Usare le reti ibride in Azure

Completato

L'organizzazione è interessata a proseguire con la migrazione al cloud. Sono stati esaminati i vantaggi dell'uso di Azure ExpressRoute per fornire una connessione dedicata e ad alta velocità tra la rete locale e Azure.

La due diligence richiede di esplorare le altre opzioni di architettura ibrida disponibili per la connessione della rete locale ad Azure.

In questa unità si apprenderà come:

• Acquisire informazioni sulle connessioni di rete privata virtuale.
• Esaminare un'opzione di resilienza per ExpressRoute.
• Considerare i meriti della topologia di rete hub-spoke.

Che cos'è un'architettura di rete ibrida?

Rete ibrida è un termine usato quando due topologie di rete diverse si combinano per formare una singola rete coesiva. In Azure, una rete ibrida rappresenta l'unione o la combinazione di una rete locale con una rete virtuale di Azure. Consente l'uso continuativo dell'infrastruttura esistente offrendo al contempo tutti i vantaggi dell'elaborazione e dell'accesso basati sul cloud.

Esistono diversi motivi per cui è consigliabile adottare una soluzione di rete ibrida. I due più comuni sono:

• Per eseguire la migrazione da una rete locale pura a una rete basata sul cloud pura.
• Per estendere la rete locale e le relative risorse per supportare i servizi cloud.

A prescindere dai motivi per cui si aggiungono i servizi cloud all'infrastruttura, esistono diverse architetture da considerare. ExpressRoute è stato analizzato nell'unità precedente. Le altre architetture sono:

• Gateway VPN di Azure
• ExpressRoute con failover VPN
• Topologia della rete hub-spoke

Gateway VPN di Azure

Gateway VPN di Azure, un servizio gateway di rete virtuale, consente la connettività VPN da sito a sito e da punto a sito tra la rete locale e Azure.

Una VPN, o rete privata virtuale, è un'architettura di rete ben definita e riconosciuta.

Gateway VPN usa la connessione Internet esistente. Tuttavia, tutte le comunicazioni vengono crittografate mediante i protocolli IKE (Internet Key Exchange) e IPsec (Internet Protocol Security). È consentito un solo gateway di rete virtuale per ogni rete virtuale.

Quando si configura un gateway di rete virtuale, occorre specificare se si tratta di un gateway VPN o di un gateway ExpressRoute.

Il tipo VPN dipende dal tipo di topologia di connessione necessario. Se ad esempio si vuole creare un gateway da punto a sito o da punto a punto, si userà un tipo RouteBased. Esistono due tipi di VPN:

• PolicyBased: usa un tunnel IPsec per crittografare i pacchetti di dati. La configurazione dei criteri usa i prefissi di indirizzo estratti dalla rete virtuale di Azure e dalla rete locale.
• RouteBased: usa le tabelle di routing o inoltro IP per indirizzare i pacchetti di dati al tunnel corretto. Ogni tunnel crittografa e decrittografa tutti i pacchetti.

Dopo aver specificato il tipo di VPN per il gateway di rete virtuale, non è possibile modificarlo. Se si deve apportare una modifica, eliminare il gateway di rete virtuale e ricrearlo.

Da sito a sito

Tutte le connessioni gateway da sito a sito usano un tunnel VPN IPsec/IKE per creare una connessione tra Azure e la rete locale. Una connessione da sito a sito richiede un dispositivo VPN locale con un indirizzo IP accessibile pubblicamente.

Da punto a sito

Una connessione gateway da punto a sito crea una connessione protetta tra un singolo dispositivo e la rete virtuale di Azure. Questo tipo di gateway è adatto per i lavoratori remoti, ad esempio per gli utenti che partecipano a una conferenza o lavorano da casa. Una connessione da punto a sito non richiede un dispositivo VPN locale dedicato.

Vantaggi

Ecco alcuni dei vantaggi derivanti dall'uso di una connessione VPN:

• Si tratta di una tecnologia ben nota, facile da configurare e gestire.
• Tutto il traffico dati è crittografato.
• È preferibile gestire carichi di traffico dati più leggeri.

Considerazioni

Per valutare l'opportunità di usare questa architettura ibrida, considerare i punti seguenti:

• Una connessione VPN usa Internet.
• Potrebbero insorgere potenziali problemi di latenza, a seconda delle dimensioni e dell'utilizzo della larghezza di banda.
• Azure supporta una larghezza di banda massima di 1,25 Gbps.
• Per le connessioni da sito a sito è necessario un dispositivo VPN locale.

