Azure Sanal WAN’a geçiş

Azure Sanal WAN, şirketlerin Microsoft küresel ağının ölçeğinden yararlanmak için küresel bağlantılarını basitleştirmelerine olanak sağlar. Bu makalede, mevcut müşteri tarafından yönetilen merkez-bağlı-bağlı sunucu topolojilerinden Microsoft tarafından yönetilen Sanal WAN hub'larından yararlanan bir tasarıma geçiş yapmak isteyen şirketler için teknik ayrıntılar sunulmaktadır.

Bulut odaklı modern bir kurumsal Azure Sanal WAN benimseyen kuruluşlara olanak sağlayan avantajlar hakkında bilgi için bkz. Küresel geçiş ağı mimarisi ve Sanal WAN.

merkez-bağlı Şekil: Azure Sanal WAN

Azure merkez-bağlı bağlantı modeli, basit ve ölçeklenebilir bulut ağları oluşturmak için binlerce müşterimiz tarafından Azure Ağ varsayılan geçişli yönlendirme davranışıyla benimsendi. Azure Sanal WAN kavramlar temel alınarak geliştirilmiştir ve yalnızca şirket içi konumlar ile Azure arasında değil, aynı zamanda müşterilerin mevcut küresel ağlarını artırmak için Microsoft ağının ölçeğini de artırmasına olanak sağlayan yeni özellikler sunar.

Bu makalede, mevcut müşteri tarafından yönetilen merkez-bağlı kaynak ortamının, temel alınan bir topolojiye nasıl Azure Sanal WAN.

Senaryo

Contoso hem Avrupa hem de Asya'da ofisleri olan küresel bir finans kuruluşudur. Şirket, mevcut uygulamalarını şirket içi veri merkezinden Azure'a taşımayı planlıyor ve karma bağlantı için bölgesel merkez sanal ağları da dahil olmak üzere müşteri tarafından yönetilen merkez-bağlı sunucu mimarisini temel alan temel bir tasarıma sahip. Bulut tabanlı teknolojilere taşımanın bir parçası olarak, ağ ekibine bağlantılarının işletmenin ilerlemesi için en iyi duruma getirilmiş olmasını sağlamakla görev alındı.

Aşağıdaki şekilde, birden çok Azure bölgesiyle bağlantı da dahil olmak üzere mevcut küresel ağın üst düzey bir görünümü yer alır.

Contoso mevcut ağ topolojisi Şekil: Contoso mevcut ağ topolojisi

Aşağıdaki noktalar mevcut ağ topolojisi ile anlaşılabilir:

  • Merkez-bağlı-bağlı-bağlı topolojisi, ortak bir özel Geniş Alan Ağına (WAN) geri bağlantı için ExpressRoute bağlantı hatlarını da içeren birden çok bölgede kullanılır.

  • Bu sitelerden bazıları, bulutta barındırılan uygulamalara ulaşmak için doğrudan Azure'a VPN tünelleri de içerir.

Gereksinimler

Ağ ekibi, Contoso'ya buluta geçişi destekleyene ve maliyet, ölçek ve performans alanlarında iyileştirmeler yapmak zorunda olan küresel bir ağ modeli sunma göreviyle görev aldı. Özetle aşağıdaki gereksinimler karşılanmaktadır:

  • Bulutta barındırılan uygulamalar için iyileştirilmiş yol ile hem merkez çeyrek (HQ) hem de şube ofisleri sağlama.
  • Aşağıdaki bağlantı yollarını korurken VPN sonlandırma için mevcut şirket içi veri merkezlerine (DC) olan bağlıliği kaldırın:
    • Daldan sanal ağa: VPN bağlantılı ofislerin yerel Azure bölgesinde buluta geçirilen uygulamalara erişene sahip olması gerekir.
    • Daldan Merkeze- Merkezden Sanal Ağa: VPN bağlantılı ofislerin uzak Azure bölgesinde buluta geçirilen uygulamalara erişene sahip olması gerekir.
    • Daldan dala: Bölgesel VPN bağlantılı ofislerin birbirleriyle ve ExpressRoute bağlı HQ/DC siteleri ile iletişim kurabilecek olması gerekir.
    • Daldan Hub'a- Merkezden dala: Genel olarak ayrılmış VPN bağlı ofislerinin birbirleriyle ve ExpressRoute'a bağlı HQ/DC siteleri ile iletişim kurabilecek olması gerekir.
    • Şubeden İnternete: Bağlı sitelerin İnternet ile iletişim kuraları gerekir. Bu trafiğin filtrelenmiş ve günlüğe kaydedilmiş olması gerekir.
    • Sanal Ağdan Sanal Ağa: Aynı bölgedeki spoke sanal ağlarının birbirleriyle iletişim kuraları gerekir.
    • Sanal Ağdan Hub'a- Merkez-Sanal Ağ: Farklı bölgelerdeki bağlı sanal ağların birbirleriyle iletişim kuraları gerekir.
  • Contoso dolaşım kullanıcılarının (dizüstü bilgisayar ve telefon) şirket ağına değil de şirket kaynaklarına erişmesini sağlama.

