Migrace do Azure Virtual WANMigrate to Azure Virtual WAN

Azure Virtual WAN umožňuje společnostem zjednodušit globální připojení, aby bylo možné využívat škálování globální sítě Microsoftu.Azure Virtual WAN lets companies simplify their global connectivity in order to benefit from the scale of the Microsoft global network. Tento článek poskytuje technické podrobnosti pro společnosti, které chtějí migrovat z existující topologie centra a paprsků spravované zákazníkem, do návrhu, který využívá virtuální sítě WAN spravované Microsoftem.This article provides technical details for companies that want to migrate from an existing customer-managed hub-and-spoke topology, to a design that leverages Microsoft-managed Virtual WAN hubs.

Informace o výhodách, které Azure Virtual WAN umožňuje podnikům, které přijímají moderní cloudovou globální síť v cloudu, najdete v tématu globální přenosová architektura sítě a virtuální síť WAN.For information about the benefits that Azure Virtual WAN enables for enterprises adopting a cloud-centric modern enterprise global network, see Global transit network architecture and Virtual WAN.

střed a paprskový Obrázek: Azure Virtual WANFigure: Azure Virtual WAN

Model připojení centra Azure a paprsků přijaly tisíce našich zákazníků, aby využili výchozí chování přenositelného směrování sítí Azure, aby bylo možné vytvářet jednoduché a škálovatelné cloudové sítě.The Azure hub-and-spoke connectivity model has been adopted by thousands of our customers to leverage the default transitive routing behavior of Azure Networking in order to build simple and scalable cloud networks. Azure Virtual WAN staví na těchto konceptech a zavádí nové funkce, které umožňují globální topologie připojení, nejen mezi místními umístěními a Azure, ale také umožňují zákazníkům využít škálování sítě Microsoftu k rozšíření stávajících globálních sítí.Azure Virtual WAN builds on these concepts and introduces new capabilities that allow global connectivity topologies, not only between on-premises locations and Azure, but also allowing customers to leverage the scale of the Microsoft network to augment their existing global networks.

Tento článek ukazuje, jak migrovat existující prostředí centra a paprsků spravované zákazníkem na topologii založenou na Azure Virtual WAN.This article shows how to migrate an existing customer-managed hub-and-spoke environment, to a topology that is based on Azure Virtual WAN.

ScenarioScenario

Contoso je globální finanční organizace s kancelářemi v Evropě i v Asii.Contoso is a global financial organization with offices in both Europe and Asia. Plánují přesun svých stávajících aplikací z místního datového centra do Azure a vytvořili jsme základní návrh na základě architektury centra a paprsků spravované zákazníkem, včetně virtuálních sítí centrálního centra pro hybridní připojení.They are planning to move their existing applications from an on-premises data center in to Azure and have built out a foundation design based on the customer-managed hub-and-spoke architecture, including regional hub virtual networks for hybrid connectivity. V rámci přechodu na cloudové technologie byly síťovému týmu zajišťovat, aby bylo zajištěno, že je jejich připojení optimalizované pro pohyb vpřed.As part of the move to cloud-based technologies, the network team have been tasked with ensuring that their connectivity is optimized for the business moving forward.

Následující obrázek znázorňuje nejdůležitější pohled na stávající globální síť, včetně připojení k několika oblastem Azure.The following figure shows a high-level view of the existing global network including connectivity to multiple Azure regions.

Stávající síťová topologie společnosti Contoso Obrázek: síťová topologie contoso existující sítěFigure: Contoso existing network topology

Z existující topologie sítě se dají chápat tyto body:The following points can be understood from the existing network topology:

  • Topologie centra a paprsků se používá v několika oblastech, včetně okruhů ExpressRoute pro připojení zpátky ke společné privátní síti WAN (Wide Area Network).A hub-and-spoke topology is used in multiple regions including ExpressRoute circuits for connectivity back to a common private Wide Area Network (WAN).

