Virtuele netwerken plannen in Azure

8 minuten

Op basis van uw onderzoek hebt u ervoor gekozen om een hub-spoke-netwerkarchitectuur te implementeren voor de migratie van uw bedrijf naar Azure. Als hoofdarchitect voor het project beheert u de productie van een virtueel-netwerkontwerp met behulp van Azure ExpressRoute voor de connectiviteit van uw hoofdkantoor. U moet ook beslissen hoe u de satellietkantoren van uw bedrijf verbindt met het nieuwe hub-spoke-netwerk.

In deze les verkent u virtuele netwerken in het Azure-platform, ontwerpoverwegingen en het implementeren van ExpressRoute voor connectiviteit met on-premises netwerken.

Architectural diagram showing hub and spokes connecting to the on-premises resources.

Kennismaking met virtuele Azure-netwerken

Virtuele netwerken bieden netwerkservices in Azure en hiermee kunt u uw bestaande on-premises infrastructuur uitbreiden. Een virtueel Azure-netwerk kan uw persoonlijke IT-infrastructuur in de cloud vertegenwoordigen, waarbij toegewezen resources in uw abonnementen logisch worden geïsoleerd. Virtuele netwerken maken het volgende mogelijk:

Externe verbindingen met het internet.
Communicatie tussen verschillende interne Azure-resources.
Isolatie van deze resources.
Verbindingen met on-premises computers.
Beheer van netwerkverkeer.

Twee belangrijke elementen van virtuele netwerken zijn subnetten en netwerkbeveiligingsgroepen.

Image showing Azure Virtual Network component architecture.

Subnetten: Elk virtueel netwerk kan veel subnetten bevatten. Elk subnet heeft zijn eigen unieke eigenschappen.
Netwerkbeveiligingsgroepen: Met deze NSG's kunt u het inkomende en uitgaande verkeer filteren via uw virtuele netwerk of subnet. U kunt NSG's ook gebruiken om verkeer te filteren op bron- en doel-IP-adres, poort of protocol.

Planning- en ontwerpoverwegingen voor virtuele netwerken

Voor elk netwerk, of dit zich nu on-premises of in de cloud bevindt, is een methode vereist voor het beheren van de stroom, de richting en het type verkeer via dit netwerk. Er zijn diverse overwegingen voor virtuele netwerken:

Segmentatie: Het is belangrijk om mogelijke isolatie van verkeer in verschillende subnetten of virtuele netwerken of in afzonderlijke abonnementen te overwegen.
Beveiliging: gebruik NSG's en virtuele netwerkapparaten om netwerkverkeer naar en van resources in een virtueel netwerk te filteren.
Verbinding maken iviteit: u kunt een virtueel netwerk verbinden met andere virtuele netwerken met behulp van peering van virtuele netwerken of met uw on-premises netwerken met behulp van ExpressRoute of een Azure VPN Gateway.
Routering: virtuele Azure-netwerken maken automatisch routeringstabellen binnen elk subnet en voegen standaardsysteemroutes toe aan de tabellen. Met aangepaste routes kunt u deze standaardsysteemroutes overschrijven. U kunt met aangepaste routes verkeer omleiden via virtuele netwerkapparaten om uitgebreide beveiligings- en filtermogelijkheden te bieden.

Uw on-premises netwerk verbinden

Wanneer u de integratie van uw on-premises netwerk met Azure wilt gaan uitvoeren, moet u de twee netwerken overbruggen. Azure VPN Gateway biedt deze functionaliteit. Een VPN Gateway verzendt versleuteld verkeer tussen de twee netwerken via internet. Gateways bieden ondersteuning voor meerdere verbindingen waarmee de VPN-tunnels via de beschikbare bandbreedte worden omgeleid, hoewel er aan een virtueel netwerk maar één gateway kan worden toegewezen. U kunt ook een VPN-gateway gebruiken voor verbindingen van het ene naar het andere netwerk in Azure.

Azure ExpressRoute is een andere optie die u voor overbrugging kunt overwegen. Met ExpressRoute kunt u uw on-premises netwerken via een privéverbinding uitbreiden naar Azure. Deze verbinding wordt gefaciliteerd door een connectiviteit of cloudprovider. ExpressRoute heeft een breder bereik dan alleen Azure-resources. Hiermee kunt u verbindingen met andere Microsoft-cloudservices, zoals Office 365, tot stand brengen.

De implementatie van ExpressRoute neemt enige tijd in beslag. U moet werken via een connectiviteitsprovider en mogelijk een fysieke implementatie van het netwerkapparaat uitvoeren. Als u connectiviteit wilt bieden terwijl deze implementatie wordt uitgevoerd, kunt u site-to-site-VPN gebruiken om een verbinding tussen uw on-premises resources en uw virtuele Azure-netwerken tot stand te brengen. Vervolgens migreert u naar uw nieuwe ExpressRoute-verbinding zodra de serviceprovider bevestigt dat de installatie is voltooid.

ExpressRoute gebruiken in een hub en spoke-topologie

Het gebruik van ExpressRoute in een stertopologie is niet anders dan andere architectuurpatronen. ExpressRoute, die de connectiviteit tussen de hub en het on-premises netwerk ondersteunt, werkt het beste wanneer er sprake is van een hoge gegevensdoorvoer, zowel binnenkomende als uitgaande gegevens.

U gebruikt circuits voor het beheren en routeren van verkeer, waarbij ExpressRoute wordt gekoppeld aan een virtueel netwerk in Azure. De circuits die met het virtuele netwerk moeten worden verbonden, kunnen zich in verschillende regio's of abonnementen bevinden. Er zijn limieten voor het aantal virtuele netwerken per ExpressRoute-circuit. Voor de Standard-laag is de limiet momenteel tien netwerken. Als u de premiuminvoegtoepassing gebruikt, wordt de limiet verhoogd op basis van de circuitgrootte. Het laagste aantal is 20 virtuele netwerken op een circuit van 50 Mbps, tot 100 voor circuits die 10 Gbps of hoger zijn.

Kennis testen

Welke van deze opties is een manier waarop resources met elkaar kunnen communiceren in Azure?

Laat de resources via een ExpressRoute-verbinding met elkaar communiceren.

Plaats alle resources in één virtueel netwerk.

Laat elke resource een netwerkeindpunt opgeven.

Hoeveel virtuele netwerken kunt u maximaal met ExpressRoute verbinden?

100

De limiet hangt af van de grootte van het circuit.