Azure Sanal WAN mimarisi

Aşağıdaki şekilde, önceki bölümde ayrıntılı olarak yer alan gereksinimleri karşılamak için Azure Sanal WAN kullanılarak güncelleştirilmiş hedef topolojinin üst düzey bir görünümü yer almaktadır.

Contoso sanal WAN mimarisi Şekil: Azure Sanal WAN mimarisi

Özet:

  • Avrupa'daki merkez- ExpressRoute bağlantısı devam ediyor, Avrupa şirket içi DC tamamen Azure'a geçirildi ve kullanımdan alındı.
  • Asya DC ve HQ, Özel WAN'a bağlı kalır. Azure Sanal WAN taşıyıcı ağı artırmak ve küresel bağlantı sağlamak için artık kullanılıyor.
  • Azure Sanal WAN ExpressRoute ve VPN bağlantılı cihazlar için bağlantı Batı Avrupa ve Doğu Asya Azure bölgelerinde dağıtılmış olan hub'ları kullanabilirsiniz.
  • Hub'lar ayrıca küresel mesh ağına OpenVPN bağlantısını kullanarak birden çok istemci türü arasında gezici kullanıcılar için VPN sonlandırması sağlayarak yalnızca Azure'a geçirilen uygulamalara değil şirket içinde kalan tüm kaynaklara da erişim sağlar.
  • Sanal ağ tarafından sağlanan bir sanal ağ içindeki kaynaklar için İnternet Azure Sanal WAN.

Uzak siteler için İnternet bağlantısı da Azure Sanal WAN. İş ortağı tümleştirmesi gibi SaaS hizmetleri için iyileştirilmiş erişim için iş ortağı tümleştirmesi aracılığıyla desteklenen yerel Microsoft 365.

Sanal WAN'a geçme

Bu bölümde, Azure Sanal WAN'a Azure Sanal WAN.

1. Adım: Tek bölgeli müşteri tarafından yönetilen merkez-bağlı-bağlı

Aşağıdaki şekilde, contoso'ya yeni bir web alanı Azure Sanal WAN:

Tek bölge topolojisi Şekil 1: Tek bölgeli el ile merkez- spoke

Merkez-bağlı bağlantı yaklaşımına bağlı olarak müşteri tarafından yönetilen merkez sanal ağı birkaç işlev bloğu içerir:

  • Paylaşılan hizmetler (birden çok arak için gereken herhangi bir ortak işlev). Örnek: Contoso, Hizmet olarak altyapı (IaaS) sanal makinelerde Windows Server etki alanı denetleyicilerini kullanır.
  • IP/Yönlendirme güvenlik duvarı hizmetleri üçüncü taraf ağ sanal gereçleri tarafından sağlanır ve 5. katman 3 IP yönlendirmesini sağlar.
  • İnternet kaynaklarına filtrelenmiş giden Azure Application Gateway için gelen HTTPS istekleri ve sanal makinelerde çalışan üçüncü taraf ara sunucu hizmetleri dahil olmak üzere İnternet giriş/çıkış hizmetleri.
  • Şirket içi ağlara bağlantı için ExpressRoute ve VPN sanal ağ geçidi.

2. Adım: Sanal WAN hub'larını dağıtma

Her bölgeye bir Sanal WAN merkezi dağıtın. Aşağıdaki makalelerde açıklandığı gibi VPN ve ExpressRoute işlevselliğiyle Sanal WAN hub'larını ayarlayın:

Not

Azure Sanal WAN trafik yollarının bazılarına olanak sağlamak için Standart SKU'nun kullanıyor olması gerekir.

