artikel. Dieser Artikel wurde ursprünglich von folgenden Mitwirkenden verfasst.

Hauptautor:

  • Werner Rall | Senior Cloud Solutions Architect Engineer

Andere Mitwirkende:

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte