Arbeiten mit hybriden Netzwerken in Azure

Abgeschlossen

Ihre Organisation ist daran interessiert, mit der Migration zur Cloud fortzufahren. Sie haben sich mit den Vorteilen der Verwendung von Azure ExpressRoute vertraut gemacht, um eine dedizierte Hochgeschwindigkeitsverbindung zwischen Ihrem lokalen Netzwerk und Azure bereitzustellen.

Due Diligence erfordert, dass Sie die anderen hybriden Architekturoptionen untersuchen, die zum Verbinden Ihres lokalen Netzwerks mit Azure verfügbar sind.

Inhalt dieser Lerneinheit:

• Einführung in die Verbindungen einer virtuellen privaten Netzwerkverbindung
• Erläuterung einer Resilienzoption für ExpressRoute
• Vorteile einer Hub-Spoke-Netzwerktopologie

Was ist eine hybride Netzwerkarchitektur?

Hybrides Netzwerk ist ein Begriff, der verwendet wird, wenn zwei verschiedene Netzwerktopologien kombiniert werden, um ein einziges zusammenhängendes Netzwerk zu bilden. Bei Azure stellt ein hybrides Netzwerk die Zusammenführung oder Kombination eines lokalen Netzwerks mit einem virtuellen Azure-Netzwerk dar. Es ermöglicht die weitere Verwendung Ihrer vorhandenen Infrastruktur und bietet gleichzeitig alle Vorteile von cloudbasierten Computingvorgängen und cloudbasiertem Zugriff.

Es gibt mehrere Gründe, warum Sie vielleicht eine hybride Netzwerklösung einsetzen möchten. Die beiden häufigsten sind:

• Sie möchten von einem reinen lokalen Netzwerk zu einem reinen cloudbasierten Netzwerk migrieren.
• Sie möchten das lokale Netzwerk und die Ressourcen zur Unterstützung der Clouddienste erweitern.

Unabhängig davon, aus welchen Gründen Sie Ihrer Infrastruktur Clouddienste hinzufügen, gibt es verschiedene Architekturen zu berücksichtigen. In der vorherigen Lerneinheit wurde ExpressRoute behandelt. Die anderen Architekturen lauten wie folgt:

• Azure-VPN-Gateway
• ExpressRoute mit VPN-Failover
• Hub-Spoke-Netzwerktopologie

Azure-VPN-Gateway

Azure-VPN-Gateway, ein Gatewaydienst für virtueller Netzwerke, ermöglicht eine Site-to-Site- und Point-to-Site-VPN-Konnektivität zwischen Ihrem lokalen Netzwerk und Azure.

Ein VPN oder virtuelles privates Netzwerk ist eine allgemein etablierte und gut verständliche Netzwerkarchitektur.

VPN Gateway verwendet Ihre vorhandene Internetverbindung. Die gesamte Kommunikation wird jedoch mithilfe des Internetschlüsselaustauschs (IKE) und der IPsec-Protokolle (Internet Protocol Security, Internetprotokollsicherheit) verschlüsselt. Sie können pro virtuellem Netzwerk nur ein virtuelles Netzwerkgateway besitzen.

Wenn Sie ein Gateway für ein virtuelles Netzwerk einrichten, müssen Sie angeben, ob es sich um ein VPN-Gateway oder ein ExpressRoute-Gateway handelt.

Der VPN-Typ hängt von der Art der benötigten Verbindungstopologie ab. Wenn Sie z. B. ein P2S- oder ein P2P-Gateway (Point-to-Site oder Point-to-Point) erstellen möchten, verwenden Sie einen RouteBased-Typ. Es gibt zwei VPN-Typen:

• PolicyBased: Verwendet einen IPsec-Tunnel zum Verschlüsseln von Datenpaketen. Bei der Konfiguration der Richtlinie werden Adresspräfixe verwendet, die aus Ihrem virtuellen Azure-Netzwerk und Ihrem lokalen Netzwerk stammen.
• RouteBased: Verwendet die Routing- oder IP-Weiterleitungstabellen, um Datenpakete an den richtigen Tunnel weiterzuleiten. In jedem Tunnel werden alle Pakete ver- und entschlüsselt.

