Een Azure-netwerktopologie definiëren

Netwerktopologie is een essentieel element van een architectuur van een landingszone, omdat hiermee wordt gedefinieerd hoe toepassingen met elkaar kunnen communiceren. In deze sectie worden technologieën en topologiemethoden voor Azure-implementaties verkend. Het richt zich op twee kernbenaderingen: topologieën die zijn gebaseerd op Azure Virtual WAN en traditionele topologieën.

Virtual WAN wordt gebruikt om te voldoen aan grootschalige interconnectiviteitsvereisten. Omdat het een door Microsoft beheerde service is, vermindert het ook de algehele netwerkcomplexiteit en helpt het netwerk van uw organisatie te moderniseren. Een Virtual WAN-topologie is mogelijk het meest geschikt als een van de volgende vereisten van toepassing is op uw organisatie:

  • Uw organisatie wil resources implementeren in verschillende Azure-regio's en vereist wereldwijde connectiviteit tussen virtuele netwerken in deze Azure-regio's en meerdere on-premises locaties.
  • Uw organisatie is van plan om een grootschalige vertakkingsnetwerk rechtstreeks in Azure te integreren via een SD-WAN-implementatie (softwaregedefinieerde WAN) of vereist meer dan 30 vertakkingssites voor systeemeigen IPSec-beëindiging.
  • U hebt transitieve routering tussen een virtueel particulier netwerk (VPN) en Azure ExpressRoute nodig. Externe vertakkingen die zijn verbonden via site-naar-site-VPN of externe gebruikers die zijn verbonden via punt-naar-site-VPN, vereisen bijvoorbeeld connectiviteit met een met ExpressRoute verbonden DC via Azure.

Een traditionele hub-and-spoke-netwerktopologie helpt u bij het bouwen van aangepaste, verbeterde beveiliging, grootschalige netwerken in Azure. Met deze topologie beheert u de routering en beveiliging. Een traditionele topologie is mogelijk het meest geschikt als een van de volgende vereisten van toepassing is op uw organisatie:

  • Uw organisatie is van plan om resources te implementeren in een of meerdere Azure-regio's en, terwijl er verkeer tussen Azure-regio's wordt verwacht (bijvoorbeeld verkeer tussen twee virtuele netwerken in twee verschillende Azure-regio's), is een volledig mesh-netwerk in alle Azure-regio's niet vereist.
  • U hebt een laag aantal externe of vertakkingslocaties per regio. Dat wil gezegd, u hebt minder dan 30 IPSec-site-naar-site-tunnels nodig.
  • U hebt volledig beheer en granulariteit nodig om uw Azure-netwerkrouteringsbeleid handmatig te configureren.

Virtual WAN-netwerktopologie (door Microsoft beheerd)

Diagram that illustrates a Virtual WAN network topology.

Traditionele Azure-netwerktopologie

Diagram that illustrates a traditional Azure network topology.

Azure Virtual Network Manager in Azure-landingszones

De conceptuele architectuur van Azure-landingszones raadt een van de twee netwerktopologieën aan: een netwerktopologie die is gebaseerd op Virtual WAN of een netwerktopologie die is gebaseerd op een traditionele hub-and-spoke-architectuur. Naarmate uw bedrijfsvereisten na verloop van tijd veranderen (bijvoorbeeld een migratie van on-premises toepassingen naar Azure waarvoor hybride connectiviteit is vereist), kunt u Virtual Network Manager gebruiken om netwerkwijzigingen uit te breiden en te implementeren. In veel gevallen kunt u dit doen zonder te onderbreken wat er al in Azure is geïmplementeerd.

U kunt Virtual Network Manager gebruiken om drie typen topologieën te maken voor zowel bestaande als nieuwe virtuele netwerken:

  • Hub-and-spoke-topologie
  • Hub-and-spoke-topologie met directe connectiviteit tussen spokes
  • Mesh-topologie (in preview)

Diagram that shows Azure virtual network topologies.

Notitie

Virtual Network Manager biedt geen ondersteuning voor Virtual WAN-hubs als onderdeel van een netwerkgroep of als de hub in een topologie. Zie de veelgestelde vragen over Azure Virtual Network Manager voor meer informatie.

Wanneer u een hub-and-spoke-topologie maakt met directe connectiviteit in Virtual Network Manager, waarbij de spokes rechtstreeks met elkaar zijn verbonden, wordt directe connectiviteit tussen virtuele spoke-netwerken in dezelfde netwerkgroep automatisch in twee richtingen ingeschakeld via de Verbinding maken-groepsfunctie.

U kunt Virtual Network Manager gebruiken om virtuele netwerken statisch of dynamisch toe te voegen aan specifieke netwerkgroepen. Hiermee definieert en maakt u de gewenste topologie op basis van uw connectiviteitsconfiguratie in Virtual Network Manager.

U kunt meerdere netwerkgroepen maken om groepen virtuele netwerken te isoleren van directe connectiviteit. Elke netwerkgroep biedt dezelfde regio- en ondersteuning voor meerdere regio's voor spoke-to-spoke-connectiviteit. Zorg ervoor dat u binnen de limieten blijft die zijn gedefinieerd voor Virtual Network Manager. Deze worden beschreven in veelgestelde vragen over Azure Virtual Network Manager.

Vanuit beveiligingsperspectief biedt Virtual Network Manager een efficiënte manier om beveiligingsbeheerdersregels toe te passen om verkeersstromen centraal te weigeren of toe te staan, ongeacht wat is gedefinieerd in NSG's. Met deze mogelijkheid kunnen netwerkbeveiligingsbeheerders toegangsbeheer afdwingen en toepassingseigenaren in staat stellen hun eigen regels op een lager niveau in NSG's te beheren.

