Azure-netwerktopologieën beschrijven

  • 10 minuten

Contoso heeft een uitgebreid on-premises netwerk dat een basis biedt voor communicatie tussen resources die zijn geïmplementeerd in verschillende datacenters en kantoren. Het is belangrijk dat IT-medewerkers netwerkonderdelen in Azure kunnen implementeren om communicatie tussen Azure-resources en tussen Azure-resources en on-premises resources mogelijk te maken.

Als hoofdsysteemengineer bepaalt u dat Microsoft Azure-netwerken connectiviteit bieden met resources in Azure, tussen beide services in Azure en tussen Azure en uw on-premises omgeving. Als extra voordeel zijn er meerdere Azure-netwerkonderdelen die toepassingen kunnen leveren en beveiligen en de beveiliging van uw netwerk kunnen verbeteren.

Wat is een virtueel netwerk?

Wanneer u computers in uw on-premises omgeving implementeert, verbindt u ze meestal met een netwerk, zodat ze rechtstreeks met elkaar kunnen communiceren. Virtuele Azure-netwerken (VNets) dienen hetzelfde basisdoel.

Door een VIRTUELE machine in hetzelfde VNet te plaatsen als andere VM's, biedt u in feite directe IP-connectiviteit binnen dezelfde privé-IP-adresruimte. U kunt ook verschillende VNets met elkaar verbinden. Daarnaast is het mogelijk om VNets in Azure te verbinden met uw on-premises netwerken, waardoor Azure een uitbreiding van uw eigen datacenter wordt.

Een Azure VNet vormt een logische grens die is gedefinieerd door een privé-IP-adresruimte van uw keuze. U verdeelt deze IP-adresruimte in een of meer subnetten, net zoals in een on-premises netwerk. In Azure zijn eventuele extra netwerkbeheertaken echter eenvoudiger.

Sommige netwerkfuncties, zoals routering tussen subnetten in hetzelfde VNet, zijn bijvoorbeeld automatisch beschikbaar. Op dezelfde manier heeft elke VIRTUELE machine standaard toegang tot internet, waaronder ondersteuning voor uitgaande verbindingen en DNS-naamomzetting.

Wat is een netwerkinterface?

Een netwerkinterface is de onderlinge verbinding tussen een VIRTUELE machine en een VNet. Een VIRTUELE machine moet ten minste één netwerkinterface hebben (verbonden met een VNet), maar kan meer dan één hebben, afhankelijk van de grootte van de virtuele machine die u maakt. U kunt een virtuele machine met meerdere netwerkinterfaces maken en netwerkinterfaces toevoegen of verwijderen gedurende de levenscyclus van een VIRTUELE machine. Met meerdere netwerkinterfaces kan een virtuele machine verbinding maken met verschillende subnetten in hetzelfde VNet en verkeer verzenden of ontvangen via de meest geschikte interface.

Een schermopname van de pagina Overzicht in Azure Portal van een VNet-interface met de naam ContosoVM1VNET. Er worden drie verbonden apparaten weergegeven: ContosoVM1VMNIC, ContosoVM2VMNIC en ContosoVM3VMNIC.

Elke netwerkinterface die is gekoppeld aan een virtuele machine, moet:

  • Bestaan op dezelfde locatie en hetzelfde abonnement als de VIRTUELE machine.
  • Verbinding maken met een VNet dat zich in dezelfde Azure-locatie en hetzelfde abonnement bevindt als de VIRTUELE machine.

Wat is een netwerkbeveiligingsgroep?

Een netwerkbeveiligingsgroep (NSG) filtert binnenkomend en uitgaand netwerkverkeer en bevat beveiligingsregels die worden gebruikt om gefilterd netwerkverkeer toe te staan of te weigeren. Door deze NSG-beveiligingsregels te configureren, kunt u netwerkverkeer beheren door specifieke verkeerstypen toe te staan of te weigeren.

U kunt een NSG toewijzen aan:

  • Een netwerkinterface om netwerkverkeer op alleen die interface te filteren.
  • Een subnet om verkeer te filteren op alle verbonden netwerkinterfaces in het subnet.

U kunt NSG's ook toewijzen aan netwerkinterfaces en subnetten. Vervolgens wordt elke NSG onafhankelijk geëvalueerd.

Een subnetobject bevat twee virtuele machines: VM1 en VM2. VM1 wordt beveiligd via de toewijzing van een NSG met de naam NSG1. Het hele subnet wordt beveiligd door een netwerkbeveiligingsgroep met de naam NSG2.

Wat is Azure Firewall?

Azure Firewall is een cloudgebaseerde netwerkbeveiligingsservice waarmee u uw VNet-resources kunt beveiligen. Met behulp van Azure Firewall kunt u centraal netwerkconnectiviteitsprofielen in uw organisatie maken en beheren.

Een Azure Firewall-oplossing bevat een aantal spoke-VNets die zijn verbonden met een centraal VNet dat de firewall bevat. Dit VNet is op zijn beurt verbonden met zowel een on-premises netwerk als internet. Verkeer wordt gefilterd op basis van verschillende regels tussen deze verschillende omgevingen.

