Planowanie sieci wirtualnych na platformie Azure

8 min

Na podstawie badań wybrano wdrożenie architektury sieci piasty i szprych na potrzeby migracji firmy na platformę Azure. Jako główny architekt w projekcie zarządzasz produkcją projektu sieci wirtualnej, używając usługi Azure ExpressRoute na potrzeby łączności z siedzibą firmy. Musisz również zdecydować, jak połączyć biura satelitarne firmy z nową siecią piasty i szprych.

W tej lekcji zapoznasz się z siecią wirtualną na platformie Azure, zagadnieniami dotyczącymi projektowania i sposobem implementowania usługi ExpressRoute na potrzeby łączności z sieciami lokalnymi.

Architectural diagram showing hub and spokes connecting to the on-premises resources.

Wprowadzenie do sieci wirtualnych platformy Azure

Sieci wirtualne zapewniają usługi sieciowe na platformie Azure i umożliwiają rozbudowę istniejącej infrastruktury lokalnej. Sieć wirtualna platformy Azure może reprezentować Twoją prywatną infrastrukturę informatyczną w chmurze, izolując logicznie dedykowane zasoby w Twoich subskrypcjach. Sieci wirtualne zapewniają następujące możliwości:

Połączenia zewnętrzne z Internetem.
Komunikacja między różnymi wewnętrznymi zasobami platformy Azure.
Izolacja tych zasobów.
Połączenia z komputerami lokalnymi.
Zarządzanie ruchem sieciowym.

Dwoma ważnymi elementami sieci wirtualnych są podsieci i sieciowe grupy zabezpieczeń.

Image showing Azure Virtual Network component architecture.

Podsieci: każda sieć wirtualna może zawierać wiele podsieci. Każda podsieć ma własne unikatowe właściwości.
Sieciowe grupy zabezpieczeń: te sieciowe grupy zabezpieczeń umożliwiają filtrowanie ruchu przychodzącego i wychodzącego za pośrednictwem sieci wirtualnej lub podsieci. Sieciowe grupy zabezpieczeń umożliwiają również filtrowanie ruchu według źródłowego i docelowego adresu IP, portu lub protokołu.

Zagadnienia dotyczące planowania i projektowania dla sieci wirtualnych

Każda sieć, zarówno lokalna, jak i w chmurze, wymaga metody zarządzania przepływem, kierunkiem i typem przechodzącego przez nią ruchu. Istnieje kilka kwestii dotyczących sieci wirtualnych:

Segmentacja: ważne jest, aby rozważyć potencjalną izolację ruchu do różnych podsieci lub sieci wirtualnych albo do oddzielnych subskrypcji.
Zabezpieczenia: użyj sieciowych grup zabezpieczeń i wirtualnych urządzeń sieciowych, aby filtrować ruch sieciowy do i z zasobów w sieci wirtualnej.
Połączenie ivity: możesz połączyć sieć wirtualną z innymi sieciami wirtualnymi przy użyciu komunikacji równorzędnej sieci wirtualnych lub z sieciami lokalnymi przy użyciu usługi ExpressRoute lub usługi Azure VPN Gateway.
Routing: sieci wirtualne platformy Azure automatycznie tworzą tabele routingu w każdej podsieci i dodają domyślne trasy systemowe do tabel. Trasy niestandardowe umożliwiają przesłonięcie domyślnych tras systemowych. Pozwalają też na kierowanie ruchu przez wirtualne urządzenia sieciowe w celu zapewnienia zwiększonych możliwości zabezpieczeń i filtrowania.

Łączenie sieci lokalnej

Podczas pracy nad zintegrowaniem sieci lokalnej z platformą Azure należy utworzyć połączenie między dwiema sieciami. Ta funkcja jest dostępna w usłudze Azure VPN Gateway. Usługa VPN Gateway wysyła zaszyfrowany ruch między dwiema sieciami przez Internet. Bramy obsługują wiele połączeń, które kierują tunele sieci VPN przez dostępną przepustowość, chociaż do sieci wirtualnej można przypisać tylko jedną bramę. Za pomocą bramy sieci VPN można także tworzyć połączenia między sieciami na platformie Azure.

Usługa Azure ExpressRoute jest kolejnym elementem, w przypadku którego należy wziąć pod uwagę mostkowanie. Usługa ExpressRoute umożliwia rozszerzanie sieci lokalnych na platformę Azure za pośrednictwem połączenia prywatnego. To połączenie jest obsługiwane przez dostawcę łączności lub wymiany w chmurze. Usługa ExpressRoute obejmuje więcej niż tylko zasoby platformy Azure i umożliwia nawiązywanie połączeń z innymi usługami w chmurze firmy Microsoft, takimi jak Office 365.

Implementacja usługi ExpressRoute zajmuje trochę czasu. Konieczna jest współpraca z dostawcą łączności i może być wymagane zaimplementowanie fizycznego urządzenia sieciowego. Rozwiązaniem zapewniającym łączność w trakcie implementacji jest użycie międzylokacyjnej sieci VPN w celu dodania połączenia między zasobami lokalnymi i sieciami wirtualnymi platformy Azure. Gdy dostawca usług potwierdzi zakończenie instalacji, można przeprowadzić migrację do nowego połączenia usługi ExpressRoute.

Korzystanie z usługi ExpressRoute w topologii piasty i szprych

Używanie usługi ExpressRoute w topologii piasty i szprych nie różni się od innych wzorców architektury. Usługa ExpressRoute, która stanowi podstawę łączności między koncentratorem a siecią lokalną, działa najlepiej, gdy istnieje wysoka przepływność danych zarówno przychodzących, jak i wychodzących.

Obwody służą do zarządzania ruchem i kierowania go, łącząc usługę ExpressRoute z siecią wirtualną na platformie Azure. Obwody, które mają być połączone z siecią wirtualną, mogą znajdować się w różnych regionach lub subskrypcjach. Istnieją limity liczby sieci wirtualnych na obwód usługi ExpressRoute. W przypadku warstwy Standardowa limit obecnie wynosi 10 sieci. W przypadku korzystania z dodatku Premium limit zwiększa się w zależności od wielkości obwodu. Najniższa liczba to 20 sieci wirtualnych w obwodzie 50 Mb/s, do 100 dla obwodów o przepustowości 10 Gb/s lub większej.

Sprawdź swoją wiedzę

Który z tych wyborów to sposób, w jaki zasoby mogą komunikować się ze sobą na platformie Azure?

Zasoby komunikują się za pośrednictwem połączenia usługi ExpressRoute.

Zasoby znajdują się w jednej sieci wirtualnej.

Każdy zasób określa punkt końcowy sieci.

Jaki jest limit liczby sieci wirtualnych, które można połączyć z usługą ExpressRoute?

100

To zależy od wielkości obwodu.

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.

Kontynuuj