Sieć chmury hybrydowej
Tradycyjna sieć lokalna z wieloma lokacjami musi łączyć wiele oddziałów z głównym oddziałem. Podobnie łączność sieciowa chmury hybrydowej wiąże się z użyciem właściwych technologii, które bezproblemowo połączą użytkowników, aplikacje i dane lokalne z aplikacjami i danymi hostowanymi w chmurze.
W naszym scenariuszu firma Tailwind Traders musi być w stanie bezpiecznie połączyć lokalizacje lokalne z zasobami działającymi na platformie Azure. Trzeba to zrobić tak, aby dla pracowników firmy Tailwind Traders nie było różnicy pomiędzy uzyskiwaniem dostępu do obciążenia działającego w lokalnym centrum danych firmy Tailwind Traders i obciążenia działającego na platformie Azure.
Podczas tej lekcji uzyskasz informacje na temat technologii sieciowych, które umożliwiają połączenie zasobów lokalnych i chmurowych w jedną chmurę hybrydową.
Co to jest sieć VPN platformy Azure?
Brama sieci VPN platformy Azure umożliwia połączenie sieci lokalnej z platformą Azure za pomocą bezpiecznego tunelu sieci VPN w publicznym Internecie. Połączenia sieci VPN platformy Azure są podobne do tradycyjnych połączeń VPN, które mogą istnieć pomiędzy lokalizacją oddziału a lokalizacją głównej siedziby firmy. Każda sieć wirtualna może mieć tylko jedną bramę sieci VPN, ale każda brama sieci VPN obsługuje wiele połączeń.
Poniższa ilustracja przedstawia połączenie pomiędzy urządzeniem bramy lokalnej sieci obwodowej a bramą sieci VPN w sieci wirtualnej platformy Azure. Pokazuje połączenie pomiędzy urządzeniem usługi Azure Stack a bramą sieci VPN.
W przykładzie firmy Tailwind Traders można użyć bram sieci VPN platformy Azure w celu umożliwienia połączeń z mniejszych oddziałów, które nie potrzebują dedykowanego połączenia oferowanego przez usługę Azure ExpressRoute. Główną wadą bram sieci VPN platformy Azure jest fakt, że wykorzystują one połączenie internetowe usługodawcy internetowego. Jeśli u usługodawcy internetowego nastąpi awaria, nawiązywanie połączeń sieci VPN będzie niemożliwe. Analogicznie jeśli u usługodawcy internetowego wystąpi silne przeciążenie, może to negatywnie wpłynąć na szybkość połączenia pomiędzy lokalizacją lokalną a platformą Azure.
Organizacje, w których zastosowano połączenia sieci VPN pomiędzy oddziałami, już borykają się problemami związanymi z dedykowanymi połączeniami sieci VPN.
Co to jest usługa Azure ExpressRoute?
Dzięki usłudze Microsoft Azure ExpressRoute organizacje mogą uzyskać dedykowane, prywatne, szybkie połączenie pomiędzy siecią lokalną a platformą Azure. To połączenie nie przebiega przez publiczny Internet. Funkcjonalnie stanowi dedykowaną linię światłowodową biegnącą od lokalizacji lokalnej do najbliższego centrum danych platformy Azure.
Inaczej niż w przypadku sieci VPN zarządzaniem sprzętem, który umożliwia to połączenie, zajmuje się dostawca usługi ExpressRoute. Ponieważ dostawca usługi ExpressRoute zarządza całym sprzętem, może zapewnić w umowie dotyczącej poziomu usług niezawodność i przepustowość nieosiągalne dla użytkowników połączeń bramy sieci VPN platformy Azure.
Na poniższej ilustracji przedstawiono połączenie usługi ExpressRoute między środowiskiem lokalnym a obciążeniami uruchomionymi na platformie Azure. Dostawca usługi ExpressRoute zarządza obwodem usługi ExpressRoute i lokalnymi routerami brzegowymi.
Oprócz zapewnienia dedykowanego połączenia o dużej przepustowości pomiędzy środowiskiem lokalnym a platformą Azure usługa ExpressRoute gwarantuje organizacjom, że poufny ruch nie będzie przebiegał przez publiczny Internet. Jest to ważne z uwagi na obowiązujące w krajach wymagania dotyczące zapewnienia ładu, które zabraniają przesyłania niektórych rodzajów informacji przez Internet.
