On-premises netwerkintegratie in Azure

  • 10 minuten

Uw bedrijf is van plan de meeste on-premises resources naar Azure te migreren. Een klein datacenter moet echter on-premises blijven voor integratie in het Azure-netwerk. Het architectuurmodel moet overwegen om Azure-netwerkconnectiviteit te gebruiken voor verschillende satellietkantoren. U wilt een hybride netwerkarchitectuur gebruiken die toegang verleent tot zowel uw on-premises als cloudresources.

Voor het afhandelen van de migratie maakt u een netwerkintegratieplan voor Azure met een selectie van de beste hybride netwerkopties die beschikbaar zijn in Azure. De opties moeten voldoen aan de vereisten van de organisatie voor hybride connectiviteit.

In deze les verkent u on-premises connectiviteit op het Azure-platform. U krijgt ook een overzicht van Azure Virtual Network en ziet hoe u Azure VPN Gateway gebruikt om verkeer naar een on-premises netwerk te beveiligen.

Informatie over Azure Virtual Network

De Azure Virtual Network-service heeft een specifieke set hulpprogramma's en resources voor het bouwen van een cloudnetwerkarchitectuur voor uw organisatie. Virtuele Azure-netwerken bieden een beveiligd virtueel communicatiekanaal voor alle toegestane Azure-resources binnen uw abonnement.

Met een virtueel Azure-netwerk kunt u het volgende doen:

  • Virtuele machines verbinden met internet.
  • Veilige communicatie bieden tussen Azure-resources die worden gehost in verschillende datacenters en regio's.
  • Azure-resources isoleren en beheren.
  • Verbinding maken met on-premises computers.
  • Netwerkverkeer beheren.

Standaard hebben alle Azure-resources binnen een virtueel netwerk uitgaande connectiviteit met internet. Externe binnenkomende communicatie moet worden geleverd via een openbaar eindpunt. Alle interne resources gebruiken een privé-eindpunt voor toegang tot het virtuele netwerk.

Een virtueel netwerk bestaat uit veel elementen. Inclusief, maar niet beperkt tot, netwerkinterfaces, load balancers, subnetten, netwerkbeveiligingsgroepen en openbare IP-adressen. Deze elementen werken samen en maken veilige, betrouwbare netwerkcommunicatie mogelijk tussen uw Azure-resources, internet en on-premises netwerken.

architectuur van virtuele azure-netwerkonderdelen.

Verkeersroutering in een virtueel Azure-netwerk

Uitgaand verkeer van een subnet wordt gerouteerd op basis van het doel-IP-adres. Een routeringstabel definieert hoe de verkeersroutes en wat er vervolgens gebeurt. Een doel-IP-adres kan bestaan in meerdere definities van voorvoegsels voor routeringstabellen (bijvoorbeeld 10.0.0.0/16 en 10.0.0.0/24). De router gebruikt een geavanceerd algoritme om de langst mogelijke overeenkomende prefix te vinden. Verkeer dat naar een adres van 10.0.0.6 wordt geleid, wordt omgezet in het voorvoegsel 10.0.0.0/24 en wordt dienovereenkomstig gerouteerd.

Er zijn twee hoofdrouteringstabellen: systeem en aangepast.

Systeemrouteringstabellen

Azure maakt automatisch een set standaardrouteringstabellen voor het virtuele netwerk en elk subnetmasker in het virtuele netwerk. Deze systeemroutes zijn vast en kunnen niet worden bewerkt of verwijderd. U kunt de standaardinstellingen echter overschrijven met behulp van een aangepaste routeringstabel.

Een standaardrouteringstabel kan er als volgt uitzien:

Bron Adresvoorvoegsels Volgende hoptype
Verstek Uniek voor het virtuele netwerk Virtueel netwerk
Verstek 0.0.0.0/0 Internet
Verstek 10.0.0.0/8 Geen
Verstek 172.16.0.0/12 Geen
Verstek 192.168.0.0/16 Geen
Verstek 100.64.0.0/10 Geen

Een routeringstabel bestaat uit een bron, een adresvoorvoegsel en een volgende hop type. Al het verkeer dat het subnet verlaat, maakt gebruik van de routeringstabel om erachter te komen waar het naartoe moet gaan. In feite zoekt het verkeer naar de volgende stap in zijn reis.

