Arbeta med hybridnätverk i Azure
Din organisation vill fortsätta med migreringen till molnet. Du har utforskat fördelarna med att använda Azure ExpressRoute för att tillhandahålla en dedikerad höghastighetsanslutning mellan ditt lokala nätverk och Azure.
För noggrannhetens skull behöver du utforska de andra alternativen för hybridarkitektur som är tillgängliga för att ansluta ditt lokala nätverk till Azure.
I den här lektionen gör du följande:
- få en förståelse för anslutningar via virtuella privata nätverk
- titta på ett alternativ för motståndskraft för ExpressRoute
- överväga fördelarna med en nätverkstopologi av typen hub-spoke.
Vad är en hybridnätverksarkitektur?
Hybridnätverk är en term som används när två olika nätverkstopologier kombineras för att bilda ett enda sammanhängande nätverk. Med Azure representerar ett hybridnätverk sammanslagningen eller kombinationen av ett lokalt nätverk med ett virtuellt Azure-nätverk. Det gör att du kan fortsätta använda din befintliga infrastruktur samtidigt som du får alla fördelar med molnbaserad databehandling och åtkomst.
Det finns flera orsaker till att det kan vara bra att införa en hybridnätverkslösning. De två vanligaste är:
- Att migrera från ett helt lokalt nätverk till ett helt molnbaserat nätverk.
- Att utöka ditt lokala nätverk och dina resurser för att stödja molntjänsterna.
Oavsett varför du vill lägga till molntjänster i din infrastruktur finns det flera arkitekturer att överväga. Vi gick igenom ExpressRoute i den föregående lektionen. De andra arkitekturerna är:
- Azure VPN Gateway
- ExpressRoute med VPN-redundans
- Nätverkstopologi av typen hub-spoke
Azure VPN Gateway
Med tjänsten Azure VPN Gateway (virtuell nätverksgateway) går det att skapa VPN-anslutning för plats-till-plats-och punkt-till-plats mellan ditt lokala nätverk och Azure.
VPN, eller virtuellt privat nätverk, är en väletablerad och välkänd nätverksarkitektur.
VPN Gateway använder din befintliga anslutning till Internet. All kommunikation krypteras dock med hjälp av protokollen Internet Key Exchange (IKE) och IPsec (Internet Protocol Security). Du kan endast ha en virtuell nätverksgateway per virtuellt privat nätverk.
När du konfigurerar en virtuell nätverksgateway måste du ange om det är en VPN-gateway eller en ExpressRoute-Gateway.
VPN-typen beror på vilken typ av anslutningstopologi du behöver. Om du till exempel vill skapa en gateway för punkt-till-plats (P2S) eller punkt-till-punkt (P2P) använder du en routningsbaserad typ. Det finns två VPN-typer:
- PolicyBased: Använder en IPsec-tunnel för att kryptera datapaket. Konfigurationen av principen använder adressprefix som hämtats från ditt virtuella Azure-nätverk och ditt lokala nätverk.
- RouteBased: Använder routnings- eller IP-vidarebefordrantabellerna för att dirigera datapaket till rätt tunnel. Varje tunnel krypterar och dekrypterar alla paket.
När du har angett VPN-typen för den virtuella nätverksgatewayen kan du inte ändra den. Om du behöver göra en ändring tar du bort den virtuella nätverksgatewayen och skapar den igen.
Plats till plats
Alla gatewayanslutningar för plats-till-plats använder en VPN-tunnel med IPsec/IKE för att skapa en anslutning mellan Azure och ditt lokala nätverk. En plats-till-plats-anslutning kräver en lokal VPN-enhet med en offentligt tillgänglig IP-adress.
Punkt-till-plats
En gateway-anslutning för punkt-till-plats skapar en säker anslutning mellan en enskild enhet och ditt virtuella Azure-nätverk. Den här gatewaytypen passar distansarbetare, till exempel användare som deltar i en konferens eller arbetar hemifrån. Ett punkt-till-punkt-anslutning kräver ingen dedikerad lokal VPN-enhet.
Förmåner
Här är några av fördelarna med att använda en VPN-anslutning:
- Det är en välkänd teknik som är enkel att konfigurera och underhålla.
- All datatrafik krypteras.
- Det är bättre att hantera lättare datatrafikbelastningar.
Att tänka på
Överväg följande när du utvärderar användning av den här hybridarkitekturen:
- VPN-anslutningar använder Internet.
