Migrace do Azure Virtual WAN

  • Článek
  • 11 min ke čtení

Azure Virtual WAN umožňuje společnostem zjednodušit globální připojení, aby bylo možné těžit z rozsahu globální sítě Microsoftu. Tento článek obsahuje technické podrobnosti pro společnosti, které chtějí migrovat z existující topologie centra a paprsku spravované zákazníkem na návrh, který využívá centra spravovaná Virtual WAN Microsoftem.

Informace o výhodách, které Azure Virtual WAN podnikům při přechodu na cloudovou moderní podnikovou globální síť, najdete v tématu Architektura globální tranzitní sítě a Virtual WAN.

centrum a paprsk Obrázek: Azure Virtual WAN

Tisíce našich zákazníků přijaly model připojení centra a paprsku Azure k využití výchozího přechodného směrování sítě Sítě Azure k vytváření jednoduchých a škálovatelných cloudových sítí. Azure Virtual WAN těchto konceptů a zavádí nové funkce, které umožňují globální topologie připojení nejen mezi místními umístěními a Azure, ale také umožňují zákazníkům využívat škálování sítě Microsoftu k rozšíření stávajících globálních sítí.

Tento článek ukazuje, jak migrovat stávající centrum a paprskové prostředí spravované zákazníkem do topologie založené na Azure Virtual WAN.

Scenario

Contoso je globální finanční organizace s pobočkami v Evropě i Asii. Chystá se přesunout své stávající aplikace z místního datového centra v Azure a mají vytvořen základní návrh založený na architektuře centra a paprskové architektury spravované zákazníkem, včetně virtuálních sítí s regionálním centrem pro hybridní připojení. V rámci přechodu na cloudové technologie měl síťový tým za úkol zajistit, aby jeho připojení bylo dále optimalizováno pro firmu.

Následující obrázek znázorňuje přehled stávající globální sítě, včetně připojení k více oblastem Azure.

Existující topologie sítě Contoso Obrázek: Existující síťová topologie společnosti Contoso

Ze stávající síťové topologie je možné pochopit následující body:

  • Topologie centra a paprsku se používá ve více oblastech, včetně okruhů ExpressRoute pro připojení zpět ke společné síti WAN (Private Wide Area Network).

  • Některé z těchto webů mají také tunely VPN přímo do Azure, aby bylo možné oslovit aplikace hostované v cloudu.

Požadavky

Síťový tým má za úkol zajistit globální síťový model, který může podporovat migraci společnosti Contoso do cloudu a musí ji optimalizovat v oblasti nákladů, škálování a výkonu. V souhrnu je třeba splnit následující požadavky:

  • Zajištění optimalizované cesty k aplikacím hostovaným v cloudu pro hlavní čtvrtletí (HQ) i pobočky.
  • Odebrání závislosti na existujících místních datových centrech (DC) pro ukončení sítě VPN a zachování následujících cest připojení:
    • Mezi pobočkami: Pobočky připojené k síti VPN musí mít přístup k aplikacím migrovaných do cloudu v místní oblasti Azure.
    • Připojení mezi pobočkami a centrem: Pobočky připojené k síti VPN musí mít přístup k aplikacím migrovaných do cloudu ve vzdálené oblasti Azure.
    • Pobočka mezi pobočkami: Pobočky připojené k regionální síti VPN musí být schopné vzájemně komunikovat a lokality HQ/DC připojené přes ExpressRoute.
    • Mezi pobočkami a mezi centrem a pobočkami: Globálně oddělené pobočky připojené k síti VPN musí být schopné komunikovat mezi sebou a libovolnými weby HQ/DC připojenými přes ExpressRoute.
    • Připojení mezi pobočkou a internetem: Připojené weby musí být schopné komunikovat s internetem. Tento provoz se musí filtrovat a protokolovat.
    • VNet-to-VNet: Paprskové virtuální sítě ve stejné oblasti musí být schopné vzájemně komunikovat.
    • VNet-to-Hub-to-VNet: Paprskové virtuální sítě v různých oblastech musí být schopné vzájemně komunikovat.
  • Poskytnout roamingovým uživatelům (notebooku a telefonu) společnosti Contoso možnost přistupovat k firemním prostředkům, i když nejsou v podnikové síti.

Azure Virtual WAN architektury

Následující obrázek znázorňuje základní přehled aktualizované cílové topologie pomocí Azure Virtual WAN, aby splňoval požadavky podrobně uvedené v předchozí části.