  • Některé z těchto lokalit mají také tunely VPN přímo v Azure pro přístup k aplikacím hostovaným v cloudu.Some of these sites also have VPN tunnels directly in to Azure to reach applications hosted within the cloud.

PožadavkyRequirements

Síťový tým byl vytvořen s poskytováním globálního síťového modelu, který může podporovat migraci společnosti Contoso do cloudu a musí být optimalizován v oblastech nákladů, škálování a výkonu.The networking team have been tasked with delivering a global network model that can support the Contoso migration to the cloud and must optimize in the areas of cost, scale, and performance. V souhrnu jsou splněné následující požadavky:In summary, the following requirements are to be met:

  • Poskytněte sídel (hlavní čtvrtletí) i pobočky s optimalizovanou cestou k aplikacím hostovaným v cloudu.Provide both head quarter (HQ) and branch offices with optimized path to cloud hosted applications.
  • Odeberte závislosti na stávajících místních datových centrech (DC) pro ukončení sítě VPN a zachovejte následující cesty připojení:Remove the reliance on existing on-premises data centers (DC) for VPN termination while retaining the following connectivity paths:
    • Větvení na virtuální síť: pobočky připojené k síti VPN musí být schopné získat přístup k aplikacím, které jsou migrovány do cloudu v místní oblasti Azure.Branch-to-VNet: VPN connected offices must be able to access applications migrated to the cloud in the local Azure region.
    • Vytváření větví do sítě typu hub-to-VNet: pobočky připojené k síti VPN musí mít přístup k aplikacím, které jsou migrovány do cloudu ve vzdálené oblasti Azure.Branch-to-Hub to Hub-to-VNet: VPN connected offices must be able to access applications migrated to the cloud in the remote Azure region.
    • Větev-do větve: pobočky připojené k síti VPN musí být schopné komunikovat mezi ostatními a ExpressRoute připojenými sídel/řadiči DC.Branch-to-branch: Regional VPN connected offices must be able to communicate with each other and ExpressRoute connected HQ/DC sites.
    • Rozvětvení do větvení: globálně oddělené pobočky připojené k síti VPN musí být schopné vzájemně komunikovat a všechny EXPRESSROUTE připojené sídel/DC servery.Branch-to-Hub to Hub-to-branch: Globally separated VPN connected offices must be able to communicate with each other and any ExpressRoute connected HQ/DC sites.
    • Připojení k Internetu: připojené lokality musí být schopné komunikovat s internetem.Branch-to-Internet: Connected sites must be able to communicate with the Internet. Tento provoz se musí filtrovat a protokolovat.This traffic must be filtered and logged.
    • VNet-to-VNet: virtuální sítě rozbočovače ve stejné oblasti musí být schopné vzájemně komunikovat.VNet-to-VNet: Spoke virtual networks in the same region must be able to communicate with each other.
    • Síť VNet-to-hub pro rozbočovače: virtuální sítě v různých oblastech musí být schopné vzájemně komunikovat.VNet-to-Hub to Hub-to-VNet: Spoke virtual networks in the different regions must be able to communicate with each other.
  • Umožněte uživatelům pro roaming společnosti Contoso přístup k prostředkům společnosti, a to i v případě, že nejsou v podnikové síti.Provide the ability for Contoso roaming users (laptop and phone) to access company resources while not on the corporate network.

Architektura Azure Virtual WANAzure Virtual WAN architecture

Následující obrázek ukazuje podrobný pohled na aktualizovanou cílovou topologii pomocí Azure Virtual WAN, který splňuje požadavky popsané v předchozí části.The following figure shows a high-level view of the updated target topology using Azure Virtual WAN to meet the requirements detailed in the previous section.

