Integracja sieci lokalnej na platformie Azure

Ukończone

Firma planuje migrację większości zasobów lokalnych na platformę Azure. Jednak małe centrum danych musi pozostać lokalne w celu integracji z siecią platformy Azure. Model architektury musi rozważyć użycie łączności sieciowej platformy Azure dla kilku biur satelitarnych. Chcesz użyć architektury sieci hybrydowej, która udziela dostępu zarówno do zasobów lokalnych, jak i opartych na chmurze.

Aby obsłużyć migrację, należy utworzyć plan integracji sieci dla platformy Azure, który obejmuje wybór najlepszych opcji sieci hybrydowej dostępnych na platformie Azure. Opcje muszą spełniać wymagania organizacji dotyczące łączności hybrydowej.

W tej lekcji zapoznasz się z łącznością lokalną na platformie Azure. Zapoznaj się również z omówieniem usługi Azure Virtual Network i dowiesz się, jak używać usługi Azure VPN Gateway do zabezpieczania ruchu do sieci lokalnej.

Informacje o usłudze Azure Virtual Network

Usługa Azure Virtual Network ma określony zestaw narzędzi i zasobów do tworzenia architektury sieci opartej na chmurze dla organizacji. Sieci wirtualne platformy Azure zapewniają bezpieczny wirtualny kanał komunikacyjny dla wszystkich dozwolonych zasobów platformy Azure w ramach subskrypcji.

Za pomocą sieci wirtualnej platformy Azure można wykonywać następujące czynności:

• Łączenie maszyn wirtualnych z Internetem.
• Zapewnij bezpieczną komunikację między zasobami platformy Azure hostowanymi w różnych centrach danych i regionach.
• Izolowanie zasobów platformy Azure i zarządzanie nimi.
• Nawiąż połączenie z komputerami lokalnymi.
• Zarządzanie ruchem sieciowymi.

Domyślnie wszystkie zasoby platformy Azure w sieci wirtualnej mają łączność wychodzącą z Internetem. Zewnętrzna komunikacja przychodząca musi pochodzić z publicznego punktu końcowego. Wszystkie zasoby wewnętrzne używają prywatnego punktu końcowego do uzyskiwania dostępu do sieci wirtualnej.

Sieć wirtualna składa się z wielu elementów. W tym, ale nie tylko, interfejsy sieciowe, moduły równoważenia obciążenia, podsieci, sieciowe grupy zabezpieczeń i publiczne adresy IP. Te elementy współpracują ze sobą i umożliwiają bezpieczną, niezawodną komunikację sieciową między zasobami platformy Azure, Internetem i sieciami lokalnymi.

Routing ruchu w sieci wirtualnej platformy Azure

Ruch wychodzący z podsieci jest kierowany na podstawie docelowego adresu IP. Tabela routingu definiuje sposób kierowania ruchu i co się dzieje dalej. Docelowy adres IP może istnieć w wielu definicjach prefiksów tabeli routingu (na przykład 10.0.0.0/16 i 10.0.0.0/24). Router używa zaawansowanego algorytmu do znalezienia najdłuższego dopasowania prefiksu. Ruch przeznaczony dla adresu 10.0.0.6 zostanie zidentyfikowany jako prefiks 10.0.0.0/24 i zostanie odpowiednio skierowany.

Istnieją dwie główne tabele routingu: systemowa i niestandardowa.

Tabele routingu systemu

Platforma Azure automatycznie tworzy zestaw domyślnych tabel routingu dla sieci wirtualnej i każdej maski podsieci w sieci wirtualnej. Te trasy systemowe są stałe i nie można ich edytować ani usuwać. Można jednak zastąpić ustawienia domyślne przy użyciu niestandardowej tabeli routingu.

Typowa domyślna tabela routingu może wyglądać następująco:

Źródło	Prefiksy adresów	Typ następnego przeskoku
Domyślny	Unikatowy dla sieci wirtualnej	Sieć wirtualna
Domyślny	0.0.0.0/0	Internet
Domyślny	10.0.0.0/8	Żaden
Domyślny	172.16.0.0/12	Żaden
Domyślny	192.168.0.0/16	Żaden
Domyślny	100.64.0.0/10	Żaden

Tabela routingu składa się ze źródła, prefiksu adresu i typu następnego przeskoku . Cały ruch opuszczający podsieć używa tabeli routingu, aby dowiedzieć się, gdzie powinna przejść dalej. W rezultacie ruch szuka następnego etapu w podróży.

Następny skok definiuje, co dzieje się z przepływem ruchu w oparciu o prefiks. Istnieją trzy typy następnego przeskoku:

• Sieć wirtualna: Ruch wirtualny jest kierowany zgodnie z adresem IP w sieci wirtualnej.
• internet: ruch jest kierowany do Internetu.
• None: Ruch jest porzucony.