W analizowanym przykładzie firma Tailwind Traders może wdrożyć połączenie usługi ExpressRoute z dużych oddziałów, na przykład w Melbourne, Sydney i Auckland, gdzie przebywa wiele osób. Firma może również użyć usługi ExpressRoute, jeśli obsługuje dane, które nie mogą być przesyłane przez Internet z uwagi na wymagania dotyczące zgodności.
Co to jest hybrydowy system nazw domen?
Podczas wdrażania chmury hybrydowej należy zagwarantować, że obciążenia lokalne potrafią rozpoznawać adresy obciążeń w chmurze oraz że obciążenia w chmurze potrafią rozpoznawać adresy obciążeń lokalnych. Wdrożenia systemu nazw domen w chmurze hybrydowej zwykle wymagają, aby serwery DNS znajdowały się zarówno w środowisku lokalnym, jak i na platformie Azure. Co więcej, należy skonfigurować transfery stref DNS pomiędzy środowiskiem lokalnym a chmurą. Alternatywnie można skonfigurować usługi przesyłania dalej serwera DNS, jeśli lokalna strefa DNS jest oddzielona od strefy DNS skojarzonej z obciążeniami uruchomionymi na platformie Azure.
Na poniższej ilustracji przedstawiono lokalne serwery DNS replikujące informacje DNS na serwery DNS uruchomione na platformie Azure. W tym scenariuszu maszyna wirtualna jest wdrażana jako serwer DNS na platformie Azure. Na obrazie lokalny system nazw domen nawiązuje połączenie z subskrypcją centrum za pomocą serwerów DNS na maszynach wirtualnych. Inne subskrypcje platformy Azure nawiązują połączenie z subskrypcją centrum.
Alternatywnie usługa rozpoznawania prywatnego usługi Azure DNS to usługa, która umożliwia wykonywanie zapytań o strefy prywatne usługi Azure DNS ze środowiska lokalnego i na odwrót bez wdrażania serwerów DNS opartych na maszynie wirtualnej. Prywatna usługa rozpoznawania nazw jest w pełni zarządzana i ma wbudowane funkcje wysokiej dostępności.
Firma Tailwind Traders może używać usługi Rozpoznawanie prywatne usługi Azure DNS, aby upewnić się, że wszystkie obciążenia uruchomione na platformie Azure mogą rozpoznawać nazwy DNS hostów w sieci wewnętrznej firmy Tailwind Traders. Zapewni to również, że wszystkie hosty sieci wewnętrznej firmy Tailwind Traders będą rozpoznawały nazwy DNS obciążeń uruchomionych w chmurze.
Co to jest usługa Azure Virtual WAN?
Usługa Azure Virtual WAN umożliwia organizacji korzystanie z sieci platformy Azure w architekturze piasty i szprych. Sieć platformy Azure pełni funkcję centrum (piasty) dla przechodniej łączności pomiędzy punktami końcowymi, które pełnią z kolei funkcję szprych.
W tradycyjnej topologii sieci każdy oddział firmy może nawiązywać połączenie z siedzibą główną za pomocą połączenia sieci VPN. Jeśli ruch przechodzi pomiędzy oddziałami, przechodzi przez centrum, aby tam dotrzeć. Jeśli siedziba główna i oddziały firmy są połączone z platformą Azure za pomocą sieci VPN lub usługi ExpressRoute, te połączenia mogą tworzyć szprychy. Usługa Azure Virtual WAN może pełnić funkcję centrum routingu dla ruchu pomiędzy lokalizacjami lokalnymi.
Na poniższej ilustracji pokazano topologię usługi Azure Virtual WAN.
Usługa Azure Virtual WAN umożliwia firmie Tailwind Traders odejście od używania połączeń sieci VPN w celu łączenia oddziałów firmy z centrami danych w Sydney, Melbourne i Auckland. Zapewnia topologię, w której każdy oddział i centrum danych mają połączenie sieci VPN lub ExpressRoute z platformą Azure. Usługa Azure Virtual WAN zarządza routingiem ruchu pomiędzy lokalizacjami.