Architektura virtuální sítě WAN Contoso Obrázek: Azure Virtual WAN architektura

Souhrn:

  • Plně kvalifikovaný název domény v Evropě zůstává připojený přes ExpressRoute, místní řadič domény v Evropě se plně migruje do Azure a vyřaďte z provozu.
  • Řadič domény v Asii a HQ zůstávají připojené k privátní síti WAN. Azure Virtual WAN se teď používá k vylepšení místní sítě dopravce a zajištění globálního připojení.
  • Azure Virtual WAN centra nasazená v oblastech Azure Západní Evropa i South Východní Asie, která poskytují centrum připojení pro zařízení s ExpressRoute a připojením VPN.
  • Centra také poskytují ukončení sítě VPN pro roamingové uživatele napříč různými typy klientů pomocí připojení OpenVPN k síti global mesh, což umožňuje přístup nejen k aplikacím migrovaných do Azure, ale také ke všem prostředkům, které zůstávají v místním prostředí.
  • Připojení k internetu pro prostředky ve virtuální síti poskytované Azure Virtual WAN.

Připojení k internetu pro vzdálené lokality také poskytuje Azure Virtual WAN. Místní přerušení internetu podporované prostřednictvím integrace partnerů pro optimalizovaný přístup ke službám SaaS, jako je Microsoft 365.

Migrace na Virtual WAN

Tato část ukazuje různé kroky pro migraci na Azure Virtual WAN.

Krok 1: Centrum a paprsky spravované zákazníkem v jedné oblasti

Následující obrázek znázorňuje topologii jedné oblasti pro společnost Contoso před nasazením Azure Virtual WAN:

Topologie s jednou oblastí Obrázek 1: Ruční centrum a paprsky v jedné oblasti

V souladu s přístupem centra a paprsku obsahuje virtuální síť centra spravovaného zákazníkem několik bloků funkcí:

  • Sdílené služby (všechny společné funkce vyžadované více paprsky). Příklad: Společnost Contoso používá řadiče domény s Windows Serverem na virtuálních počítačích infrastruktury jako služby (IaaS).
  • Služby brány firewall pro IP/směrování poskytuje síťové virtuální zařízení třetí strany, které umožňuje směrování IP mezi paprsky vrstvy 3.
  • Služby příchozího/odchozího přenosu dat z internetu Azure Application Gateway pro příchozí požadavky HTTPS a služby proxy třetích stran spuštěné na virtuálních počítačích pro filtrovaný odchozí přístup k internetovým prostředkům.
  • ExpressRoute a brána virtuální sítě VPN pro připojení k místním sítím.

Krok 2: Nasazení Virtual WAN center

Nasaďte Virtual WAN v každé oblasti. Nastavte centrum Virtual WAN s funkcí SÍTĚ VPN a ExpressRoute, jak je popsáno v následujících článcích:

Poznámka

Azure Virtual WAN některé cesty přenosů uvedené v tomto článku musí používat standardní SKU.

Nasazení Virtual WAN center Obrázek 2: Centrum a paprsky spravované zákazníkem pro Virtual WAN migraci

Krok 3: Připojení vzdálených lokalit (ExpressRoute a VPN) k Virtual WAN

Připojte Virtual WAN k existujícím okruhům ExpressRoute a nastavte sítě VPN site-to-site přes internet ke vzdáleným větvím.

Připojení vzdálených lokalit k Virtual WAN Obrázek 3: Centrum a paprsky spravované zákazníkem pro Virtual WAN migrace

V tomto okamžiku začne místní síťové vybavení přijímat trasy odrážející adresní prostor IP adres přiřazený virtuální síti Virtual WAN spravovaném centrem. Ve vzdálených větvích připojených k síti VPN se v této fázi zobrazí dvě cesty ke stávajícím aplikacím v paprskových virtuálních sítích. Tato zařízení by měla být nakonfigurovaná tak, aby i nadále používat tunel do centra spravovaného zákazníkem, aby se zajistilo symetrické směrování během fáze přechodu.

Krok 4: Testování hybridního připojení přes Virtual WAN

Před použitím spravovaného centra Virtual WAN pro připojení k produkčnímu prostředí doporučujeme nastavit virtuální síť testovacího paprsku a Virtual WAN virtuální síť. Než budete pokračovat v dalších krocích, ověřte, že připojení k tomuto testovacímu prostředí fungují přes ExpressRoute a VPN site-to-site.

Testování hybridního připojení prostřednictvím Virtual WAN Obrázek 4: Centrum a paprsky spravované zákazníkem pro Virtual WAN migrace

V této fázi je důležité si uvědomit, že původní virtuální síť centra spravovaného zákazníkem i nová služba Virtual WAN Hub jsou připojené ke stejnému okruhu ExpressRoute. Z tohoto důvodu máme trasu provozu, kterou je možné použít k tomu, aby paprsky v obou prostředích komunikovaly. Například provoz z paprsku, který je připojený k virtuální síti centra spravovaného zákazníkem, bude procházet zařízení MSEE používaná pro okruh ExpressRoute a dosáhne jakéhokoli paprsku připojeného přes připojení virtuální sítě k novému Virtual WAN Hubu. To umožňuje staged migraci paprsků v kroku 5.

