Küresel aktarım ağı mimarisi ve sanal WANGlobal transit network architecture and Virtual WAN

Modern kuruluşlar, bulutta ve Şirket içindeki hiper dağıtılan uygulamalar, veriler ve kullanıcılar arasında ubititous bağlantısı gerektirir.Modern enterprises require ubiquitous connectivity between hyper-distributed applications, data, and users across the cloud and on-premises. Küresel aktarım ağı mimarisi, kuruluşlar tarafından bulut odaklı modern, küresel kurumsal BT parmak izini birleştirmek, bağlanmak ve denetlemek için benimsenmekte.Global transit network architecture is being adopted by enterprises to consolidate, connect, and control the cloud-centric modern, global enterprise IT footprint.

Küresel aktarım ağı mimarisi, bulut barındırılan Ağı ' hub ' 'ın farklı türlerde dağıtılan uç noktalar arasında geçişli bağlantı sağladığından, klasik bir hub ve bağlı bileşen bağlantı modelini temel alır.The global transit network architecture is based on a classic hub-and-spoke connectivity model where the cloud hosted network 'hub' enables transitive connectivity between endpoints that may be distributed across different types of 'spokes'.

Bu modelde, bir bağlı bileşen şu olabilir:In this model, a spoke can be:

  • Sanal ağ (VNet)Virtual network (VNets)
  • Fiziksel şube sitesiPhysical branch site
  • Uzak KullanıcıRemote user
  • InternetInternet

Hub ve bağlı bileşen

Şekil 1: genel geçiş merkezi-ve-bağlı ağFigure 1: Global transit hub-and-spoke network

Şekil 1 ' de, coğrafi olarak dağıtılmış kullanıcıların, fiziksel sitelerin ve VNET 'lerin bulutta barındırılan bir ağ hub 'ı aracılığıyla birbirine bağlanmış olduğu küresel transit ağının mantıksal görünümü gösterilmektedir.Figure 1 shows the logical view of the global transit network where geographically distributed users, physical sites, and VNets are interconnected via a networking hub hosted in the cloud. Bu mimari, ağ uç noktaları arasında mantıksal bir atlama aktarım bağlantısı sunar.This architecture enables logical one-hop transit connectivity between the networking endpoints.

Sanal WAN ile küresel transit ağıGlobal transit network with Virtual WAN

Azure sanal WAN, Microsoft tarafından yönetilen bir bulut ağ hizmetidir.Azure Virtual WAN is a Microsoft-managed cloud networking service. Bu hizmetin tarafından oluşturulan tüm ağ bileşenleri Microsoft tarafından barındırılır ve yönetilir.All the networking components that this service is composed of are hosted and managed by Microsoft. Sanal WAN hakkında daha fazla bilgi için bkz. sanal WAN genel bakış makalesi.For more information about Virtual WAN, see the Virtual WAN Overview article.

Azure sanal WAN, sanal ağlar, şube siteleri, SaaS ve PaaS uygulamaları ve kullanıcılar içindeki bulut iş yüklerinin küresel olarak dağıtılmış kümesi arasında her türlü bağlantıyı etkinleştirerek küresel bir geçiş ağı mimarisine izin verir.Azure Virtual WAN allows a global transit network architecture by enabling ubiquitous, any-to-any connectivity between globally distributed sets of cloud workloads in VNets, branch sites, SaaS and PaaS applications, and users.

Azure Sanal WAN

Şekil 2: genel aktarım ağı ve sanal WANFigure 2: Global transit network and Virtual WAN

Azure sanal WAN mimarisinde, sanal WAN hub 'ları, Dallarınızı, VNET 'leri ve uzak kullanıcılarınızı bağlamayı seçebileceğiniz Azure bölgelerinde sağlanır.In the Azure Virtual WAN architecture, virtual WAN hubs are provisioned in Azure regions, to which you can choose to connect your branches, VNets, and remote users. Fiziksel şube siteleri, Premium ExpressRoute veya siteden siteye-VPN 'Ler tarafından hub 'a bağlanır, sanal ağlar VNet bağlantıları tarafından hub 'a bağlanır ve uzak kullanıcılar kullanıcı VPN (Noktadan siteye VPN 'Ler) kullanarak hub 'a doğrudan bağlanabilir.The physical branch sites are connected to the hub by Premium ExpressRoute or site-to site-VPNs, VNets are connected to the hub by VNet connections, and remote users can directly connect to the hub using User VPN (point-to-site VPNs). Sanal WAN Ayrıca, bir bölgedeki VNet 'in farklı bir bölgedeki sanal WAN hub 'ına bağlı olduğu bölgeler arası VNet bağlantısını destekler.Virtual WAN also supports cross-region VNet connection where a VNet in one region can be connected to a virtual WAN hub in a different region.

