Topologia sieci piasty i szprych IPv6

Azure Firewall
Azure Virtual Network
Azure Virtual WAN
Azure VPN Gateway

W tym artykule opisano sposób przenoszenia topologii sieci IPv4 typu piasta i szprycha do protokołu IPv6. Przedstawia topologię sieci piasty i szprych jako punkt wyjścia i opisuje kroki, które można wykonać w celu zaimplementowania obsługi protokołu IPv6.

W sieci piasty i szprych sieć wirtualna piasty jest centralnym punktem łączności dla sieci wirtualnych szprych. Sieci wirtualne będące szprychami łączą się z piastą i mogą zapewnić izolację dla zasobów aplikacji. Aby uzyskać więcej informacji, zobacz Przechodzenie do protokołu IPv6.

Architektura

Diagram przedstawiający architekturę piasty i szprych z niezbędnymi składnikami obsługi protokołu IPv6.

Pobierz plik programu Visio z tą architekturą.

Przepływ pracy

  1. Publiczny Internet i sieć między lokalami: użytkownicy lub usługi mogą uzyskiwać dostęp do zasobów platformy Azure za pośrednictwem publicznego Internetu. W sieci obejmującej wiele lokalizacji znajdują się lokalne maszyny wirtualne, które bezpiecznie łączą się z siecią platformy Azure za pośrednictwem bramy sieci VPN.

  2. Menedżer sieci wirtualnej platformy Azure: ten składnik jest warstwą zarządzania, która nadzoruje całą infrastrukturę sieciową na platformie Azure. Obsługuje routing, zasady i ogólną kondycję sieci wirtualnej.

  3. Sieć wirtualna koncentratora: piasta jest centralnym punktem topologii sieci. Konfiguracja sieci obsługuje protokoły IPv4 i IPv6 (podwójny stos).

    • Usługa Azure Bastion zapewnia bezpieczną i bezproblemową łączność protokołu Remote Desktop Protocol/Secure Shell (RDP/SSH) z witryny Azure Portal z maszynami wirtualnymi bezpośrednio za pośrednictwem protokołu Transport Layer Security (TLS).
    • Usługa Azure Firewall sprawdza i filtruje ruch między centrum i publicznym Internetem.
    • Usługa ExpressRoute łączy sieć między sieciami lokalnymi z koncentratorem.
    • Usługa VPN Gateway łączy również sieć między sieciami lokalnymi z koncentratorem i zapewnia nadmiarowość.
    • Usługi w sieci wirtualnej piasty wysyłają dzienniki i metryki (diagnostyka) do usługi Azure Monitor na potrzeby monitorowania.
  4. Sieci wirtualne szprych: istnieją cztery szprychy połączone z piastą. Każda szprycha jest siecią dwustosową, obsługując protokoły IPv4 i IPv6.

    • Trasy zdefiniowane przez użytkownika (UDR) protokołu IPv6 definiują trasy niestandardowe dla ruchu IPv6 ze szprychy.
    • Sieci wirtualne będące szprychami są połączone za pośrednictwem połączeń komunikacji równorzędnej lub połączonych grup. Połączenia komunikacji równorzędnej i połączone grupy to nieprzejeżające połączenia o małych opóźnieniach między sieciami wirtualnymi. Równorzędne lub połączone sieci wirtualne mogą wymieniać ruch przez sieć szkieletową platformy Azure.
    • Cały ruch wychodzący z sieci wirtualnych szprych przepływa przez piastę przy użyciu konfiguracji w usłudze Azure Firewall o nazwie wymuszone tunelowanie.
    • W każdej szprychy istnieją trzy podsieci wyznaczone jako podsieci zasobów, z których każda hostuje maszynę wirtualną.
    • Każda maszyna wirtualna łączy się z wewnętrznym modułem równoważenia obciążenia skonfigurowanym do obsługi zakresów adresów IPv4 i IPv6. Moduł równoważenia obciążenia dystrybuuje przychodzący ruch sieciowy między maszynami wirtualnymi.