Krok 5: Přechod připojení k rozbočovači virtuální sítě WAN

Přechod připojení k Virtual WAN hubu Obrázek 5: Centrum a paprsky spravované zákazníkem pro Virtual WAN migraci

a. Odstraňte existující připojení peeringu z virtuálních sítí Spoke do starého centra spravovaného zákazníkem. Přístup k aplikacím v paprskových virtuálních sítích není k dispozici, dokud se kroky a až c nedokončí.

b. Propojení paprskových virtuálních sítí s centrem Virtual WAN přes připojení virtuálních sítí

c. Odeberte všechny trasy definované uživatelem ( UDR), které se dříve používaly v rámci paprskových virtuálních sítí pro komunikaci mezi paprsky. Tato cesta je teď povolená dynamickým směrováním dostupným v rámci Virtual WAN hubu.

d. Stávající brány ExpressRoute a VPN Gateway v centru spravovaném zákazníkem se teď vyřaďte z provozu, aby bylo možné povolit další krok (e).

e. Připojte staré centrum spravované zákazníkem (centrální virtuální síť) k Virtual WAN přes nové připojení virtuální sítě.

Krok 6: Staré centrum se stane paprskem sdílených služeb

Nyní jsme převedli návrh naší sítě Azure, aby virtuální síť WAN měla centrální bod v naší nové topologii.

Starý rozbočovač se bude nacházet jako uzel sdílených služeb Obrázek 6: migrace centra a paprsků na virtuální síť WAN spravovaná zákazníkem

Vzhledem k tomu, že virtuální síť WAN je spravovaná entita a neumožňuje nasazení vlastních prostředků, jako jsou virtuální počítače, blokuje služba Shared Services jako virtuální síť paprsků a hostuje funkce, jako je třeba internetové příchozí přenosy prostřednictvím Azure Application Gateway nebo síťové virtualizované zařízení. Přenos dat mezi prostředím sdílených služeb a back-end virtuálními počítači teď projíždějí virtuálním centrem spravovanému přes síť WAN.

Krok 7: Optimalizujte místní připojení, aby bylo možné plně využívat virtuální síť WAN.

V této fázi společnost Contoso většinou dokončila své migrace obchodních aplikací do Microsoft Cloud a v místním řadiči domény zbývá jenom několik starších verzí aplikací.

Optimalizuje místní připojení, aby bylo možné plně využívat virtuální síť WAN. Obrázek 7: migrace centra a paprsků na virtuální síť WAN spravovaná zákazníkem

Aby bylo možné využívat všechny funkce Azure Virtual WAN, společnost Contoso se rozhodla vyřadit z provozu starší místní připojení VPN. Všechny větve, které budou mít nadále přístup k sítím sídel nebo DC, můžou přesměrovat globální síť Microsoft pomocí integrovaného tranzitního směrování Azure Virtual WAN.

Poznámka

ExpressRoute Global Reach se vyžaduje pro zákazníky, kteří chtějí využít páteřní síť Microsoftu k poskytování ExpressRoute pro ExpressRoute tranzit (nezobrazuje se obrázek 7).

Architektura koncových stavů a cest provozu

Architektura koncových stavů a cest provozu Obrázek: virtuální síť WAN s duální oblastí

Tato část poskytuje přehled o tom, jak tato topologie splňuje původní požadavky, a to tak, že se podíváme na několik ukázkových toků provozu.

Cesta 1

Cesta 1 zobrazuje tok přenosů z větve připojení S2S VPN v Asii do virtuální sítě Azure v oblasti jih Východní Asie.

Provoz se směruje takto:

  • Větev Asie je připojená prostřednictvím tunelového propojení s povoleným protokolem S2S BGP do centra Východní Asie virtuální sítě WAN v jihoasijských sítích.

  • Asie z virtuálních sítí WAN směrují provoz místně do připojené virtuální sítě.

Flow 1

Cesta 2

Cesta 2 ukazuje tok provozu z ExpressRoute s připojeným Evropským sídel k virtuální síti Azure v oblasti jih Východní Asie.

Provoz se směruje takto:

  • Evropské sídel je prostřednictvím okruhu ExpressRoute připojená k Západní Evropa virtuálnímu centru WAN.

  • Globální připojení typu rozbočovač sítě WAN do rozbočovače umožňuje přenos provozu do sítě VNet připojené ve vzdálené oblasti.

Flow 2

Cesta 3

Cesta 3 ukazuje přenosový tok z místního řadiče domény Asie, který je připojený k privátní síti WAN, do Evropské připojené větve S2S.

