Praca z sieciami hybrydowymi na platformie Azure

Ukończone

Twoja organizacja chce kontynuować migrację do chmury. Poznaliśmy zalety korzystania z usługi Azure ExpressRoute w celu zapewnienia dedykowanego, szybkiego połączenia między siecią lokalną a platformą Azure.

Należyta staranność wymaga zbadania innych dostępnych opcji architektury hybrydowej w celu połączenia sieci lokalnej z platformą Azure.

W trakcie tej lekcji wykonasz następujące czynności:

• Uzyskanie informacji na temat połączeń wirtualnej sieci prywatnej.
• Omówienie opcji odporności dla usługi ExpressRoute.
• Rozważenie zalet sieci topologii piasty i szprych.

Co to jest architektura sieci hybrydowej?

Sieć hybrydowa jest terminem używanym, gdy dwie różne topologie sieci łączą się w celu utworzenia jednej spójnych sieci. W przypadku platformy Azure sieć hybrydowa reprezentuje scalenie lub połączenie sieci lokalnej z siecią wirtualną platformy Azure. Umożliwia to dalsze korzystanie z istniejącej infrastruktury przy jednoczesnym uzyskaniu wszystkich korzyści związanych z obliczeniami i dostępem opartymi na chmurze.

Istnieje kilka przyczyn, dla których warto zastosować rozwiązanie sieci hybrydowej. Dwie najczęstsze to:

• Migracja z czystej sieci lokalnej do czystej sieci opartej na chmurze.
• Rozszerzenie zasobów i sieci lokalnej o obsługę usług w chmurze.

Niezależnie od motywacji dodawania usług w chmurze do infrastruktury, istnieje kilka architektur, które należy rozważyć. Usługę ExpressRoute omówiliśmy w poprzedniej lekcji. Pozostałe architektury to:

• Azure VPN Gateway
• Usługa ExpressRoute z trybem failover sieci VPN
• Topologia sieci piasty i szprych

Azure VPN Gateway

Usługa bramy sieci wirtualnej Azure VPN Gateway umożliwia łączność sieci VPN typu lokacja-lokacja i punkt-lokacja między siecią lokalną a platformą Azure.

Sieć VPN (wirtualna sieć prywatna) to dobrze udokumentowana i zrozumiała architektura sieci.

Usługa VPN Gateway używa istniejącego połączenia z Internetem. Jednak cała komunikacja jest szyfrowana przy użyciu protokołów IKE (Internet Key Exchange) i IPsec (Internet Protocol Security). Możesz mieć tylko jedną bramę sieci wirtualnej na każdą sieć wirtualną.

Podczas konfigurowania bramy sieci wirtualnej musisz określić, czy jest to brama sieci VPN czy brama usługi ExpressRoute.

Typ sieci VPN zależy od typu topologii połączenia, której potrzebujesz. Na przykład jeśli chcesz utworzyć bramę typu punkt-lokacja (P2S) lub punkt-punkt (P2P), używasz typu RouteBased. Istnieją dwa typy sieci VPN:

• PolicyBased: używa tunelu IPsec do szyfrowania pakietów danych. Konfiguracja zasad używa prefiksów adresów pochodzących z sieci wirtualnej platformy Azure i sieci lokalnej.
• RouteBased: używa tabel routingu lub przekazywania adresów IP do kierowania pakietów danych do poprawnego tunelu. Każdy tunel szyfruje i odszyfrowuje wszystkie pakiety.

Po określeniu typu sieci VPN dla bramy sieci wirtualnej nie można go zmienić. Jeśli musisz wprowadzić zmianę, usuń bramę sieci wirtualnej i utwórz ją ponownie.

Lokacja-lokacja

Wszystkie połączenia bramy typu lokacja-lokacja używają tunelu VPN IPsec/IKE, aby utworzyć połączenie między platformą Azure a siecią lokalną. Połączenie typu lokacja-lokacja wymaga lokalnego urządzenia sieci VPN z publicznie dostępnym adresem IP.

Punkt-lokacja

Połączenie bramy typu punkt-lokacja tworzy zabezpieczone połączenie między indywidualnym urządzeniem i siecią wirtualną platformy Azure. Ten typ bramy jest odpowiedni dla pracowników zdalnych, na przykład użytkowników, którzy uczestniczą w konferencji lub pracują z domu. Połączenie punkt-lokacja nie wymaga dedykowanego lokalnego urządzenia sieci VPN.

Świadczenia

Oto niektóre zalety korzystania z połączenia sieci VPN:

• Jest to dobrze znana technologia, łatwa do skonfigurowania i konserwacji.
• Cały ruch danych jest szyfrowany.
• Lepiej jest obsługiwać lżejsze obciążenia danych.

Kwestie wymagające rozważenia

Podczas oceny zastosowania tej architektury hybrydowej należy wziąć pod uwagę następujące kwestie:

• Połączenie sieci VPN używa Internetu.
• W zależności od rozmiaru i użycia przepustowości mogą występować potencjalne problemy z opóźnieniami.
• Platforma Azure obsługuje maksymalną przepustowość 1,25 Gb/s.
• Lokalne urządzenie sieci VPN jest wymagane w przypadku połączeń typu lokacja-lokacja.

Usługa ExpressRoute z trybem failover sieci VPN

Jedną z gwarancji przy korzystaniu z usługi ExpressRoute jest to, że zapewnia ona wysoki poziom dostępności. Każdy obwód usługi ExpressRoute jest dostarczany z dwiema bramami usługi ExpressRoute. Jednak nawet przy tym poziomie odporności wbudowanej w sieć po stronie platformy Azure łączność może zostać przerwana. Jednym ze sposobów zaradzenia tej sytuacji i utrzymania łączności jest zapewnienie usługi trybu failover sieci VPN.

