Werken met hybride netwerken in Azure

  • 10 minuten

Uw organisatie wil graag doorgaan met de migratie naar de cloud. U hebt de voordelen van het gebruik van Azure ExpressRoute verkend om een toegewezen, snelle verbinding te bieden tussen uw on-premises netwerk en Azure.

Voor due diligence moet u de andere beschikbare opties voor hybride architectuur verkennen voor het verbinden van uw on-premises netwerk met Azure.

In deze eenheid zult u:

  • Krijg inzicht in virtuele particuliere netwerkverbindingen.
  • Bekijk een tolerantieoptie voor ExpressRoute.
  • Houd rekening met de voordelen van hub-spoke-netwerktopologie.

Wat is een hybride netwerkarchitectuur?

Hybride netwerk is een term die wordt gebruikt wanneer twee verschillende netwerktopologieën samen één samenhangend netwerk vormen. Met Azure vertegenwoordigt een hybride netwerk het samenvoegen of combineren van een on-premises netwerk met een virtueel Azure-netwerk. Hiermee kunt u uw bestaande infrastructuur blijven gebruiken, terwijl u beschikt over alle voordelen van cloudcomputing en -toegang.

Er zijn verschillende redenen waarom u mogelijk een hybride netwerkoplossing wilt gebruiken. De twee meest voorkomende zijn:

  • Migreren van een puur on-premises netwerk naar een puur cloudnetwerk.
  • Als u uw on-premises netwerk en resources wilt uitbreiden om de cloudservices te ondersteunen.

Wat uw redenen ook zijn voor het toevoegen van cloudservices aan uw infrastructuur, er zijn verschillende architecturen om rekening mee te houden. In de vorige les hebben we ExpressRoute behandeld. De andere architecturen zijn:

  • Azure VPN Gateway
  • ExpressRoute met VPN-failover
  • Sternetwerktopologie

Azure VPN Gateway

Azure VPN Gateway, een gatewayservice voor virtuele netwerken, maakt site-naar-site- en punt-naar-site-VPN-connectiviteit mogelijk tussen uw on-premises netwerk en Azure.

Een VPN- of virtueel particulier netwerk is een goed gevestigde, goed begrepen netwerkarchitectuur.

VPN Gateway maakt gebruik van uw bestaande verbinding met internet. Alle communicatie wordt echter versleuteld met behulp van de IKE-protocollen (Internet Key Exchange) en Internet Protocol Security (IPsec). U kunt slechts één virtuele netwerkgateway per virtueel netwerk hebben.

Wanneer u een virtuele netwerkgateway instelt, moet u opgeven of het een VPN-gateway of een ExpressRoute-gateway is.

Het VPN-type is afhankelijk van het type verbindingstopologie dat u nodig hebt. Als u bijvoorbeeld een punt-naar-site-gateway (P2S) of een punt-naar-punt-gateway (P2P) wilt maken, gebruikt u een RouteBased--type. Er zijn twee VPN-typen:

  • PolicyBased: maakt gebruik van een IPsec-tunnel om gegevenspakketten te versleutelen. Configuratie van het beleid maakt gebruik van adresvoorvoegsels die zijn opgehaald uit uw virtuele Azure-netwerk en uw on-premises netwerk.
  • RouteBased: maakt gebruik van de routerings- of IP-doorstuurtabellen om gegevenspakketten naar de juiste tunnel te routeren. Elke tunnel versleutelt en ontsleutelt alle pakketten.

Nadat u het VPN-type voor de gateway van het virtuele netwerk hebt opgegeven, kunt u dit niet wijzigen. Als u een wijziging moet aanbrengen, verwijdert u de gateway van het virtuele netwerk en maakt u deze opnieuw.

Locatie-naar-locatie

Alle site-naar-site-gatewayverbindingen maken gebruik van een IPsec-/IKE VPN-tunnel om een verbinding tussen Azure en uw on-premises netwerk te maken. Voor een site-naar-site-verbinding is een on-premises VPN-apparaat met een openbaar toegankelijk IP-adres vereist.

diagram van een VPN-site-naar-site-verbinding tussen het on-premises netwerk en het virtuele Azure-netwerk.

Punt-naar-site

Een punt-naar-site-gatewayverbinding maakt een beveiligde verbinding tussen een afzonderlijk apparaat en uw virtuele Azure-netwerk. Dit gatewaytype is geschikt voor externe werknemers; Bijvoorbeeld gebruikers die deelnemen aan een conferentie of thuis werken. Voor een punt-naar-site-verbinding is geen toegewezen on-premises VPN-apparaat vereist.

diagram van een VPN-punt-naar-site-verbinding tussen het on-premises netwerk en het virtuele Azure-netwerk.

Voordelen

Hier volgen enkele voordelen van het gebruik van een VPN-verbinding:

  • Het is een bekende technologie, eenvoudig te configureren en te onderhouden.
  • Al het gegevensverkeer wordt versleuteld.
  • Het is beter voor het verwerken van lichtere belasting van gegevensverkeer.