Składniki

  • Usługa Azure Virtual Network to podstawowy blok konstrukcyjny dla sieci prywatnych na platformie Azure. Sieć wirtualna umożliwia wielu zasobom platformy Azure, takim jak usługa Azure Virtual Machines, bezpieczne komunikowanie się ze sobą, sieciami między środowiskami lokalnymi i Internetem.
  • Interfejs sieciowy wirtualny jest wymagany do komunikacji z maszyną wirtualną. Maszyny wirtualne i inne zasoby można skonfigurować tak, aby miały wiele interfejsów sieciowych, co umożliwia tworzenie konfiguracji podwójnego stosu (IPv4 i IPv6).
  • Publiczny adres IP jest używany do połączeń przychodzących IPv4 i IPv6 z zasobami platformy Azure.
  • Menedżer sieci wirtualnej służy do tworzenia grup sieciowych i ich połączeń oraz zarządzania nimi.
  • Azure Firewall to zarządzana, oparta na chmurze usługa zabezpieczeń sieci. Chroni zasoby usługi Azure Virtual Network. Wystąpienie zarządzanej zapory usługi Azure Firewall znajduje się we własnej podsieci.
  • Usługi Azure VPN Gateway lub Azure ExpressRoute można użyć do utworzenia bramy sieci wirtualnej w celu połączenia sieci wirtualnej z urządzeniem wirtualnej sieci prywatnej (VPN) lub obwodem usługi ExpressRoute. Brama zapewnia łączność sieciową między lokalizacjami.
  • Usługa Azure Load Balancer służy do włączania wielu maszyn, które mają ten sam cel, aby współużytkować ruch. W tej architekturze moduły równoważenia obciążenia dystrybuują ruch między wieloma podsieciami obsługującymi protokół IPv6.
  • Tabela tras na platformie Azure to zestaw tras zdefiniowanych przez użytkownika, który udostępnia niestandardowe definicje ścieżek dla ruchu sieciowego.
  • Azure Virtual Machines to rozwiązanie obliczeniowe infrastruktury jako usługi (IaaS), które obsługuje protokół IPv6.
  • Azure Bastion to w pełni zarządzana oferta platformy jako usługi (PaaS), którą firma Microsoft udostępnia i utrzymuje. Zapewnia bezpieczny i bezproblemowy protokół pulpitu zdalnego oraz dostęp SSH do maszyn wirtualnych bez ujawnienia publicznego adresu IP.
  • Monitor to kompleksowe rozwiązanie do monitorowania do zbierania, analizowania i reagowania na dane monitorowania ze środowisk w chmurze i środowiskach lokalnych. Za pomocą funkcji Monitor można zmaksymalizować dostępność i wydajność aplikacji i usług.

Przenoszenie sieci wirtualnej koncentratora do protokołu IPv6

Aby przenieść sieć wirtualną koncentratora do obsługi protokołu IPv6, należy zaktualizować infrastrukturę sieci w celu uwzględnienia zakresów adresów IPv6, aby centralna część sieci mogła obsługiwać ruch IPv6. Takie podejście gwarantuje, że centralne centrum może efektywnie kierować ruch między różnymi segmentami sieci (szprychami) i zarządzać nim przy użyciu protokołu IPv6. Aby zaimplementować protokół IPv6 w sieci wirtualnej koncentratora, wykonaj następujące kroki:

Dodawanie przestrzeni adresowej IPv6 do sieci wirtualnej koncentratora i podsieci koncentratora

Należy najpierw dodać zakresy adresów IPv6 do sieci wirtualnej koncentratora, a następnie do jej podsieci. Użyj bloku adresowego /56 dla sieci wirtualnej i bloku adresów /64 dla każdej podsieci. W poniższej tabeli przedstawiono przykładową konfigurację.

Zakres adresów sieci wirtualnej koncentratora Zakres adresów podsieci koncentratora
Sieć wirtualna koncentratora: 2001:db8:1234:0000::/56 Podsieć usługi Azure Bastion: 2001:db8:1234:0000::/64
Podsieć usługi Azure Firewall: 2001:db8:1234:0001::/64
Podsieć usługi VPN Gateway: 2001:db8:1234:0002::/64
Podsieć usługi ExpressRoute: 2001:db8:1234:0003::/64

Te adresy IPv6 to przykłady. Należy zastąpić 2001:db8:1234:: blok adresów IPv6 organizacji. Starannie zaplanuj i udokumentowaj alokacje adresów IPv6, aby uniknąć nakładania się na siebie i zapewnić efektywne wykorzystanie przestrzeni adresowej. Aby dodać przestrzeń adresową IPv6 do sieci wirtualnej piasty, możesz użyć witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Konfigurowanie tras zdefiniowanych przez użytkownika dla każdej podsieci koncentratora

Trasy zdefiniowane przez użytkownika to trasy skonfigurowane ręcznie w celu zastąpienia domyślnych tras systemowych platformy Azure. Na platformie Azure trasy zdefiniowane przez użytkownika są niezbędne do kontrolowania przepływu ruchu sieciowego w sieci wirtualnej. Za pomocą tras zdefiniowanych przez użytkownika można kierować ruch z jednej podsieci do określonych urządzeń, bram lub obiektów docelowych na platformie Azure lub do sieci lokalnych. Po dodaniu obsługi protokołu IPv6 do sieci wirtualnej koncentratora należy wykonać następujące kroki:

  • Dodaj trasy IPv6. Jeśli istnieje ustanowiona tabela tras, dodaj nowe trasy, które określają prefiksy adresów IPv6.
  • Modyfikowanie istniejących tras. Jeśli istnieją już trasy dla protokołu IPv4, może być konieczne ich zmodyfikowanie, aby upewnić się, że mają one również zastosowanie do ruchu IPv6 lub utworzyć oddzielne trasy specyficzne dla protokołu IPv6.
  • Skojarz tabelę tras z podsieciami. Po zdefiniowaniu tras skojarz tabelę tras z odpowiednimi podsieciami w sieci wirtualnej. To skojarzenie określa, które podsieci używają zdefiniowanych tras.