En fazla sayıda bağlı bileşen (dal, VNet, Kullanıcı) ve daha sonra diğer bölgelerdeki alt dalları hub 'a bağlayarak bir sanal WAN 'ı oluşturabilirsiniz.You can establish a virtual WAN by creating a single virtual WAN hub in the region that has the largest number of spokes (branches, VNets, users), and then connecting the spokes that are in other regions to the hub. Bu, kurumsal bir parmak izi genellikle birkaç uzak bağlı bileşen içeren bir bölgede olduğunda iyi bir seçenektir.This is a good option when an enterprise footprint is mostly in one region with a few remote spokes.

Hub 'dan hub 'a bağlantıHub-to-hub connectivity

Kurumsal bulut alanı, birden fazla bulut bölgesine yayılabilir ve buluta, fiziksel siteleri ve kullanıcılarına en yakın bölgeden erişmek için idealdir (gecikme süresi).An Enterprise cloud footprint can span multiple cloud regions and it is optimal (latency-wise) to access the cloud from a region closest to their physical site and users. Genel aktarım ağı mimarisinin temel prensipinden biri, tüm bulut ve şirket içi ağ uç noktaları arasında bölgeler arası bağlantıyı etkinleştirmektir.One of the key principles of global transit network architecture is to enable cross-region connectivity between all cloud and on-premises network endpoints. Bu, bir bölgedeki buluta bağlı bir daldan gelen trafiğin, Azure genel ağıtarafından etkinleştirilen hub-hub bağlantısını kullanarak farklı bir bölgedeki başka bir dala veya VNET 'e ulaşabileceği anlamına gelir.This means that traffic from a branch that is connected to the cloud in one region can reach another branch or a VNet in a different region using hub-to-hub connectivity enabled by Azure Global Network.

çapraz bölge

Şekil 3: sanal WAN çapraz bölge bağlantısıFigure 3: Virtual WAN cross-region connectivity

Tek bir sanal WAN 'da birden çok hub etkinleştirildiğinde, hub 'lar hub-hub bağlantıları aracılığıyla otomatik olarak birbirlerine bağlanır ve bu sayede birden çok bölgede dağıtılan dallar ve sanal ağlar arasında genel bağlantı sağlar.When multiple hubs are enabled in a single virtual WAN, the hubs are automatically interconnected via hub-to-hub links, thus enabling global connectivity between branches and Vnets that are distributed across multiple regions.

Ayrıca, aynı sanal WAN 'ın tüm parçaları olan hub 'lar farklı bölgesel erişim ve güvenlik ilkeleriyle ilişkilendirilebilir.Additionally, hubs that are all part of the same virtual WAN, can be associated with different regional access and security policies. Daha fazla bilgi için bu makalenin ilerleyen kısımlarında güvenlik ve ilke denetimi bölümüne bakın.For more information, see Security and policy control later in this article.

Her türlü bağlantıAny-to-any connectivity

Küresel aktarım ağı mimarisi, sanal WAN hub 'ları aracılığıyla herhangi bir bağlantıyı sağlar.Global transit network architecture enables any-to-any connectivity via virtual WAN hubs. Bu mimari, derleme ve bakım açısından daha karmaşık olan bağlı bağlantılar arasında tam ağ veya kısmi ağ bağlantısı gereksinimini ortadan kaldırır veya azaltır.This architecture eliminates or reduces the need for full mesh or partial mesh connectivity between spokes, that are more complex to build and maintain. Ayrıca, hub ve bağlı bileşen ve ağ ağları arasındaki yönlendirme denetimi daha kolay yapılandırılır ve korunur.In addition, routing control in hub-and-spoke vs. mesh networks is easier to configure and maintain.