Sanal WAN hub'larını dağıtma Şekil 2: Müşteri tarafından yönetilen merkez-bağlı sunucudan Sanal WAN'a geçiş

3. Adım: Uzak siteleri (ExpressRoute ve VPN) Sanal WAN'a bağlama

Sanal WAN hub'larını mevcut ExpressRoute bağlantı hatlarına bağlayın ve İnternet üzerinden siteden siteye VPN'leri uzak dallara ayarlayın.

Uzak siteleri Sanal WAN'a bağlama Şekil 3: Müşteri tarafından yönetilen merkez-bağlı sunucudan Sanal WAN'a geçiş

Bu noktada, şirket içi ağ ekipmanı Sanal WAN tarafından yönetilen merkez sanal ağına atanan IP adresi alanı yansıtan yolları almaya başlar. Bu aşamada uzak VPN bağlantılı dallar, bağlı sanal ağlarda mevcut uygulamalara giden iki yol görebilir. Geçiş aşamasında simetrik yönlendirme sağlamak için bu cihazların müşteri tarafından yönetilen hub'a tünel kullanmaya devam edecek şekilde yapılandırılması gerekir.

4. Adım: Sanal WAN aracılığıyla karma bağlantıları test edin

Üretim bağlantısı için yönetilen Sanal WAN hub'larını kullanmadan önce bir test bağlı ağı ve Sanal WAN sanal ağ bağlantısı ayarlamanızı öneririz. Sonraki adımlara devam etmeden önce, bu test ortamına bağlantıların ExpressRoute ve Siteden Siteye VPN aracılığıyla çalış ettiğini doğrulama.

Sanal WAN aracılığıyla karma bağlantıları test edin Şekil 4: Müşteri tarafından yönetilen merkez-bağlı sunucudan Sanal WAN'a geçiş

Bu aşamada, hem özgün müşteri tarafından yönetilen merkez sanal ağının hem de yeni Sanal WAN Hub'ın aynı ExpressRoute bağlantı hattına bağlı olduğunu fark etmek önemlidir. Bu nedenle, her iki ortamda da iletişim kurmak için kullanılan bir trafik yolu vardır. Örneğin, müşteri tarafından yönetilen merkez sanal ağına bağlı bir tırtan gelen trafik, ExpressRoute bağlantı hattı için kullanılan MSEE cihazlarından yeni Sanal WAN hub'larına bir sanal ağ bağlantısı üzerinden bağlı herhangi bir noktaya ulaşmak için çapraz geçiş sağlar. Bu, 5. Adımda 4. adıma göre aşamalı geçişe olanak sağlar.

5. Adım: Bağlantıdan sanal WAN hub'ını geçiş

Sanal WAN hub'a bağlantı geçişi Şekil 5: Müşteri tarafından yönetilen merkez-bağlı sunucudan Sanal WAN'a geçiş

bir . Mevcut eşleme bağlantılarını Spoke sanal ağlarından müşteri tarafından yönetilen eski hub'a silin. a-c adımları tamamlayana kadar, spoke sanal ağlarında uygulamalara erişim kullanılamaz.

b . Sanal ağ bağlantıları aracılığıyla bağlı sanal ağları Sanal WAN hub'larına bağlayın.

c. Daha önce spoke-to-spoke iletişimleri için spoke sanal ağlarında kullanılan tüm kullanıcı tanımlı yolları (UDR) kaldırın. Bu yol artık Sanal WAN hub'ı içinde kullanılabilir olan dinamik yönlendirme ile etkinleştirildi.

d. Müşteri tarafından yönetilen hub'daki mevcut ExpressRoute ve VPN Gateway'ler artık bir sonraki adıma (e) izin verilmiyor.

e . Müşteri tarafından yönetilen eski hub'ı (merkez sanal ağı) yeni bir sanal ağ bağlantısı aracılığıyla Sanal WAN hub'ında bağlayın.

6. Adım: Eski merkez paylaşılan hizmetler mızrı olur

Artık Azure ağımızı, sanal WAN hub 'ını yeni topolojimize merkezi bir noktaya getirmek için yeniden tasarladık.

