Wybieranie architektury sieci hybrydowej na platformie Azure
Twoja organizacja jest prawie gotowa do migracji zasobów na platformę Azure. Ta migracja korzysta z architektury piasty i szprych, ale pozostaje otwarte pytanie dotyczące najlepszej metody łączenia lokalnego centrum danych z siecią platformy Azure.
Dla tej migracji opracowano już projekt na wysokim poziomie. Jednak menedżer projektu żąda dodatkowych informacji o wyborze między usługą Azure ExpressRoute i usługą Azure VPN Gateway. Należy również utworzyć macierz możliwości, aby nietechniczni pracownicy rozumieli funkcje poszczególnych usług.
W tej lekcji ocenisz dwa scenariusze sieci hybrydowej: Azure ExpressRoute i Azure VPN Gateway.
Azure ExpressRoute
Jako architekt rozwiązań rozumiesz potrzebę zapewnienia niezawodnego i niezawodnego połączenia sieciowego między lokalnymi centrami danych a platformą Azure. Wymagania wymagają małego opóźnienia i wysokiego poziomu dostępności. Z badań wiesz, że istnieją dwie możliwości: VPN lub ExpressRoute.
Oba rozwiązania zapewniają bezpieczne połączenie między siecią lokalną a siecią wirtualną platformy Azure.
Rozwiązanie sieci VPN używa znanych i ustalonych technologii. Jednak sieć VPN nie jest przeznaczona do obsługi dużych ilości danych, a podstawowa sieć szkieletowa infrastruktury nadal korzysta z Internetu. Korzystanie z sieci VPN może być opłacalnym rozwiązaniem w krótkim okresie. Jednak w dłuższej perspektywie sieć VPN prawdopodobnie nie zapewni wydajności, skalowalności i odporności wymaganych przez twoją organizację.
Opcja usługi ExpressRoute używa dedykowanego partnera łączności prywatnej, aby zapewnić bezpośrednie połączenie między lokalnymi centrami danych a platformą Azure. Firma Microsoft wymaga od dostawcy łączności obsługi dwóch dyskretnych połączeń z siecią platformy Azure dla każdego obwodu usługi ExpressRoute, co pomaga zapewnić wysoki poziom odporności. Usługa ExpressRoute zapewnia również przepustowość połączenia, która jest prawie 10 razy szybsza niż sieć VPN.
Usługa ExpressRoute wymaga ścisłej współpracy z dostawcą łączności, jest to bardziej złożona konfiguracja i może być droższa niż zwykła sieć VPN.
Jednak na podstawie poznanych do tej pory informacji decydujesz, że usługa ExpressRoute jest lepiej dopasowana do podstawowych potrzeb organizacji.
Azure VPN Gateway
Obecność organizacji obejmuje szeroką lokalizację geograficzną. Mimo że centrum danych i siedziba firmy znajdują się w tym samym budynku, wiele oddziałów satelitarnych wymaga również połączenia z siecią platformy Azure.
Ustanowiłeś ExpressRoute jako preferowane połączenie z Azure. Teraz należy wziąć pod uwagę drugie wymaganie: łączenie regionalnych biur satelitarnych z siecią platformy Azure.
W przeciwieństwie do siedziby firmy, która ma tysiące pracowników i lokalne centrum danych, każde biuro satelitarne ma od 20 do 50 pracowników. Nie ma potrzeby szybkiego połączenia o małym opóźnieniu.
To wymaganie pomocnicze ma różne potrzeby. Usługa ExpressRoute, chociaż idealna dla dużych szybkości i odporności, nie pasuje do mniejszych biur satelitarnych, które mają mniejsze wymagania dotyczące łączności. Ponadto każde biuro będzie potrzebować dedykowanego połączenia prywatnego utrzymywanego i uruchamianego przez dostawcę łączności.
W tym przypadku użycie sieci VPN zapewni lepsze ogólne rozwiązanie. Sieć VPN jest oparta na istniejącej i zrozumiałej technologii, co oznacza, że może być zarządzana w firmie. Przepustowość o mniejszej szybkości mieści się w akceptowalnej tolerancji dla codziennego użycia.
Macierz możliwości sieci hybrydowej
Aby ułatwić wybór między dwoma typami łączności, utworzyliśmy macierz możliwości pokazującą zdobytą wiedzę w tej lekcji. W poniższej tabeli wymieniono najważniejsze funkcje każdej metody, obsługiwane przepustowości, model odporności, typowe przypadki użycia i skojarzone umowy licencyjne dotyczące usług (SLA).
| Zdolność | VPN Gateway | ExpressRoute |
|---|---|---|
| obsługa usług platformy Azure | Azure Cloud Services i Azure Virtual Machines | Microsoft Cloud Platform |
| przepustowość | Do 10 Gbit/s | Do 10 Gb/s lub 100 Gb/s (bezpośrednie) |
| protokół | Secure Socket Tunneling Protocol (SSTP) lub IPsec | Bezpośrednio przez sieć VLAN lub Multiprotocol Label Switching (MPLS) |
| Routing | Statyczne lub dynamiczne | Border Gateway Protocol (BGP) |
| odporność połączenia | Aktywny-pasywny lub aktywny-aktywny | Aktywny-pasywny lub aktywny-aktywny |
| przypadek użycia | Tworzenie prototypów, tworzenie, testowanie, laboratoria, RDC i małe obciążenia produkcyjne | Dostęp do wszystkich usług platformy Azure, klasy korporacyjnej, obsługujących krytyczne obciążenia na dużą skalę |
| sla | 99.95-99.99% | 99.95% |