Scalenie połączenia sieci VPN i usługi ExpressRoute zwiększa odporność połączenia sieciowego. Podczas pracy w normalnych warunkach usługa ExpressRoute zachowuje się dokładnie tak jak zwykła architektura usługi ExpressRoute, a połączenie VPN pozostaje w stanie uśpienia. Jeśli obwód usługi ExpressRoute ulegnie awarii lub przejdzie w tryb offline, zostanie uruchomione połączenie sieci VPN. Ta akcja zapewnia dostępność sieci w każdych okolicznościach. Po przywróceniu obwodu usługi ExpressRoute cały ruch powraca do korzystania z połączenia usługi ExpressRoute.

Architektura referencyjna dla usługi ExpressRoute z trybem failover sieci VPN

Poniższy diagram ilustruje sposób połączenia sieci lokalnej z platformą Azure przy użyciu usługi ExpressRoute z trybem failover sieci VPN. Wybrana topologia w tym rozwiązaniu to oparte na sieci VPN połączenie typu lokacja-lokacja o dużym przepływie ruchu.

W tym modelu cały ruch sieciowy odbywa się za pośrednictwem połączenia prywatnego usługi ExpressRoute. W przypadku utraty łączności w obwodzie usługi ExpressRoute podsieć bramy automatycznie przechodzi w tryb failover do obwodu bramy sieci VPN typu lokacja-lokacja. Linia kropkowana z bramy do bramy sieci VPN w sieci wirtualnej platformy Azure wskazuje ten scenariusz.

Po przywróceniu obwodu usługi ExpressRoute ruch automatycznie przełącza się z powrotem z bramy sieci VPN.

Świadczenia

Zaimplementowanie usługi ExpressRoute z trybem failover sieci VPN daje następujące korzyści:

• Tworzy ona odporną sieć o wysokiej dostępności.

Kwestie wymagające rozważenia

Podczas implementowania architektury usługi ExpressRoute z trybem failover sieci VPN należy rozważyć następujące kwestie:

• W przypadku przejścia w tryb failover przepustowość jest zmniejszana do szybkości połączenia sieci VPN.

• Zasoby usługi ExpressRoute i bramy sieci VPN muszą znajdować się w tej samej sieci wirtualnej.

• Konfiguracja jest bardzo złożona.

• Implementacja wymaga zarówno połączenia usługi ExpressRoute, jak i połączenia sieci VPN.

• Implementacja wymaga nadmiarowej bramy sieci VPN i lokalnego urządzenia sieci VPN.

  Uwaga

  Za nadmiarową bramę sieci VPN są naliczane opłaty, nawet jeśli nie jest ona używana.

Topologia sieci piasty i szprych

Topologia sieci piasty i szprych umożliwia tworzenie struktury obciążeń, które są wykonywane przez serwery. Używa jednej sieci wirtualnej jako koncentratora, która łączy się z siecią lokalną za pośrednictwem sieci VPN lub usługi ExpressRoute. Szprychy to inne sieci wirtualne, które są połączone z piastą za pomocą komunikacji równorzędnej. Możesz przypisać określone obciążenia do każdej szprychy i użyć centrum dla usług udostępnionych.

Piastę i poszczególne szprychy można zaimplementować w osobnych subskrypcjach lub grupach zasobów, a następnie połączyć je za pomocą komunikacji równorzędnej.

Ten model korzysta z jednego z trzech wcześniej omówionych metod: VPN, ExpressRoute i ExpressRoute z trybem failover sieci VPN. W poniższych sekcjach omówiono powiązane z nimi korzyści i wyzwania.

Świadczenia

Zaimplementowanie architektury piasty i szprych przynosi następujące korzyści:

• Korzystanie z udostępniania i scentralizowanych usług w piaście (centrum) może ograniczyć potrzebę duplikowania w szprychach, co może obniżyć koszty.
• Limity subskrypcji są pokonywane przez komunikację równorzędną sieci wirtualnych.
• Model piasty i szprych pozwala na rozdzielenie obszarów roboczych organizacji na dedykowane szprychy, takie jak SecOps, InfraOps i DevOps.

Kwestie wymagające rozważenia

Podczas oceny zastosowania tej architektury hybrydowej należy wziąć pod uwagę następującą kwestię:

• Przyjrzyj się usługom, które są udostępniane w piaście, i temu, co pozostaje w szprychach.

Sprawdź swoją wiedzę

1.

W jakim celu zaimplementujesz bramę sieci VPN w sieci wirtualnej platformy Azure?

Aby zwiększyć wydajność obwodu usługi ExpressRoute.

Aby umożliwić obwodowi usługi ExpressRoute połączenie z siecią wirtualną platformy Azure.

Aby umożliwić obwodowi usługi ExpressRoute połączenie z siecią lokalną.

Aby zapewnić nadmiarowe połączenie trybu failover.

2.

W jaki sposób są kierowane połączenia bramy sieci VPN ze siecią lokalną?

Za pośrednictwem połączenia prywatnego sieci VPN

Za pośrednictwem publicznego Internetu

Za pośrednictwem centrum danych platformy Azure.

Aprowizowanie usługi Traffic Manager.

3.

Jaki jest główny powód implementowania architektury piasty i szprych?

Większa widoczność kosztów.

Większe bezpieczeństwo.

Większa widoczność biznesowa.

Szybsza komunikacja sieciowa.

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.