Топология сети виртуальной глобальной сети в целевой зоне Azure

В этой статье объясняется, как разработать и реализовать топологию сети виртуальной глобальной сети Azure в целевой зоне Azure. Виртуальная глобальная сеть Azure — это управляемая корпорацией Майкрософт сетевая служба, которая обеспечивает глобальное, динамическое и транзитное подключение между регионами Azure и локальными средами. Это руководство важно, так как это упрощает подключение, снижает операционную сложность и обеспечивает масштабируемую архитектуру для развертываний корпоративного масштаба.

Схема, демонстрирующая топологию сети виртуальной глобальной сети в целевой зоне Azure.

Рис. 1. Топология Виртуальной глобальной сети. Скачайте файл Visio или PDF-файл этой архитектуры.

Создание сетевой архитектуры концентратора и периферийной сети

Azure Virtual WAN упрощает сквозное сетевое подключение в Azure и из локальной среды в Azure, создавая архитектуру сети типа "концентратор и периферия". Архитектура легко масштабируется для поддержки нескольких регионов Azure и локальных площадок (взаимное подключение), как показано на следующем рисунке:

Diagram that illustrates a global transit network with Virtual WAN.Схема, демонстрирующая глобальную транзитную сеть с Virtual WAN.

Схема глобальной транзитной сети с помощью Виртуальной глобальной сети Azure. В нем показаны два региона, регион 1 и регион 2, каждая из которых содержит несколько виртуальных сетей, подключенных к концентратору виртуальной глобальной сети. Центры связаны соединением между концентраторами для взаимодействия между регионами. Под каждым концентратором значки представляют филиалы и конечные точки подключения, включая ExpressRoute и пользовательские устройства. Макет подчеркивает централизованное подключение узла для виртуальных сетей в пределах регионов и глобальную передачу данных между регионами.

Рис. 2. Глобальная транзитная сеть с виртуальной глобальной сетью.

Транзитивное подключение типа "любое-до-любого" в Azure Virtual WAN поддерживает следующие маршруты в пределах одного региона и между разными регионами.

  • от виртуальной сети к виртуальной сети;
  • от виртуальной сети к ветвлению
  • Подключение к виртуальной сети.
  • От отделения к отделению

Ограничения: Центры виртуальной WAN поддерживают только ресурсы, управляемые Microsoft, такие как:

  • Шлюзы виртуальной сети (VPN типа "точка — сеть", VPN типа "сеть — сеть" и Azure ExpressRoute)
  • Брандмауэр Azure через диспетчер брандмауэра
  • Таблицы маршрутов
  • Некоторые сетевые виртуальные устройства (NVA) для возможностей SD-WAN для конкретного поставщика

Планирование развертывания виртуальной глобальной сети

  1. Используйте один или несколько центров виртуальной глобальной сети для каждого региона Azure. Используйте концентратор виртуальной глобальной сети для каждого региона Azure. Цель — подключить несколько целевых зон приложений между регионами Azure с помощью глобальной глобальной сети Azure. Виртуальная WAN подпадает под лимиты подписки на Azure. Вы можете развернуть несколько узлов Azure Virtual WAN в одном регионе, чтобы превышать ограничения одного узла.

  2. Используйте подписку на подключение. Поместите все ресурсы виртуальной глобальной сети, брандмауэр Azure и стандартный план защиты от атак DDoS в подписке на подключение целевой зоны Azure.

  3. Используйте защиту от атак DDoS Azure. Создайте один план защиты сети DDoS Azure в подписке на подключение. Все виртуальные сети зон размещения приложений и виртуальные сети платформы должны использовать этот план. Вы можете предоставить общий доступ к плану защиты сети DDoS Azure во всех виртуальных сетях в одном клиенте Microsoft Entra для защиты ресурсов с помощью общедоступных IP-адресов. См. раздел "Защита от атак DDoS Azure". План защиты сети DDoS Azure включает защиту от 100 общедоступных IP-адресов. Эти общедоступные IP-адреса охватывают все защищенные виртуальные сети, связанные с планом защиты от атак DDoS. Плата за любые другие общедоступные IP-адреса, превышающие начальную 100, взимается отдельно. Дополнительные сведения о ценах на план защиты сети DDoS Azure см. на странице цен на защиту от атак DDoS Azure или вопросы и ответы. Просмотрите поддерживаемые ресурсы планов защиты от атак DDoS Azure. Планы защиты от атак DDoS Azure защищаются от атак на уровнях 3 и 4 (уровнях сети и транспорта). Для защиты на уровне 7 (уровень приложений), таких как угрозы на основе HTTP, рассмотрите возможность развертывания брандмауэра веб-приложений Azure (WAF).

