Локальная интеграция с сетью в Azure

Завершено

Ваша компания планирует перенести большую часть локальных ресурсов в Azure. Однако небольшой центр обработки данных должен оставаться локальным для интеграции с сетью Azure. Архитектурная модель должна рассмотреть возможность использования сетевого подключения Azure для нескольких вспомогательных офисов. Вы хотите использовать гибридную сетевую архитектуру, которая предоставляет доступ как к локальным, так и облачным ресурсам.

Для обработки миграции вы создаете план интеграции сети для Azure, который включает в себя выбор лучших вариантов гибридной сети, доступных в Azure. Параметры должны соответствовать требованиям организации к гибридному подключению.

В этом уроке вы изучите локальные подключения на платформе Azure. Вы также получите обзор виртуальной сети Azure и узнайте, как использовать VPN-шлюз Azure для защиты трафика в локальную сеть.

Сведения о виртуальной сети Azure

Служба виртуальной сети Azure имеет определенный набор средств и ресурсов для создания облачной сетевой архитектуры для вашей организации. Виртуальные сети Azure предоставляют безопасный канал виртуальной связи для всех разрешенных ресурсов Azure в подписке.

С помощью виртуальной сети Azure можно:

• Подключите виртуальные машины к Интернету.
• Обеспечение безопасного взаимодействия между ресурсами Azure, размещенными в различных центрах обработки данных и регионах.
• Изоляция ресурсов Azure и управление ими.
• Подключитесь к локальным компьютерам.
• Управление сетевым трафиком.

По умолчанию все ресурсы Azure в виртуальной сети имеют исходящее подключение к Интернету. Внешнее входящее взаимодействие должно проходить через общедоступную конечную точку. Все внутренние ресурсы используют частную конечную точку для доступа к виртуальной сети.

Виртуальная сеть состоит из множества элементов. Включая, но не ограничивается сетевыми интерфейсами, подсистемами балансировки нагрузки, подсетями, группами безопасности сети и общедоступными IP-адресами. Эти элементы работают вместе и обеспечивают безопасную, надежную сетевую связь между ресурсами Azure, Интернетом и локальными сетями.

Маршрутизация трафика в виртуальной сети Azure

Исходящий трафик из подсети направляется на основе целевого IP-адреса. Таблица маршрутизации определяет, как маршрутизируется трафик и что происходит дальше. Ip-адрес назначения может существовать в нескольких определениях префикса таблицы маршрутизации (например, 10.0.0.0/16 и 10.0.0.0/24). Маршрутизатор использует сложный алгоритм для поиска самого длинного соответствия префикса. Трафик, направленный на адрес 10.0.0.6, будет соотнесён с префиксом 10.0.0.0/24 и будет маршрутизирован соответственно.

Существует две основные таблицы маршрутизации: системная и настраиваемая.

Таблицы маршрутизации системы

Azure автоматически создает набор таблиц маршрутизации по умолчанию для виртуальной сети и каждой маски подсети в виртуальной сети. Эти системные маршруты исправлены и не могут быть изменены или удалены. Однако можно переопределить параметры по умолчанию с помощью настраиваемой таблицы маршрутизации.

Типичная таблица маршрутизации по умолчанию может выглядеть следующим образом:

Источник	Префиксы адресов	Тип следующего прыжка
По умолчанию	Уникальное для виртуальной сети	Виртуальная сеть
По умолчанию	0.0.0.0/0	Интернет
По умолчанию	10.0.0.0/8	Никакой
По умолчанию	172.16.0.0/12	Никакой
По умолчанию	192.168.0.0/16	Никакой
По умолчанию	100.64.0.0/10	Нет

Таблица маршрутизации состоит из источника, префикса адреса и следующего узла типа . Весь трафик, покидающий подсеть, использует таблицу маршрутизации, чтобы узнать, где она должна идти дальше. В действительности, трафик ищет следующий прыжок в своем пути.

Следующий прыжок определяет, что происходит с потоком трафика далее на основе префикса. Существует три типа следующего прыжка:

• виртуальная сеть: трафик направляется в соответствии с IP-адресом в виртуальной сети.
• Интернет: трафик направляется в Интернет.
• Нет: трафик удаляется.

