Работа с гибридными сетями в Azure
Ваша организация стремится продолжить миграцию в облако. Вы изучили преимущества использования Azure ExpressRoute для предоставления выделенного высокоскоростного подключения между локальной сетью и Azure.
Для проверки подлинности необходимо изучить другие доступные варианты гибридной архитектуры для подключения локальной сети к Azure.
В этом разделе вы будете:
- Получите представление о подключениях виртуальной частной сети.
- Ознакомьтесь с параметром устойчивости для ExpressRoute.
- Рассмотрим достоинства звездообразной топологии сети.
Что такое гибридная сетевая архитектура?
Гибридная сеть — это термин, используемый, если две разные топологии сети объединяются для формирования единой согласованной сети. В Azure гибридная сеть представляет собой объединение локальной сети с виртуальной сетью Azure. Он позволяет продолжать использовать существующую инфраструктуру, предоставляя все преимущества облачных вычислений и доступа.
Существует несколько причин, по которым может потребоваться внедрить гибридное сетевое решение. Два наиболее распространенных:
- Миграция из чистой локальной сети в чистую облачную сеть.
- Чтобы расширить локальную сеть и ресурсы для поддержки облачных служб.
Независимо от ваших мотивов добавления облачных служб в инфраструктуру, следует учитывать несколько архитектур. Мы рассмотрели ExpressRoute в предыдущем уроке. Другие архитектуры:
- VPN-шлюз Azure
- ExpressRoute с резервированием VPN
- Топология звездообразной сети
VPN-шлюз Azure
VPN-шлюз Azure, служба шлюза виртуальной сети, позволяет vpn-подключение типа "сеть — сеть" и "точка — сеть" между локальной сетью и Azure.
VPN или виртуальная частная сеть — это хорошо понятная сетевая архитектура.
VPN-шлюз использует существующее подключение к Интернету. Однако все обмен данными шифруется с помощью протоколов IKE и IPsec. Для каждой виртуальной сети можно использовать только один шлюз виртуальной сети.
При настройке шлюза виртуальной сети необходимо указать, является ли он VPN-шлюзом или шлюзом ExpressRoute.
Тип VPN зависит от типа необходимой топологии подключения. Например, если вы хотите создать шлюз типа "точка — сеть" (P2S) или "точка — точка" (P2P), используйте тип RouteBased. Существует два типа VPN:
- PolicyBased: использует туннель IPsec для шифрования пакетов данных. Конфигурация политики использует префиксы адресов, полученные из виртуальной сети Azure и локальной сети.
- RouteBased: использует таблицы маршрутизации или IP-пересылки для маршрутизации пакетов данных в правильный туннель. Каждый туннель шифрует и расшифровывает все пакеты.
После указания типа VPN для шлюза виртуальной сети невозможно изменить его. Если необходимо внести изменения, удалите шлюз виртуальной сети и создайте его еще раз.
Сеть — сеть
Все подключения шлюза типа "сеть — сеть" используют VPN-туннель IPsec/IKE для создания подключения между Azure и локальной сетью. Для подключения типа "сеть — сеть" требуется локальное VPN-устройство с общедоступным IP-адресом.
Подключение от точки к сайту
Подключение шлюза типа "точка — сеть" создает защищенное подключение между отдельным устройством и виртуальной сетью Azure. Этот тип шлюза подходит для удаленных работников; например, пользователи, посещающие конференцию или работающие из дома. Подключение типа "точка — сеть" не требует выделенного локального VPN-устройства.
Преимущества
Ниже приведены некоторые преимущества использования VPN-подключения.
- Это хорошо известная технология, которую легко настроить и поддерживать.
- Весь трафик данных шифруется.
- Оно лучше подходит для обработки менее интенсивных нагрузок передачи данных.
Соображения
При оценке использования этой гибридной архитектуры рассмотрите следующие моменты:
- VPN-подключение использует Интернет.
- Возможные проблемы с задержкой могут существовать в зависимости от размера пропускной способности и использования.
