قدمت شركة تصنيع عالمية البنية التي تصفها هذه المقالة. إن أقسام التكنولوجيا التشغيلية وتكنولوجيا المعلومات في الشركة متكاملة للغاية، وتتطلب شبكة داخلية واحدة. ولكن البيئات لديها متطلبات أمان وأداء مختلفة بشكل كبير. نظرًا للطبيعة الحساسة لعمليات الشركة، يجب أن تكون جميع نسبة استخدام الشبكة محمية بجدار الحماية، ويجب أن يكون حل نظام الكشف عن التسلل والحماية (IDPS) في مكانه. لدى قسم تكنولوجيا المعلومات متطلبات أمان أقل تطلبًا للشبكة، ولكن هذا القسم يريد تحسين الأداء حتى يتمكن المستخدمون من الوصول إلى تطبيقات تكنولوجيا المعلومات في زمن انتقال منخفض.
تحول صناع القرار في الشركة إلى Azure Virtual WAN لتلبية الاحتياجات العالمية لشبكة واحدة ذات متطلبات أمان وأداء مختلفة. كما أنها حصلت على حل يسهل إدارته ونشره وتوسيع نطاقه. في أثناء إضافة المناطق، يمكنهم الاستمرار في النمو بسلاسة مع شبكة محسنة للغاية لاحتياجاتهم.
حالات الاستخدام المحتملة
تتضمن حالات الاستخدام النموذجية لهذه البنية الأساسية هذه الحَالات:
- مؤسسة عالمية تتطلب حلًا مركزيًا للملفات للعمل الهام للأعمال.
- أحمال عمل الملفات عالية الأداء التي تتطلب ملفات مخزنة مؤقتًا مترجمة.
- قوة عاملة مرنة عن بعد للمستخدمين داخل المكتب وخارجه.
بناء الأنظمة
نزّل ملف Visio لهذه البنية.
فيما يلي ملخص للهندسة المعمارية:
- يصل المستخدمون إلى الشبكات الظاهرية من فرع.
- Azure ExpressRoute يوسع شبكات الاتصال المحلية إلى سحابة Microsoft من خلال اتصال خاص بمساعدة مزود اتصال.
- يوجه مركز شبكة WAN الظاهرية نسبة استخدام الشبكة بشكل مناسب للأمان أو الأداء. يحتوي المحور على نقاط نهاية خدمة مختلفة لتمكين الاتصال.
- تفرض المسارات المعرفة من قبل المستخدم نسبة استخدام الشبكة إلى NVAs عند الضرورة.
- يفحص كل NVA نسبة استخدام الشبكة التي تتدفق إلى شبكة ظاهرية.
- يوفر نظير الشبكة الظاهرية فحص VNet إلى VNet في البيئة المحسنة للأداء.
لدى الشركة مناطق متعددة وتستمر في نشر المناطق إلى النموذج. تنشر الشركة بيئة محسنة للأمان أو محسنة للأداء فقط عند الحاجة. توجه البيئات نسبة استخدام الشبكة التالية من خلال الجهاز الظاهري للشبكة (NVA):
مسارات نسبة استخدام الشبكة
الوجهات | |||||||
---|---|---|---|---|---|---|---|
VNet1 | VNet2 | VNet3 | VNet4 | الفرع | الإنترنت | ||
مصدر محسن للأمان | VNet1 | Intra VNet | NVA1-VNet2 | NVA1-hub-VNet3 | NVA1-hub-VNet4 | NVA1-hub-branch | NVA1-internet |
مصدر أداء محسن | VNet3 | hub-NVA1-VNet1 | hub-NVA1-VNet2 | Intra VNet | NVA2-VNet4 | hub-branch | NVA2-internet |
مصدر الفرع | الفرع | hub-NVA1-VNet1 | hub-NVA1-VNet2 | hub-VNet3 | hub-VNet4 | غير قابل للتطبيق | غير قابل للتطبيق |
كما يظهر الرسم التخطيطي السابق، تفرض بنية NVA والتوجيه جميع مسارات حركة المرور في البيئة المحسنة للأمان لاستخدام NVA بين الشبكات الظاهرية والمركز في بنية مشتركة ذات طبقات.