Пользовательские таблицы маршрутизации

Помимо системных таблиц маршрутизации, можно также создавать пользовательские таблицы маршрутизации. Эти пользовательские таблицы маршрутизации переопределяют системную таблицу по умолчанию. Существуют ограничения на количество элементов маршрутизации, которые можно использовать в пользовательской таблице.

В следующей таблице перечислены некоторые из многих ограничений, которые применяются к виртуальным сетям:

Ресурс	Значение по умолчанию или максимальное число
Виртуальные сети	1,000
Подсети в виртуальной сети	3,000
Пиринги виртуальных сетей на одну виртуальную сеть	500
Частные IP-адреса для каждой виртуальной сети	65,536

Как и таблица маршрутизации системы, пользовательские таблицы маршрутизации также имеют тип следующего хопа. Но пользовательские таблицы маршрутизации предлагают несколько дополнительных вариантов:

• виртуальный модуль. Обычно это виртуальная машина, которая запускает определенное сетевое приложение, например брандмауэр.
• шлюз виртуальной сети. Используйте этот параметр, если вы хотите отправить трафик в шлюз виртуальной сети. Тип шлюза виртуальной сети должен быть VPN. Тип не может быть Azure ExpressRoute, для которого требуется задать процесс маршрутизации протокола BGP.
• Нет: этот параметр удаляет трафик, а не пересылает его.
• виртуальной сети. Этот параметр позволяет переопределить системную маршрутизацию по умолчанию.
• Интернет: этот параметр позволяет указать, что любой префикс перенаправит трафик в Интернет.

Подключение виртуальных сетей Azure

Вы можете подключить виртуальные сети несколькими способами. Вы можете использовать VPN-шлюз Azure или ExpressRoute или напрямую использовать метод пиринга.

VPN-шлюз Azure

Когда вы работаете над интеграцией локальной сети с Azure, вам потребуется мост между ними. VPN-шлюз — это служба Azure, которая предоставляет эту функцию. VPN-шлюз может отправлять зашифрованный трафик между двумя сетями. VPN-шлюзы поддерживают несколько подключений, которые позволяют маршрутизировать VPN-туннели, использующие любую доступную пропускную способность. Виртуальная сеть может назначить только один шлюз. VPN-шлюзы также можно использовать для подключений между виртуальными сетями в Azure.

При реализации VPN-шлюза необходимо развернуть две или несколько виртуальных машин в подсети, созданной при настройке виртуальной сети. В этом случае подсеть также называется подсетью шлюза . Каждой виртуальной машине назначается конфигурация по умолчанию для служб маршрутизации и шлюза, которая явно относится к выделенному шлюзу. Эти виртуальные машины нельзя настроить напрямую.

При создании шлюза доступны несколько топологий. Эти топологии, также известные как типы шлюзов , определяют, какие элементы настроены и ожидаемый тип подключения.

Межсайтовое соединение

Подключение типа "сеть — сеть" используется для конфигураций между локальными и гибридными сетями. Эта топология подключения требует, чтобы локальное устройство VPN имело общедоступный IP-адрес и не находилось за преобразованием сетевых адресов (NAT). Подключение использует секретную строку ASCII длиной до 128 символов для аутентификации между шлюзом и VPN-устройством.

Многосайтовый

Многосайтовое подключение аналогично подключению типа "сеть — сеть", но с небольшим изменением. Мультисайт поддерживает несколько VPN-подключений к локальным VPN-устройствам. Для этой топологии подключения требуется VPN RouteBased, известный как динамический шлюз. Важно отметить, что в многосайтовой конфигурации все подключения проходят через общий маршрут и совместно используют всю доступную пропускную способность.

Точка-сайт

Подключение типа "точка — сеть" подходит для удаленного клиентского устройства, подключающегося к сети. Необходимо пройти проверку подлинности клиентского устройства с помощью идентификатора Microsoft Entra или с помощью проверки подлинности сертификата Azure. Эта модель подходит для работы на дому.