- Azure поддерживает максимальную пропускную способность 1,25 Гбит/с.
- Локальное VPN-устройство необходимо для подключений типа "сеть — сеть".
ExpressRoute с резервным переключением на VPN
Одним из гарантий использования ExpressRoute является обеспечение высокого уровня доступности. Каждый канал ExpressRoute поставляется с двумя шлюзами ExpressRoute. Однако даже при таком уровне резервирования, встроенном в инфраструктуру сети Azure, подключение может быть прервано. Одним из способов исправить эту ситуацию и поддерживать подключение является предоставление услуги резервирования VPN.
Объединение VPN-подключения и ExpressRoute повышает устойчивость сетевого подключения. Когда он работает в обычных условиях, ExpressRoute ведет себя точно так же, как обычная архитектура ExpressRoute, при этом VPN-подключение остается неактивным. Если канал ExpressRoute завершается сбоем или переходит в автономный режим, VPN-подключение принимает на себя функцию. Это действие гарантирует доступность сети во всех обстоятельствах. При восстановлении канала ExpressRoute весь трафик возвращается к использованию подключения ExpressRoute.
Эталонная архитектура для ExpressRoute с аварийным переключением на VPN
На следующей схеме показано, как подключить вашу локальную сеть к Azure с помощью ExpressRoute с резервным каналом VPN. В этом решении выбрана топология, основанная на VPN, с соединением точка-точка и высоким потоком трафика.
В этой модели весь сетевой трафик передается через частное подключение ExpressRoute. Если соединение теряется в цепи ExpressRoute, подсеть шлюза автоматически переходит на цепь шлюза VPN "сайт-узел". Пунктирная линия от шлюза к VPN-шлюзу в виртуальной сети Azure указывает на этот сценарий.
При восстановлении канала ExpressRoute трафик автоматически переключается с VPN-шлюза.
Преимущества
Следующее преимущество доступно при использовании ExpressRoute с резервированием VPN:
- Она создает устойчивую, высокую доступность сети.
Соображения
При реализации ExpressRoute с архитектурой резервирования через VPN следует учитывать следующие моменты:
При отработки отказа пропускная способность уменьшается до скорости VPN-подключения.
Ресурсы ExpressRoute и VPN-шлюза должны находиться в одной виртуальной сети.
Существует очень сложная конфигурация.
Реализация требует подключения ExpressRoute и VPN-подключения.
Реализация требует избыточного VPN-шлюза и локального VPN-оборудования.
Заметка
Для резервного VPN-шлюза взимаются платежи, даже если он не используется.
Топология сети типа "звезда-спица"
Топология центральной сети позволяет структурировать рабочие нагрузки, которые выполняют серверы. Она использует одну виртуальную сеть в качестве концентратора, которая подключается к локальной сети через VPN или ExpressRoute. Спицы — это другие виртуальные сети, соединенные через пиринг с концентратором. Вы можете назначать определенные рабочие нагрузки каждому ответвлению и использовать концентратор для общих сервисов.
Вы можете реализовать концентратор и каждый из них в отдельных подписках или группах ресурсов, а затем объединить их вместе.
Эта модель использует один из трех ранее рассмотренных подходов: VPN, ExpressRoute и ExpressRoute с отказоустойчивостью VPN. Связанные преимущества и проблемы рассматриваются в следующих разделах.
Преимущества
Реализация периферийной архитектуры имеет следующие преимущества:
- Использование совместного использования и централизованных услуг на хабе может снизить потребность в дублировании на ответвлениях, что может снизить затраты.
- Ограничения подписки преодолеваются путем пиринга виртуальных сетей.
- Модель "звезда-спица" позволяет разделить области работы организации на выделенные спицы, такие как SecOps, InfraOps и DevOps.
Соображения
При оценке использования этой гибридной архитектуры рассмотрите следующую точку:
- Просмотрите службы, которыми предоставляется общий доступ к концентратору, и то, что остается на периферийных устройствах.