Гибридные облачные сети

  • 10 мин

В традиционной многообъектной локальной сети может потребоваться подключение нескольких филиалов к головному офису. Аналогичным образом, построение гибридной сети предусматривает использование соответствующих технологий для эффективного взаимодействия локальных пользователей, приложений и данных с приложениями и данными, размещенными в облаке.

В нашем сценарии компания Tailwind Traders должна иметь возможность безопасного подключения локальных расположений к ресурсам, которые выполняются в Azure. Это необходимо, чтобы для персонала Tailwind Traders не было никаких реальных различий между доступом к рабочим нагрузкам, которые выполняются в локальном центре обработки данных Tailwind Traders, и тем, которые запущены в Azure.

В этом модуле вы узнаете о сетевых технологиях, которые позволяют объединить локальные и облачные ресурсы в единое гибридное облако.

Что такое Azure VPN?

Azure VPN позволяет подключать локальную сеть к Azure с помощью защищенного VPN-туннеля в общедоступном Интернете. Подключения Azure VPN похожи на традиционные VPN-подключения, которые могут существовать между филиалом и головным офисом. Каждая виртуальная сеть может иметь только один VPN-шлюз, но каждый VPN-шлюз поддерживает несколько подключений.

На приведенном ниже рисунке показано соединение между периферийным устройством шлюза локальной сети и VPN-шлюзом в виртуальной сети Azure. В нем показано соединение между устройством Azure Stack и VPN-шлюзом.

Схема гибридной сети, охватывающей локальные инфраструктуры и инфраструктуры Azure.

В этом примере компания Tailwind Traders может использовать VPN-шлюзы Azure, чтобы открыть подключения с небольших сайтов филиалов, для которых не требуется выделенный канал, предоставляемый подключением Azure ExpressRoute. У VPN-шлюзов Azure есть недостаток: они используют интернет-подключение поставщика услуг Интернета (ISP). Если у вашего поставщика услуг Интернета произойдет сбой, VPN-подключения будут недоступны. Кроме того, если ваш поставщик услуг Интернета сталкивается с существенной перегрузкой, скорость VPN-подключения между локальным расположением и Azure может быть снижена.

Организации с существующими VPN-подключениями между филиалами уже сталкиваются с проблемами, связанными с выделенными VPN-подключениями.

Что такое Azure ExpressRoute?

Microsoft Azure ExpressRoute позволяет компании использовать выделенное частное высокоскоростное подключение из локальной сети в Azure. Это подключение не пересекается с общедоступным Интернетом и функционально представляет собой выделенную оптическую линию прямо из локального расположения в ближайший центр обработки данных Azure.

В отличие от VPN-шлюза оборудование, предоставляющее это подключение, управляется поставщиком ExpressRoute. Поскольку поставщик ExpressRoute управляет всем оборудованием, он может предоставить соглашение об уровне обслуживания (SLA) с точки зрения надежности и пропускной способности, которое недоступно пользователям подключений VPN-шлюза Azure.

На приведенном ниже рисунке показано подключение ExpressRoute между локальной средой и рабочими нагрузками, которые выполняются в Azure. Поставщик ExpressRoute управляет каналом ExpressRoute и локальными пограничными маршрутизаторами.

Схема архитектуры гибридной сети с использованием Azure ExpressRoute.

ExpressRoute, в дополнение к обеспечению выделенной пропускной способности подключения между локальной средой и Azure, позволяет компании гарантировать, что конфиденциальный трафик не передается через общедоступный Интернет. Это важно в тех юрисдикциях, где нормативные требования запрещают передачу определенных типов информации через Интернет.

В нашем примере Tailwind Traders может реализовать подключение типа ExpressRoute из наиболее крупных офисов с большим количеством пользователей, как в Мельбурне, Сиднее и Окленде. Компании также может потребоваться использовать ExpressRoute, если существуют определенные типы данных, которые не могут быть переданы через Интернет из-за необходимости соответствия требованиям.

Что такое Гибридная служба DNS?

При реализации гибридного облака необходимо убедиться, что локальные рабочие нагрузки могут преобразовывать адреса рабочих нагрузок в облаке, а облачные рабочие нагрузки могут преобразовывать адреса локальных рабочих нагрузок. Для развертываний службы доменных имен (DNS) в гибридном облаке обычно требуются DNS-серверы в локальной среде и в Azure. Кроме того, необходимо настроить передачу зон DNS между локальной средой и облаком. Также вы можете настроить серверы пересылки DNS, которые применяются, если локальная зона DNS отличается от зоны DNS, связанной с рабочими нагрузками, выполняемыми в Azure.

На следующем рисунке показано, как локальные DNS-серверы реплицируют данные DNS на DNS-серверы, работающие в Azure. В этом сценарии виртуальная машина развертывается как DNS-сервер в Azure. На этом рисунке локальная служба DNS подключается к подписке концентратора с DNS-серверами на виртуальных машинах. Другие подписки Azure подключаются к подписке концентратора.

Схема, на которой показана гибридная архитектура DNS.

Кроме того, частный сопоставитель Azure DNS — это служба, которая позволяет запрашивать частные зоны Azure DNS из локальной среды и наоборот, не развертывая DNS-серверы на основе виртуальных машин. Служба частного сопоставителя полностью управляется и имеет встроенные функции высокой доступности.

Tailwind Traders может использовать частный сопоставитель Azure DNS, чтобы убедиться, что все их рабочие нагрузки, работающие в Azure, могут разрешать DNS-имена узлов во внутренней сети Tailwind Traders. а все узлы внутренней сети Tailwind Traders могут преобразовывать DNS-имена рабочих нагрузок, выполняемых в облаке.

Общие сведения о Виртуальной глобальной сети Azure

Виртуальная глобальная сеть Azure позволяет компании использовать сеть Azure в звездообразной топологии сети. Сеть Azure реализована как концентратор для транзитного подключения между конечными точками, которые функционируют как периферийные.

Обычно у вас есть топология сети, в которой у каждого офиса филиала есть VPN-подключение к сайту головного офиса. Если трафик передается из одного филиала в другой, он будет проходить через сайт узла. Если сайты головного офиса и филиалов подключены к Azure с помощью VPN или ExpressRoute, эти подключения могут образовывать периферийные серверы, а виртуальная глобальная сеть Azure служит центром маршрутизации для трафика между локальными расположениями.

На следующем рисунке показана топология виртуальной глобальной сети Azure.

Схема, показывающая топологию Azure Виртуальная глобальная сеть с несколькими сайтами, подключенными друг к другу в концентраторе и периферийной топологии через Azure.

Виртуальная глобальная сеть Azure позволяет Tailwind Traders использовать VPN-подключения для подключения филиалов и центров обработки данных в Сиднее, Мельбурне и Окленде. Она предоставляет топологию, в которой каждый филиал и центр обработки данных имеет подключение VPN или ExpressRoute к Azure, а служба виртуальной глобальной сети Azure управляет маршрутизацией трафика между расположениями.

Проверьте свои знания

1.

Компания Tailwind Traders должна гарантировать, что данные, передаваемые из офиса в Канберре в рабочие нагрузки, запущенные в Azure, не проходят через общедоступный Интернет даже в зашифрованном туннеле. Какие из следующих технологий компания Tailwind Traders может использовать для подключения этого офиса к рабочим процессам, запущенным в Azure?

2.

В настоящее время все филиалы Tailwind Traders подключены к офису в Сиднее с помощью VPN-подключения. Внутренний сетевой трафик между офисами филиалов направляется через Сидней в звездообразной топологии. Вместо использования офиса в Сиднее как центра маршрутизации трафика между филиалами Tailwind Traders предпочла бы использовать Azure. Какую из следующих технологий может использовать Tailwind Traders для достижения этой цели?