Virtuální architektura WAN společnosti Contoso Obrázek: architektura Azure Virtual WANFigure: Azure Virtual WAN architecture

Souhrn:Summary:

  • SÍDEL v Evropě zůstává ExpressRoute připojená, Evropa místní řadič domény se úplně migruje do Azure a teď je vyřazený z provozu.HQ in Europe remains ExpressRoute connected, Europe on-premises DC are fully migrated to Azure and now decommissioned.
  • Asie a sídel pro asijské domény zůstávají připojené k privátní síti WAN.Asia DC and HQ remain connected to Private WAN. Azure Virtual WAN se teď používá k rozšíření místní sítě dopravců a k zajištění globálního připojení.Azure Virtual WAN now used to augment the local carrier network and provide global connectivity.
  • Virtuální rozbočovače Azure Virtual WAN nasazené v oblastech Západní Evropa a jih Východní Asie Azure pro poskytování centra připojení pro zařízení připojená k síti VPN ExpressRoute a VPN.Azure Virtual WAN hubs deployed in both West Europe and South East Asia Azure regions to provide connectivity hub for ExpressRoute and VPN connected devices.
  • Rozbočovače také poskytují ukončení sítě VPN pro roaming uživatelů napříč různými typy klientů pomocí připojení OpenVPN k globální síti sítě a umožňují přístup nejen k aplikacím migrováným do Azure, ale i k jakýmkoli místním prostředkům.Hubs also provide VPN termination for roaming users across multiple client types using OpenVPN connectivity to the global mesh network, allowing access to not only applications migrated to Azure, but also any resources remaining on-premises.
  • Připojení k Internetu pro prostředky v rámci virtuální sítě poskytované službou Azure Virtual WAN.Internet connectivity for resources within a virtual network provided by Azure Virtual WAN.

Připojení k Internetu pro vzdálené lokality, které poskytuje i služba Azure Virtual WAN.Internet connectivity for remote sites also provided by Azure Virtual WAN. Místní internetový užitečných podporované prostřednictvím integrace partnerů pro optimalizaci přístupu ke službám SaaS, jako je Microsoft 365.Local internet breakout supported via partner integration for optimized access to SaaS services such as Microsoft 365.

Migrace na Virtual WANMigrate to Virtual WAN

V této části se dozvíte o různých krocích migrace do Azure Virtual WAN.This section shows the various steps for migrating to Azure Virtual WAN.

Krok 1: samoobslužné centrum a paprsky spravované zákazníky v jedné oblastiStep 1: Single region customer-managed hub-and-spoke

Následující obrázek ukazuje topologii jedné oblasti pro společnost Contoso před zavedením Azure Virtual WAN:The following figure shows a single region topology for Contoso prior to the rollout of Azure Virtual WAN:

Topologie jedné oblasti Obrázek 1: ruční rozbočovač s jednou oblastí a paprsekFigure 1: Single region manual hub-and-spoke

V souladu s přístupem k rozbočovači a paprsku má virtuální síť centra spravovaná zákazníkem několik bloků funkcí:In keeping with the hub-and-spoke approach, the customer-managed hub virtual network contains several function blocks:

  • Sdílené služby (jakákoli společná funkce požadovaná více paprsky).Shared services (any common function required by multiple spokes). Příklad: contoso používá řadiče domény Windows serveru na virtuálních počítačích infrastruktury jako služba (IaaS).Example: Contoso uses Windows Server domain controllers on Infrastructure-as-a-service (IaaS) virtual machines.
  • Služby brány firewall protokolu IP/směrování jsou poskytovány virtuálním síťovým zařízením třetí strany a umožňují směrování IP s paprskovou a koncovou vrstvou 1.IP/Routing firewall services are provided by a third-party network virtual appliance, enabling spoke-to-spoke layer-3 IP routing.
  • Internetové příchozí/odchozí služby, včetně Azure Application Gateway pro příchozí požadavky HTTPS a služby proxy třetích stran běžící na virtuálních počítačích pro filtrovaný odchozí přístup k internetovým prostředkům.Internet ingress/egress services including Azure Application Gateway for inbound HTTPS requests and third-party proxy services running on virtual machines for filtered outbound access to internet resources.
  • Brána virtuální sítě VPN ExpressRoute a VPN pro připojení k místním sítím.ExpressRoute and VPN virtual network gateway for connectivity to on-premises networks.

