Planen virtueller Netzwerke in Azure
Basierend auf Ihren Untersuchungen haben Sie sich entschieden, eine Hub-Spoke-Netzwerkarchitektur für die Migration Ihres Unternehmens zu Azure zu implementieren. Als leitender Architekt des Projekts leiten Sie die Entwicklung eines Entwurfs eines virtuellen Netzwerks unter Einsatz von Azure ExpressRoute für die Konnektivität Ihres Hauptsitzes. Außerdem müssen Sie entscheiden, wie Sie die Niederlassungen Ihres Unternehmens an das neue Hub-Spoke-Netzwerk anschließen.
In dieser Lerneinheit befassen Sie sich mit virtuellen Netzwerken auf der Azure-Plattform, den Entwurfsaspekten und der Implementierung von Azure ExpressRoute für Konnektivität mit lokalen Netzwerken.
Einführung in virtuelle Azure-Netzwerke
Virtuelle Netzwerke bieten Netzwerkdienste in Azure und ermöglichen Ihnen, Ihre bestehende lokale Infrastruktur auszudehnen. Ein virtuelles Azure-Netzwerk kann Ihre private IT-Infrastruktur innerhalb der Cloud abbilden und dedizierte Ressourcen in Ihren Abonnements logisch isolieren. Virtuelle Netzwerke aktivieren:
- externe Verbindungen zum Internet.
- die Kommunikation zwischen verschiedenen internen Azure-Ressourcen.
- die Isolation dieser Ressourcen.
- Verbindungen zu lokalen Computern.
- die Netzwerkdatenverkehrsverwaltung.
Zwei wichtige Elemente virtueller Netzwerke sind Subnetze und Netzwerksicherheitsgruppen.
- Subnetze: Jedes virtuelles Netzwerk kann eine Vielzahl von Subnetzen enthalten. Jedes Subnetz hat eigene eindeutige Eigenschaften.
- Netzwerksicherheitsgruppen: Mit diesen NSGs können Sie in Ihrem virtuellen Netzwerk oder Subnetz ein- und ausgehenden Datenverkehr filtern. Sie können NSGs auch verwenden, um den Datenverkehr nach IP-Adresse der Quelle oder des Ziels, Port oder Protokoll zu filtern.
Aspekte bei Planung und Entwurf virtueller Netzwerke
Jedes Netzwerk, ob lokal oder in der Cloud, erfordert ein Verfahren zur Verwaltung des Flusses, der Richtung und der Art seines Datenverkehrs. Für virtueller Netzwerke gelten mehrere Aspekte:
- Segmentierung: Es ist wichtig, eine mögliche Isolation des Datenverkehrs in verschiedene Subnetze, virtuelle Netzwerke oder getrennte Abonnements zu berücksichtigen.
- Sicherheit: Verwenden Sie Netzwerksicherheitsgruppen und virtuelle Netzwerkgeräte, um Netzwerkdatenverkehr zu und von Ressourcen in einem virtuellen Netzwerk zu filtern.
- Konnektivität: Sie können ein virtuelles Netzwerk mit anderen virtuellen Netzwerken über ein Peering virtueller Netzwerke oder mit Ihren lokalen Netzwerken über ExpressRoute oder Azure VPN Gateway verbinden.
- Routing: Virtuelle Azure-Netzwerke erstellen in jedem Subnetz automatisch Routingtabellen und fügen den Tabellen Standardsystemrouten hinzu. Mit benutzerdefinierten Routen können Sie diese Standardsystemrouten außer Kraft setzen. Mit benutzerdefinierten Routen können Sie den Datenverkehr über virtuelle Netzwerkgeräte leiten, um erweiterte Sicherheits- und Filterfunktionen bereitzustellen.
Verbinden Ihres lokalen Netzwerks
Bei der Integration Ihres lokalen Netzwerks mit Azure müssen Sie eine Brücke zwischen beiden Netzwerken einrichten. Das Azure-VPN-Gateway bietet diese Funktion. VPN Gateway sendet verschlüsselten Datenverkehr zwischen den beiden Netzwerken über das Internet. Gateways unterstützen mehrere Verbindungen, die die VPN-Tunnel durch die verfügbare Bandbreite routen, obwohl einem virtuellen Netzwerk nur ein Gateway zugewiesen sein kann. Sie können auch ein VPN-Gateway für Verbindungen zwischen Netzwerken in Azure verwenden.
Azure ExpressRoute ist eine weitere Option für das Bridging. Mit ExpressRoute können Sie Ihre lokalen Netzwerke über eine private Verbindung auf Azure erweitern. Diese Verbindung wird durch einen Konnektivitäts- oder Cloud-Exchange-Anbieter ermöglicht. ExpressRoute bietet mehr als nur den Zugriff auf Azure-Ressourcen und ermöglicht Ihnen, Verbindungen mit anderen Microsoft-Clouddiensten wie Office 365 herzustellen.
Die Implementierung von ExpressRoute nimmt einige Zeit in Anspruch. Sie müssen einen Konnektivitätsanbieter beauftragen und möglicherweise ein physisches Netzwerkgerät implementieren. Damit die Konnektivität bei laufender Implementierung gewährleistet wird, können Sie ein Site-to-Site-VPN verwenden, um eine Verbindung zwischen Ihren lokalen Ressourcen und Ihren virtuellen Azure-Netzwerken herzustellen. Anschließend migrieren Sie zu Ihrer neuen ExpressRoute-Verbindung, sobald der Dienstanbieter den Abschluss der Einrichtung bestätigt.
Verwenden von Azure ExpressRoute in einer Hub-Spoke-Topologie
Die Verwendung von ExpressRoute in einer Hub-Spoke-Topologie unterscheidet sich nicht von anderen Architekturmustern. ExpressRoute, das die Verbindung zwischen dem Hub und dem lokalen Netzwerk unterstützt, funktioniert am besten, wenn der Datendurchsatz sowohl bei eingehenden als auch bei ausgehenden Verbindungen hoch ist.
Sie verwenden Leitungen, um den Datenverkehr zu verwalten und zu leiten, indem Sie ExpressRoute mit einem virtuellen Netzwerk in Azure verbinden. Die Leitungen, die mit dem virtuellen Netzwerk verbunden werden sollen, können sich in verschiedenen Regionen oder Abonnements befinden. Es gibt hierbei Grenzwerte für die Anzahl von virtuellen Netzwerken pro ExpressRoute-Leitung. Für den Standardtarif liegt der Grenzwert aktuell bei zehn Netzwerken. Wenn Sie das Premium-Add-On verwenden, wird der Grenzwert basierend auf der Leitungsgröße erhöht. Die niedrigste Anzahl sind 20 virtuelle Netzwerke auf einer Leitung mit 50 Mbit/s, bis zu 100 für Leitungen mit 10 Gbit/s oder mehr.