Azure Firewall maakt gebruik van een statisch openbaar IP-adres voor uw VNet-resources. Externe firewalls kunnen daarom verkeer identificeren dat afkomstig is van het VNet van uw organisatie. Azure Firewall is ook volledig geïntegreerd met Azure Monitor, waardoor ondersteuning voor logboekregistratie en analyse mogelijk is.

Wat is Azure VPN Gateway?

Een VPN-gateway is een specifiek type VNet-gateway dat u kunt gebruiken om versleuteld verkeer tussen locaties te verzenden. U kunt bijvoorbeeld Azure VPN-gateway gebruiken om versleuteld verkeer te verzenden tussen:

  • Een Azure-VNet en uw on-premises locatie via internet.
  • Azure-VNets en andere Azure-VNets via het Microsoft-netwerk.

Elk VNet kan slechts één VPN-gateway hebben, maar u kunt meerdere verbindingen met dezelfde VPN-gateway maken.

Wat is Azure ExpressRoute?

Met ExpressRoute kunt u uw on-premises netwerken uitbreiden naar de Microsoft-cloud. In tegenstelling tot een VPN-verbinding maakt ExpressRoute gebruik van een privéverbinding die wordt gefaciliteerd door een telecomprovider. Met behulp van ExpressRoute kunt u verbindingen tot stand brengen met Microsoft-cloudservices, waaronder Azure en Microsoft Office 365.

Wat is Azure Virtual WAN?

Azure Virtual WAN is een netwerkservice die functionaliteit biedt voor netwerken, beveiliging en routering. Virtual WAN maakt gebruik van hub- en spoke-architectuur met ingebouwde schaal en prestaties. Azure-regio's fungeren als hubs waarmee u verbinding kunt maken. Alle hubs zijn verbonden in volledige mesh in een Standard Virtual WAN, waardoor de gebruiker de Microsoft-backbone eenvoudiger kan gebruiken voor any-to-any (any spoke)-connectiviteit.

Azure Virtual WAN bevat de volgende functies:

  • Connectiviteit van filialen
  • Site-naar-site-VPN-connectiviteit (S2S)
  • Punt-naar-site-VPN-connectiviteit (P2S) (externe gebruiker)
  • ExpressRoute-connectiviteit
  • Connectiviteit tussen clouds
  • VPN ExpressRoute-interconnectiviteit
  • Routering
  • Azure Firewall
  • Versleuteling

U hoeft al deze functies niet in te schakelen en te gebruiken om Virtual WAN te gaan gebruiken. In plaats daarvan kunt u de functionaliteit kiezen die u nu nodig hebt en meer toevoegen naarmate uw organisatie dicteert.

Azure-subnetextensie

Bij het uitbreiden van hun workloads naar de cloud heeft het personeel van Contoso een aantal oplossingen onderzocht die worden aangeboden door Azure, met inbegrip van Azure-subnetextensies. Als u een subnet uitbreidt, kunt u Azure-resources opnemen als onderdeel van uw eigen lokale on-premises subnetten, waardoor deze afzonderlijke locaties in feite deel uitmaken van hetzelfde IP-broadcastdomein. Een bijzonder aantrekkelijke functie van een subnetextensie is dat infrastructuurmedewerkers bij Contoso niet noodzakelijkerwijs de on-premises netwerktopologie opnieuw hoeven te ontwerpen.

Let op

Vermijd het gebruik van subnetextensie, behalve misschien als tijdelijke maatregel om een specifiek probleem op te lossen.

U kunt een on-premises subnet uitbreiden naar Azure met behulp van een op laag 3 gebaseerde netwerkoplossing. Normaal gesproken gebruikt u een VXLAN-oplossing om het laag-2-netwerk uit te breiden met behulp van een layer-3-overlaynetwerk.

In het volgende diagram ziet u een gegeneraliseerd scenario. In het scenario bestaat het subnet 10.0.1.0/24 aan beide zijden; dat wil wel, zowel in Azure als on-premises. Beide subnetten bevatten gevirtualiseerde workloads. De subnetextensie verbindt deze twee delen van hetzelfde subnet. Het infrastructuurteam heeft IP-adressen van het subnet toegewezen aan VM's in zowel Azure als on-premises.

Elders in de infrastructuur, in de on-premises omgeving, maakt een virtueel netwerkapparaat (NVA) verbinding via een ExpressRoute-verbinding met een NVA in een ander subnet in Azure. Wanneer een VIRTUELE machine in het on-premises netwerk probeert te communiceren met een Virtuele Azure-machine, legt de on-premises NVA het pakket vast, ingekapseld en verzendt deze via VPN/ExpressRoute-verbinding met het Azure-netwerk. De Azure NVA ontvangt het pakket, kapselt het pakket uit en stuurt het door naar de beoogde ontvanger in het netwerk. Het retourverkeer werkt met dezelfde logica, maar omgekeerd.

Een diagram van een on-premises VNet en een Azure-VNet dat is verbonden met zowel een ExpressRoute-verbinding als de subnetextensie, zoals beschreven in de vorige tekst.