Krok 2: nasazení virtuálních rozbočovačů sítě WANStep 2: Deploy Virtual WAN hubs

Nasaďte v každé oblasti virtuální síť WAN hub.Deploy a Virtual WAN hub in each region. Nastavte virtuální centrum sítě WAN pomocí funkce VPN a ExpressRoute, jak je popsáno v následujících článcích:Set up the Virtual WAN hub with VPN and ExpressRoute functionality as described in the following articles:

Poznámka

Azure Virtual WAN musí používat standardní SKU k povolení některých cest k provozu, které jsou uvedené v tomto článku.Azure Virtual WAN must be using the Standard SKU to enable some of the traffic paths shown in this article.

Nasazení virtuálních rozbočovačů sítě WAN Obrázek 2: migrace centra a paprsků na virtuální síť WAN spravovaná zákazníkemFigure 2: Customer-managed hub-and-spoke to Virtual WAN migration

Krok 3: připojení vzdálených lokalit (ExpressRoute a VPN) k virtuální síti WANStep 3: Connect remote sites (ExpressRoute and VPN) to Virtual WAN

Připojte virtuální síť WAN ke stávajícím okruhům ExpressRoute a nastavte VPN typu Site-to-site přes Internet do všech vzdálených větví.Connect the Virtual WAN hub to the existing ExpressRoute circuits and set up Site-to-site VPNs over the Internet to any remote branches.

Připojení vzdálených lokalit k virtuální síti WAN Obrázek 3: migrace centra a paprsků na virtuální síť WAN spravovaná zákazníkemFigure 3: Customer-managed hub-and-spoke to Virtual WAN migration

V tomto okamžiku začnou místní síťové zařízení přijímat trasy odrážející adresní prostor IP adres přiřazený virtuální síti rozbočovače spravovanému přes síť WAN.At this point, on-premises network equipment will begin to receive routes reflecting the IP address space assigned to the Virtual WAN-managed hub VNet. Vzdálené větve připojené k síti VPN v této fázi uvidí dvě cesty k jakýmkoli existujícím aplikacím ve virtuálních sítích paprsků.Remote VPN-connected branches at this stage will see two paths to any existing applications in the spoke virtual networks. Tato zařízení by měla být nakonfigurovaná tak, aby pokračovala v používání tunelu u zákaznicky spravovaného centra, aby se zajistilo symetrické směrování během fáze přechodu.These devices should be configured to continue to use the tunnel to the customer-managed hub to ensure symmetrical routing during the transition phase.

Krok 4: testování hybridního připojení přes virtuální síť WANStep 4: Test hybrid connectivity via Virtual WAN

Před použitím spravovaného virtuálního centra sítě WAN pro připojení k provozu doporučujeme nastavit virtuální síť s koncovým paprskem a připojení k virtuální síti WAN.Prior to using the managed Virtual WAN hub for production connectivity, we recommend that you set up a test spoke virtual network and Virtual WAN VNet connection. Než budete pokračovat v dalších krocích, ověřte, že připojení k tomuto testovacímu prostředí fungují přes ExpressRoute a Site-to Site VPN.Validate that connections to this test environment work via ExpressRoute and Site to Site VPN before continuing with the next steps.

Testování hybridního připojení přes virtuální síť WAN Obrázek 4: migrace centra a paprsků na virtuální síť WAN spravovaná zákazníkemFigure 4: Customer-managed hub-and-spoke to Virtual WAN migration

