События
Присоединение к вызову ИИ Навыков
8 апр., 15 - 28 мая, 07
Отточите свои навыки ИИ и введите подметки, чтобы выиграть бесплатный экзамен сертификации
Зарегистрируйтесь!Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны распространенные способы развертывания набора виртуальных сетевых устройств (NVAs) для обеспечения высокой доступности в Azure. NVA обычно управляет потоком трафика между сегментами сети с различными уровнями безопасности. Например, можно использовать NVA между виртуальной сетью периметра и общедоступным интернетом, а также для подключения внешних расположений к Azure через виртуальные частные сети (VPN) или программно-определяемые устройства WAN (SD-WAN).
В этой статье предполагается, что у вас есть базовое представление о сети Azure, подсистемах балансировки нагрузки Azure, маршрутизации трафика виртуальной сети и определяемых пользователем маршрутах (определяемых пользователем).
Многие шаблоны проектирования используют NVA для проверки трафика между различными зонами безопасности. Эти шаблоны могут использовать NVA для следующих целей:
Проверка исходящего трафика из виртуальных машин в Интернет и предотвращение кражи данных.
Чтобы проверять входящий трафик из Интернета в виртуальные машины и предотвращать атаки.
Фильтрация трафика между виртуальными машинами в Azure для предотвращения бокового перемещения скомпрометированных систем.
Фильтрация трафика между локальными системами и виртуальными машинами Azure, особенно если они относятся к разным уровням безопасности. Например, Azure размещает сеть периметра, в то время как локальная среда размещает внутренние приложения.
Для завершения VPN или SD-WAN туннелей из внешних источников, таких как корпоративные сети или другие общедоступные облачные среды.
В проект Azure можно добавить следующие NVAs с помощью шаблонов, описанных в этой статье:
- Сетевые брандмауэры
- Обратные прокси-серверы уровня 4
- Конечные точки VPN с защитой по протоколу IPsec
- бытовые приборы SD-WAN
- Веб-серверы обратного прокси с функциями брандмауэра веб-приложений
- Интернет-прокси, чтобы ограничить доступ к веб-страницам из Azure
- Подсистемы балансировки нагрузки уровня 7
Виртуальные сети Azure, такие как брандмауэр Azure и шлюз приложений Azure, используют проекты, описанные далее в этой статье. Эти параметры следует понимать с точки зрения проектирования и для устранения неполадок сети.
Виртуальные сети часто требуют высокой доступности, так как они управляют взаимодействием между сегментами сети. Если NVAs становятся недоступными, сетевой трафик не может передаваться, и приложения перестают работать. Запланированные и незапланированные отключения иногда останавливают экземпляры NVA, подобно другим виртуальным машинам в Azure или в других облаках. Экземпляры NVA могут отключиться, даже если вы настроите их с помощью Azure Premium SSD, которые предоставляют SLA для одного экземпляра в Azure. Высокодоступные приложения требуют как минимум двух NVA для гарантирования подключения.
При выборе оптимального варианта развертывания NVA в виртуальной сети Azure наиболее важным аспектом является оценка и проверка разработки поставщика NVA. Поставщик также должен предоставить необходимую конфигурацию NVA для интеграции NVA в Azure. Если поставщик NVA предоставляет несколько поддерживаемых вариантов проектирования, рассмотрите следующие факторы, чтобы принять решение:
Время конвергенции: Время, затрачиваемое каждым дизайном на перенаправление трафика от вышедшего из строя экземпляра NVA
Поддержка топологии: Конфигурации NVA, поддерживаемые каждым вариантом разработки, такие как активный или активный, активный и резервный или масштабируемые кластеры NVA с дополнительным блоком для избыточности
Симметрия трафика: Указывает, принудительно ли определенный проект NVA выполнять преобразование исходных сетевых адресов (SNAT) на пакетах, чтобы избежать асимметричной маршрутизации, или если проект применяет симметрию трафика другими средствами.
Примечание
В этой статье рассматриваются звено-лучевые конструкции. Эта статья не охватывает виртуальную глобальную сеть Azure , так как она содержит более подробные рекомендации по развертыванию NVA, в зависимости от того, поддерживает ли концентратор Виртуальной глобальной сети определенную NVA. Дополнительную информацию см. в разделе NVAs в концентраторе виртуальной сети.