Een volgende hop definieert wat er met de verkeersstroom gebeurt, op basis van het voorvoegsel. Er zijn drie types next hop:

  • virtueel netwerk: het verkeer wordt gerouteerd op basis van het IP-adres in het virtuele netwerk.
  • internet: het verkeer wordt doorgestuurd naar internet.
  • Geen: het verkeer wordt verwijderd.

Aangepaste routeringstabellen

Naast door het systeem gedefinieerde routeringstabellen kunt u ook aangepaste routeringstabellen maken. Deze door de gebruiker gedefinieerde routeringstabellen overschrijven de standaardsysteemtabel. Er gelden beperkingen voor het aantal routeringsitems dat u in een aangepaste tabel kunt hebben.

De volgende tabel bevat een aantal van de vele beperkingen die van toepassing zijn op virtuele netwerken:

Hulpbron Standaard- of maximumaantal
Virtuele netwerken 1,000
Subnetten per virtueel netwerk 3,000
Peerings van virtuele netwerken per virtueel netwerk 500
Privé-IP-adressen per virtueel netwerk 65,536

Net als bij de systeemrouteringstabel hebben aangepaste routeringstabellen ook een volgend hoptype. Maar de aangepaste routeringstabellen bieden nog enkele opties:

  • Virtueel apparaat: deze optie is meestal een virtuele machine waarop een specifieke netwerktoepassing wordt uitgevoerd, zoals een firewall.
  • virtuele netwerkgateway: gebruik deze optie als u verkeer naar een virtuele netwerkgateway wilt verzenden. Een gatewaytype voor een virtueel netwerk moet VPN zijn. Het type kan niet Azure ExpressRoute zijn. Hiervoor moet u een BGP-routeringsproces (Border Gateway Protocol) instellen.
  • Geen: met deze optie wordt het verkeer verwijderd in plaats van het door te sturen.
  • virtueel netwerk: met deze optie kunt u een standaardsysteemroutering overschrijven.
  • Internet: Met deze optie kunt u opgeven dat een voorvoegsel verkeer naar internet doorstuurt.

Virtuele Netwerken van Azure verbinden

U kunt uw virtuele netwerken op verschillende manieren verbinden. U kunt Azure VPN Gateway of ExpressRoute gebruiken, of u kunt de peeringmethode rechtstreeks gebruiken.

Azure VPN Gateway

Wanneer u uw on-premises netwerk wilt integreren met Azure, hebt u een brug tussen het netwerk nodig. VPN Gateway is een Azure-service die deze functionaliteit biedt. Een VPN-gateway kan versleuteld verkeer tussen de twee netwerken verzenden. VPN-gateways ondersteunen meerdere verbindingen, waardoor ze VPN-tunnels kunnen routeren die gebruikmaken van elke beschikbare bandbreedte. Aan een virtueel netwerk kan slechts één gateway zijn toegewezen. VPN-gateways kunnen ook worden gebruikt voor verbindingen tussen virtuele netwerken in Azure.

Wanneer u een VPN-gateway implementeert, moet u twee of meer virtuele machines implementeren in het subnet dat u hebt gemaakt tijdens het instellen van het virtuele netwerk. In dit geval wordt het subnet ook wel het gateway subnetgenoemd. Aan elke virtuele machine wordt een standaardconfiguratie toegewezen voor routering en gatewayservices, expliciet voor de ingerichte gateway. U kunt deze virtuele machines niet rechtstreeks configureren.

Wanneer u een gateway maakt, zijn er verschillende topologieën beschikbaar. Deze topologieën, ook wel bekend als gatewaytypen, bepalen welke elementen zijn geconfigureerd en het verwachte verbindingstype.

Site-naar-site

U gebruikt een site-naar-site-verbinding voor cross-premises en hybride netwerkconfiguraties. Voor deze verbindingstopologie moet een on-premises VPN-apparaat een openbaar toegankelijk IP-adres hebben en mag zich niet achter NAT (Network Address Translation) bevinden. De verbinding maakt gebruik van een geheime ASCII-tekenreeks van maximaal 128 tekens voor verificatie tussen de gateway en het VPN-apparaat.

Meerdere locaties

Een verbinding met meerdere locaties is vergelijkbaar met een site-naar-site-verbinding, maar met een kleine variatie. Multisite ondersteunt meerdere VPN-verbindingen met uw on-premises VPN-apparaten. Voor deze verbindingstopologie is een RouteBased VPN vereist, ook wel een dynamische gateway genoemd. Het is belangrijk om te weten dat, met een configuratie met meerdere locaties, alle verbindingen worden doorgestuurd en alle beschikbare bandbreedte delen.