Herhangi bir bağlantı (küresel mimari bağlamında), küresel olarak dağıtılmış kullanıcılar, dallar, veri merkezleri, VNET 'ler ve uygulamaların "iletim" hub 'ları aracılığıyla birbirlerine bağlanmasına olanak sağlar.Any-to-any connectivity (in the context of a global architecture) allows an enterprise with globally distributed users, branches, datacenters, VNets, and applications to connect to each other through the “transit” hub(s). Azure sanal WAN, küresel aktarım sistemi olarak davranır.Azure Virtual WAN acts as the global transit system.

herhangi birine

Şekil 4: sanal WAN trafiği yollarıFigure 4: Virtual WAN traffic paths

Azure sanal WAN, aşağıdaki genel transit bağlantı yollarını destekler.Azure Virtual WAN supports the following global transit connectivity paths. Parantez içindeki harfler Şekil 4 ' e eşlenir.The letters in parentheses map to Figure 4.

  • Daldan VNet (a)Branch-to-VNet (a)
  • Dala dalı (b)Branch-to-branch (b)
    • ExpressRoute Global Reach ve sanal WANExpressRoute Global Reach and Virtual WAN
  • Uzak Kullanıcı-VNet (c)Remote User-to-VNet (c)
  • Uzak kullanıcıdan dala (d)Remote User-to-branch (d)
  • VNet-VNet (e)VNet-to-VNet (e)
  • Daldan hub-hub-dalı (f)Branch-to-hub-hub-to-Branch (f)
  • Daldan hub 'dan VNet 'e (g)Branch-to-hub-hub-to-VNet (g)
  • VNet-hub-hub-VNet (h)VNet-to-hub-hub-to-VNet (h)

Daldan VNet (a) ve daldan VNet arası çapraz bölge (g)Branch-to-VNet (a) and Branch-to-VNet Cross-region (g)

Daldan VNet, Azure sanal WAN tarafından desteklenen birincil yoldur.Branch-to-VNet is the primary path supported by Azure Virtual WAN. Bu yol, dalları Azure sanal ağları 'nda dağıtılan Azure ıAAS kurumsal iş yüklerine bağlamanıza olanak tanır.This path allows you to connect branches to Azure IAAS enterprise workloads that are deployed in Azure VNets. Dallar, ExpressRoute veya siteden siteye VPN aracılığıyla sanal WAN 'a bağlanabilir.Branches can be connected to the virtual WAN via ExpressRoute or site-to-site VPN. Trafik, sanal WAN hub 'larına VNet bağlantıları aracılığıyla bağlı sanal ağlara geçiş yapılır.The traffic transits to VNets that are connected to the virtual WAN hubs via VNet Connections. Sanal WAN, Şube sitesine otomatik olarak ağ geçidi geçişi sağladığından, sanal WAN için açık ağ geçidi geçişi gerekli değildir.Explicit gateway transit is not required for Virtual WAN because Virtual WAN automatically enables gateway transit to branch site. SD-WAN CPE 'ı sanal WAN 'a bağlama hakkında sanal WAN Iş ortakları makalesine bakın.See Virtual WAN Partners article on how to connect an SD-WAN CPE to Virtual WAN.

ExpressRoute Global Reach ve sanal WANExpressRoute Global Reach and Virtual WAN

ExpressRoute, şirket içi ağlarınızı Microsoft Bulut bağlamak için özel ve dayanıklı bir yoldur.ExpressRoute is a private and resilient way to connect your on-premises networks to the Microsoft Cloud. Sanal WAN, Express Route bağlantı hattı bağlantılarını destekler.Virtual WAN supports Express Route circuit connections. Bir dal sitesini Express Route ile sanal WAN 'a bağlamak 1) Premium devre 2) devresinin Global Reach etkinleştirilmiş bir konumda olması gerekir.Connecting a branch site to Virtual WAN with Express Route requires 1) Premium Circuit 2) Circuit to be in a Global Reach enabled location.

ExpressRoute Global Reach ExpressRoute için bir eklenti özelliğidir.ExpressRoute Global Reach is an add-on feature for ExpressRoute. Global Reach ile, şirket içi ağlarınızla özel bir ağ oluşturmak için ExpressRoute bağlantı devresine bir araya getirebilirsiniz.With Global Reach, you can link ExpressRoute circuits together to make a private network between your on-premises networks. ExpressRoute kullanarak Azure sanal WAN 'a bağlı dallar, ExpressRoute Global Reach birbirleriyle iletişim kurmasını gerektirir.Branches that are connected to Azure Virtual WAN using ExpressRoute require the ExpressRoute Global Reach to communicate with each other.