В следующих разделах описаны распространенные архитектуры, которые можно использовать для интеграции NVAs в сеть концентратора и периферийной сети.
| Решение | Преимущества | Соображения |
|---|---|---|
| Azure Load Balancer | Это решение поддерживает активные/активные и активные/резервные конфигурации, а также сетевые виртуальные устройства (NVA) с возможностью расширения и хорошим временем конвергенции. | NVA должен предоставить порт для проб работоспособности, особенно для активных и резервных развертываний. Для устройств с отслеживанием состояния, таких как брандмауэры, требующие симметрии трафика, потоки данных в Интернет и из Интернета требуют SNAT. |
| Сервер маршрутизации Azure | NVA должен поддерживать протокол граничного шлюза (BGP). Это решение поддерживает активные и активные, активные, резервные и масштабируемые NVAs. | Для симметрии трафика требуется SNAT в этом решении. |
| Подсистема балансировки нагрузки шлюза Azure | Симметрия трафика гарантируется без SNAT. Виртуальные сети могут быть общими для клиентов. Это решение имеет хорошее время конвергенции и поддерживает активные и активные, активные и резервные и масштабируемые NVAs. | Это решение поддерживает потоки и из Интернета и не поддерживает потоки East-West. |
| Динамический частный IP-адрес и UDR | NVA не требует специальных функций. Это решение гарантирует симметричный трафик. | Это решение предназначено только для активных и пассивных конструкций. Он имеет большое время конвергенции от одного до двух минут. |
В схеме балансировки нагрузки используются два балансировщика нагрузки Azure для предоставления кластера виртуальных сетевых устройств остальной сети. Подход подходит как для NVA с отслеживанием состояния, так и без него.
Внутренний балансировщик нагрузки перенаправляет внутренний трафик из Azure и локальных серверов на NVA. Эта внутренняя балансировка нагрузки настроена с правилами высокой доступности портов, чтобы каждый порт протоколов управления передачей (TCP) и UDP перенаправлялся на экземпляры NVA.
Общедоступная подсистема балансировки нагрузки подключает сетевые виртуальные устройства к интернету. Порты высокой доступности предназначены для входящего трафика, поэтому каждый порт TCP/UDP должен быть открыт в выделенном правиле балансировки нагрузки.
На следующей схеме показана последовательность прыжков, которые пакеты принимают из Интернета на сервер приложений в периферийной виртуальной сети. Эти пакеты проходят через NVA брандмауэра для управления трафиком к общедоступному Интернету и от него, также называемым North-South трафик.
Скачайте файл Visio этой архитектуры.
Для отправки трафика из периферийных устройств в общедоступный Интернет через NVAs этот дизайн использует UDR для 0.0.0.0/0. Следующий прыжок — это IP-адрес внутренней подсистемы балансировки нагрузки.
Для трафика между Azure и общедоступным Интернетом каждое направление потока трафика пересекает другую подсистему балансировки нагрузки Azure. Этот процесс происходит, даже если брандмауэр NVA имеет одну сетевую карту (сетевой адаптер) для общедоступных и внутренних сетей, так как пакет входящего трафика проходит через общедоступную подсистему балансировки нагрузки Azure, а пакет исходящего трафика проходит через внутреннюю подсистему балансировки нагрузки Azure. Оба направления потока проходят через различные подсистемы балансировки нагрузки. Таким образом, если требуется симметрия трафика, экземпляры NVA должны выполнять SNAT для привлечения возвращаемого трафика и обеспечения симметрии трафика. Большинство брандмауэров требуют симметрии трафика.
На следующей схеме показано, как использовать тот же дизайн балансировщика нагрузки для инспектирования трафика между Azure и локальными сетями или трафикаEast-West, которая предполагает использование только внутреннего балансировщика нагрузки. Этот метод также можно использовать для отправки трафика между периферийными узлами через NVAs.
На предыдущих схемах спица 1 не знает диапазона спицы 2. Таким образом, 0.0.0.0/0 UDR отправляет трафик, предназначенный для spoke2, во внутренний балансировщик нагрузки Azure NVA.