Punt-naar-site

Een punt-naar-site-verbinding is geschikt voor een extern afzonderlijk clientapparaat dat verbinding maakt met uw netwerk. U moet het clientapparaat verifiëren via Microsoft Entra-id of met behulp van Azure-certificaatverificatie. Dit model is geschikt voor thuiswerkscenario's.

Netwerk naar netwerk

U gebruikt een netwerk-naar-netwerkverbinding om verbindingen tussen meerdere virtuele Azure-netwerken te maken. Voor deze verbindingstopologie is, in tegenstelling tot de andere, geen openbaar IP- of VPN-apparaat vereist. U kunt ook een netwerk-naar-netwerkverbinding gebruiken in een configuratie met meerdere locaties om gecombineerde cross-premises verbindingen tot stand te brengen met connectiviteit tussen virtuele netwerken.

ExpressRoute

ExpressRoute maakt een directe verbinding tussen uw on-premises netwerk en het virtuele Azure-netwerk dat geen gebruik maakt van internet. U gebruikt ExpressRoute om uw lokale netwerk naadloos uit te breiden naar de virtuele Azure-netwerkruimte. Veel niet-Microsoft-connectiviteitsproviders bieden de ExpressRoute-service. Er zijn drie verschillende ExpressRoute-verbindingstypen:

  • CloudExchange-colocatie
  • Point-to-point Ethernet-verbinding
  • Any-to-any-verbinding (IPVPN)

een ExpressRoute-verbinding.

Peering

Virtuele netwerken kunnen peering uitvoeren tussen abonnementen en Azure-regio's. Nadat de virtuele netwerken zijn gekoppeld, communiceren resources in deze netwerken met elkaar alsof ze zich in hetzelfde netwerk bevinden. Het verkeer wordt gerouteerd tussen resources met alleen privé-IP-adressen. Een gekoppeld virtueel netwerk routeert verkeer via het Azure-netwerk en houdt de verbinding privé als onderdeel van het Backbone-netwerk van Azure. Het backbone-netwerk biedt netwerkverbindingen met lage latentie en hoge bandbreedte.

Referentiearchitectuur voor site-naar-site-VPN-gateway

Hoewel er veel referentiearchitecturen beschikbaar zijn wanneer u een hybride netwerk ontwerpt, is een populaire architectuur de site-naar-site-configuratie. De vereenvoudigde referentiearchitectuur die in het volgende diagram wordt weergegeven, laat zien hoe u een on-premises netwerk verbindt met het Azure-platform. De internetverbinding maakt gebruik van een IPsec VPN-tunnel.

Azure VPN-referentiearchitectuur.

De architectuur bevat verschillende onderdelen:

  • Het lokale netwerk vertegenwoordigt uw lokale Active Directory en enige gegevens of resources.
  • De gateway is verantwoordelijk voor het verzenden van versleuteld verkeer naar een virtueel IP-adres wanneer er een openbare verbinding wordt gebruikt.
  • Het virtuele Azure-netwerk bevat al uw cloudtoepassingen en eventuele componenten van de Azure VPN-gateway.
  • Een Azure VPN-gateway biedt de versleutelde koppeling tussen het virtuele Azure-netwerk en uw on-premises netwerk. Een Azure VPN-gateway bestaat uit deze elementen.
    • Gateway van virtueel netwerk
    • Lokale netwerkgateway
    • Verbinding
    • Gatewaysubnet
  • Cloud-toepassingen zijn de toepassingen die u beschikbaar hebt gesteld via Azure.
  • Een interne load balancer, die zich in de front-end bevindt, routeert cloudverkeer naar de juiste cloudtoepassing of -resource.

Het gebruik van deze architectuur biedt verschillende voordelen, waaronder:

  • De configuratie en het onderhoud zijn vereenvoudigd.
  • Het gebruik van een VPN-gateway zorgt ervoor dat alle gegevens en verkeer worden versleuteld tussen de on-premises gateway en de Azure-gateway.
  • De architectuur kan worden geschaald en uitgebreid om te voldoen aan de netwerkbehoeften van uw organisatie.

Deze architectuur is in alle situaties niet van toepassing, omdat er een bestaande internetverbinding wordt gebruikt als de koppeling tussen de twee gatewaypunten. Bandbreedtebeperkingen kunnen latentieproblemen veroorzaken die het gevolg zijn van hergebruik van de bestaande infrastructuur.