Funzionalità di rete del cloud ibrido
Una rete locale multisito tradizionale può dover connettere più succursali a una sede centrale. Analogamente, le reti di cloud ibrido comportano l'uso di tecnologie appropriate per connettere facilmente utenti, applicazioni e dati locali alle applicazioni e ai dati ospitati nel cloud.
Nello scenario esaminato Tailwind Traders deve essere in grado di connettere le posizioni locali in modo sicuro alle risorse in esecuzione in Azure. Questa operazione deve essere eseguita in modo che per il personale di Tailwind Traders non ci sia una reale differenza tra accedere a un carico di lavoro in esecuzione in un data center locale di Tailwind Traders e a uno in esecuzione in Azure.
In questa unità verranno fornite informazioni sulle tecnologie di rete che consentono di collegare in rete le risorse locali e cloud in un unico cloud ibrido.
Che cos'è una rete VPN di Azure?
Un gateway VPN di Azure consente di connettere la rete locale ad Azure usando un tunnel VPN protetto attraverso la rete Internet pubblica. Le connessioni VPN di Azure sono come le connessioni VPN tradizionali che possono esistere tra una succursale e una sede centrale. Ogni rete virtuale può avere un solo gateway VPN, ma ogni gateway VPN supporta più connessioni.
La figura seguente mostra una connessione tra un dispositivo gateway perimetrale della rete locale e un gateway VPN in una rete virtuale di Azure. Illustra la connessione tra un dispositivo Azure Stack e un gateway VPN.
Nell'esempio di Tailwind Traders, l'azienda può usare i gateway VPN di Azure per consentire le connessioni dai siti delle succursali più piccole che non necessitano del tipo di collegamento dedicato fornito da una connessione di Azure ExpressRoute. Lo svantaggio principale dei gateway VPN di Azure è che si basano sulla connessione Internet del provider di servizi Internet (ISP). In caso di interruzione del provider di servizi Internet, non è possibile stabilire le connessioni VPN. Analogamente, in presenza di una congestione significativa nel provider di servizi Internet, la velocità della connessione VPN tra una posizione locale e Azure può risultare ridotta.
Le organizzazioni con connessioni VPN esistenti tra siti di filiali devono già affrontare i problemi creati dalle connessioni VPN dedicate.
Che cos'è Azure ExpressRoute?
Microsoft Azure ExpressRoute consente a un'organizzazione di usufruire di una connessione ad alta velocità privata e dedicata tra la rete locale e Azure. Questa connessione non passa attraverso la rete Internet pubblica. Dal punto di vista funzionale, si tratta di una linea in fibra ottica dedicata direttamente tra una posizione locale e il data center di Azure più vicino.
A differenza di un gateway VPN, l'apparecchiatura che consente questa connessione è gestita dal provider ExpressRoute. Poiché il provider ExpressRoute gestisce tutte le apparecchiature, è in grado di offrire un contratto di servizio in termini di affidabilità e larghezza di banda, che non è disponibile per gli utenti delle connessioni gateway VPN di Azure.
La figura seguente mostra la connessione ExpressRoute tra l'ambiente locale e i carichi di lavoro in esecuzione in Azure. Il provider ExpressRoute gestisce il circuito ExpressRoute e i router perimetrali locali.
Oltre a offrire una connessione con larghezza di banda dedicata tra l'ambiente locale e Azure, ExpressRoute consente a un'organizzazione di garantire che il traffico sensibile non passi attraverso la rete Internet pubblica. Questo aspetto è importante in alcune giurisdizioni in cui i requisiti di governance proibiscono la trasmissione di determinati tipi di informazioni in Internet.
Nel case study di esempio Tailwind Traders può implementare una connessione ExpressRoute dalle sedi più grandi, ad esempio Melbourne, Sydney e Auckland, dove sono presenti più persone. L'azienda può anche dover usare ExpressRoute se tra i tipi di dati che gestisce alcuni non possono essere trasferiti attraverso Internet a causa dei requisiti di conformità.
Che cos'è il DNS ibrido?
Quando si implementa un cloud ibrido, è necessario assicurarsi che i carichi di lavoro locali possano risolvere gli indirizzi dei carichi di lavoro cloud e che i carichi di lavoro cloud possano risolvere gli indirizzi dei carichi di lavoro locali. Le distribuzioni DNS (Domain Name System) in un cloud ibrido richiedono in genere server DNS in locale e in Azure. Inoltre, i trasferimenti di zona DNS devono essere configurati tra l'ambiente locale e il cloud. In alternativa, è possibile configurare i server d'inoltro DNS se la zona DNS locale è separata dalla zona DNS associata ai carichi di lavoro in esecuzione in Azure.
La figura seguente mostra i server DNS locali che eseguono la replica delle informazioni DNS nei server DNS in esecuzione in Azure. In questo scenario una macchina virtuale viene distribuita come server DNS in Azure. Nella figura il server DNS locale si connette a una sottoscrizione hub con i server DNS nelle macchine virtuali. Le altre sottoscrizioni di Azure si connettono alla sottoscrizione hub.
In alternativa, Resolver privato DNS di Azure consente agli utenti di eseguire query sulle zone private DNS di Azure dall'ambiente locale e viceversa senza distribuire server DNS basati su macchine virtuali. Il servizio Resolver privato è completamente gestito e dispone di funzionalità di disponibilità elevata predefinite.
Tailwind Traders può usare Resolver privato DNS di Azure per assicurarsi che tutti i carichi di lavoro in esecuzione in Azure possano risolvere i nomi DNS degli host nella rete interna di Tailwind Traders. Tutti gli host della rete interna di Tailwind Traders possono inoltre risolvere i nomi DNS dei carichi di lavoro in esecuzione nel cloud.
Che cos'è la rete WAN virtuale di Azure?
La rete WAN virtuale di Azure consente a un'organizzazione di usare la rete di Azure in un'architettura hub-spoke. La rete di Azure funziona come hub per la connettività transitiva tra gli endpoint che funzionano come spoke.
Tradizionalmente, si potrebbe avere una topologia di rete in cui ogni succursale è collegata da una connessione VPN al sito della sede centrale. Se il traffico passa da una succursale a un'altra, passerà attraverso il sito hub per arrivare a destinazione. Se i siti della sede centrale e delle succursali sono tutti connessi ad Azure, tramite VPN o ExpressRoute, queste connessioni possono formare gli spoke. La rete WAN virtuale di Azure può fungere da hub di routing per il traffico tra le posizioni locali.
La figura seguente mostra una topologia di rete WAN virtuale di Azure.
La rete WAN virtuale di Azure consente a Tailwind Traders di evitare l'uso delle connessioni VPN per connettere le succursali e le posizioni dei data center a Sydney, Melbourne e Auckland. Fornisce una topologia in cui succursali e data center hanno ognuno una connessione VPN o ExpressRoute ad Azure. Il servizio di rete WAN virtuale di Azure gestisce il routing del traffico tra le posizioni.