Сеть — сеть

Вы используете сетевое подключение для создания подключений между несколькими виртуальными сетями Azure. Эта топология подключения, в отличие от других, не требует общедоступного IP-адреса или VPN-устройства. Вы также можете использовать подключение "сеть-сеть" в многосайтовой конфигурации, чтобы установить комбинированные подключения через разные площадки с взаимосвязью между виртуальными сетями.

ExpressRoute

ExpressRoute создает прямое подключение между локальной сетью и виртуальной сетью Azure, которая не использует Интернет. Вы используете ExpressRoute для простого расширения локальной сети в пространстве виртуальной сети Azure. Многие поставщики услуг подключения, отличные от Майкрософт, предлагают службу ExpressRoute. Существует три разных типа подключения ExpressRoute:

• Совместное размещение CloudExchange
• Подключение Ethernet типа "точка — точка"
• Подключение "все-ко-всем" (IPVPN)

Вглядываясь

Виртуальные сети могут выполнять пиринг между подписками и регионами Azure. После подключения виртуальных сетей через пиринг, ресурсы в этих сетях взаимодействуют друг с другом, как будто они находятся в одной и той же сети. Трафик направляется между ресурсами с помощью только частных IP-адресов. Пиринговая виртуальная сеть направляет трафик через сеть Azure и сохраняет подключение закрытым в рамках магистральной сети Azure. Магистральная сеть обеспечивает низкую задержку и сетевые подключения с высокой пропускной способностью.

Эталонная архитектура VPN-шлюза типа "сеть — сеть"

Хотя при разработке гибридной сети доступно множество эталонных архитектур, одна популярная архитектура — это конфигурация типа "сеть — сеть". Упрощенная эталонная архитектура, показанная на следующей схеме, иллюстрирует, как подключить локальную сеть к платформе Azure. Подключение к Интернету использует VPN-туннель IPsec.

Архитектура включает несколько компонентов:

• локальная сеть представляет собой локальную Active Directory и любые данные или ресурсы.
• Шлюз , отвечает за отправку зашифрованного трафика в виртуальный IP-адрес при использовании общедоступного подключения.
• виртуальная сеть Azure содержит все ваши облачные приложения и компоненты любого VPN-шлюза Azure.
• VPN-шлюз Azure предоставляет зашифрованную связь между виртуальной сетью Azure и локальной сетью. VPN-шлюз Azure состоит из этих элементов.
  • Шлюз виртуальной сети
  • Шлюз локальной сети
  • Связь
  • Подсеть шлюза
• облачные приложения — это те приложения, которые вы сделали доступными через Azure.
• внутренней подсистеме балансировки нагрузки, расположенной в интерфейсном интерфейсе, направляет облачный трафик в правильное облачное приложение или ресурс.

Использование этой архитектуры обеспечивает несколько преимуществ, в том числе:

• Конфигурация и обслуживание упрощаются.
• Использование VPN-шлюза помогает обеспечить шифрование всех данных и трафика между локальным шлюзом и шлюзом Azure.
• Архитектура может быть масштабирована и расширена для удовлетворения потребностей вашей организации в сети.

Эта архитектура не применима во всех ситуациях, так как она использует существующее подключение к Интернету в качестве связи между двумя точками шлюза. Ограничения пропускной способности могут привести к проблемам с задержкой, которые возникают из-за повторного использования существующей инфраструктуры.

Проверка знаний

1.

Где установлено VPN-подключение типа "точка — сеть"?

VPN-шлюз инициализирует подключение.

Подключение устанавливается с хост-компьютера.

Подключение устанавливается с клиентского компьютера.

В виртуальной сети Azure.

2.

Как осуществляется проверка подлинности VPN типа "сеть — сеть"?

Проверка подлинности не требуется.

С помощью учетной записи администратора.

С помощью принципала службы в Microsoft Entra ID.

Используя секрет в виде ASCII строки.

3.

При подключении к Azure с помощью VPN,какой метод подключения вы будете использовать?

VPN-шлюз

Зашифрованное подключение

Виртуальная машина Azure

VPN-туннель

Вы должны ответить на все вопросы перед проверкой.