V této fázi je důležité pochopit, že původní virtuální síť centra spravovaná zákazníkem a nová virtuální síť WAN budou připojené ke stejnému okruhu ExpressRoute.At this stage, it is important to recognize that both the original customer-managed hub virtual network and the new Virtual WAN Hub are both connected to the same ExpressRoute circuit. Z tohoto důvodu máme cestu k provozu, kterou můžete použít k tomu, aby mohly paprsky v obou prostředích komunikovat.Due to this, we have a traffic path that can be used to enable spokes in both environments to communicate. Například provoz z paprsku připojeného k virtuální síti rozbočovače spravovaného zákazníkem prochází zařízení MSEE použitá pro okruh ExpressRoute, aby dosáhla připojení k novému virtuálnímu rozbočovači WAN prostřednictvím připojení virtuální sítě.For example, traffic from a spoke that is attached to the customer-managed hub virtual network will traverse the MSEE devices used for the ExpressRoute circuit to reach any spoke connected via a VNet connection to the new Virtual WAN hub. To umožňuje dvoufázové migrace paprsků v kroku 5.This allows a staged migration of spokes in Step 5.

Krok 5: přechod k virtuálnímu centru WANStep 5: Transition connectivity to virtual WAN hub

Přechod připojení k virtuální síti WAN Obrázek 5: migrace centra a paprsků na virtuální síť WAN spravovaná zákazníkemFigure 5: Customer-managed hub-and-spoke to Virtual WAN migration

a.a. Odstraňte existující připojení partnerského vztahu z virtuálních sítí s koncovými zákazníky k původnímu centru spravovanému zákazníkem.Delete the existing peering connections from Spoke virtual networks to the old customer-managed hub. Přístup k aplikacím ve virtuálních sítích s paprsky není k dispozici, dokud nebudou dokončeny kroky a-c.Access to applications in spoke virtual networks is unavailable until steps a-c are complete.

b.b. Virtuální sítě rozbočovače připojte k virtuální síti WAN prostřednictvím připojení virtuální sítě.Connect the spoke virtual networks to the Virtual WAN hub via VNet connections.

c.c. Odeberte všechny trasy definované uživatelem (UDR) dříve používané v rámci virtuálních sítí paprsků pro komunikaci mezi paprsky a paprsky.Remove any user-defined routes (UDR) previously used within spoke virtual networks for spoke-to-spoke communications. Tato cesta je teď povolená dynamickým směrováním dostupným ve virtuálním centru WAN.This path is now enabled by dynamic routing available within the Virtual WAN hub.

d.d. Stávající brány ExpressRoute a VPN v centru spravovaném zákazníkem jsou teď vyřazené z provozu a umožňují další krok (e).Existing ExpressRoute and VPN Gateways in the customer-managed hub are now decommissioned to permit the next step (e).

e.e. Připojte původní centrum spravované zákazníkem (virtuální síť rozbočovače) k virtuálnímu rozbočovači WAN prostřednictvím nového připojení virtuální sítě.Connect the old customer-managed hub (hub virtual network) to the Virtual WAN hub via a new VNet connection.

Krok 6: starý rozbočovač se bude nacházet s paprsky sdílených služebStep 6: Old hub becomes shared services spoke

Nyní jsme převedli návrh naší sítě Azure, aby virtuální síť WAN měla centrální bod v naší nové topologii.We have now redesigned our Azure network to make the Virtual WAN hub the central point in our new topology.

Starý rozbočovač se bude nacházet jako uzel sdílených služeb Obrázek 6: migrace centra a paprsků na virtuální síť WAN spravovaná zákazníkemFigure 6: Customer-managed hub-and-spoke to Virtual WAN migration

Vzhledem k tomu, že virtuální síť WAN je spravovaná entita a neumožňuje nasazení vlastních prostředků, jako jsou virtuální počítače, blokuje služba Shared Services jako virtuální síť paprsků a hostuje funkce, jako je třeba internetové příchozí přenosy prostřednictvím Azure Application Gateway nebo síťové virtualizované zařízení.Because the Virtual WAN hub is a managed entity and does not allow deployment of custom resources such as virtual machines, the shared services block now exists as a spoke virtual network and hosts functions such as internet ingress via Azure Application Gateway or network virtualized appliance. Přenos dat mezi prostředím sdílených služeb a back-end virtuálními počítači teď projíždějí virtuálním centrem spravovanému přes síť WAN.Traffic between the shared services environment and backend virtual machines now transits the Virtual WAN-managed hub.

