Wereldwijde architectuur en Virtual WAN

  • Artikel
  • 10 minuten om te lezen

Moderne ondernemingen vereisen alomtegenwoordige connectiviteit tussen hyper gedistribueerde toepassingen, gegevens en gebruikers in de cloud en on-premises. Wereldwijde architectuur voor doorvoernetwerk wordt door ondernemingen gebruikt om de cloudgerichte moderne, wereldwijde IT-footprint voor ondernemingen te consolideren, te verbinden en te controleren.

De wereldwijde transitnetwerkarchitectuur is gebaseerd op een klassiek hub-and-spoke-connectiviteitsmodel waarbij het in de cloud gehoste netwerk 'hub' transitieve connectiviteit mogelijk maakt tussen eindpunten die kunnen worden gedistribueerd over verschillende typen 'spokes'.

In dit model kan een spoke het volgende zijn:

  • Virtueel netwerk (VNets)
  • Fysieke vertakkingssite
  • Externe gebruiker
  • Internet

hub en spoke

Afbeelding 1: Wereldwijd hub-en-spoke-netwerk voor doorvoer

Afbeelding 1 toont de logische weergave van het wereldwijde doorvoernetwerk waar geografisch verspreide gebruikers, fysieke sites en VNets onderling zijn verbonden via een netwerkhub die in de cloud wordt gehost. Deze architectuur maakt logische transitconnectiviteit met één hop tussen de netwerkent eindpunten mogelijk.

Wereldwijd doorvoernetwerk met Virtual WAN

Azure Virtual WAN is een door Microsoft beheerde cloudnetwerkservice. Alle netwerkonderdelen waar deze service uit bestaat, worden gehost en beheerd door Microsoft. Zie het artikel Virtual WAN overzicht voor Virtual WAN informatie over uw gegevens.

Azure Virtual WAN maakt een wereldwijde transitnetwerkarchitectuur mogelijk door alomtegenwoordige any-to-any-connectiviteit mogelijk te maken tussen wereldwijd gedistribueerde sets cloudworkloads in VNets, filialen, SaaS- en PaaS-toepassingen en gebruikers.

Azure Virtual WAN

Afbeelding 2: Wereldwijd doorvoernetwerk en Virtual WAN

In de Azure Virtual WAN-architectuur worden virtuele WAN-hubs ingericht in Azure-regio's, waarmee u uw vertakkingen, VNets en externe gebruikers kunt verbinden. De fysieke vertakkingssites zijn verbonden met de hub via Premium of Standard ExpressRoute of site-naar-site-VPN's, VNets zijn verbonden met de hub via VNet-verbindingen en externe gebruikers kunnen rechtstreeks verbinding maken met de hub via gebruikers-VPN (punt-naar-site-VPN's). Virtual WAN ondersteunt ook regio-overschrijdende VNet-verbindingen waarbij een VNet in één regio kan worden verbonden met een virtuele WAN-hub in een andere regio.

U kunt een virtueel WAN tot stand brengen door één virtuele WAN-hub te maken in de regio met het grootste aantal spokes (vertakkingen, VNets, gebruikers) en vervolgens de spokes in andere regio's te verbinden met de hub. Dit is een goede optie wanneer een bedrijfsvoetafdruk zich voornamelijk in één regio met een paar externe spokes voordeed.

Hub-naar-hub-connectiviteit

Een Enterprise-cloudvoetafdruk kan meerdere cloudregio's overspannen en het is optimaal (latentie-wijs) om toegang te krijgen tot de cloud vanuit een regio die het dichtst bij hun fysieke site en gebruikers ligt. Een van de belangrijkste principes van wereldwijde architectuur voor doorvoernetwerk is het inschakelen van connectiviteit tussen verschillende regio's tussen alle cloud- en on-premises netwerk eindpunten. Dit betekent dat verkeer van een vertakking die is verbonden met de cloud in de ene regio een andere vertakking of een VNet in een andere regio kan bereiken met behulp van hub-naar-hub-connectiviteit die wordt ingeschakeld door Azure Global Network.

regio-overschrijdend

Afbeelding 3: Virtual WAN connectiviteit tussen regio's

Wanneer meerdere hubs zijn ingeschakeld in één virtueel WAN, worden de hubs automatisch onderling verbonden via hub-naar-hub-koppelingen, waardoor wereldwijde connectiviteit mogelijk is tussen vertakkingen en VNet's die zijn gedistribueerd over meerdere regio's.

Daarnaast kunnen hubs die allemaal deel uitmaken van hetzelfde virtuele WAN, worden gekoppeld aan verschillende regionale toegangs- en beveiligingsbeleidsregels. Zie Beveiligings- en beleidsbeheer verder in dit artikel voor meer informatie.