Provoz se směruje takto:

  • Asie – řadič domény je připojený k místnímu privátnímu nosiči WAN.

  • Okruh ExpressRoute místně končí v privátní síti WAN a připojuje se k rozbočovači Východní Asie virtuální síti WAN v jihoasijských sítích.

  • Globální připojení z rozbočovače WAN na rozbočovač umožňuje přenos provozu.

Tok 3

Cesta 4

Cesta 4 ukazuje přenosový tok z virtuální sítě Azure v oblasti Jižní Východní Asie do virtuální sítě Azure v oblasti Západní Evropa.

Provoz se směruje takto:

  • Globální připojení z rozbočovače WAN na rozbočovač umožňuje nativní přenos všech připojených Azure virtuální sítě bez dalších konfiguračních konfigurací uživatele.

Tok 4

Cesta 5

Cesta 5 zobrazuje tok přenosů z uživatelů cestovní sítě VPN (P2S) do virtuální sítě Azure v oblasti Západní Evropa.

Provoz se směruje takto:

  • Uživatelé přenosných počítačů a mobilních zařízení používají klienta OpenVPN pro transparentní připojení k bráně VPN P2S v Západní Evropa.

  • Západní Evropa virtuální síť WAN směruje provoz místně do připojené virtuální sítě.

Tok 5

Zabezpečení a řízení zásad prostřednictvím Azure Firewall

Společnost Contoso nyní ověřila připojení mezi všemi větvemi a virtuální sítě v souladu s požadavky uvedenými výše v tomto článku. Aby bylo možné splnit požadavky na řízení zabezpečení a izolaci sítě, musí nadále oddělit a Protokolovat provoz přes síť centrální sítě. Dřív se tato funkce prováděla síťovým virtuálním zařízením (síťové virtuální zařízení). Společnost Contoso také chce vyřadit existující proxy služby a využívat nativní služby Azure pro odchozí internetové filtrování.

Zabezpečení a řízení zásad prostřednictvím Azure Firewall Obrázek: Azure Firewall ve virtuální síti WAN (zabezpečené virtuální rozbočovač)

Následující kroky vysoké úrovně jsou nutné k zavedení Azure Firewall do virtuálních rozbočovačů sítě WAN, aby bylo možné povolit sjednocený bod řízení zásad. Další informace o tomto procesu a konceptu zabezpečených virtuálních rozbočovačů najdete v tématu Azure firewall Manager.

  1. Vytvořte zásady Azure Firewall.
  2. Připojte zásady brány firewall ke službě Azure Virtual WAN hub. Tento krok umožňuje stávajícímu virtuálnímu rozbočovači sítě WAN fungovat jako zabezpečené virtuální rozbočovač a nasadí požadované prostředky Azure Firewall.

Poznámka

Existují omezení týkající se používání zabezpečených virtuálních rozbočovačů, včetně provozu mezi oblastmi. Další informace najdete v tématu známé problémy Správce brány firewall.

Následující cesty ukazují cesty k připojení, které jsou povolené pomocí zabezpečených virtuálních rozbočovačů Azure:

Cesta 6

Cesta 6 zobrazuje zabezpečený tok provozu mezi virtuální sítě ve stejné oblasti.

Provoz se směruje takto:

  • Virtuální sítě připojené ke stejnému zabezpečenému virtuálnímu rozbočovači nyní směrují provoz do přes Azure Firewall.

  • Azure Firewall můžou pro tyto toky použít zásady.

Tok 6

Cesta 7

Cesta 7 ukazuje tok přenosů z virtuální sítě Azure do Internetu nebo služby zabezpečení třetích stran.

Provoz se směruje takto:

  • Virtuální sítě připojené k zabezpečenému virtuálnímu rozbočovači mohou odesílat provoz do veřejné sítě, jejichž cílem je síť Internet, a to pomocí zabezpečeného centra jako centrálního bodu přístupu k Internetu.

  • Tento provoz je možné filtrovat místně pomocí Azure Firewall pravidel plně kvalifikovaného názvu domény nebo odeslat službě zabezpečení třetí strany pro kontrolu.

Tok 7

Cesta 8

Cesta 8 zobrazuje tok přenosů z meziinternetu nebo služby zabezpečení třetích stran.

Provoz se směruje takto:

  • Větve připojené k zabezpečenému virtuálnímu rozbočovači mohou odesílat provoz do veřejných cílů na internetu pomocí zabezpečeného centra jako centrálního bodu přístupu k Internetu.

  • Tento provoz je možné filtrovat místně pomocí Azure Firewall pravidel plně kvalifikovaného názvu domény nebo odeslat službě zabezpečení třetí strany pro kontrolu.

Tok 8

Další kroky

Přečtěte si další informace o Azure Virtual WAN.