Niestandardowe tabele routingu

Oprócz tabel routingu zdefiniowanego przez system można również tworzyć niestandardowe tabele routingu. Te tabele routingu zdefiniowane przez użytkownika zastępują domyślną tabelę systemową. Istnieją ograniczenia dotyczące liczby elementów routingu, które mogą znajdować się w tabeli niestandardowej.

W poniższej tabeli wymieniono kilka z wielu ograniczeń, które mają zastosowanie do sieci wirtualnych:

Zasób	Domyślna lub maksymalna liczba
Sieci wirtualne	1,000
Podsieci dla sieci wirtualnej	3,000
Peeringi sieci wirtualnych na każdą sieć wirtualną	500
Prywatne adresy IP dla każdej sieci wirtualnej	65,536

Podobnie jak tabela trasowania systemu, niestandardowe tabele trasowania mają również typ następnego przeskoku. Jednak niestandardowe tabele routingu oferują jeszcze kilka opcji:

• wirtualne urządzenie: Ta opcja jest zwykle maszyną wirtualną, która uruchamia określoną aplikację sieciową, na przykład zaporę.
• Brama sieci wirtualnej: Skorzystaj z tej opcji, jeśli chcesz przesłać ruch do bramy sieci wirtualnej. Typ bramy sieci wirtualnej musi być siecią VPN. Typ nie może być usługą Azure ExpressRoute, która wymaga ustawienia procesu routingu BGP (Border Gateway Protocol).
• Brak: Ta opcja odrzuca ruch sieciowy zamiast go przekazywać.
• sieci wirtualnej: ta opcja umożliwia zastąpienie domyślnego routingu systemowego.
• Internet: ta opcja umożliwia określenie, że dowolny prefiks przekazuje ruch do Internetu.

Łączenie sieci wirtualnych platformy Azure

Sieci wirtualne można połączyć na dowolny z kilku sposobów. Możesz użyć usługi Azure VPN Gateway lub ExpressRoute albo bezpośrednio użyć metody komunikacji równorzędnej.

Azure VPN Gateway

Podczas pracy nad integracją sieci lokalnej z platformą Azure potrzebny jest most między nimi. VPN Gateway to usługa platformy Azure, która zapewnia tę funkcję. Brama sieci VPN może wysyłać zaszyfrowany ruch między dwiema sieciami. Bramy sieci VPN obsługują wiele połączeń, które umożliwiają kierowanie tuneli sieci VPN korzystających z dowolnej dostępnej przepustowości. Sieć wirtualna może mieć przypisaną tylko jedną bramę. Bramy sieci VPN mogą być również używane do połączeń między sieciami wirtualnymi na platformie Azure.

Podczas implementowania bramy sieci VPN wymagane jest wdrożenie co najmniej dwóch maszyn wirtualnych w podsieci utworzonej podczas konfigurowania sieci wirtualnej. W tym przypadku podsieć jest również nazywana podsiecią bramy sieciowej . Każda maszyna wirtualna ma przypisaną domyślną konfigurację dla usług trasowania i bramy specyficzną dla przydzielonej bramy. Nie można bezpośrednio skonfigurować tych maszyn wirtualnych.

Podczas tworzenia bramy dostępnych jest kilka topologii. Te topologie, znane również jako typy bram , określają, jakie elementy są skonfigurowane i oczekiwany typ połączenia.

Połączenie między lokalizacjami

Używasz połączenia typu lokacja-lokacja do konfiguracji między lokalizacjami i sieci hybrydowej. Ta topologia połączenia wymaga, aby lokalne urządzenie sieci VPN miało publicznie dostępny adres IP i nie może znajdować się za translatorem adresów sieciowych (NAT). Połączenie używa tajnego ciągu ASCII do 128 znaków, do uwierzytelniania między bramą a urządzeniem sieci VPN.

Wiele lokacji

Połączenie obejmujące wiele lokacji jest podobne do połączenia lokacja-lokacja, ale z niewielkimi odchyleniami. Multisite obsługuje wiele połączeń sieci VPN z lokalnymi urządzeniami VPN. Ta topologia połączenia wymaga sieci VPN routeBased znanej jako brama dynamiczna. Należy pamiętać, że w konfiguracji obejmującej wiele lokacji wszystkie połączenia są kierowane przez i współdzielą wszelką dostępną przepustowość.

Punkt-lokacja

Połączenie typu punkt-lokacja jest odpowiednie dla zdalnego urządzenia klienckiego, które łączy się z siecią. Należy uwierzytelnić urządzenie klienckie za pomocą identyfikatora Entra firmy Microsoft lub uwierzytelniania certyfikatu platformy Azure. Ten model pasuje do scenariuszy pracy w domu.