Any-to-any-connectiviteit

Wereldwijde transitnetwerkarchitectuur maakt any-to-any connectiviteit via virtuele WAN-hubs mogelijk. Deze architectuur elimineert of vermindert de noodzaak van volledige mesh- of gedeeltelijke mesh-connectiviteit tussen spokes, die complexer zijn om te bouwen en te onderhouden. Bovendien is routeringsbeheer in hub-and-spoke-netwerken versus mesh-netwerken eenvoudiger te configureren en te onderhouden.

Any-to-any-connectiviteit (in de context van een wereldwijde architectuur) stelt een onderneming met wereldwijd gedistribueerde gebruikers, vertakkingen, datacenters, VNets en toepassingen in staat om verbinding met elkaar te maken via de transithub(s). Azure Virtual WAN fungeert als het globale doorvoersysteem.

any to any

Afbeelding 4: Virtual WAN verkeerspaden

Azure Virtual WAN ondersteunt de volgende algemene transitconnectiviteitspaden. De letters tussen haakjes worden weergegeven in afbeelding 4.

  • Vertakking naar VNet (a)
  • Vertakking naar vertakking (b)
    • ExpressRoute Global Reach en Virtual WAN
  • Externe gebruiker naar VNet (c)
  • Externe gebruiker naar vertakking (d)
  • VNet-naar-VNet (e)
  • Vertakking naar hub-hub-naar-vertakking (f)
  • Vertakking naar hub-hub-naar-VNet (g)
  • VNet-naar-hub-hub-naar-VNet (h)

Vertakking-naar-VNet (a) en vertakking-naar-VNet tussen regio's (g)

Vertakking naar VNet is het primaire pad dat wordt ondersteund door Azure Virtual WAN. Met dit pad kunt u vertakkingen verbinden met Azure IAAS Enterprise-workloads die zijn geïmplementeerd in Azure VNets. Vertakkingen kunnen worden verbonden met het virtuele WAN via ExpressRoute of site-naar-site-VPN. Het verkeer gaat via VNet-verbindingen naar VNets die zijn verbonden met de virtuele WAN-hubs. Expliciete gateway-doorvoer is niet vereist voor Virtual WAN omdat Virtual WAN gateway-overdracht naar de vertakkingssite automatisch mogelijk maakt. Zie Virtual WAN partners artikel over het verbinden van een SD-WAN CPE met Virtual WAN.

ExpressRoute Global Reach en Virtual WAN

ExpressRoute is een persoonlijke en flexibele manier om uw on-premises netwerken te verbinden met de Microsoft Cloud. Virtual WAN ondersteunt Express Route-circuitverbindingen. Voor het verbinden van een vertakkingssite met Virtual WAN Express Route is 1) Premium- of Standard Circuit 2)-circuit vereist op een Global Reach locatie.

ExpressRoute Global Reach is een invoegfunctie voor ExpressRoute. Met Global Reach kunt u ExpressRoute-circuits aan elkaar koppelen om een privénetwerk tussen uw on-premises netwerken te maken. Voor vertakkingen die zijn Azure Virtual WAN ExpressRoute moet de ExpressRoute-Global Reach met elkaar communiceren.

In dit model kan elke vertakking die is verbonden met de virtuele WAN-hub via ExpressRoute verbinding maken met VNets via het pad vertakking-naar-VNet. Vertakking-naar-vertakking-verkeer wordt niet door de hub heengeleid, omdat ExpressRoute Global Reach een optimaal pad via Azure WAN mogelijk maakt.

Vertakking naar vertakking (b) en vertakking-naar-vertakking in andere regio's (f)

Vertakkingen kunnen worden verbonden met een virtuele WAN-hub van Azure met behulp van ExpressRoute-circuits en/of site-naar-site-VPN-verbindingen. U kunt de vertakkingen verbinden met de virtuele WAN-hub die zich in de regio het dichtst bij de vertakking.

Met deze optie kunnen ondernemingen gebruikmaken van de Azure-backbone om vertakkingen te verbinden. Hoewel deze mogelijkheid beschikbaar is, moet u echter de voordelen afwegen van het verbinden van vertakkingen via Azure Virtual WAN het gebruik van een privé-WAN.

Notitie

Vertakking-naar-vertakking-connectiviteit uitschakelen in Virtual WAN: Virtual WAN kunnen worden geconfigureerd om de connectiviteit tussen vertakkingen uit te schakelen. Deze configuratie blokkeert het doorgeven van routes tussen VPN (S2S en P2S) en expressroute-verbonden sites. Deze configuratie heeft geen invloed op vertakking-naar-Vnet- en Vnet-naar-Vnet-routeaanding en -connectiviteit. Deze instelling configureren met behulp van de Azure-portal: kies onder Virtual WAN menu Configuratie de optie Instelling: Vertakking naar vertakking - Uitgeschakeld.

