Integracja sieci lokalnej na platformie Azure

  • 10 min

Twoja firma planuje migrację większości swoich zasobów lokalnych na platformę Azure. Jednak małe centrum danych musi pozostać lokalne w celu integracji z siecią platformy Azure. Model architektoniczny musi uwzględniać korzystanie z łączności z siecią platformy Azure dla kilku biur satelitarnych. Chcesz użyć architektury sieci hybrydowej, która zapewnia dostęp do zasobów lokalnych i chmurowych.

Aby obsłużyć migrację, należy utworzyć plan integracji sieci dla platformy Azure, który obejmuje wybór najlepszych opcji sieci hybrydowej dostępnych na platformie Azure. Opcje muszą spełniać wymagania organizacji dotyczące łączności hybrydowej.

W tej lekcji zapoznasz się z łącznością lokalną na platformie Azure. Zapoznaj się również z omówieniem usługi Azure Virtual Network i dowiesz się, jak używać usługi Azure VPN Gateway do zabezpieczania ruchu do sieci lokalnej.

Informacje o usłudze Azure Virtual Network

Usługa Azure Virtual Network ma określony zestaw narzędzi i zasobów na potrzeby tworzenia architektury sieci opartej na chmurze dla Twojej organizacji. Sieci wirtualne platformy Azure zapewniają bezpieczny wirtualny kanał komunikacji dla wszystkich dozwolonych zasobów platformy Azure w ramach subskrypcji.

Sieć wirtualna platformy Azure umożliwia:

  • Połączenie maszyn wirtualnych z Internetem.
  • Zapewnij bezpieczną komunikację między zasobami platformy Azure hostowanymi w różnych centrach danych i regionach.
  • Izolowanie zasobów platformy Azure i zarządzanie nimi.
  • Połączenie z komputerami lokalnymi.
  • Zarządzanie ruchem sieciowym.

Domyślnie wszystkie zasoby platformy Azure w sieci wirtualnej mają łączność wychodzącą z Internetem. Zewnętrzna komunikacja przychodząca musi odbywać się za pośrednictwem publicznego punktu końcowego. Wszystkie zasoby wewnętrzne używają prywatnego punktu końcowego w celu uzyskania dostępu do sieci wirtualnej.

Sieć wirtualna składa się z wielu elementów. W tym, ale nie tylko, interfejsy sieciowe, moduły równoważenia obciążenia, podsieci, sieciowe grupy zabezpieczeń i publiczne adresy IP. Te elementy współpracują ze sobą i umożliwiają bezpieczną i niezawodną komunikację sieciową między zasobami platformy Azure, Internetem i sieciami lokalnymi.

Azure virtual network component architecture.

Routing ruchu w sieci wirtualnej platformy Azure

Ruch wychodzący z podsieci jest kierowany na podstawie docelowego adresu IP. Tabela routingu określa, w jaki sposób ruch jest kierowany i co dzieje się dalej. Docelowy adres IP może istnieć w wielu definicjach prefiksów tabeli routingu (na przykład 10.0.0.0/16 i 10.0.0.0/24). Router używa zaawansowanego algorytmu, aby znaleźć dopasowanie najdłuższego prefiksu. Ruch kierowany dla adresu 10.0.0.6 będzie rozpoznawany jako prefiks 10.0.0.0/24 i jest odpowiednio kierowany.

Istnieją dwie podstawowe tabele routingu: systemowa i niestandardowa.

Systemowe tabele routingu

Platforma Azure automatycznie tworzy zestaw domyślnych tabel routingu dla sieci wirtualnej i każdej maski podsieci w sieci wirtualnej. Te trasy systemowe są stałe i nie można ich edytować ani usunąć. Można jednak zastąpić ustawienia domyślne za pomocą niestandardowej tabeli routingu.

Typowa domyślna tabela routingu może wyglądać następująco:

Źródło Prefiksy adresów Typ następnego przeskoku
Domyślne Unikatowy dla sieci wirtualnej Sieć wirtualna
Domyślne 0.0.0.0/0 Internet
Wartość domyślna 10.0.0.0/8 Brak
Wartość domyślna 172.16.0.0/12 Brak
Wartość domyślna 192.168.0.0/16 Brak
Wartość domyślna 100.64.0.0/10 Brak

Tabela routingu składa się ze źródła, prefiksu adresu i typu następnego przeskoku . Cały ruch wychodzący z podsieci korzysta z tabeli routingu, aby uzyskać informacje, dokąd powinien być kierowany w dalszej kolejności. W rezultacie ruch szuka następnego przeskoku na swojej drodze.

Następny przeskok określa, na podstawie prefiksu, co następnie dzieje się z przepływem ruchu. Istnieją trzy typy następnego przeskoku:

  • Sieć wirtualna: ruch jest kierowany zgodnie z adresem IP w sieci wirtualnej.
  • Internet: ruch jest kierowany do Internetu.
  • Brak: ruch jest porzucony.

