Planowanie sieci wirtualnych na platformie Azure

8 min

Na podstawie twoich badań wybrałeś wdrożenie architektury sieci w modelu hub-spoke dla migracji Twojej firmy do Azure. Jako główny architekt projektu zarządzasz produkcją projektu sieci wirtualnej przy użyciu usługi Azure ExpressRoute na potrzeby łączności z siedzibą firmy. Musisz również zdecydować, jak połączyć biura satelitarne firmy z nową siecią typu hub-and-spoke.

W tej lekcji zapoznasz się z siecią wirtualną na platformie Azure, zagadnieniami dotyczącymi projektowania i sposobem implementowania usługi ExpressRoute na potrzeby łączności z sieciami lokalnymi.

Diagram architektury pokazujący centralny punkt i połączenia prowadzące do zasobów lokalnych.

Wprowadzenie do sieci wirtualnej platformy Azure

Sieci wirtualne zapewniają usługi sieciowe na platformie Azure i umożliwiają rozszerzenie istniejącej infrastruktury lokalnej. Sieć wirtualna platformy Azure może reprezentować prywatną infrastrukturę IT w chmurze, logicznie izolując dedykowane zasoby w subskrypcjach. Sieci wirtualne umożliwiają:

Połączenia zewnętrzne z Internetem.
Komunikacja między różnymi wewnętrznymi zasobami platformy Azure.
Izolacja tych zasobów.
Połączenia z komputerami lokalnymi.
Zarządzanie ruchem sieciowymi.

Dwie ważne elementy sieci wirtualnych to podsieci i sieciowe grupy zabezpieczeń.

Obraz przedstawiający architekturę składnika usługi Azure Virtual Network.

podsieci: każda sieć wirtualna może zawierać wiele podsieci. Każda podsieć ma własne unikatowe właściwości.
sieciowe grupy zabezpieczeń: te sieciowe grupy zabezpieczeń umożliwiają filtrowanie ruchu przychodzącego i wychodzącego za pośrednictwem sieci wirtualnej lub podsieci. Sieciowe grupy zabezpieczeń umożliwiają również filtrowanie ruchu według źródłowego i docelowego adresu IP, portu lub protokołu.

Zagadnienia dotyczące planowania i projektowania sieci wirtualnych

Każda sieć, zarówno lokalna, jak i w chmurze, wymaga metody zarządzania przepływem, kierunkiem i typem ruchu przez nią. Istnieje kilka zagadnień dotyczących sieci wirtualnych:

segmentacji: ważne jest, aby rozważyć potencjalną izolację ruchu w ramach różnych podsieci lub sieci wirtualnych, albo w oddzielnych subskrypcjach.
Zabezpieczenia: Użyj Sieciowych Grup Zabezpieczeń (NSG) i Wirtualnych Urządzeń Sieciowych do filtrowania ruchu sieciowego do i z zasobów w sieci wirtualnej.
Connectivity: Możesz połączyć sieć wirtualną z innymi sieciami wirtualnymi za pomocą komunikacji równorzędnej sieci wirtualnych, lub z sieciami lokalnymi przy użyciu usługi ExpressRoute lub usługi Azure VPN Gateway.
Routing: Azure tworzy automatycznie tablice routingu w każdej podsieci i dodaje systemowe trasy domyślne do tych tablic. Trasy niestandardowe umożliwiają zastąpienie tych domyślnych tras systemowych. Dzięki trasom niestandardowym można kierować ruch za pośrednictwem wirtualnych urządzeń sieciowych w celu zapewnienia zwiększonych możliwości zabezpieczeń i filtrowania.

Łączenie sieci lokalnej

Podczas pracy nad integracją sieci lokalnej z platformą Azure należy zbudować pomost pomiędzy dwiema sieciami. Usługa Azure VPN Gateway udostępnia tę funkcję. Usługa VPN Gateway wysyła zaszyfrowany ruch między dwiema sieciami przez Internet. Bramy obsługują wiele połączeń, które kierują tunele sieci VPN przez dostępną przepustowość, chociaż sieć wirtualna może mieć przypisaną tylko jedną bramę. Bramę sieci VPN można również użyć do połączeń typu sieć-sieć na platformie Azure.

Usługa Azure ExpressRoute to kolejna opcja, która należy wziąć pod uwagę podczas mostkowania. Usługa ExpressRoute umożliwia rozszerzanie sieci lokalnych za pośrednictwem połączenia prywatnego z platformą Azure. To połączenie jest obsługiwane przez dostawcę łączności lub wymiany w chmurze. Usługa ExpressRoute rozszerza zakres niż tylko zasoby platformy Azure i umożliwia nawiązywanie połączeń z innymi usługami w chmurze firmy Microsoft, takimi jak Office 365.

Implementacja usługi ExpressRoute zajmuje trochę czasu. Musisz pracować za pośrednictwem dostawcy łączności i może wymagać implementacji fizycznego urządzenia sieciowego. Aby zapewnić łączność, gdy ta implementacja jest w toku, możesz użyć sieci VPN typu lokacja-lokacja, aby dodać połączenie między zasobami lokalnymi a sieciami wirtualnymi platformy Azure. Następnie przeprowadzisz migrację do nowego połączenia usługi ExpressRoute, gdy dostawca usług potwierdzi, że konfiguracja została ukończona.

Używanie usługi ExpressRoute w topologii piasty i szprych

Używanie usługi ExpressRoute w topologii piasty i szprych nie różni się od innych wzorców architektury. Usługa ExpressRoute, która stanowi podstawę łączności między koncentratorem a siecią lokalną, działa najlepiej, gdy istnieje wysoka przepływność danych zarówno przychodzących, jak i wychodzących.

Obwody służą do zarządzania ruchem i kierowania go, łącząc usługę ExpressRoute z siecią wirtualną na platformie Azure. Obwody, które mają być połączone z siecią wirtualną, mogą znajdować się w różnych regionach lub subskrypcjach. Istnieją ograniczenia liczby sieci wirtualnych na obwód usługi ExpressRoute. W przypadku warstwy Standardowa limit wynosi obecnie 10 sieci. Jeśli używasz dodatku Premium, limit zostanie zwiększony na podstawie rozmiaru obwodu. Najniższa liczba to 20 sieci wirtualnych w obwodzie 50 Mb/s, do 100 dla obwodów o przepustowości 10 Gb/s lub większej.

Sprawdź swoją wiedzę

Który z tych wyborów to sposób, w jaki zasoby mogą komunikować się ze sobą na platformie Azure?

Niech zasoby komunikują się za pośrednictwem połączenia usługi ExpressRoute.

Posiadanie zasobów w jednej sieci wirtualnej.

Każdy zasób powinien określać punkt końcowy sieci.

Jaki jest limit liczby sieci wirtualnych, które można połączyć z usługą ExpressRoute?

100

Zależy to od rozmiaru obwodu.