Bu modelde, ExpressRoute kullanılarak sanal WAN hub 'ına bağlanan her dal, sanal ağlar arası yolu kullanarak VNet 'lere bağlanabilir.In this model, each branch that is connected to the virtual WAN hub using ExpressRoute can connect to VNets using the branch-to-VNet path. ExpressRoute Global Reach, Azure WAN üzerinde daha iyi bir yol sağladığından, Dalla olan trafik hub 'ını iletimez.Branch-to-branch traffic won't transit the hub because ExpressRoute Global Reach enables a more optimal path over Azure WAN.

Daldan dala (b) ve dalı arası çapraz bölge (f)Branch-to-branch (b) and Branch-to-Branch cross-region (f)

Dallar, ExpressRoute devreleri ve/veya siteden siteye VPN bağlantıları kullanarak bir Azure sanal WAN hub 'ına bağlanabilir.Branches can be connected to an Azure virtual WAN hub using ExpressRoute circuits and/or site-to-site VPN connections. Dalları dala en yakın bölgede bulunan sanal WAN hub 'ına bağlayabilirsiniz.You can connect the branches to the virtual WAN hub that is in the region closest to the branch.

Bu seçenek, kuruluşların şubelerle bağlantı kurmak için Azure omurgasına yararlanmasını sağlar.This option lets enterprises leverage the Azure backbone to connect branches. Ancak, bu özellik kullanılabilir olsa bile, dalları Azure sanal WAN üzerinden bağlama avantajlarına ve özel bir WAN kullanmaya yönelik avantajlardan yararlanabilirsiniz.However, even though this capability is available, you should weigh the benefits of connecting branches over Azure Virtual WAN vs. using a private WAN.

Uzak Kullanıcı-VNet (c)Remote User-to-VNet (c)

Uzak bir Kullanıcı istemcisinden bir sanal WAN 'a Noktadan siteye bağlantı kullanarak Azure 'a doğrudan, güvenli uzaktan erişim sağlayabilirsiniz.You can enable direct, secure remote access to Azure using point-to-site connection from a remote user client to a virtual WAN. Kurumsal uzak kullanıcıların artık bir kurumsal VPN kullanarak buluta daha ince bir şekilde PIN 'i olması gerekmez.Enterprise remote users no longer have to hairpin to the cloud using a corporate VPN.

Uzak kullanıcıdan dala (d)Remote User-to-branch (d)

Uzak kullanıcıdan dal yolu, Azure 'a Noktadan siteye bağlantı kullanan uzak kullanıcıların, bulut üzerinden geçiş yaparak şirket içi iş yüklerine ve uygulamalarına erişmesini sağlar.The Remote User-to-branch path lets remote users who are using a point-to-site connection to Azure access on-premises workloads and applications by transiting through the cloud. Bu yol, uzak kullanıcılara hem Azure 'da hem de şirket içinde dağıtılan iş yüklerine erişme esnekliği sağlar.This path gives remote users the flexibility to access workloads that are both deployed in Azure and on-premises. Kuruluşlar, Azure sanal WAN 'da Merkezi bulut tabanlı güvenli uzaktan erişim hizmetini etkinleştirebilir.Enterprises can enable central cloud-based secure remote access service in Azure Virtual WAN.

VNet-VNet aktarım (e) ve VNet-VNet arası çapraz bölge (h)VNet-to-VNet transit (e) and VNet-to-VNet cross-region (h)

Sanal ağdan sanal ağa aktarma, sanal ağların birden çok sanal ağa uygulanmış çok katmanlı uygulamalar bağlantısı sağlamak için birbirlerine bağlanmasını sağlar.The VNet-to-VNet transit enables VNets to connect to each other in order to interconnect multi-tier applications that are implemented across multiple VNets. İsteğe bağlı olarak, sanal ağları VNet eşlemesi aracılığıyla birbirlerine bağlayabilirsiniz ve bu, VWAN hub aracılığıyla geçiş yapılması gereken bazı senaryolar için uygun olabilir.Optionally, you can connect VNets to each other through VNet Peering and this may be suitable for some scenarios where transit via the VWAN hub is not necessary.