Overwegingen

Houd rekening met de volgende punten wanneer u het gebruik van deze hybride architectuur evalueert:

  • Een VPN-verbinding maakt gebruik van internet.
  • Mogelijke latentieproblemen kunnen bestaan, afhankelijk van de bandbreedtegrootte en het gebruik.
  • Azure ondersteunt een maximale bandbreedte van 1,25 Gbps.
  • Er is een lokaal VPN-apparaat nodig voor site-naar-site-verbindingen.

ExpressRoute met VPN-failover

Een van de garanties voor het gebruik van ExpressRoute is dat het een hoge beschikbaarheid biedt. Elk ExpressRoute-circuit wordt geleverd met dubbele ExpressRoute-gateways. Zelfs met dit tolerantieniveau dat is ingebouwd in de Azure-zijde van het netwerk, wordt de connectiviteit mogelijk onderbroken. Een manier om deze situatie te verhelpen en connectiviteit te behouden, is door een VPN-failoverservice te bieden.

De samenvoeging van de VPN-verbinding en ExpressRoute verbetert de tolerantie van uw netwerkverbinding. Wanneer het werkt onder normale omstandigheden, gedraagt ExpressRoute zich precies als een reguliere ExpressRoute-architectuur, waarbij de VPN-verbinding inactief blijft. Als het ExpressRoute-circuit uitvalt of offline gaat, wordt de VPN-verbinding overgenomen. Deze actie zorgt voor netwerk beschikbaarheid onder alle omstandigheden. Wanneer het ExpressRoute-circuit wordt hersteld, wordt al het verkeer teruggezet naar het gebruik van de ExpressRoute-verbinding.

Referentiearchitectuur voor ExpressRoute met VPN-failover

In het volgende diagram ziet u hoe u uw on-premises netwerk verbindt met Azure met behulp van ExpressRoute met een VPN-failover. De gekozen topologie in deze oplossing is een op VPN gebaseerde site-naar-site-verbinding met een hoge verkeersstroom.

diagram van de ExpressRoute-referentiearchitectuur.

In dit model wordt al het netwerkverkeer gerouteerd via de ExpressRoute-privéverbinding. Wanneer de verbinding op het ExpressRoute-circuit is verbroken, voert het gatewaysubnet automatisch een failover uit naar het site-naar-site-VPN-gatewaycircuit. De stippellijn van de gateway naar de VPN-gateway in het virtuele Azure-netwerk geeft dit scenario aan.

Wanneer het ExpressRoute-circuit wordt hersteld, schakelt verkeer automatisch terug van de VPN-gateway.

Voordelen

Het volgende voordeel is beschikbaar wanneer u ExpressRoute implementeert met een VPN-failover:

  • Het creëert een tolerant netwerk met hoge beschikbaarheid.

Overwegingen

Houd rekening met de volgende punten wanneer u een ExpressRoute implementeert met een VPN-failoverarchitectuur:

  • Wanneer er een failover optreedt, wordt de bandbreedte beperkt tot de VPN-verbindingssnelheden.

  • De ExpressRoute- en VPN-gatewayresources moeten zich in hetzelfde virtuele netwerk bevinden.

  • Er is een zeer complexe configuratie.

  • Implementatie vereist zowel een ExpressRoute-verbinding als een VPN-verbinding.

  • Implementatie vereist een redundante VPN-gateway en lokale VPN-hardware.

    Notitie

    Voor een redundante VPN-gateway worden betalingskosten in rekening gebracht, zelfs wanneer deze niet wordt gebruikt.

Hub-spoke-netwerktopologie

Met de hub-spoke-netwerktopologie kunt u de workloads structuren die uw servers uitvoeren. Het maakt gebruik van één virtueel netwerk als de hub, die via VPN of ExpressRoute verbinding maakt met uw on-premises netwerk. De spaken zijn andere virtuele netwerken die met elkaar verbonden zijn met de hub. U kunt specifieke workloads toewijzen aan elke spoke en de hub gebruiken voor gedeelde services.

diagram van hub-spoke-architectuur.

U kunt de hub en elke spoke implementeren in afzonderlijke abonnementen of resourcegroepen en deze vervolgens aan elkaar koppelen.

Dit model maakt gebruik van een van de drie eerder besproken benaderingen: VPN, ExpressRoute en ExpressRoute met VPN-failover. De bijbehorende voordelen en uitdagingen worden besproken in de volgende secties.

Voordelen

Het implementeren van een hub-spoke-architectuur heeft de volgende voordelen:

  • Het gebruik van gedeelde en gecentraliseerde services op de hub kan de noodzaak van duplicatie op de spokes verminderen, waardoor de kosten kunnen worden verlaagd.
  • Abonnementslimieten worden overwonnen door virtuele netwerken te koppelen.
  • Het hub-spoke-model maakt het mogelijk om werkgebieden van de organisatie te scheiden in toegewezen spokes, zoals SecOps, InfraOps en DevOps.

Overwegingen

Houd rekening met het volgende wanneer u het gebruik van deze hybride architectuur evalueert:

  • Bekijk de diensten die worden gedeeld op de hub en wat er op de spaken blijft staan.