Externe gebruiker naar VNet (c)

U kunt directe, veilige externe toegang tot Azure inschakelen met behulp van een punt-naar-site-verbinding van een externe gebruikersclient naar een virtueel WAN. Zakelijke externe gebruikers moeten zich niet langer met de cloud vastmaken met behulp van een zakelijke VPN.

Externe gebruiker naar vertakking (d)

Met het pad Van externe gebruiker naar vertakking hebben externe gebruikers die een punt-naar-site-verbinding met Azure gebruiken toegang tot on-premises workloads en toepassingen door ze via de cloud te verplaatsen. Dit pad biedt externe gebruikers de flexibiliteit om toegang te krijgen tot workloads die zowel in Azure als on-premises zijn geïmplementeerd. Ondernemingen kunnen een centrale cloudservice voor beveiligde externe toegang inschakelen in Azure Virtual WAN.

VNet-naar-VNet-doorvoer (e) en VNet-naar-VNet tussen regio's (h)

Met de doorvoer van VNet-naar-VNet kunnen VNets verbinding maken met elkaar om verbinding te maken met toepassingen met meerdere lagen die zijn geïmplementeerd in meerdere VNets. Optioneel kunt u VNets met elkaar verbinden via VNet-peering. Dit is mogelijk geschikt voor bepaalde scenario's waarbij doorvoer via de VWAN-hub niet nodig is.

Geforceerde tunneling en standaardroute in Azure Virtual WAN

Geforceerd tunnelen kan worden ingeschakeld door de standaardroute inschakelen te configureren voor een VPN-, ExpressRoute- of Virtual Network-verbinding in Virtual WAN.

Een virtuele hub geeft een geleerde standaardroute door aan een virtueel netwerk/site-naar-site-VPN-/ExpressRoute-verbinding als de standaardvlag 'Ingeschakeld' is ingeschakeld voor de verbinding.

Deze vlag wordt weergegeven als de gebruiker een verbinding met een virtueel netwerk, een VPN-verbinding of een ExpressRoute aanpast. Deze vlag wordt standaard uitgeschakeld wanneer een site of een ExpressRoute-circuit met een hub wordt verbonden. De vlag is standaard ingeschakeld wanneer een virtuele netwerkverbinding wordt toegevoegd om een VNet te verbinden met een virtuele hub. De standaardroute is niet afkomstig van de Virtual WAN-hub. De standaardroute wordt doorgegeven als deze al bekend is bij de virtuele WAN-hub als gevolg van het implementeren van een firewall in de hub, of als voor een andere verbonden site geforceerd tunnelen is ingeschakeld.

Beveiligings- en beleidsbeheer

De Azure Virtual WAN hubs verbinden alle netwerk-eindpunten via het hybride netwerk en zien mogelijk al het transitnetwerkverkeer. Virtual WAN-hubs kunnen worden geconverteerd naar beveiligde virtuele hubs door de Azure Firewall te implementeren in VWAN-hubs om beveiliging, toegang en beleidsbeheer in de cloud mogelijk te maken. De orchestration van Azure Firewalls in virtuele WAN-hubs kan worden uitgevoerd door Azure Firewall Manager.

Azure Firewall Manager biedt de mogelijkheden om beveiliging voor wereldwijde doorvoernetwerken te beheren en te schalen. Azure Firewall Manager biedt de mogelijkheid om routering, algemeen beleidsbeheer en geavanceerde internetbeveiligingsservices centraal te beheren via derden, samen met de Azure Firewall.

beveiligde virtuele hub met Azure Firewall

Afbeelding 5: Beveiligde virtuele hub met Azure Firewall

Azure Firewall virtuele WAN ondersteunt de volgende wereldwijde beveiligde transitconnectiviteitspaden. De letters tussen haakjes worden weergegeven in afbeelding 5.

  • Beveiligde doorvoer tussen VNets (e)
  • VNet-naar-internet of beveiligingsservice van derden (i)
  • Vertakking naar internet of beveiligingsservice van derden (j)

Beveiligde doorvoer tussen VNets (e)

Met de beveiligde doorvoer van VNet naar VNet kunnen VNets verbinding met elkaar maken via de Azure Firewall in de virtuele WAN-hub.

VNet-naar-internet of beveiligingsservice van derden (i)

Met VNet-naar-internet kunnen VNets verbinding maken met internet via de Azure Firewall in de virtuele WAN-hub. Verkeer naar internet via ondersteunde beveiligingsservices van derden stroomt niet via de Azure Firewall. U kunt het Vnet-naar-internet-pad configureren via een ondersteunde beveiligingsservice van derden met behulp Azure Firewall Manager.