Krok 7: Optimalizujte místní připojení, aby bylo možné plně využívat virtuální síť WAN.Step 7: Optimize on-premises connectivity to fully utilize Virtual WAN

V této fázi společnost Contoso většinou dokončila své migrace obchodních aplikací do Microsoft Cloud a v místním řadiči domény zbývá jenom několik starších verzí aplikací.At this stage, Contoso has mostly completed their migrations of business applications in into the Microsoft Cloud, with only a few legacy applications remaining within the on-premises DC.

Optimalizuje místní připojení, aby bylo možné plně využívat virtuální síť WAN. Obrázek 7: migrace centra a paprsků na virtuální síť WAN spravovaná zákazníkemFigure 7: Customer-managed hub-and-spoke to Virtual WAN migration

Aby bylo možné využívat všechny funkce Azure Virtual WAN, společnost Contoso se rozhodla vyřadit z provozu starší místní připojení VPN.To leverage the full functionality of Azure Virtual WAN, Contoso decides to decommission their legacy on-premises VPN connections. Všechny větve, které budou mít nadále přístup k sítím sídel nebo DC, můžou přesměrovat globální síť Microsoft pomocí integrovaného tranzitního směrování Azure Virtual WAN.Any branches continuing to access HQ or DC networks are able to transit the Microsoft global network using the built-in transit routing of Azure Virtual WAN.

Poznámka

ExpressRoute Global Reach se vyžaduje pro zákazníky, kteří chtějí využít páteřní síť Microsoftu k poskytování ExpressRoute pro ExpressRoute tranzit (nezobrazuje se obrázek 7).ExpressRoute Global Reach is required for customers that want to leverage the Microsoft backbone to provide ExpressRoute to ExpressRoute transit (not shown Figure 7.).

Architektura koncových stavů a cest provozuEnd-state architecture and traffic paths

Architektura koncových stavů a cest provozu Obrázek: virtuální síť WAN s duální oblastíFigure: Dual region Virtual WAN

Tato část poskytuje přehled o tom, jak tato topologie splňuje původní požadavky, a to tak, že se podíváme na několik ukázkových toků provozu.This section provides a summary of how this topology meets the original requirements by looking at some example traffic flows.

Cesta 1Path 1

Cesta 1 zobrazuje tok přenosů z větve připojení S2S VPN v Asii do virtuální sítě Azure v oblasti jih Východní Asie.Path 1 shows traffic flow from a S2S VPN connected branch in Asia to an Azure VNet in the South East Asia region.

Provoz se směruje takto:The traffic is routed as follows:

  • Větev Asie je připojená prostřednictvím tunelového propojení s povoleným protokolem S2S BGP do centra Východní Asie virtuální sítě WAN v jihoasijských sítích.Asia branch is connected via resilient S2S BGP enabled tunnels into South East Asia Virtual WAN hub.

  • Asie z virtuálních sítí WAN směrují provoz místně do připojené virtuální sítě.Asia Virtual WAN hub routes traffic locally to connected VNet.

Flow 1

Cesta 2Path 2

Cesta 2 ukazuje tok provozu z ExpressRoute s připojeným Evropským sídel k virtuální síti Azure v oblasti jih Východní Asie.Path 2 shows traffic flow from the ExpressRoute connected European HQ to an Azure VNet in the South East Asia region.

Provoz se směruje takto:The traffic is routed as follows:

  • Evropské sídel je prostřednictvím okruhu ExpressRoute připojená k Západní Evropa virtuálnímu centru WAN.European HQ is connected via ExpressRoute circuit into West Europe Virtual WAN hub.

  • Globální připojení typu rozbočovač sítě WAN do rozbočovače umožňuje přenos provozu do sítě VNet připojené ve vzdálené oblasti.Virtual WAN hub-to-hub global connectivity enables transit of traffic to VNet connected in remote region.