Nachdem Sie den VPN-Typ für das virtuelle Netzwerkgateway angegeben haben, kann er nicht mehr geändert werden. Wenn Sie dennoch Änderungen vornehmen möchten, müssen Sie das virtuelle Netzwerkgateway löschen und dann neu erstellen.

Site-to-Site

Alle Site-to-Site-Gatewayverbindungen verwenden einen IPsec/IKE-VPN-Tunnel, um eine Verbindung zwischen Azure und Ihrem lokalen Netzwerk herzustellen. Eine Site-to-Site-Verbindung erfordert ein lokales VPN-Gerät mit einer öffentlich zugänglichen IP-Adresse.

Point-to-Site

Bei einer Point-to-Site-Gatewayverbindung wird eine gesicherte Verbindung zwischen einem einzelnen Gerät und Ihrem virtuellen Azure-Netzwerk erstellt. Dieser Gatewaytyp eignet sich für Remoteworker, beispielsweise Benutzer, die an einer Konferenz teilnehmen oder von zu Hause aus arbeiten. Eine Point-to-Point-Verbindung erfordert kein dediziertes lokales VPN-Gerät.

Vorteile

Im Folgenden finden Sie einige Vorteile von VPN-Verbindungen:

• Es ist eine bekannte Technologie, die einfach zu konfigurieren und zu warten ist.
• Der gesamte Datenverkehr wird verschlüsselt.
• VPN-Verbindungen eignen sich besser für kleinere Datenverkehrslasten.

Überlegungen

Wenn Sie die Verwendung dieser Hybridarchitektur erwägen, sollten Sie die folgenden Punkte beachten:

• Eine VPN-Verbindung erfolgt über das Internet.
• Abhängig von Größe und Nutzung der Bandbreite können Latenzprobleme auftreten.
• Azure unterstützt eine maximale Bandbreite von 1,25 GBit/s.
• Bei Site-to-Site-Verbindungen benötigen Sie ein lokales VPN-Gerät.

ExpressRoute mit VPN-Failover

ExpressRoute stellt Ihnen garantiert ein hohes Maß an Verfügbarkeit bereit. Jede ExpressRoute-Verbindung verfügt über zwei ExpressRoute-Gateways. Selbst mit dieser hohen, Azure-seitigen Resilienz des Netzwerks kann die Verbindung unterbrochen werden. Eine Möglichkeit, dem entgegenzuwirken und die Verbindung aufrechtzuhalten, ist die Bereitstellung eines VPN-Failover-Diensts.

Durch das Zusammenführen der VPN-Verbindung mit ExpressRoute wird die Resilienz der Netzwerkverbindung verbessert. Bei normalem Betrieb verhält sich ExpressRoute genau wie eine reguläre ExpressRoute-Architektur, bei der die VPN-Verbindung inaktiv bleibt. Wenn die ExpressRoute-Verbindung ausfällt oder offline geschaltet wird, übernimmt die VPN-Verbindung. Mit dieser Aktion wird die Netzwerkverfügbarkeit unter allen Umständen sichergestellt. Wenn die ExpressRoute-Verbindung wiederhergestellt wird, wird der gesamte Datenverkehr auch wieder über diese Verbindung übertragen.

Referenzarchitektur für ExpressRoute mit VPN-Failover

Die folgende Abbildung veranschaulicht, wie Sie Ihr lokales Netzwerk über ExpressRoute mit VPN-Failover mit Azure verbinden können. Die in dieser Lösung ausgewählte Topologie ist eine VPN-basierte Site-to-Site-Verbindung mit hohem Datenverkehrsaufkommen.

In diesem Modell wird der gesamte Netzwerkdatenverkehr über die private ExpressRoute-Verbindung weitergeleitet. Wenn die ExpressRoute-Verbindung unterbrochen wird, führt das Gatewaysubnetz automatisch ein Failover auf die Site-to-Site-VPN-Gatewayverbindung aus. Dieses Szenario wird durch die gepunktete Linie zwischen dem Gateway und dem VPN-Gateway im virtuellen Azure-Netzwerk dargestellt.

Wenn die ExpressRoute-Verbindung wiederhergestellt wird, wird der Datenverkehr automatisch vom VPN-Gateway zurück zur ExpressRoute-Verbindung geleitet.