Для трафика между локальными сетями и Azure или между виртуальными машинами Azure симметрия трафика гарантируется в NVAs с одним сетевым адаптером внутренним балансировщиком нагрузки Azure. Когда оба направления потока трафика проходят через одну и ту же подсистему балансировки нагрузки Azure, подсистема балансировки нагрузки выбирает один и тот же экземпляр NVA для обоих направлений. Если в структуре NVA с двумя сетевыми адаптерами есть внутренняя подсистема балансировки нагрузки для каждого направления взаимодействия, SNAT обеспечивает симметрию трафика. На предыдущей схеме North-South представлен пример этого проектирования.
В этой конфигурации двухпортовые виртуальные сетевые устройства (NVA) должны определить, куда именно следует отправлять ответы на проверки работоспособности балансировщика нагрузки. Load Balancer всегда использует тот же IP-адрес, что и источник для проверок работоспособности.168.63.129.16 NVA должен отправлять эти ответы проверки состояния системы обратно по тому же интерфейсу, по которому они были получены. Обычно для этого процесса требуется несколько таблиц маршрутизации в операционной системе, так как маршрутизация на основе назначения отправляет ответы через один сетевой адаптер.
Подсистема балансировки нагрузки Azure имеет хорошее время конвергенции в отдельных сбоях NVA. Пробы работоспособности можно отправлять каждые пять секунд, и экземпляр на сервере считается неисправным после трех неудачных проб. Поэтому обычно подсистеме балансировки нагрузки Azure требуется от 10 до 15 секунд для перенаправления трафика на другой экземпляр NVA.
Эта программа установки поддерживает как активные, так и активные и резервные конфигурации. Для активных и резервных конфигураций экземпляры NVA должны предоставить порт TCP или UDP или конечную точку HTTP, которая отвечает только на пробы работоспособности подсистемы балансировки нагрузки для экземпляра в активной роли.
Конкретная конструкция для устройств безопасности заменяет общедоступную подсистему балансировки нагрузки Azure подсистемой балансировки нагрузки уровня 7, например шлюз приложений Azure, который можно рассматривать как сам NVA.
В этом сценарии виртуальные сети требуют только внутренней подсистемы балансировки нагрузки для трафика из систем рабочих нагрузок. Dual-NIC устройства иногда используют этот подход, чтобы избежать проблем с маршрутизацией при проверке работоспособности подсистемы балансировки нагрузки Azure. Эта конструкция поддерживает только протоколы уровня 7, поддерживаемые подсистемой балансировки нагрузки уровня 7, обычно http и HTTPS.
NVA должен обрабатывать входящий трафик для протоколов, которые подсистема балансировки нагрузки уровня 7 не поддерживает. NVA также может обрабатывать исходящий трафик. Дополнительные сведения см. в разделе "Брандмауэр" и "Шлюз приложений" для виртуальных сетей.
Сервер маршрутизации — это служба, которая позволяет NVA взаимодействовать с программно-определенными сетями Azure через BGP. NVA определяют, какие префиксы IP-адресов существуют в виртуальных сетях Azure. Они также могут внедрять маршруты в действующие таблицы маршрутов виртуальных машин в Azure.
На предыдущей схеме каждый экземпляр NVA подключается к серверу маршрутизации через BGP. Для данного проекта не нужна таблица маршрутов в периферийных подсетях, так как маршрутный сервер программирует маршруты, которые рекламируют NVAs. Если на виртуальных машинах Azure запрограммировано два или более маршрутов, для выбора одного из экземпляров NVA для каждого потока трафика используется маршрутизация с равной стоимостью по нескольким путям. Поэтому необходимо включить SNAT в эту структуру, если требуется симметрия трафика.
Этот метод вставки поддерживает как активные, так и активные и резервные конфигурации. В активной или активной конфигурации все NVA объявляют одинаковые маршруты к серверу маршрутизации. В активной или резервной конфигурации один NVA объявляет маршруты с более коротким путьом автономной системы (AS), чем другой. Маршрутный сервер поддерживает максимум восемь BGP соседств. Таким образом, если вы используете масштабируемый кластер активных NVA, эта конструкция поддерживает не более восьми экземпляров NVA.