Eski hub, paylaşılan hizmetlere bağlı olur Şekil 6: müşteri tarafından yönetilen hub ve sanal WAN geçişine bağlı bileşen

Sanal WAN hub 'ı yönetilen bir varlık olduğundan ve sanal makineler gibi özel kaynakların dağıtımına izin vermediğinden, paylaşılan hizmetler bloğu artık bağlı bir sanal ağ olarak bulunur ve Azure Application Gateway veya ağ sanallaştırılmış gereci aracılığıyla internet girişi gibi işlevleri barındırır. Paylaşılan hizmetler ortamı ve arka uç sanal makineleri arasındaki trafik artık sanal WAN ile yönetilen hub 'ı geçişli.

7. Adım: sanal WAN 'ı tam olarak kullanmak için şirket içi bağlantıyı Iyileştirin

Contoso, bu aşamada genellikle şirket içi DC içinde kalan bazı eski uygulamalarla Microsoft Bulut içinde iş uygulamalarının geçişlerini tamamlamıştır.

Sanal WAN 'ı tam olarak kullanmak için şirket içi bağlantıyı iyileştirin Şekil 7: müşteri tarafından yönetilen hub ve sanal WAN geçişine bağlı bileşen

Contoso, Azure sanal WAN 'ın tüm işlevselliğinden yararlanmak için eski şirket içi VPN bağlantılarının yetkisini almaya karar verir. HQ veya DC ağlarına erişmeye devam eden dallar, Azure sanal WAN ' ın yerleşik aktarma yönlendirmesini kullanarak Microsoft Global ağını iletiyor.

Not

ExpressRoute Global Reach ExpressRoute ulaşım 'e ExpressRoute (gösterilmez Şekil 7) sağlamak için Microsoft omurga 'tan yararlanmak isteyen müşteriler için ExpressRoute gereklidir.

Son durum mimarisi ve trafik yolları

Son durum mimarisi ve trafik yolları Şekil: Çift bölge sanal WAN

Bu bölüm, bazı örnek trafik akışlarına bakarak bu topolojinin özgün gereksinimleri nasıl karşıladığına ilişkin bir Özet sağlar.

Yol 1

Yol 1, Asya 'daki S2S VPN bağlantılı dalından Güney Doğu Asya bölgesindeki bir Azure VNet 'e trafik akışını gösterir.

Trafik şu şekilde yönlendirilir:

  • Asya dalı, esnek S2S BGP özellikli tüneller aracılığıyla Güney Doğu Asya sanal WAN hub 'ına bağlanır.

  • Asya sanal WAN hub trafiği bağlı VNet 'e yerel olarak yönlendirir.

Flow 1

Yol 2

Yol 2, Avrupa HQ 'ya bağlı olan ExpressRoute 'daki trafik akışını Güney Doğu Asya bölgesindeki bir Azure VNet 'e gösterir.

Trafik şu şekilde yönlendirilir:

  • Avrupa HQ, Batı Avrupa sanal WAN hub 'ına ExpressRoute bağlantı hattı aracılığıyla bağlanır.

  • Sanal WAN hub 'dan hub 'a genel bağlantı, uzak bölgede bağlı olan VNet 'e trafik aktarımına olanak sağlar.

Akış 2

Yol 3

Yol 3, bir Avrupa S2S bağlı dalına Özel WAN 'a bağlı olan Asya şirket içi DC 'den trafik akışını gösterir.

Trafik şu şekilde yönlendirilir:

  • Asya DC, yerel özel WAN taşıyıcısı ile bağlanır.

  • ExpressRoute bağlantı hattı, Güney Doğu Asya sanal WAN hub 'ına Özel WAN bağlantıları üzerinden yerel olarak sonlandırılır.

  • Sanal WAN hub 'dan hub 'a genel bağlantı trafik geçişi sağlar.

Flow 3

Yol 4

  1. yol, Güney Doğu Asya bölgesindeki bir Azure VNet 'ten gelen trafik akışını Batı Avrupa bölgesindeki bir Azure VNet 'e gösterir.

Trafik şu şekilde yönlendirilir:

  • Sanal WAN hub 'dan hub 'a genel bağlantı, bağlantılı tüm Azure sanal ağlarına ek kullanıcı yapılandırması olmadan yerel aktarım sağlar.

Flow 4

Yol 5

Yol 5, gezici VPN (P2S) kullanıcılarının Batı Avrupa bölgesindeki bir Azure VNet 'e trafik akışını gösterir.