Nie musisz dodawać trasy dla każdego zasobu, ale potrzebujesz trasy dla każdej podsieci. Każda podsieć może mieć wiele zasobów i wszystkie są zgodne z regułami zdefiniowanymi w tabeli tras skojarzonej z podsiecią. Aby uzyskać więcej informacji, zobacz Omówienie trasy definiowanej przez użytkownika.

Na potrzeby przykładowej architektury sieć wirtualna piasty ma cztery podsieci: Azure Bastion, Azure Firewall, VPN Gateway i ExpressRoute. W poniższej tabeli przedstawiono przykładowe trasy zdefiniowane przez użytkownika dla każdej podsieci.

Podsieć koncentratora opis Zakres adresów IPv6 Nazwa trasy Element docelowy Narzędzie Następny przeskok
Azure Bastion Kierowanie do zapory 2001:db8:1234:0000::/64 Trasa internetowa ::/0 2001:db8:1234:0001::/64 (Azure Firewall)
Azure Firewall Trasa domyślna 2001:db8:1234:0001::/64 Trasa internetowa ::/0 Brama internetowa
VPN Gateway Trasa lokalna 2001:db8:1234:0002::/64 Trasa lokalna 2001:db8:abcd::/56 VPN Gateway
ExpressRoute Trasa lokalna 2001:db8:1234:0003::/64 Trasa lokalna 2001:db8:efgh::/56 ExpressRoute

Podczas konfigurowania tras zdefiniowanych przez użytkownika należy dopasować je do zasad sieci organizacji i architektury wdrożenia platformy Azure.

Modyfikowanie obwodu usługi ExpressRoute (jeśli dotyczy)

Aby zapewnić obwód usługi ExpressRoute z obsługą protokołu IPv6, musisz:

  • Włącz prywatną komunikację równorzędną IPv6. Włącz prywatną komunikację równorzędną IPv6 dla obwodu usługi ExpressRoute. Ta konfiguracja umożliwia ruch IPv6 między siecią lokalną a siecią wirtualną koncentratora.
  • Przydziel przestrzeń adresową IPv6. Podaj podsieci IPv6 dla podstawowych i pomocniczych łączy usługi ExpressRoute.
  • Aktualizowanie tabel tras. Upewnij się, że odpowiednio kierujesz ruch IPv6 za pośrednictwem obwodu usługi ExpressRoute.

Te konfiguracje rozszerzają łączność IPv6 z usługami platformy Azure za pośrednictwem obwodu usługi ExpressRoute, dzięki czemu można jednocześnie kierować możliwości podwójnego stosu. Aby zmodyfikować usługę ExpressRoute, możesz użyć witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Przenoszenie sieci wirtualnych szprych do protokołu IPv6

Sieci wirtualne szprych są połączone z centralnym koncentratorem. Po podaniu sieci wirtualnych szprych z obsługą protokołu IPv6 każda sieć szprych może komunikować się za pośrednictwem bardziej zaawansowanego protokołu IPv6 i rozszerza jednolitość w sieci. Aby udostępnić sieci wirtualne będące szprychami z obsługą protokołu IPv6, wykonaj następujące kroki:

Dodawanie przestrzeni adresowej IPv6 do sieci wirtualnych szprych i podsieci szprych

Podobnie jak sieć wirtualna piasty, należy dodać zakresy adresów IPv6 do każdej sieci wirtualnej będącej szprychą, a następnie ich podsieci. Użyj bloku adresów /56 dla sieci wirtualnych i /64 bloku adresów dla podsieci. Poniższa tabela zawiera przykład zakresów adresów IPv6 dla sieci wirtualnych szprych i ich podsieci.