- Det kan finnas potentiella problem med svarstider beroende på bandbreddens storlek och användning.
- Azure stöder en maximal bandbredd på 1,25 Gbit/s.
- En lokal VPN-enhet krävs för plats-till-plats-anslutningar.
ExpressRoute med VPN-redundans
En av garantierna vid användning av ExpressRoute är att det ger en hög tillgänglighetsnivå. Varje ExpressRoute-krets levereras med dubbla ExpressRoute-gatewayer. Dock kan anslutningen avbrytas även med den här nivån av motståndskraft på Azure-sidan i nätverket. Ett sätt att åtgärda den här situationen och upprätthålla anslutningen är att tillhandahålla en tjänst för VPN-redundans.
Kombinationen av VPN-anslutningen och ExpressRoute förbättrar motståndskraften hos din nätverksanslutning. Under normala förhållanden fungerar ExpressRoute precis som en vanlig ExpressRoute-arkitektur, och VPN-anslutningen hålls vilande. Om ExpressRoute-kretsen misslyckas eller kopplas från, tar VPN-anslutningen över. Den här åtgärden säkerställer att nätverket är tillgängligt under alla omständigheter. När ExpressRoute-kretsen återställs återgår all trafik till att använda ExpressRoute-anslutningen.
Referensarkitektur för ExpressRoute med VPN-redundans
Följande diagram visar hur du ansluter ditt lokala nätverk till Azure med hjälp av ExpressRoute med en VPN-redundans. Den valda topologin i den här lösningen är en VPN-baserad plats-till-plats-anslutning med högt trafikflöde.
I den här modellen dirigeras all nätverkstrafik via den privata ExpressRoute-anslutningen. När anslutningen förloras i ExpressRoute-kretsen växlar gatewayundernätet automatiskt över till VPN-gatewaykretsen för plats-till-plats. Den streckade linjen från gatewayen till VPN-gatewayen i det virtuella Azure-nätverket anger det här scenariot.
När ExpressRoute-kretsen återställs växlar trafiken automatiskt tillbaka från VPN-gatewayen.
Förmåner
Följande fördel är tillgänglig när du implementerar ExpressRoute med en VPN-redundans:
- Det skapar ett elastiskt nätverk med hög tillgänglighet.
Att tänka på
När du implementerar en ExpressRoute med VPN-redundansarkitektur bör du överväga följande:
När en redundansväxling inträffar minskas bandbredden till VPN-anslutningens hastighet.
ExpressRoute- och VPN-gatewayresurserna måste finnas i samma virtuella nätverk.
Det är en mycket komplex konfiguration.
Implementeringen kräver både en ExpressRoute-anslutning och en VPN-anslutning.
Implementeringen kräver en redundant VPN-gateway och lokal VPN-maskinvara.
Kommentar
Det debiteras avgifter för en redundant VPN-gateway, även när den inte används.
Nätverkstopologi av typen hub-spoke
Med nätverkstopologin hub-spoke kan du strukturera de arbetsbelastningar som servrarna utför. Det använder ett enda virtuellt nätverk som hubb, som ansluter till ditt lokala nätverk via antingen VPN eller ExpressRoute. Ekrarna är andra virtuella nätverk som är peer-kopplade till navet. Du kan tilldela specifika arbetsbelastningar till varje eker och använda hubben för delade tjänster.
Du kan implementera navet och de olika ekrarna i separata prenumerationer eller resursgrupper, och sedan peer-koppla ihop dem.
Den här modellen använder en av de tre tidigare diskuterade metoderna: VPN, ExpressRoute och ExpressRoute med VPN-redundans. Fördelar och överväganden beskrivs i följande avsnitt.
Förmåner
Implementering av en hub-spoke-arkitektur ger följande fördelar:
- Användningen av delningstjänster och centraliserade tjänster i navet kan minska behovet av duplicering på ekrarna, vilket kan minska kostnaderna.
- Prenumerationsbegränsningar kan lösas genom peering för virtuella nätverk.
- Modellen av typen hub-spoke möjliggör indelning av organisationens arbetsområden i dedikerade ekrar, till exempel SecOps, InfraOps och DevOps.
Att tänka på
Överväg följande när du utvärderar användning av den här hybridarkitekturen:
- Titta på de tjänster som delas i navet och på det som finns kvar på ekrarna.