Flow 2

Cesta 3Path 3

Cesta 3 ukazuje přenosový tok z místního řadiče domény Asie, který je připojený k privátní síti WAN, do Evropské připojené větve S2S.Path 3 shows traffic flow from the Asia on-premises DC connected to Private WAN to a European S2S connected Branch.

Provoz se směruje takto:The traffic is routed as follows:

  • Asie – řadič domény je připojený k místnímu privátnímu nosiči WAN.Asia DC is connected to local Private WAN carrier.

  • Okruh ExpressRoute místně končí v privátní síti WAN a připojuje se k rozbočovači Východní Asie virtuální síti WAN v jihoasijských sítích.ExpressRoute circuit locally terminates in Private WAN connects to the South East Asia Virtual WAN hub.

  • Globální připojení z rozbočovače WAN na rozbočovač umožňuje přenos provozu.Virtual WAN hub-to-hub global connectivity enables transit of traffic.

Tok 3

Cesta 4Path 4

Cesta 4 ukazuje přenosový tok z virtuální sítě Azure v oblasti Jižní Východní Asie do virtuální sítě Azure v oblasti Západní Evropa.Path 4 shows traffic flow from an Azure VNet in South East Asia region to an Azure VNet in West Europe region.

Provoz se směruje takto:The traffic is routed as follows:

  • Globální připojení z rozbočovače WAN na rozbočovač umožňuje nativní přenos všech připojených Azure virtuální sítě bez dalších konfiguračních konfigurací uživatele.Virtual WAN hub-to-hub global connectivity enables native transit of all connected Azure VNets without further user config.

Tok 4

Cesta 5Path 5

Cesta 5 zobrazuje tok přenosů z uživatelů cestovní sítě VPN (P2S) do virtuální sítě Azure v oblasti Západní Evropa.Path 5 shows traffic flow from roaming VPN (P2S) users to an Azure VNet in the West Europe region.

Provoz se směruje takto:The traffic is routed as follows:

  • Uživatelé přenosných počítačů a mobilních zařízení používají klienta OpenVPN pro transparentní připojení k bráně VPN P2S v Západní Evropa.Laptop and mobile device users use the OpenVPN client for transparent connectivity in to the P2S VPN gateway in West Europe.

  • Západní Evropa virtuální síť WAN směruje provoz místně do připojené virtuální sítě.West Europe Virtual WAN hub routes traffic locally to connected VNet.

Tok 5

Zabezpečení a řízení zásad prostřednictvím Azure FirewallSecurity and policy control via Azure Firewall

Společnost Contoso nyní ověřila připojení mezi všemi větvemi a virtuální sítě v souladu s požadavky uvedenými výše v tomto článku.Contoso has now validated connectivity between all branches and VNets in line with the requirements discussed earlier in this article. Aby bylo možné splnit požadavky na řízení zabezpečení a izolaci sítě, musí nadále oddělit a Protokolovat provoz přes síť centrální sítě.To meet their requirements for security control and network isolation, they need to continue to separate and log traffic via the hub network. Dřív se tato funkce prováděla síťovým virtuálním zařízením (síťové virtuální zařízení).Previously this function was performed by a network virtual appliance (NVA). Společnost Contoso také chce vyřadit existující proxy služby a využívat nativní služby Azure pro odchozí internetové filtrování.Contoso also wants to decommission their existing proxy services and utilize native Azure services for outbound Internet filtering.

Zabezpečení a řízení zásad prostřednictvím Azure Firewall Obrázek: Azure Firewall ve virtuální síti WAN (zabezpečené virtuální rozbočovač)Figure: Azure Firewall in Virtual WAN (Secured Virtual hub)

Následující kroky vysoké úrovně jsou nutné k zavedení Azure Firewall do virtuálních rozbočovačů sítě WAN, aby bylo možné povolit sjednocený bod řízení zásad.The following high-level steps are required to introduce Azure Firewall into the Virtual WAN hubs to enable a unified point of policy control. Další informace o tomto procesu a konceptu zabezpečených virtuálních rozbočovačů najdete v tématu Azure firewall Manager.For more information about this process and the concept of Secure Virtual Hubs, see Azure Firewall Manager.