ExpressRoute con failover VPN

Una delle garanzie offerte dall'utilizzo di ExpressRoute è che assicura un livello elevato di disponibilità. Ogni circuito ExpressRoute è dotato di due gateway ExpressRoute. Tuttavia, anche con questo livello di resilienza integrato nel lato Azure della rete, è possibile che la connettività venga interrotta. Un modo per risolvere questa situazione, e mantenere la connettività, è usare un servizio di failover VPN.

L'unione della connessione VPN e di ExpressRoute migliora la resilienza della connessione di rete. Quando opera in condizioni normali, ExpressRoute si comporta esattamente come una normale architettura ExpressRoute, con la connessione VPN che rimane inattiva. In caso di errore del circuito ExpressRoute o se questo passa offline, la connessione VPN ha il sopravvento. Questa azione assicura la disponibilità di rete in tutte le circostanze. Quando il circuito ExpressRoute viene ripristinato, tutto il traffico passa di nuovo alla connessione ExpressRoute.

Architettura di riferimento per ExpressRoute con failover VPN

Il diagramma seguente illustra come connettere la rete locale ad Azure usando ExpressRoute con un failover VPN. La topologia scelta in questa soluzione è una connessione da sito a sito basata su VPN con un flusso di traffico elevato.

In questo modello tutto il traffico di rete viene indirizzato attraverso la connessione privata ExpressRoute. Quando si perde la connettività nel circuito ExpressRoute, viene automaticamente eseguito il failover della subnet del gateway nel circuito del gateway VPN da sito a sito. La linea tratteggiata dal gateway al gateway VPN nella rete virtuale di Azure indica questo scenario.

Quando viene ripristinato il circuito ExpressRoute, il traffico che ora passa attraverso il gateway VPN ritorna alla situazione normale.

Vantaggi

Quando si implementa ExpressRoute con un failover VPN, sono disponibili i vantaggi seguenti:

• Viene creata una rete resiliente a disponibilità elevata.

Considerazioni

Quando si implementa un'architettura ExpressRoute con failover VPN, considerare i punti seguenti:

• In caso di failover, la larghezza di banda viene ridotta alle velocità di connessione VPN.

• Le risorse di ExpressRoute e del gateway VPN devono trovarsi nella stessa rete virtuale.

• Questa configurazione è estremamente complessa.

• La sua implementazione richiede sia una connessione ExpressRoute che una connessione VPN.

• L'implementazione richiede un gateway VPN ridondante e hardware VPN locale.

  Nota

  Un gateway VPN ridondante comporta l'addebito di costi anche quando non è in uso.

Topologia della rete hub-spoke

La topologia di rete hub-spoke consente di strutturare i carichi di lavoro eseguiti dai server. Usa una singola rete virtuale come hub, che si collega alla rete locale tramite VPN o ExpressRoute. Gli spoke sono altre reti virtuali connesse in peering con l'hub. È possibile assegnare carichi di lavoro specifici a ogni spoke e usare l'hub per i servizi condivisi.

È possibile implementare l'hub e ogni spoke in sottoscrizioni o gruppi di risorse distinti e quindi connetterli tra loro tramite peering.

Questo modello usa uno dei tre approcci illustrati in precedenza: VPN, ExpressRoute ed ExpressRoute con failover VPN. I vantaggi e i problemi associati sono discussi nelle sezioni seguenti.

Vantaggi

L'implementazione di un'architettura hub-spoke presenta i vantaggi seguenti:

• L'uso di servizi di condivisione e di servizi centralizzati nell'hub potrebbe ridurre la necessità di duplicazione negli spoke e quindi ridurre i costi.
• Il peering di reti virtuali risolve i limiti della sottoscrizione.
• Il modello hub-spoke consente di separare le aree di lavoro organizzative in spoke dedicati, ad esempio SecOps, InfraOps e DevOps.

Considerazioni

Per valutare l'opportunità di usare questa architettura ibrida, considerare quanto segue:

• Esaminare i servizi condivisi nell'hub e gli elementi rimanenti negli spoke.

Verificare le conoscenze

1.

Perché implementare un gateway VPN nella rete virtuale di Azure?

Per migliorare le prestazioni del circuito ExpressRoute.

Per consentire al circuito ExpressRoute di connettersi alla rete virtuale di Azure.

Per consentire al circuito ExpressRoute di connettersi alla rete locale di Azure.

Per assicurare una connessione di failover ridondante.

2.

In che modo le connessioni del gateway VPN vengono instradate su una rete locale?

Attraverso una connessione VPN privata

Attraverso Internet pubblico

Tramite il data center di Azure.

Effettuando il provisioning di una gestione traffico.

3.

Qual è il motivo principale per cui si implementa un'architettura hub-spoke?

Maggiore visibilità dei costi.

Maggiore sicurezza.

Maggiore visibilità dell'azienda.

Comunicazioni di rete più veloci.

Devi rispondere a tutte le domande prima di controllare il lavoro svolto.