Güvenlik ve ilke denetimiSecurity and policy control

Azure sanal WAN hub 'ları karma ağ genelinde tüm ağ uç noktalarını birbirine iletiyor ve tüm aktarım ağı trafiğini görebilir.The Azure Virtual WAN hubs interconnect all the networking end points across the hybrid network and potentially see all transit network traffic. Sanal WAN hub 'ları, bulut tabanlı güvenlik, erişim ve ilke denetimini etkinleştirmek için VWAN hub 'larına Azure Güvenlik Duvarı dağıtarak güvenli sanal hub 'lara dönüştürülebilir.Virtual WAN hubs can be converted to Secured Virtual Hubs by deploying the Azure Firewall inside VWAN hubs to enable cloud-based security, access, and policy control. Azure Güvenlik duvarlarını sanal WAN hub 'larda düzenleme, Azure Güvenlik Duvarı Yöneticisi tarafından gerçekleştirilebilir.Orchestration of Azure Firewalls in virtual WAN hubs can be performed by Azure Firewall Manager.

Azure Güvenlik Duvarı Yöneticisi , küresel aktarım ağları için güvenliği yönetme ve ölçeklendirme olanakları sağlar.Azure Firewall Manager provides the capabilities to manage and scale security for global transit networks. Azure Güvenlik Duvarı Yöneticisi, Azure Güvenlik Duvarı ile birlikte yönlendirme, genel ilke yönetimi ve gelişmiş Internet güvenliği hizmetlerini üçüncü taraf aracılığıyla merkezi olarak yönetebilme olanağı sağlar.Azure Firewall Manager provides ability to centrally manage routing, global policy management, advanced Internet security services via third-party along with the Azure Firewall.

Azure Güvenlik Duvarı ile güvenli sanal hub

Şekil 5: Azure Güvenlik Duvarı ile güvenli sanal hubFigure 5: Secured virtual hub with Azure Firewall

Sanal WAN ile Azure Güvenlik Duvarı, aşağıdaki genel güvenli geçiş bağlantı yollarını destekler.Azure Firewall to the virtual WAN supports the following global secured transit connectivity paths. Parantez içindeki harfler Şekil 5 ' e eşlenir.The letters in parentheses map to Figure 5.

  • VNet-VNet güvenli aktarım (e)VNet-to-VNet secure transit (e)
  • VNet-Internet veya üçüncü taraf güvenlik hizmeti (ı)VNet-to-Internet or third-party Security Service (i)
  • Daldan Internet veya üçüncü taraf güvenlik hizmeti (j)Branch-to-Internet or third-party Security Service (j)

VNet 'ten VNet 'e güvenli geçiş (e)VNet-to-VNet secured transit (e)

VNet 'ten VNet 'e güvenli geçiş, sanal ağ hub 'ındaki Azure Güvenlik Duvarı aracılığıyla sanal ağların birbirlerine bağlanmasına olanak sağlar.The VNet-to-VNet secured transit enables VNets to connect to each other via the Azure Firewall in the virtual WAN hub.

VNet-Internet veya üçüncü taraf güvenlik hizmeti (ı)VNet-to-Internet or third-party Security Service (i)

VNet 'Ten Internet 'e veya üçüncü taraf güvenli geçiş, sanal ağ hub 'ındaki Azure Güvenlik Duvarı üzerinden İnternet 'e veya desteklenen bir üçüncü taraf güvenlik hizmetine bağlanmasını sağlar.The VNet-to-Internet or third-party secured transit enables VNets to connect to the internet or a supported third-party security services via the Azure Firewall in the virtual WAN hub.

Daldan Internet veya üçüncü taraf güvenlik hizmeti (j)Branch-to-Internet or third-party Security Service (j)

Daldan Internet veya üçüncü taraf güvenli geçiş, dalların internet 'e veya desteklenen bir üçüncü taraf güvenlik hizmetine sanal WAN hub 'ındaki Azure Güvenlik Duvarı üzerinden bağlanmasını sağlar.The branch-to-Internet or third-party Secure transit enables branches to connect to the internet or a supported third-party security services via the Azure Firewall in the virtual WAN hub.

Sonraki adımlarNext steps

Sanal WAN kullanarak bağlantı oluşturun ve Azure Güvenlik duvarını VWAN hub 'ları ile dağıtın.Create a connection using Virtual WAN and Deploy Azure Firewall in VWAN hub(s).