  1. Vytvořte zásady Azure Firewall.Create Azure Firewall policy.
  2. Připojte zásady brány firewall ke službě Azure Virtual WAN hub.Link firewall policy to Azure Virtual WAN hub. Tento krok umožňuje stávajícímu virtuálnímu rozbočovači sítě WAN fungovat jako zabezpečené virtuální rozbočovač a nasadí požadované prostředky Azure Firewall.This step allows the existing Virtual WAN hub to function as a secured virtual hub, and deploys the required Azure Firewall resources.

Poznámka

Existují omezení týkající se používání zabezpečených virtuálních rozbočovačů, včetně provozu mezi oblastmi.There are constraints relating to use of secured virtual hubs, including inter-region traffic. Další informace najdete v tématu známé problémy Správce brány firewall.For more information, see Firewall Manager - known issues.

Následující cesty ukazují cesty k připojení, které jsou povolené pomocí zabezpečených virtuálních rozbočovačů Azure:The following paths show the connectivity paths enabled by using Azure secured virtual hubs:

Cesta 6Path 6

Cesta 6 zobrazuje zabezpečený tok provozu mezi virtuální sítě ve stejné oblasti.Path 6 shows secure traffic flow between VNets within the same region.

Provoz se směruje takto:The traffic is routed as follows:

  • Virtuální sítě připojené ke stejnému zabezpečenému virtuálnímu rozbočovači nyní směrují provoz do přes Azure Firewall.Virtual Networks connected to the same Secured Virtual Hub now route traffic to via the Azure Firewall.

  • Azure Firewall můžou pro tyto toky použít zásady.Azure Firewall can apply policy to these flows.

Tok 6

Cesta 7Path 7

Cesta 7 ukazuje tok přenosů z virtuální sítě Azure do Internetu nebo služby zabezpečení třetích stran.Path 7 shows traffic flow from an Azure VNet to the Internet or third-party Security Service.

Provoz se směruje takto:The traffic is routed as follows:

  • Virtuální sítě připojené k zabezpečenému virtuálnímu rozbočovači mohou odesílat provoz do veřejné sítě, jejichž cílem je síť Internet, a to pomocí zabezpečeného centra jako centrálního bodu přístupu k Internetu.Virtual Networks connected to the Secure Virtual Hub can send traffic to public, destinations on the Internet, using the Secure Hub as a central point of Internet access.

  • Tento provoz je možné filtrovat místně pomocí Azure Firewall pravidel plně kvalifikovaného názvu domény nebo odeslat službě zabezpečení třetí strany pro kontrolu.This traffic can be filtered locally using Azure Firewall FQDN rules, or sent to a third-party security service for inspection.

Tok 7

Cesta 8Path 8

Cesta 8 zobrazuje tok přenosů z meziinternetu nebo služby zabezpečení třetích stran.Path 8 shows traffic flow from branch-to-Internet or third-party Security Service.

Provoz se směruje takto:The traffic is routed as follows:

  • Větve připojené k zabezpečenému virtuálnímu rozbočovači mohou odesílat provoz do veřejných cílů na internetu pomocí zabezpečeného centra jako centrálního bodu přístupu k Internetu.Branches connected to the Secure Virtual Hub can send traffic to public destinations on the Internet by using the Secure Hub as a central point of Internet access.

  • Tento provoz je možné filtrovat místně pomocí Azure Firewall pravidel plně kvalifikovaného názvu domény nebo odeslat službě zabezpečení třetí strany pro kontrolu.This traffic can be filtered locally using Azure Firewall FQDN rules, or sent to a third-party security service for inspection.

Tok 8

Další krokyNext steps

Přečtěte si další informace o Azure Virtual WAN.Learn more about Azure Virtual WAN.