Was ist Azure Virtual WAN?

  • 8 Minuten

Azure Virtual WAN ist ein einheitliches Framework für Netzwerke, Sicherheit und Routing.

Sie untersuchen, wie Contoso von einem typischen Hub-Spoke-Netzwerk zu einem anderen Netzwerk migrieren kann. Eine Kombination aus Azure Virtual WAN und Virtual WAN-Hubs, die in mehreren Azure-Regionen verwendet werden, scheinen eine vielversprechende Lösung zu sein.

Sie können eine Verbindung zwischen Ihren Virtual WAN-Hubs und Ihren Zweigstellen, virtuellen Netzwerken und Remotebenutzern herstellen. Die Hubs bieten im Vergleich zum aktuellen Contoso-Netzwerk die Möglichkeit zur Skalierung und zur Verbesserung der Leistung.

Was ist eine Hub-Spoke-Topologie?

Diese Netzwerktopologie, die als Sterntopologie oder Hub-and-Spoke-Topologie bezeichnet wird, wird häufig als klassischer Site-to-Site-WAN-Dienst verwendet.

Contoso zieht die Verwendung von Azure in Betracht, um das unternehmenseigene WAN geografisch zu erweitern. Das Azure-Netzwerk erstreckt sich über den ganzen Globus, und die Rechenzentren sind mithilfe des globalen Hochgeschwindigkeitsbackbones von Azure miteinander verbunden.

Anfänglich wird beim Verschieben von Diensten in Azure ein virtuelles Netzwerk erstellt, um eine Verbindung mit den virtuellen Computern (VMs) herzustellen. Ein Azure-VPN-Gateway ist mit den lokalen Netzwerken verbunden.

Wenn mithilfe des Azure-Portals ein virtuelles WAN erstellt wird, werden ein virtueller Hub, ein virtuelles Netzwerk und Gateways (optional) als dessen Komponenten erstellt.

Dieser virtuelle Hub fungiert als zentraler Punkt für die Konnektivität mit einem lokalen Netzwerk und anderen virtuellen Netzwerken. Die Spokes sind virtuelle Netzwerke mit Peeringverbindung zum Hub.

Das regionale und globale Peering virtueller Netzwerke wird unterstützt. Das Peering virtueller Netzwerke beschreibt das Verbinden virtueller Netzwerke. Aus Gründen der Konnektivität werden die virtuellen Netzwerke als eins angezeigt. Der Hub und die Spokes sind über VPN-Gateways oder ExpressRoute verbunden.

Bei diesem Peering können viele Standorte miteinander verbunden werden. Wenn weitere Standorte und WANs hinzugefügt werden, erhöht sich die Komplexität des Netzwerks. Das Nachverfolgen aller Netzwerkverbindungen, von Kunden verwalteten virtuellen Hubs und Peeringprozesse kann schwierig werden.

Azure Virtual WAN löst dieses Problem, indem eine einzige Schnittstelle zum Verwalten all dieser Punkte bereitgestellt wird. Außerdem werden hochleistungsfähige, softwaredefinierte Virtual WAN-Hubs hinzugefügt.

Azure Virtual WAN

Azure Virtual WAN ist eine Hub-Spoke-Architektur. Virtual WAN ist ein von Microsoft verwalteter und auf Azure basierender Netzwerkdienst.

Microsoft hostet und verwaltet alle Komponenten, aus denen dieser Dienst besteht. Er ist einfach bereitzustellen und zu verwenden und bietet gleichzeitig die folgenden Möglichkeiten:

  • Ermöglicht die Any-to-Any-Konnektivität mit Workloads, die global in virtuellen Netzwerken verteilt sind.
  • Er verbindet Folgendes:
    • Benutzer im Homeoffice und mobile Benutzer mithilfe einer Point-to-Site-Verbindung
    • Filialen mithilfe einer Site-to-Site-Verbindung
    • Hauptcampus und Rechenzentren mithilfe von ExpressRoute für private Verbindungen

In Azure-Regionen aktivierte Virtual WAN-Hubs fungieren als Netzwerkhubs. Diese Hubs sind über die vollständige Meshintegration verbunden. Diese Integration unterstützt den Any-to-Any-Konnektivitätszugriff auf Workloads, die global verteilt sind.

Erste Schritte mit einem virtuellen WAN:

  • Erstellen Sie ein virtuelles WAN in einer Azure-Region, die zurzeit viele Spokes unterstützt.
  • Stellen Sie eine Verbindung zwischen den regionalen Spokes und dem Hub und anschließend zwischen den anderen Regionen und dem Hub her. Die Hubs werden zu den Verbindungspunkten für regionale Konnektivität.

Azure Virtual WAN-Hubs

Der klassische Hardwarehub ermöglicht es allen verbundenen Netzwerkgeräten, direkt miteinander zu kommunizieren. Ein Virtual WAN-Hub ist ein ausgereifter softwaredefinierter Hub.

Sie können einen Azure Virtual WAN-Hub in jeder Azure-Region bereitstellen. Jeder Hub kann verbunden werden, um Azure-Standardverbindungsdienste zu verwenden.

Eine Filiale in einer Azure-Region im Vereinigten Königreich kann eine Verbindung mit einer Region in den USA herstellen. Sie stellen eine Verbindung mithilfe der Hub-to-Hub-Konnektivität über das globale Azure-Netzwerk her.

In einem einzelnen virtuellen WAN, das mehrere Regionen umfasst und in dem mehrere Hubs bereitgestellt sind, werden die Hubs mithilfe von Hub-to-Hub-Verbindungen automatisch miteinander verbunden. Diese Verbindungen ermöglichen die globale Konnektivität mit Zweigstellen und virtuellen Netzwerken.

In der folgenden Abbildung wird eine Azure Virtual WAN-Bereitstellung mit zwei virtuellen Hubs in verschiedenen Azure-Regionen und dem Netzwerkdatenflow dargestellt.

Diagramm: Azure Virtual WAN bietet Any-to-Any-Konnektivität, benutzerdefiniertes Routing und Sicherheit

Schützen eines virtuellen Hubs

Verwenden Sie Azure Firewall Manager, um den virtuellen Hub in einen sicheren virtuellen Hub zu konvertieren.

Mithilfe von Firewallregeln, die von Firewall Manager erstellt wurden, können Sie Sicherheits- und Routingregeln für den Netzwerkdatenverkehr erstellen. Daten aus dem Internet, private IP-Adressen und Azure-Plattformdienste können gefiltert werden.

Hinweis

Benutzerdefinierte Routen sind zum Weiterleiten des Datenverkehrs durch die Firewall nicht erforderlich.

Der sichere virtuelle Hub unterstützt die Bereitstellung von zwei Sicherheitsanbietern:

  • Azure Firewall für privaten Datenverkehr
  • Sicherheitsanbieter von einem Drittanbieter, die mit Firewall Manager integriert sind

Virtuelle Hubs oder sichere virtuelle Hubs sind die regionalen Verbindungspunkte für ein virtuelles WAN. Diese Hubs unterstützen mehrere Dienstendpunkte. Die Endpunkte stellen Konnektivität zwischen Netzwerken und Diensten bereit. Sie sind der Kern des Netzwerks für jede Region.