Эта настройка имеет быстрое время конвергенции. Таймеры keepalive и holdtime в BGP-соединении влияют на время сходимости. Сервер маршрутизации по умолчанию имеет таймеры keepalive, установленные на 60 секунд, и таймеры удержания, установленные на 180 секунд. Но NVAs могут вести переговоры о более низких таймерах во время установления соседства BGP. Установка этих таймеров слишком низкая может привести к нестабильности BGP.
Этот дизайн подходит для NVAs, которые должны взаимодействовать с маршрутизацией Azure. Примеры включают SD-WAN или IPsec NVA, которые обычно имеют хорошую поддержку BGP. Этим NVAs необходимо изучить префиксы, настроенные в виртуальных сетях Azure, или рекламировать определенные маршруты через частные соединения ExpressRoute. Эти виды устройств обычно бездействующие, поэтому равномерность трафика не является проблемой, и SNAT не требуется.
Шлюзовый балансировщик нагрузки предоставляет способ вставки NVA в траекторию данных без необходимости маршрутизации трафика с помощью UDR. Для виртуальных машин, которые предоставляют свои рабочие нагрузки через подсистему балансировки нагрузки Azure или общедоступный IP-адрес, можно перенаправить входящий и исходящий трафик прозрачно в кластер NVAs, расположенный в другой виртуальной сети. На следующем диаграмме показан маршрут, по которому следуют пакеты для входящего трафика из общедоступного интернета, если рабочие нагрузки публикуют приложение через балансировщик нагрузки Azure.
Этот метод инъекции NVA обеспечивает следующие преимущества:
Этот метод не требует SNAT для обеспечения симметрии трафика.
Вы можете использовать одни и те же NVA для проверки трафика в разные виртуальные сети и из них, что обеспечивает мультитенантность с точки зрения NVA.
Пиринг между виртуальной сетью NVA и виртуальными сетями рабочей нагрузки не требуется, что упрощает настройку.
Маршруты, определяемые пользователем, не требуются в виртуальной сети рабочей нагрузки, что также упрощает ее настройку.
Вы можете использовать внедрение служб через шлюз балансировки нагрузки для входящего трафика в общедоступный балансировщик нагрузки Azure, его обратного трафика и исходящего трафика из Azure. East-West трафик между виртуальными машинами Azure не может использовать шлюзовой балансировщик нагрузки для внедрения NVA.
В кластере NVA проверка работоспособности подсистемы балансировки нагрузки Azure обнаруживает сбои в отдельных экземплярах NVA, что обеспечивает быстрое время конвергенции от 10 до 15 секунд.
Цель этого проекта заключается в создании конфигурации, которая функционирует без резервирования NVA и может быть изменена в случае простоя NVA. На следующей схеме показано, как общедоступный IP-адрес Azure связывается с активным NVA (NVA1 на схеме). UDR (пользовательские таблицы маршрутизации) на спицах используют IP-адрес активного NVA (10.0.0.37) в качестве следующего узла.
Если активная NVA становится недоступной, резервная NVA запрашивает API Azure для повторного сопоставления общедоступного IP-адреса и периферийных маршрутных таблиц, определяемых пользователем (UDR), к себе, или чтобы получить частный IP-адрес. Эти вызовы API могут занять несколько минут, прежде чем начнут действовать. Этот дизайн обеспечивает худшее время конвергенции среди вариантов в этой статье.
Эта конструкция поддерживает только активные и резервные конфигурации, что может привести к проблемам масштабируемости. Если необходимо увеличить пропускную способность, поддерживаемую сетями виртуальных устройств, необходимо увеличить мощность обоих экземпляров.
Эта конструкция не требует SNAT для обеспечения симметрии трафика, так как только одна NVA активна в любое время.
Корпорация Майкрософт поддерживает эту статью. Следующие авторы написали эту статью.
Основные авторы:
- Кит Майер | Главный архитектор облачных решений
- Telmo Sampaio | Главный менеджер по инженерным услугам
- Хосе Морено | Главный инженер
Чтобы просмотреть неопубликованные профили LinkedIn, войдите в LinkedIn.