Vorteile

Wenn Sie ExpressRoute mit VPN-Failover implementieren, hat das folgenden Vorteil:

• Es entsteht ein resilientes und hochverfügbares Netzwerk.

Überlegungen

Wenn Sie eine ExpressRoute-mit-VPN-Failover-Architektur implementieren, sollten Sie folgende Aspekte berücksichtigen:

• Wenn ein Failover auftritt, wird die Bandbreite auf VPN-Verbindungsgeschwindigkeiten reduziert.

• Die Ressourcen der ExpressRoute-Verbindung und des VPN-Gateways müssen sich im gleichen virtuellen Netzwerk befinden.

• Die Konfiguration ist sehr komplex.

• Für die Implementierung ist sowohl eine ExpressRoute- als auch eine VPN-Verbindung erforderlich.

• Außerdem sind ein redundantes Azure-VPN-Gateway und lokale VPN-Hardware Voraussetzung.

  Hinweis

  Für ein redundantes VPN-Gateway fallen Gebühren an, selbst wenn es nicht verwendet wird.

Hub-Spoke-Netzwerktopologie

Mit einer Hub-Spoke-Netzwerktopologie können Sie die von Ihren Servern ausgeführten Workloads strukturieren. Es wird ein einzelnes virtuelles Netzwerk als Hub verwendet, das über eine VPN- oder ExpressRoute-Verbindung mit Ihrem lokalen Netzwerk verbunden ist. Die Spokes sind andere virtuelle Netzwerke mit Peeringverbindung zum Hub. Sie können jedem Spoke bestimmte Workloads zuweisen und den Hub für gemeinsame Dienste verwenden.

Der Hub und alle Spokes können in separaten Abonnements oder Ressourcengruppen implementiert und per Peering verbunden werden.

In diesem Modell wird einer der drei oben beschriebenen Ansätze verwendet: VPN, ExpressRoute und ExpressRoute mit VPN-Failover. Die damit verbundenen Vorteile und Herausforderungen werden in den folgenden Abschnitten erläutert.

Vorteile

Das Implementieren einer Hub-Spoke-Architektur hat folgende Vorteile:

• Die Verwendung von Freigabediensten und zentralisierten Diensten auf dem Hub kann die Notwendigkeit der Duplizierung auf den Spokes reduzieren. Das wiederum kann Kosten sparen.
• Abonnementgrenzwerte werden durch das Peering virtueller Netzwerke überwunden.
• Das Hub-Spoke-Modell ermöglicht die Trennung von organisationsbezogenen Arbeitsbereichen in dedizierte Spokes, wie z. B. SecOps, InfraOps und DevOps.

Überlegungen

Wenn Sie die Verwendung dieser Hybridarchitektur erwägen, sollten Sie die folgenden Punkte beachten:

• Sehen Sie sich die Dienste, die auf dem Hub freigegeben sind, und das an, was auf den Spokes verbleibt.

Überprüfen Sie Ihr Wissen

1.

Warum sollten Sie ein VPN-Gateway in Ihrem virtuellen Azure-Netzwerk implementieren?

Damit die Leistung der ExpressRoute-Verbindung verbessert wird.

Damit die ExpressRoute-Verbindung eine Verbindung mit Ihrem virtuellen Azure-Netzwerk herstellen kann.

Damit die ExpressRoute-Verbindung eine Verbindung mit Ihrem lokalen Netzwerk herstellen kann.

Damit eine redundante Failoververbindung bereitgestellt wird.

2.

Wie werden VPN-Gateway-Verbindungen an lokale Netzwerke weitergeleitet?

Über eine private VPN-Verbindung

Über das öffentliche Internet

Über das Azure-Rechenzentrum.

Durch das Bereitstellen von Traffic Manager.

3.

Was ist der eigentliche Grund für die Einführung einer Hub-Spoke-Architektur?

Bessere Kostentransparenz.

Höhere Sicherheit.

Bessere Transparenz im Unternehmen.

Schnellere Netzwerkkommunikation.

Sie müssen alle Fragen beantworten, bevor Sie Ihre Arbeit überprüfen können.