تحتوي البيئة المحسنة للأداء على مخطط توجيه أكثر تخصيصًا. يوفر هذا المخطط جدار حماية وفحص نسبة استخدام الشبكة حيثما تكون هناك حاجة إليها. لا يوفر جدار حماية حيث لا تكون هناك حاجة إليه. يتم فرض نسبة استخدام الشبكة الظاهرية إلى VNet في المساحة المحسنة للأداء من خلال NVA2، ولكن يمكن أن تنتقل نسبة استخدام الشبكة من فرع إلى شبكة ظاهرية مباشرة عبر المركز. وبالمثل، لا يحتاج أي شيء متجه إلى البيئة الآمنة إلى الانتقال إلى NVA VNet2 لأنه يتم فحصه على حافة البيئة الآمنة بواسطة NVA في NVA VNet1. والنتيجة هي الوصول عالي السرعة إلى الفرع. لا تزال البنية توفر فحص VNet إلى VNet في البيئة المحسنة للأداء. هذا ليس ضروريًا لجميع العملاء ولكن يمكن إنجازه من خلال النظراء التي يمكنك رؤيتها في البنية.
اقترانات ونشر مركز شبكة WAN الظاهرية
تكوين المسارات لمركز Virtual WAN كما يلي:
الاسم | المقترن بـ | النشر إلى |
---|---|---|
NVA VNet1 | defaultRouteTable | defaultRouteTable |
NVA VNet2 | PerfOptimizedRouteTable | defaultRouteTable |
VNet3 | PerfOptimizedRouteTable | defaultRouteTable |
VNet4 | PerfOptimizedRouteTable | defaultRouteTable |
متطلبات التوجيه
مسار مخصص على جدول التوجيه الافتراضي في مركز Virtual WAN لتوجيه كافة نسبة استخدام الشبكة لـVNet1 وVNet2 إلى secOptConnection.
Route name نوع الوجهة بادئة الوجهة الوثبة التالية Next hop IP مسار محسن للأمان CIDR 10.1.0.0/16 secOptConnection <عنوان IP لـNVA1> مسار ثابت على secOptConnection يعيد توجيه نسبة استخدام الشبكة لـVNet1 وVNet2 إلى عنوان IP NVA1.
الاسم بادئة العنوان نوع القفزة التالية عنوان IP الوثب التالي rt-to-secOptimized 10.1.0.0/16 جهاز ظاهري <عنوان IP لـNVA1> جدول توجيه مخصص على مركز Virtual WAN المسمى perfOptimizedRouteTable. يتم استخدام هذا الجدول لضمان عدم قدرة الشبكات الظاهرية المحسنة للأداء على الاتصال ببعضها البعض عبر المركز ويجب أن تستخدم التناظر مع NVA VNet2.
UDR المقترن بجميع الشبكات الفرعية في VNet1 وVNet2 لتوجيه جميع نسبة استخدام الشبكة مرة أخرى إلى NVA1.
الاسم بادئة العنوان نوع القفزة التالية عنوان IP الوثب التالي rt-all 0.0.0.0/0 جهاز ظاهري <عنوان IP لـNVA1> UDR المقترن بجميع الشبكات الفرعية في VNet3 وVNet4 لتوجيه نسبة استخدام الشبكة الظاهرية إلى VNet ونسبة استخدام الإنترنت إلى NVA2.
الاسم بادئة العنوان نوع القفزة التالية عنوان IP الوثب التالي rt-to-internet 0.0.0.0/0 جهاز ظاهري <IP للعنوان NVA2> vnet-to-vnet 10.2.0.0/16 جهاز ظاهري <عنوان IP لـNVA2>
إشعار
يمكنك استبدال عناوين IP NVA بعناوين IP لموازن التحميل في التوجيه إذا كنت تقوم بنشر بنية عالية التوفر مع NVAs متعددة خلف موازن التحميل.
المكونات
- Azure Virtual WAN. Virtual WAN هي خدمة شبكة تجمع العديد من وظائف الشبكات والأمان والتوجيه معًا لتوفير واجهة تشغيلية واحدة. في هذه الحالة، فإنه يبسط ويتدرج التوجيه إلى الشبكات والفروع الظاهرية المرفقة.
- Azure ExpressRoute. يوسع ExpressRoute الشبكات المحلية في سحابة Microsoft عبر اتصال خاص.
- شبكة Azure الظاهرية. الشبكة الظاهرية هي اللبنة الأساسية لشبكتك الخاصة في Azure. تمكن الشبكة الظاهرية العديد من أنواع موارد Azure، مثل أجهزة Azure الظاهرية (VMs)، من الاتصال بالأمان المحسن مع بعضها البعض والإنترنت والشبكات المحلية.
- مركز Virtual WAN. المركز الظاهري هو شبكة ظاهرية تديرها Microsoft. يحتوي المحور على نقاط نهاية خدمة مختلفة لتمكين الاتصال.
- اتصال الشبكة الظاهرية الخاصة بالمركز. يقوم مورد اتصال الشبكة الظاهرية للمركز بتوصيل المركز بسلاسة بالشبكات الظاهرية.
- المسارات الثابتة. توفر المسارات الثابتة آلية لتوجيه نسبة استخدام الشبكة من خلال IP الوثب التالي.