Zakres adresów sieci wirtualnej będącej szprychą Zakres adresów podsieci szprych
Sieć wirtualna szprychy 1: 2001:db8:1234:0100::/56 Podsieć 1: 2001:db8:1234:0100::/64
Podsieć 2: 2001:db8:1234:0101::/64
Podsieć 3: 2001:db8:1234:0102::/64
Sieć wirtualna szprychy 2: 2001:db8:1234:0200::/56 Podsieć 1: 2001:db8:1234:0200::/64
Podsieć 2: 2001:db8:1234:0201::/64
Podsieć 3: 2001:db8:1234:0202::/64
Sieć wirtualna szprychy 3: 2001:db8:1234:0300::/56 Podsieć 1: 2001:db8:1234:0300::/64
Podsieć 2: 2001:db8:1234:0301::/64
Podsieć 3: 2001:db8:1234:0302::/64
Sieć wirtualna szprychy 4: 2001:db8:1234:0400::/56 Podsieć 1: 2001:db8:1234:0400::/64
Podsieć 2: 2001:db8:1234:0401::/64
Podsieć 3: 2001:db8:1234:0402::/64

W przypadku konfiguracji dostosuj adresy IPv6 zgodnie z alokacją i potrzebami organizacji.

Modyfikowanie zasobów sieci wirtualnej będącej szprychą

Każda sieć wirtualna szprych zawiera wiele maszyn wirtualnych i wewnętrznego modułu równoważenia obciążenia. Wewnętrzny moduł równoważenia obciążenia umożliwia kierowanie ruchu IPv4 i IPv6 do maszyn wirtualnych. Należy zmodyfikować maszyny wirtualne i wewnętrzne moduły równoważenia obciążenia, aby obsługiwały protokół IPv6.

Dla każdej maszyny wirtualnej należy utworzyć interfejs sieciowy IPv6 i skojarzyć go z maszyną wirtualną, aby dodać obsługę protokołu IPv6. Aby uzyskać więcej informacji, zobacz Dodawanie konfiguracji protokołu IPv6 do maszyny wirtualnej.

Jeśli w każdej sieci wirtualnej szprych nie ma wewnętrznego modułu równoważenia obciążenia, należy utworzyć wewnętrzny moduł równoważenia obciążenia z dwoma stosami. Aby uzyskać więcej informacji, zobacz Tworzenie wewnętrznego modułu równoważenia obciążenia z podwójnym stosem. Jeśli istnieje wewnętrzny moduł równoważenia obciążenia, możesz użyć programu PowerShell lub interfejsu wiersza polecenia platformy Azure, aby dodać obsługę protokołu IPv6.

Konfigurowanie tras zdefiniowanych przez użytkownika dla każdej podsieci szprych

Aby skonfigurować trasy zdefiniowane przez użytkownika, sieci wirtualne będące szprychami używają tej samej konfiguracji co sieci wirtualne koncentratora Po dodaniu obsługi protokołu IPv6 do sieci wirtualnej będącej szprychą należy:

  • Dodaj trasy IPv6. Jeśli istnieje ustanowiona tabela tras, dodaj nowe trasy, które określają prefiksy adresów IPv6.

  • Modyfikowanie istniejących tras. Jeśli istnieją już trasy dla protokołu IPv4, może być konieczne ich zmodyfikowanie, aby upewnić się, że mają one również zastosowanie do ruchu IPv6 lub utworzyć oddzielne trasy specyficzne dla protokołu IPv6.

  • Skojarz tabelę tras z podsieciami. Po zdefiniowaniu tras skojarz tabelę tras z odpowiednimi podsieciami w sieci wirtualnej. To skojarzenie określa, które podsieci używają zdefiniowanych tras.

W poniższej tabeli przedstawiono przykładowe trasy zdefiniowane przez użytkownika dla każdej podsieci w sieci wirtualnej będącej szprychą.

Podsieć szprych opis Zakres adresów IPv6 Nazwa trasy Element docelowy Narzędzie Następny przeskok
Podsieć 1 Kierowanie do zapory 2001:db8:1234:0100::/64 Trasa internetowa ::/0 2001:db8:1234:0001::/64 (Azure Firewall)
Podsieć 2 Kierowanie do usługi VPN Gateway 2001:db8:1234:0101::/64 Trasa sieci VPN 2001:db8:abcd::/64 2001:db8:1234:0002::/64 (VPN Gateway)
Podsieć 3 Kierowanie do usługi ExpressRoute 2001:db8:1234:0102::/64 Trasa usługi ExpressRoute 2001:db8:5678::/64 2001:db8:1234:0003::/64 (ExpressRoute)

W przypadku konfiguracji należy dopasować trasy zdefiniowane przez użytkownika do zasad sieci organizacji i architektury wdrożenia platformy Azure.

Współautorzy

Firma Microsoft utrzymuje ten artykuł. Następujący współautorzy pierwotnie napisali artykuł.

Główny autor:

  • Werner Rall | Starszy architekt rozwiązań w chmurze

Inni współautorzy:

Aby wyświetlić niepubliczne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki