Описание сетевых топологий Azure

  • 10 мин

В компании Contoso реализована крупная локальная сеть, в которой ресурсы, развернутые в различных центрах обработки данных и офисах, могут свободно обмениваться данными. Важно, чтобы ИТ-специалисты могли развертывать сетевые компоненты в Azure, обеспечивая взаимодействие между ресурсами Azure, а также между ресурсами Azure и локальными ресурсами.

Вы, как старший системный инженер, определяете, что сетевые технологии Microsoft Azure обеспечивают подключение к ресурсам в Azure, обеих служб друг к другу, а также Azure к локальной среде. Кроме того, существует несколько сетевых компонентов Azure, которые предоставляют и защищают приложения, а также обеспечивают безопасность сети.

Что такое виртуальная сеть?

При развертывании компьютеров в локальной среде они обычно подключаются к сети, что позволяет им напрямую взаимодействовать друг с другом. Виртуальные сети Azure выполняют одну и ту же основную задачу.

Размещая виртуальную машину в той же виртуальной сети, что и другие виртуальные машины, вы обеспечиваете эффективное прямое IP-соединение между ними в одном и том же пространстве частных IP-адресов. Можно подключать друг к другу различные виртуальные сети. Можно также подключать виртуальные сети в Azure к локальным сетям, что фактически превратит Azure в расширение вашего собственного центра обработки данных.

Виртуальная сеть Azure представляет собой логическую границу, ограниченную пространством частных IP-адресов по вашему выбору. Это пространство IP-адресов делится на одну или несколько подсетей так же, как и в локальной сети. Однако в Azure все дополнительные задачи управления сетью более просты.

Например, некоторые сетевые функции, такие как маршрутизация между подсетями в одной виртуальной сети, становятся доступными автоматически. Аналогично, по умолчанию каждая виртуальная машина имеет доступ к Интернету, что включает поддержку исходящих подключений и разрешение имен DNS.

Что такое сетевой интерфейс?

Сетевой интерфейс (NIC) — это соединение между виртуальной машиной и виртуальной сетью. Виртуальная машина должна иметь по крайней мере один сетевой интерфейс (подключенный к виртуальной сети), но их может быть и несколько в зависимости от размера создаваемой виртуальной машины. Можно создать виртуальную машину с несколькими сетевыми интерфейсами и добавлять или удалять сетевые интерфейсы в ходе жизненного цикла виртуальной машины. Несколько сетевых интерфейсов позволяют виртуальной машине подключаться к разным подсетям в той же виртуальной сети, а также отправлять или получать трафик по наиболее подходящему интерфейсу.

Снимок экрана страницы

Для каждого сетевого интерфейса, подключенного к виртуальной машине, должны выполняться следующие условия:

  • он должен находиться в том же расположении и принадлежать той же подписке, что и виртуальная машина;
  • он должен быть подключен к виртуальной сети, которая находится в том же расположении Azure и принадлежит той же подписке, что и виртуальная машина.

Что такое группа безопасности сети?

Группа безопасности сети фильтрует входящий и исходящий сетевой трафик и содержит правила безопасности, используемые для разрешения или запрета передачи фильтрованного сетевого трафика. Настройка этих правил безопасности группы безопасности сети позволяет управлять сетевым трафиком, разрешая или запрещая передачу определенных типов трафика.

Группу безопасности сети можно назначить следующим компонентам:

  • Сетевой интерфейс для фильтрации сетевого трафика только в этом интерфейсе.
  • Подсеть для фильтрации трафика во всех подключенных сетевых интерфейсах в подсети.

Кроме того, можно назначить группы безопасности сети как для сетевых интерфейсов, так и для подсетей. Затем каждая группа безопасности сети оценивается независимо друг от друга.

Объект подсети содержит две виртуальные машины: VM1 и VM2. VM1 защищена путем назначения группы безопасности сети с именем NSG1. Вся подсеть защищена с помощью группы безопасности сети с именем NSG2.

Что такое Брандмауэр Azure?

Брандмауэр Azure — это управляемая облачная служба сетевой безопасности, которая помогает защищать ресурсы в ваших виртуальных сетях. С помощью брандмауэра Azure можно централизованно создавать профили сетевых подключений и управлять ими в масштабах всей организации.

Брандмауэр Azure содержит ряд звездообразных виртуальных сетей, которые подключены к центральной виртуальной сети, где запущен брандмауэр. Эта виртуальная сеть, в свою очередь, подключена как к локальной сети, так и к Интернету. Трафик фильтруется в соответствии с различными правилами, используемыми в этих средах.

Брандмауэр Azure использует статический общедоступный IP-адрес для ресурсов виртуальной сети. Следовательно, внешние брандмауэры могут идентифицировать трафик, поступающий из виртуальной сети вашей организации. Брандмауэр Azure также полностью интегрирован с Azure Monitor, поддерживая ведение журналов и аналитику.

Что такое VPN-шлюз Azure?

VPN-шлюз — это специальный тип шлюза виртуальной сети, который можно использовать для отправки зашифрованного трафика между различными расположениями. Например, VPN-шлюз Azure можно использовать для отправки зашифрованного трафика между следующими расположениями:

  • Виртуальная сеть Azure и локальное расположение через Интернет.
  • Виртуальная сеть Azure и другие виртуальные сети Azure, по сети Майкрософт.

Каждая виртуальная сеть может содержать только один VPN-шлюз, однако вы можете создать несколько подключений к одному и тому же VPN-шлюзу.

Что такое Azure ExpressRoute?

Служба Azure ExpressRoute позволяет легко расширять локальные сети до облака Майкрософт. В отличие от VPN-подключения, ExpressRoute использует частное соединение, предоставленное поставщиком телекоммуникационных услуг. ExpressRoute позволяет устанавливать подключения к облачным службам Майкрософт, таким как Azure и Microsoft Office 365.

Общие сведения о Виртуальной глобальной сети Azure

Виртуальная глобальная сеть Azure представляет собой сетевую службу, которая предоставляет сетевые инструменты, средства безопасности и функции маршрутизации. Виртуальная сеть использует звездообразную архитектуру с встроенными функциями масштабирования и обеспечения производительности. Регионы Azure выступают в роли концентраторов, к которым можно подключиться. Все эти концентраторы соединяются в Виртуальную глобальную сеть уровня "Стандартный" по схеме "каждый с каждым", что позволяет легко использовать магистральную платформу Майкрософт для организации взаимодействия периферийных устройств в любых сочетаниях.

Виртуальная глобальная сеть Azure предоставляет следующие функции:

  • Подключение филиалов
  • Подключение "сеть-сеть" (S2S) по VPN-сети
  • Подключение "точка-сеть" (P2S) по VPN-сети (удаленный пользователь)
  • Подключение ExpressRoute
  • Подключение между облаками
  • Межсоединение ExpressRoute по VPN-сети
  • Маршрутизация
  • Брандмауэр Azure
  • Шифрование

Чтобы приступить к использованию виртуальной глобальной сети, не требуется активировать и использовать все эти функции. Вместо этого можно выбрать функции, которые необходимы в данный момент, и добавлять другие компоненты в соответствии с потребностями организации.

Расширение подсети Azure

Принимая решение о расширении рабочих нагрузок в облако, персонал компании Contoso изучает ряд решений, предлагаемых Azure, включая расширения подсети Azure. Расширение подсети позволяет включать ресурсы Azure как часть собственных локальных подсетей, что, по сути, делает такие отдельные расположения частью одного домена широковещательных IP-адресов. Одна из особенно привлекательных возможностей расширения подсети заключается в том, что специалистам по инфраструктуре компании Contoso не потребуется изменять архитектуру локальной сети.

Внимание

Расширение подсети рекомендуется выбирать только для решения конкретных проблем.

Можно расширить локальную подсеть в Azure с помощью решения на базе оверлейных сетей 3-го уровня. Обычно для расширения сети уровня 2 с помощью оверлейной сети уровня 3 используется решение VXLAN.

На следующей схеме показан обобщенный сценарий. В этом сценарии подсеть 10.0.1.0/24 существует на обеих сторонах; то есть и в Azure, и в локальной среде. Обе эти подсети содержат виртуализированные рабочие нагрузки. Расширение подсети соединяет эти две части одной и той же подсети. Специалисты по инфраструктуре назначили IP-адреса из подсети виртуальным машинам как в Azure, так и в локальной среде.

В любой другой точке инфраструктуры в локальной среде виртуальный сетевой модуль (NVA) подключается посредством подключения ExpressRoute к NVA в другой подсети в Azure. Когда виртуальная машина в локальной сети пытается связаться с виртуальной машиной Azure, локальный виртуальный сетевой модуль захватывает этот пакет, инкапсулирует его и отправляет через подключение VPN или ExpressRoute к сети Azure. Виртуальный сетевой модуль Azure принимает и декапсулирует пакет и переадресует его указанному получателю в сети. Возвращаемый трафик обрабатывается с использованием той же логики, но в обратном порядке.

Схема локальной виртуальной сети и виртуальной сети Azure, подключенных с помощью подключения ExpressRoute и посредством расширения подсети, как описано в предыдущем тексте.