- جداول توجيه المركز. يمكنك إنشاء توجيه مركز افتراضي وتطبيق التوجيه إلى جدول توجيه المركز الافتراضي.
- تناظر الشبكة الظاهرية. باستخدام تناظر الشبكة الظاهرية، يمكنك توصيل شبكتين ظاهريتين أو أكثر بسلاسة في Azure.
- مسارات محددة من قِبل المستخدم. المسارات المعرفة من قبل المستخدم هي مسارات ثابتة تتجاوز مسارات نظام Azure الافتراضية أو تضيف المزيد من التوجيهات إلى جدول توجيه الشبكة الفرعية. يتم استخدامها هنا لفرض نسبة استخدام الشبكة إلى NVAs عند الضرورة.
- الأجهزة الظاهرية للشبكة. الأجهزة الظاهرية للشبكة هي أجهزة شبكة توفرها السوق. في هذه الحالة، قامت الشركة بنشر NVA الخاص بـPalo Alto، ولكن أي جدار حماية NVA سيعمل هنا.
البدائل
لنشر بيئة NVA عالية الأمان فقط، يمكنك اتباع هذا النموذج: توجيه نسبة استخدام الشبكة من خلال NVA.
لنشر نموذج NVA مخصص يدعم كل من توجيه نسبة استخدام الشبكة إلى جدار حماية مخصص للإنترنت وتوجيه نسبة استخدام الشبكة الفرعية عبر NVA، راجع توجيه نسبة استخدام الشبكة عبر NVAs باستخدام إعدادات مخصصة.
يقوم البديل السابق بنشر بيئة عالية الأمان خلف NVA ويوفر بعض القدرة على نشر بيئة مخصصة. ولكنه يختلف عن حالة الاستخدام الموضحة في هذه المقالة بطريقتين. أولًا، يظهر النموذجين في عزلة بدلًا من تركيبهما. ثانيًا، لا يدعم نسبة استخدام الشبكة الظاهرية إلى VNet في البيئة المخصصة (ما نسميه البيئة المحسنة للأداء هنا).
الاعتبارات
في هذا النشر، لا تمر المسارات التي تعبر مركز Virtual WAN إلى بيئة محسنة للأداء عبر NVA في تلك البيئة. وهذا يمثل مشكلة محتملة في نسبة استخدام الشبكة عبر المناطق الموضحة هنا:
لا تعبر نسبة استخدام الشبكة عبر المناطق بين البيئات المحسنة للأداء NVA. هذا قيد على توجيه نسبة استخدام الشبكة مباشرة إلى الشبكات الظاهرية.
التوافر
Virtual WAN هي خدمة شبكة متوفرة بشكل عالٍ. يمكنك إعداد المزيد من الاتصال أو المسارات من الفرع للحصول على مسارات متعددة لخدمة Virtual WAN. ولكنك لا تحتاج إلى أي شيء إضافي داخل خدمة VWAN.
يجب عليك إعداد NVAs في بنية عالية التوفر مشابهة للبنية الموضحة هنا: توزيع NVAs عالية التوفر.
الأداء
يعمل هذا الحل على تحسين أداء الشبكة عند الضرورة. يمكنك تعديل التوجيه وفقًا لمتطلباتك الخاصة، ما يتيح نسبة استخدام الشبكة إلى الفرع لعبور NVA ونسبة استخدام الشبكة بين الشبكات الظاهرية للتدفق بحرية أو لاستخدام جدار حماية واحد لتسرب الإنترنت.
قابلية التوسع
هذه البنية قابلة للتطوير عبر المناطق. ضع في اعتبارك متطلباتك عند إعداد تسميات التوجيه لمسارات التجميع وإعادة توجيه نسبة استخدام الشبكة الفرعية بين المراكز الظاهرية.
Security
باستخدام NVAs، يمكنك استخدام ميزات مثل IDPS مع Virtual WAN.
مرونة
للحصول على معلومات حول المرونة، راجع التوفر، سابقًا في هذه المقالة.
تحسين التكلفة
يعتمد تسعير هذه البنية بشكل كبير على NVAs التي تقوم بنشرها. للحصول على اتصال ER بسرعة 2 جيجابت في الثانية ومركز Virtual WAN الذي يعالج 10 تيرابايت شهريا، راجع تقدير التسعير هذا.
المساهمون
تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.
الكاتب الرئيسي:
- John Poetzinger | مهندس حلول سحابي أول
الخطوات التالية
- ما هي Azure Virtual WAN؟
- ما المقصود بـ Azure ExpressRoute؟
- كيفية تكوين توجيه المركز الظاهري - Azure Virtual WAN
- جدار الحماية وبوابة التطبيقات للشبكات الظاهرية
- Azure Virtual WAN ودعم العمل عن بعد