U kunt Virtual Network Manager gebruiken om virtuele netwerken te groeperen. Vervolgens kunt u configuraties toepassen op de groepen in plaats van op afzonderlijke virtuele netwerken. Deze functionaliteit maakt efficiënter beheer mogelijk van connectiviteit, configuratie en topologie, beveiligingsregels en implementatie naar een of meer regio's tegelijk zonder fijnmazige controle te verliezen.

U kunt netwerken segmenteren op omgevingen, teams, locaties, bedrijfslijnen of een andere functie die aan uw behoeften voldoet. U kunt netwerkgroepen statisch of dynamisch definiëren door een set voorwaarden te maken voor groepslidmaatschap.

U kunt Virtual Network Manager gebruiken om ontwerpprincipes voor Azure-landingszones te implementeren voor alle toepassingsmigratie, modernisering en innovatie op schaal.

Ontwerpoverwegingen

  • In een traditionele hub-and-spoke-implementatie worden peeringverbindingen voor virtuele netwerken handmatig gemaakt en onderhouden. Virtual Network Manager introduceert een automatiseringslaag voor peering van virtuele netwerken, waardoor grote en complexe netwerktopologieën, zoals mesh, gemakkelijker te beheren zijn op schaal. Zie Het overzicht van netwerkgroepen voor meer informatie.
  • De beveiligingsvereisten van verschillende bedrijfsfuncties bepalen de noodzaak voor het maken van netwerkgroepen. Een netwerkgroep is een set virtuele netwerken die handmatig of via voorwaardelijke instructies is geselecteerd, zoals eerder in dit document is beschreven. Wanneer u een netwerkgroep maakt, moet u een beleid opgeven, of Virtual Network Manager kan een beleid maken als u dit expliciet toestaat. Met dit beleid kan Virtual Network Manager op de hoogte worden gebracht van wijzigingen. Als u bestaande Azure-beleidsinitiatieven wilt bijwerken, moet u wijzigingen implementeren in de netwerkgroep binnen de Virtual Network Manager-resource.
  • Als u de juiste netwerkgroepen wilt ontwerpen, moet u evalueren welke onderdelen van uw netwerk algemene beveiligingskenmerken delen. U kunt bijvoorbeeld netwerkgroepen maken voor Bedrijfs- en Online om hun connectiviteits- en beveiligingsregels op schaal te beheren.
  • Wanneer meerdere virtuele netwerken in de abonnementen van uw organisatie dezelfde beveiligingskenmerken delen, kunt u Virtual Network Manager gebruiken om ze efficiënt toe te passen. U moet bijvoorbeeld alle systemen die worden gebruikt door een bedrijfseenheid, zoals HR of Financiën, in een afzonderlijke netwerkgroep plaatsen, omdat u verschillende beheerregels op deze systemen moet toepassen.
  • Virtual Network Manager kan centraal beveiligingsbeheerdersregels toepassen die een hogere prioriteit hebben dan NSG-regels die op subnetniveau worden toegepast. (Deze functie is beschikbaar als preview-versie.) Met deze functie kunnen netwerk- en beveiligingsteams effectief bedrijfsbeleid afdwingen en beveiligingscontroles op schaal maken, maar kunnen productteams tegelijkertijd de controle over NSG's binnen hun landingszoneabonnementen behouden.
  • U kunt de functie Voor beveiligingsbeheerders van Virtual Network Manager gebruiken om expliciet specifieke netwerkstromen toe te staan of te weigeren, ongeacht de NSG-configuraties op het subnet- of netwerkinterfaceniveau. U kunt deze mogelijkheid bijvoorbeeld gebruiken om netwerkstromen van beheerservices altijd toe te staan. NSG's die worden beheerd door toepassingsteams kunnen deze regels niet overschrijven.
  • Een virtueel netwerk kan deel uitmaken van zo veel als twee verbonden groepen.

Ontwerpaanaanvelingen

  • Definieer het bereik van Virtual Network Manager. Beveiligingsbeheerdersregels toepassen die regels op organisatieniveau afdwingen in de hoofdbeheergroep (de tenant). Als u dit doet, worden regels automatisch toegepast op bestaande en nieuwe resources en op alle gekoppelde beheergroepen.
  • Maak een Virtual Network Manager-exemplaar in het Verbinding maken iviteitsabonnement met een bereik van de tussenliggende hoofdbeheergroep (bijvoorbeeld Contoso). Schakel de beveiligingsbeheerderfunctie voor dit exemplaar in. Met deze configuratie kunt u beveiligingsbeheerdersregels definiëren die van toepassing zijn op alle virtuele netwerken en subnetten in uw Azure-landingszonehiërarchie en helpt u bij het democratiseren van NSG's voor eigenaren en teams van landingszones.
  • Segmenteer netwerken door virtuele netwerken statisch (handmatig) of dynamisch te groeperen (op beleid gebaseerd).
  • Schakel directe connectiviteit tussen spokes in wanneer geselecteerde spokes regelmatig moeten communiceren, met lage latentie en hoge doorvoer, naast toegang tot algemene services of NVA's in de hub.
  • Schakel global mesh in wanneer alle virtuele netwerken in verschillende regio's met elkaar moeten communiceren.
  • Wijs een prioriteitswaarde toe aan elke beveiligingsbeheerderregel in uw regelverzamelingen. Hoe lager de waarde, hoe hoger de prioriteit van de regel.
  • Gebruik beveiligingsbeheerdersregels om netwerkstromen expliciet toe te staan of te weigeren, ongeacht NSG-configuraties die worden beheerd door toepassingsteams. Hierdoor kunt u ook het beheer van NSG's en hun regels volledig delegeren aan toepassingsteams.