Niestandardowe tabele routingu

Oprócz tabel routingu zdefiniowanych przez system można także tworzyć niestandardowe tabele routingu. Te tabele routingu zdefiniowane przez użytkownika zastępują domyślną tabelę systemową. Istnieją ograniczenia dotyczące liczby elementów routingu, które mogą znajdować się w tabeli niestandardowej.

W poniższej tabeli wymieniono kilka z wielu ograniczeń, które mają zastosowanie do sieci wirtualnych:

Zasób Domyślna lub maksymalna liczba
Sieci wirtualne 1000
Podsieci na sieć wirtualną 3000
Komunikacje równorzędne sieci wirtualnych na sieć wirtualną 500
Prywatne adresy IP na sieć wirtualną 65 536

Podobnie jak systemowa tabela routingu, niestandardowe tabele routingu również mają typ następnego przeskoku. Jednak niestandardowe tabele routingu oferują kilka dodatkowych opcji:

  • Urządzenie wirtualne: ta opcja jest zwykle maszyną wirtualną, na przykład zaporą, uruchamiającą określoną aplikację sieciową.
  • Brama sieci wirtualnej: użyj tej opcji, jeśli chcesz wysłać ruch do bramy sieci wirtualnej. Typem bramy sieci wirtualnej musi być VPN. Typem nie może być usługa Azure ExpressRoute, która wymaga ustawienia procesu routingu BGP (Border Gateway Protocol).
  • Brak: ta opcja odrzuca ruch, a nie przekazuje go dalej.
  • Sieć wirtualna: ta opcja umożliwia zastąpienie domyślnego routingu systemowego.
  • Internet: ta opcja umożliwia określenie, że dowolny prefiks przekazuje ruch do Internetu.

Łączenie sieci wirtualnych platformy Azure

Sieci wirtualne można połączyć na kilka sposobów. Można użyć usługi Azure VPN Gateway lub ExpressRoute albo użyć metody komunikacji równorzędnej bezpośrednio.

Azure VPN Gateway

Podczas pracy nad integracją sieci lokalnej z platformą Azure potrzebny jest most między nimi. VPN Gateway to usługa platformy Azure, która zapewnia tę funkcjonalność. Brama sieci VPN może wysyłać zaszyfrowany ruch sieciowy między dwiema sieciami. Bramy sieci VPN obsługują wiele połączeń, które umożliwiają im kierowanie tuneli VPN używających dowolnej dostępnej przepustowości. Do sieci wirtualnej można przypisać tylko jedną bramę. Bramy sieci VPN mogą być również używane do nawiązywania połączeń między sieciami wirtualnymi na platformie Azure.

Podczas implementowania bramy sieci VPN wymagane jest wdrożenie co najmniej dwóch maszyn wirtualnych w podsieci utworzonej podczas konfigurowania sieci wirtualnej. W tym przypadku podsieć jest również nazywana podsiecią bramy. Do każdej maszyny wirtualnej jest przypisana domyślna konfiguracja usług routingu i bramy, jawna dla aprowizowanej bramy. Tych maszyn wirtualnych nie można skonfigurować bezpośrednio.

Podczas tworzenia bramy dostępnych jest kilka topologii. Te topologie, znane również jako typy bram, określają, jakie elementy są skonfigurowane i oczekiwany typ połączenia.

Lokacja-lokacja

Połączenie typu lokacja-lokacja jest używane w przypadku konfiguracji obejmującej wiele lokalizacji i sieci hybrydowej. Ta topologia połączenia wymaga, aby lokalne urządzenie sieci VPN miało publicznie dostępny adres IP i nie może znajdować się za translatorem adresów sieciowych (NAT). Połączenie używa ciągu ASCII wpisu tajnego o długości do 128 znaków do uwierzytelniania między bramą a urządzeniem VPN.

Wiele lokacji

Połączenie obejmujące wiele lokacji jest podobne do połączenia typu lokacja-lokacja, ale nieco się od niego różni. Połączenie obejmujące wiele lokacji obsługuje wiele połączeń sieci VPN z lokalnymi urządzeniami sieci VPN. Ta topologia połączenia wymaga sieci VPN typu RouteBased, zwanej bramą dynamiczną. Należy zauważyć, że w przypadku konfiguracji obejmującej wiele lokacji wszystkie połączenia są kierowane przez i współużytkują całą dostępną przepustowość.

Punkt-lokacja

Połączenie typu punkt-lokacja jest odpowiednie dla zdalnego pojedynczego urządzenia klienckiego, które nawiązuje połączenie z Twoją siecią. Należy uwierzytelnić urządzenie klienckie za pomocą identyfikatora Entra firmy Microsoft lub uwierzytelniania certyfikatu platformy Azure. Ten model odpowiada scenariuszom pracy w domu.