Vertakking naar internet of beveiligingsservice van derden (j)

Met de vertakking naar internet kunnen vertakkingen verbinding maken met internet via de Azure Firewall in de virtuele WAN-hub. Verkeer naar internet via ondersteunde beveiligingsservices van derden stroomt niet door de Azure Firewall. U kunt het pad van vertakking naar internet configureren via een ondersteunde beveiligingsservice van derden met behulp Azure Firewall Manager.

Met vertakking naar vertakking beveiligde doorvoer tussen regio's (f)

Vertakkingen kunnen worden verbonden met een beveiligde virtuele hub met Azure Firewall expressRoute-circuits en/of site-naar-site-VPN-verbindingen. U kunt de vertakkingen verbinden met de virtuele WAN-hub die zich in de regio het dichtst bij de vertakking.

Met deze optie kunnen ondernemingen gebruikmaken van de Azure-backbone om vertakkingen te verbinden. Hoewel deze mogelijkheid beschikbaar is, moet u echter de voordelen afwegen van het verbinden van vertakkingen via Azure Virtual WAN met behulp van een privé-WAN.

Notitie

De verwerking van verkeer tussen hubs via een firewall wordt momenteel niet ondersteund. Verkeer tussen hubs wordt gerouteerd naar de juiste vertakking binnen de beveiligde virtuele hub, maar verkeer omzeilt de Azure Firewall in elke hub.

Beveiligde overdracht van vertakking naar VNet (g)

Met de beveiligde doorvoer van vertakking naar VNet kunnen vertakkingen communiceren met virtuele netwerken in dezelfde regio als de virtuele WAN-hub, evenals een ander virtueel netwerk dat is verbonden met een andere virtuele WAN-hub in een andere regio.

Notitie

Inter-hub met firewall wordt momenteel niet ondersteund. Verkeer tussen hubs wordt rechtstreeks omzeild door de Azure Firewall in elke hub. Verkeer via een verbinding die is bestemd voor een virtueel netwerk in dezelfde regio, wordt verwerkt door de Azure Firewall in de beveiligde hub.

Hoe kan ik standaardroute inschakelen (0.0.0.0/0) in een beveiligde virtuele hub

Azure Firewall geïmplementeerd in een Virtual WAN-hub (beveiligde virtuele hub) kunnen worden geconfigureerd als standaardrouter naar internet of als vertrouwde beveiligingsprovider voor alle vertakkingen (verbonden via VPN of Express Route), spoke-VNet's en -gebruikers (verbonden via P2S VPN). Deze configuratie moet worden uitgevoerd met behulp Azure Firewall Manager. Zie Verkeer naar uw hub om al het verkeer van vertakkingen (inclusief gebruikers) en VNET's naar internet te configureren via de Azure Firewall.

Dit is een configuratie in twee stappen:

  1. Configureer routering van internetverkeer met het menu Route-instelling voor beveiligde virtuele hub. Configureer VNET's en vertakkingen die verkeer naar internet kunnen verzenden via de firewall.

  2. Configureer welke verbindingen (Vnet en vertakking) verkeer naar internet (0.0.0.0/0) via de Azure-fw in de hub of vertrouwde beveiligingsprovider kunnen doorvernetten. Deze stap zorgt ervoor dat de standaardroute wordt doorgegeven aan geselecteerde vertakkingen en Vnets die via de verbindingen zijn gekoppeld aan de Virtual WAN hub.

Geforceerd tunnelen van verkeer naar een on-premises firewall in een beveiligde virtuele hub

Als er al een standaardroute is geleerd (via BGP) door de virtuele hub van een van de vertakkingen (VPN- of ER-sites), wordt deze standaardroute overgenomen door de standaardroute die is geleerd van Azure Firewall Manager-instelling. In dit geval wordt al het verkeer dat de hub binnenkomt van Vnets en vertakkingen die zijn bestemd voor internet, doorgeleid naar de Azure Firewall of vertrouwde beveiligingsprovider.

Notitie

Er is momenteel geen optie om on-premises firewall of Azure Firewall (en vertrouwde beveiligingsprovider) te selecteren voor internetverkeer dat afkomstig is van VNet's, vertakkingen of gebruikers. De standaardroute die is geleerd van de Azure Firewall Manager heeft altijd de voorkeur boven de standaardroute die is geleerd van een van de vertakkingen.

Volgende stappen

Maak een verbinding met behulp Virtual WAN en implementeer Azure Firewall in VWAN-hub(s).