Práce s hybridními sítěmi v Azure
Vaše organizace chce pokračovat s migrací do cloudu. Prozkoumali jste výhody použití Azure ExpressRoute k poskytování vyhrazeného vysokorychlostního připojení mezi vaší místní sítí a Azure.
Princip „náležité pečlivosti“ vyžaduje, abyste prozkoumali i ostatní možnosti hybridní architektury pro připojení vaší místní sítě k Azure.
V této lekci se naučíte:
- Porozumíte připojením k virtuálním privátním sítím.
- Podíváte se na možnost odolnosti u ExpressRoute.
- Zvážíte výhody hvězdicové topologie sítě.
Co je hybridní síťová architektura?
Hybridní síť je termín, který se používá, když se dvě různé síťové topologie kombinují a tvoří jednu soudržnou síť. V případě Azure hybridní síť představuje sloučení nebo kombinaci místní sítě a virtuální sítě Azure. To umožňuje dál používat stávající infrastrukturu a současně získat všechny výhody používání výpočetního prostředí cloudu a přístup do cloudu.
Existuje několik důvodů, proč byste mohli chtít začít využívat hybridní síťové řešení. Nejběžnější jsou tyto:
- Migrace z čisté místní sítě do čisté cloudové sítě.
- Rozšiřování místní sítě a prostředků tak, aby podporovaly cloudové služby.
Bez ohledu na to, jaké máte důvody pro přidání cloudových služeb do vaší infrastruktury, je potřeba zvážit několik architektur. V přechozí lekci jsme se věnovali ExpressRoute. Mezi ostatní architektury patří:
- Službu Azure VPN Gateway
- ExpressRoute s převzetím služeb při selhání pomocí sítě VPN
- Hvězdicová topologie sítě
Službu Azure VPN Gateway
Služba Azure VPN Gateway (brána virtuální sítě) umožňuje připojení VPN typu site-to-site a point-to-site mezi vaší místní sítí a Azure.
VPN neboli virtuální privátní síť je dobře zavedená a známá síťová architektura.
Brána VPN Gateway používá vaše stávající připojení k internetu. Veškerá komunikace je však šifrována pomocí protokolů IKE (Internet Key Exchange) a IPsec (Internet Protocol Security). V jedné virtuální privátní síti můžete mít jen jednu bránu virtuální sítě.
Při nastavování brány virtuální sítě musíte určit, jestli se jedná o bránu VPN, nebo bránu ExpressRoute.
Typ sítě VPN závisí na typu topologie připojení, kterou potřebujete. Pokud chcete například vytvořit bránu typu point-to-site (P2S) nebo point-to-point (P2P), použijete typ RouteBased. Existují dva typy sítě VPN:
- PolicyBased: Používá tunel IPsec k šifrování datových paketů. Konfigurace zásad používá předpony adres nakreslené z vaší virtuální sítě Azure a vaší místní sítě.
- RouteBased: Pomocí směrovacích tabulek nebo tabulek předávání IP směruje datové pakety do správného tunelu. Každý tunel šifruje a dešifruje všechny pakety.
Jakmile zadáte typ sítě VPN pro bránu virtuální sítě, nemůžete ho změnit. Pokud potřebujete provést změnu, odstraňte bránu virtuální sítě a vytvořte ji znovu.
Site-to-Site
Všechna připojení pomocí brány typu site-to-site používají k vytvoření připojení mezi Azure a vaší místní sítí tunel VPN s protokoly IPsec/IKE. Připojení typu site-to-site vyžaduje místní zařízení VPN s veřejně přístupnou IP adresou.
Připojení typu point-to-site
Připojení pomocí brány typu point-to-site vytváří zabezpečené připojení mezi jednotlivými zařízeními a vaší virtuální sítí Azure. Tento typ brány je vhodný pro zaměstnance, kteří pracují vzdáleně, jako jsou například uživatelé účastnící se konference nebo pracující z domova. Připojení typu point-to-point nevyžaduje vyhrazené místní zařízení VPN.
Zaměstnanecké výhody
Tady jsou některé výhody používání připojení VPN:
- Je to dobře známá technologie, která se snadno konfiguruje a udržuje.
- Veškeré datové přenosy jsou šifrované.
- Je lepší zpracovávat menší objemy datových přenosů.
Důležité informace
Při vyhodnocování možnosti použití této hybridní architektury vezměte v úvahu následující body:
- Připojení VPN používá internet.
- Může docházet k potenciálním problémům s latencí v závislosti na velikosti a využití šířky pásma.