Sieć-sieć

Połączenie typu sieć-sieć służy do tworzenia połączeń między wieloma sieciami wirtualnymi platformy Azure. Ta topologia połączenia, w przeciwieństwie do innych, nie wymaga publicznego adresu IP ani urządzenia sieci VPN. Możesz również użyć połączenia między sieciami w konfiguracji obejmującej wiele lokacji w celu ustanowienia połączonych połączeń obejmujących wiele lokalizacji z łącznością między sieciami wirtualnymi.

ExpressRoute

Usługa ExpressRoute tworzy bezpośrednie połączenie między siecią lokalną a siecią wirtualną platformy Azure, która nie korzysta z Internetu. Za pomocą usługi ExpressRoute możesz bezproblemowo rozszerzyć sieć lokalną na przestrzeń sieci wirtualnej platformy Azure. Wielu dostawców połączeń innych niż Microsoft oferuje usługę ExpressRoute. Istnieją trzy różne typy połączeń usługi ExpressRoute:

  • Kolokacja usługi CloudExchange
  • Połączenie Ethernet typu punkt-punkt
  • Połączenie typu dowolna-dowolna (IPVPN)

An ExpressRoute connection.

Komunikacja równorzędna

Za pomocą komunikacji równorzędnej można łączyć sieci wirtualne z różnych subskrypcji i regionów świadczenia usługi Azure. Po nawiązaniu komunikacji równorzędnej między sieciami wirtualnymi zasoby w tych sieciach komunikują się ze sobą tak, jakby znajdowały się w tej samej sieci. Ruch jest kierowany między zasobami przy użyciu tylko prywatnych adresów IP. Równorzędna sieć wirtualna kieruje ruch przez sieć platformy Azure i utrzymuje połączenie prywatne w ramach sieci szkieletowej platformy Azure. Sieć szkieletowa zapewnia połączenia sieciowe o małych opóźnieniach i wysokiej przepustowości.

Architektura referencyjna bramy sieci VPN typu lokacja-lokacja

Chociaż podczas projektowania sieci hybrydowej dostępnych jest wiele architektur referencyjnych, jedną z popularnych architektur jest konfiguracja typu lokacja-lokacja. Uproszczona architektura referencyjna pokazana na poniższym diagramie ilustruje sposób łączenia sieci lokalnej z platformą Azure. Połączenie internetowe używa tunelu IPsec VPN.

Azure VPN reference architecture.

Architektura zawiera kilka składników:

  • Sieć lokalna reprezentuje lokalną usługę Active Directory oraz wszelkie dane i zasoby.
  • Brama jest odpowiedzialna za wysyłanie zaszyfrowanego ruchu na wirtualny adres IP, gdy korzysta z połączenia publicznego.
  • Sieć wirtualna platformy Azure przechowuje wszystkie Twoje aplikacje w chmurze i wszelkie składniki bramy sieci VPN platformy Azure.
  • Brama sieci VPN platformy Azure zapewnia zaszyfrowane łącze między siecią wirtualną platformy Azure a siecią lokalną. Brama sieci VPN platformy Azure składa się z tych elementów.
    • Brama sieci wirtualnej
    • Brama sieci lokalnej
    • Connection
    • Podsieć bramy
  • Aplikacje w chmurze to aplikacje udostępniane za pośrednictwem platformy Azure.
  • Wewnętrzny moduł równoważenia obciążenia, znajdujący się we frontonie, kieruje ruch w chmurze do właściwej aplikacji lub zasobu opartego na chmurze.

Korzystanie z tej architektury zapewnia kilka korzyści, między innymi:

  • Konfiguracja i konserwacja są uproszczone.
  • Użycie bramy sieci VPN pomaga zagwarantować, że wszystkie dane i ruch są szyfrowane między bramą lokalną a bramą platformy Azure.
  • Architekturę można skalować i rozszerzać w celu zaspokojenia potrzeb sieciowych Twojej organizacji.

Ta architektura nie ma zastosowania we wszystkich sytuacjach, ponieważ używa istniejącego połączenia internetowego jako połączenia między dwoma punktami bramy. Ograniczenia przepustowości mogą powodować problemy z opóźnieniami wynikające z ponownego używania istniejącej infrastruktury.

Sprawdź swoją wiedzę

1.

Gdzie jest nawiązywane połączenie sieci VPN typu punkt-lokacja?

2.

W jaki sposób jest uwierzytelniana sieć VPN typu lokacja-lokacja?

3.

Której metody połączenia użyjesz podczas nawiązywania połączenia z platformą Azure przy użyciu sieci VPN?