Sieć do sieci

Połączenie sieciowe typu sieć-sieć jest używane do łączenia wielu wirtualnych sieci platformy Azure. Ta topologia połączenia, w przeciwieństwie do innych, nie wymaga publicznego adresu IP ani urządzenia sieci VPN. Możesz także użyć połączenia sieć-sieć w konfiguracji wielooksitej, aby ustanowić zintegrowane połączenia między różnymi lokalizacjami z łącznością między sieciami wirtualnymi.

ExpressRoute

Usługa ExpressRoute tworzy bezpośrednie połączenie między siecią lokalną a siecią wirtualną platformy Azure, która nie korzysta z Internetu. Za pomocą usługi ExpressRoute można bezproblemowo rozszerzyć sieć lokalną na przestrzeń sieci wirtualnej platformy Azure. Wielu dostawców połączeń innych niż Microsoft oferuje usługę ExpressRoute. Istnieją trzy różne typy połączeń usługi ExpressRoute:

• Kolokacja w ramach CloudExchange
• Połączenie Ethernet typu punkt-punkt
• Połączenie typu dowolny-dowolny (IPVPN)

Wpatrując się

Sieci wirtualne mogą działać równorzędnie między subskrypcjami i regionami Azure. Po zestawieniu sieci wirtualnych zasoby w tych sieciach komunikują się ze sobą, tak jakby były w tej samej sieci. Ruch jest kierowany między zasobami przy użyciu tylko prywatnych adresów IP. Równorzędna sieć wirtualna kieruje ruch przez sieć platformy Azure i utrzymuje połączenie prywatne w ramach sieci szkieletowej platformy Azure. Sieć szkieletowa zapewnia małe opóźnienia i połączenia sieciowe o wysokiej przepustowości.

Architektura referencyjna bramy VPN typu site-to-site

Chociaż wiele architektur referencyjnych jest dostępnych podczas projektowania sieci hybrydowej, jedną z popularnych architektur jest konfiguracja lokacja-lokacja. Uproszczona architektura referencyjna pokazana na poniższym diagramie ilustruje sposób łączenia sieci lokalnej z platformą Azure. Połączenie internetowe korzysta z tunelu sieci VPN IPsec.

Architektura zawiera kilka składników:

• sieci lokalnej reprezentuje lokalną usługę Active Directory i wszelkie dane lub zasoby.
• Brama jest odpowiedzialna za wysyłanie zaszyfrowanego ruchu do wirtualnego adresu IP podczas korzystania z połączenia publicznego.
• wirtualna sieć platformy Azure zawiera wszystkie aplikacje w chmurze oraz składniki bramy VPN platformy Azure.
• Brama sieci VPN platformy Azure zapewnia szyfrowany link między siecią wirtualną platformy Azure a siecią lokalną. Brama sieci VPN platformy Azure składa się z tych elementów.
  • Brama sieci wirtualnej
  • Brama sieci lokalnej
  • Połączenie
  • Podsieć bramy
• Aplikacje chmurowe to te, które zostały udostępnione za pośrednictwem Azure.
• Wewnętrzny moduł równoważenia obciążenia , znajdujący się na frontonie, kieruje ruch w chmurze do właściwej aplikacji lub zasobu opartego na chmurze.

Korzystanie z tej architektury oferuje kilka korzyści, w tym:

• Konfiguracja i konserwacja są uproszczone.
• Użycie bramy sieci VPN pomaga zagwarantować, że wszystkie dane i ruch są szyfrowane między bramą lokalną a bramą platformy Azure.
• Architekturę można skalować i rozszerzać tak, aby spełniała potrzeby sieciowe organizacji.

Ta architektura nie ma zastosowania we wszystkich sytuacjach, ponieważ używa istniejącego połączenia internetowego jako połączenia między dwoma punktami bramy. Ograniczenia przepustowości mogą powodować problemy z opóźnieniami, które wynikają z ponownego użycia istniejącej infrastruktury.

Sprawdź swoją wiedzę

1.

Gdzie jest ustanowione połączenie sieci VPN typu punkt-lokacja?

Brama sieci VPN inicjuje połączenie.

Połączenie jest nawiązywane z maszyny hosta.

Połączenie jest nawiązywane z komputera klienckiego.

W sieci wirtualnej platformy Azure.

2.

Jak uwierzytelnia się sieć VPN typu lokacja-lokacja?

Nie jest wymagane uwierzytelnianie.

Przy użyciu konta administratora.

Za pomocą jednostki usługi w identyfikatorze Entra firmy Microsoft.

Używając tajnego ciągu znaków ASCII.

3.

Której metody połączenia należy użyć podczas nawiązywania połączenia z platformą Azure przy użyciu sieci VPN?

Brama sieci VPN

Zaszyfrowane połączenie

Maszyna wirtualna platformy Azure

Tunel VPN

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.