- Azure podporuje maximální šířku pásma 1,25 Gb/s.
- Pro připojení typu site-to-site je potřeba místní zařízení VPN.
ExpressRoute s převzetím služeb při selhání pomocí sítě VPN
Jednou ze záruk při používání ExpressRoute je to, že poskytuje vysokou úroveň dostupnosti. Součástí každého okruhu ExpressRoute jsou duální brány ExpressRoute. I když je však do sítě na straně Azure integrována tato úroveň odolnosti, může dojít k přerušení připojení. Jedním ze způsobů, jak tuto situaci vyřešit a zajistit udržování připojení, je poskytnutí služby převzetí služeb při selhání pomocí sítě VPN.
Sloučení připojení VPN a ExpressRoute zvyšuje odolnost síťového připojení. Při provozu za běžných podmínek se ExpressRoute chová přesně jako běžná architektura ExpressRoute a připojení VPN zůstává nevyužité. Pokud okruh ExpressRoute selže nebo přejde do režimu offline, převezme přenosy připojení VPN. Tato akce zajišťuje dostupnost sítě za všech okolností. Po obnovení okruhu ExpressRoute začnou veškeré přenosy znovu používat připojení ExpressRoute.
Referenční architektura připojení ExpressRoute s převzetím služeb při selhání pomocí sítě VPN
Následující diagram znázorňuje, jak připojit vaši místní síť k Azure prostřednictvím připojení ExpressRoute s převzetím služeb při selhání pomocí sítě VPN. Topologie zvolená v tomto řešení je připojení typu site-to-site založené na síti VPN s vysokým přenosovým tokem.
V tomto modelu budou všechny síťové přenosy směrovány přes privátní připojení ExpressRoute. Když dojde ke ztrátě připojení v okruhu ExpressRoute, podsíť brány automaticky použije okruh s bránou VPN Gateway typu site-to-site. Tento scénář značí tečkovaná čára z brány do brány VPN ve virtuální síti Azure.
Po obnovení okruhu ExpressRoute se přenosy automaticky přepnou zpět z brány VPN Gateway.
Zaměstnanecké výhody
Implementace ExpressRoute s převzetím služeb při selhání pomocí sítě VPN má následující výhodu:
- Vytvoří odolnou síť s vysokou dostupností.
Důležité informace
Při implementaci architektury ExpressRoute s převzetím služeb při selhání pomocí sítě VPN vezměte v úvahu následující body:
Když dojde k převzetí služeb při selhání, sníží se šířka pásma na úroveň rychlosti připojení VPN.
Prostředky připojení ExpressRoute a brány VPN Gateway musí být ve stejné virtuální síti.
Konfigurace je velmi komplexní.
Implementace vyžaduje připojení ExpressRoute i připojení VPN.
Implementace vyžaduje redundantní bránu VPN Gateway a místní hardware pro síť VPN.
Poznámka:
S redundantní bránou VPN Gateway jsou spojené poplatky, i když se nepoužívá.
Hvězdicová topologie sítě
Hvězdicová síťová topologie umožňuje strukturovat úlohy, které vaše servery provádějí. Jako centrum používá jednu virtuální síť, která se připojuje k vaší místní síti prostřednictvím sítě VPN nebo ExpressRoute. Paprsky jsou další virtuální sítě, které mají partnerský vztah s centrem. Ke každému paprsku můžete přiřadit konkrétní úlohy a použít centrum pro sdílené služby.
Centrum a jednotlivé paprsky můžete implementovat v samostatných předplatných nebo skupinách prostředků a pak je partnersky propojit.
Tento model používá jeden ze tří dříve probíraných přístupů: VPN, ExpressRoute a ExpressRoute s převzetím služeb při selhání sítě VPN. Související výhody a výzvy jsou popsány v následujících částech.
Zaměstnanecké výhody
Implementace hvězdicové architektury má následující výhody:
- Používání sdílení a centralizovaných služeb v centru může snížit potřebu duplikování v paprscích sítě, což může snížit náklady.
- Omezení jednotlivých předplatných lze překonat vytvořením partnerských vztahů mezi virtuálními sítěmi.
- Hvězdicový model umožňuje oddělit pracovní oblasti organizace do vyhrazených paprsků, jako jsou například SecOps, InfraOps a DevOps.
Důležité informace
Při vyhodnocování možnosti použití této hybridní architektury vezměte v úvahu následující bod:
- Podívejte se na služby, které se sdílí v centru, a na to, co zůstává v paprscích.