Trafik şu şekilde yönlendirilir:

  • Dizüstü ve mobil cihaz kullanıcıları, ' deki P2S VPN ağ Batı Avrupa geçidinde bulunan ' de saydam bağlantı için OpenVPN istemcisini kullanır.

  • Sanal WAN hub Batı Avrupa trafiği bağlı VNet 'e yerel olarak yönlendirir.

Flow 5

Azure Güvenlik Duvarı aracılığıyla güvenlik ve ilke denetimi

Contoso artık, bu makalede daha önce bahsedilen gereksinimlere sahip tüm dallar ve sanal ağlar arasındaki bağlantıyı bir arada doğruladı. Güvenlik denetimi ve ağ yalıtımının gereksinimlerini karşılamak için, hub ağı üzerinden trafiği ayırmaya ve günlüğe kaydetmeye devam etmesi gerekir. Bu işlev daha önce bir ağ sanal gereci (NVA) tarafından gerçekleştirildi. Contoso Ayrıca, mevcut proxy hizmetlerini kullanımdan kaldırmak ve giden Internet filtreleme için yerel Azure hizmetlerini kullanmak istemektedir.

Azure Güvenlik Duvarı aracılığıyla güvenlik ve ilke denetimi Şekil: sanal WAN 'da Azure Güvenlik Duvarı (güvenli sanal hub)

Birleşik bir ilke denetimi noktasını etkinleştirmek üzere sanal WAN hub 'larına Azure Güvenlik Duvarı tanıtmak için aşağıdaki üst düzey adımlar gereklidir. Bu süreç ve güvenli sanal hub 'Lar kavramı hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı Yöneticisi.

  1. Azure Güvenlik duvarı ilkesi oluşturun.
  2. Güvenlik Duvarı ilkesini Azure sanal WAN hub 'ına bağlama. Bu adım, var olan sanal WAN hub 'ının güvenli bir sanal hub olarak çalışmasını sağlar ve gerekli Azure Güvenlik Duvarı kaynaklarını dağıtır.

Not

Bölgeler arası trafik dahil olmak üzere, güvenli sanal hub 'ların kullanımıyla ilgili kısıtlamalar vardır. Daha fazla bilgi için bkz. güvenlik duvarı yöneticisi-bilinen sorunlar.

Aşağıdaki yollarda, Azure güvenli sanal hub 'ları kullanılarak etkinleştirilen bağlantı yolları gösterilmektedir:

Yol 6

Yol 6 aynı bölgedeki VNET 'ler arasındaki güvenli trafik akışını gösterir.

Trafik şu şekilde yönlendirilir:

  • Aynı güvenli sanal hub 'a bağlı sanal ağlar artık trafiği Azure Güvenlik Duvarı aracılığıyla yönlendirmektedir.

  • Azure Güvenlik Duvarı, bu akışlara ilke uygulayabilir.

Flow 6

Yol 7

Yol 7, bir Azure VNet 'ten Internet 'e veya üçüncü taraf güvenlik hizmetine trafik akışını gösterir.

Trafik şu şekilde yönlendirilir:

  • Güvenli sanal hub 'a bağlı sanal ağlar, internet 'teki merkezi bir Internet erişimi noktası olarak güvenli hub 'ı kullanarak herkese genel, hedeflere trafik gönderebilir.

  • Bu trafik Azure Güvenlik Duvarı FQDN kuralları kullanılarak yerel olarak filtrelenebilir veya inceleme için bir üçüncü taraf güvenlik hizmetine gönderilebilir.

Flow 7

Yol 8

Yol 8 ' den Internete veya üçüncü taraf güvenlik hizmetinden trafik akışı gösterilmektedir.

Trafik şu şekilde yönlendirilir:

  • Güvenli sanal hub 'a bağlı dallar, güvenli hub 'ı Internet erişimi merkezi olarak kullanarak Internet 'teki genel hedeflere trafik gönderebilir.

  • Bu trafik Azure Güvenlik Duvarı FQDN kuralları kullanılarak yerel olarak filtrelenebilir veya inceleme için bir üçüncü taraf güvenlik hizmetine gönderilebilir.

Akış 8

Sonraki adımlar

Azure sanal WANhakkında daha fazla bilgi edinin.