  4. Используйте одну группу ресурсов. Интерфейс портала Виртуальной глобальной сети требует, чтобы ресурсы Виртуальной глобальной сети развертывались вместе в одной группе ресурсов. Разверните все ресурсы виртуальной глобальной сети в одной группе ресурсов в подписке на подключение. Эта структура упрощает управление развертыванием и жизненным циклом.

  5. Развертывание необходимых общих служб. Разверните нужные общие службы, например DNS-серверы, в выделенной периферийной виртуальной сети. Развернутые клиентом общие ресурсы нельзя развернуть внутри самого концентратора виртуальной глобальной сети.

  6. Планирование ограничений подписки и масштабируемости. Тщательно спланируйте развертывание и убедитесь, что сетевая архитектура находится в пределах виртуальной глобальной сети Azure. Если требуется больше подключений к виртуальной сети, чем одно ограничение виртуальной глобальной сети, разверните другой виртуальный концентратор виртуальной глобальной сети. Разверните его в том же регионе в составе той же виртуальной WAN и группы ресурсов.

Подключение локальных расположений и филиалов

  1. Используйте ExpressRoute. Каналы ExpressRoute можно подключить к концентратору Виртуальная глобальная сеть с помощью номера SKU "Локальный", "Стандартный" или "Премиум". Для развертываний в одном городе рассмотрим ExpressRoute Metro. Каналы ExpressRoute уровня "Стандартный" или "Премиум" в расположениях, поддерживаемых ExpressRoute Global Reach, могут подключаться к шлюзу ExpressRoute виртуальной глобальной сети. У них есть все возможности транзита Virtual WAN (VPN-to-VPN, транзит VPN и ExpressRoute). Каналы ExpressRoute уровня "Стандартный" или "Премиум", не поддерживаемые Global Reach, могут подключаться к ресурсам Azure, но не могут использовать возможности транзита виртуальной глобальной сети.

    Diagram of a sample network topology.Схема примеров сетевой топологии.

    Схема топологии виртуальной глобальной сети Azure, соединяющей два региона: США и EMEA. Каждый регион имеет штаб-квартиру, подключенную через ExpressRoute к концентратору виртуальной глобальной сети. Центры связаны через ExpressRoute Global Reach. В каждом концентраторе отображаются несколько виртуальных сетей и филиалов. Сторона США включает два концентратора глобальной сети, виртуальные сети и филиалы, а сторона EMEA зеркально отражает эту структуру с собственными концентраторами, виртуальными сетями и филиалами.

    Рисунок 3. Пример сетевой топологии.

  2. Подключение филиалов и удаленных офисов. Подключите филиалы и удаленные офисы к ближайшему узлу виртуальной сети с использованием VPN подключения Site-to-Site, или включите подключение филиалов к виртуальной сети через партнерское решение SD-WAN. Виртуальная глобальная сеть интегрируется с различными поставщиками SD-WAN. Многие поставщики управляемых служб предлагают управляемые службы для Виртуальной WAN.

  3. Подключение отдельных пользователей. Подключите пользователей к центру Виртуальной глобальной сети через VPN-подключение типа "точка — сеть". VPN типа "точка — сеть" обеспечивает безопасный удаленный доступ для пользователей, которым требуется подключиться из различных расположений.

Настройка сегментации маршрутизации и трафика

Настройте маршрутизацию виртуального концентратора для сегментирования трафика между виртуальными сетями и филиалами. Используйте функции маршрутизации концентратора виртуальной глобальной сети для управления потоком трафика между виртуальными сетями и филиалами. Создайте пользовательские таблицы маршрутов для обеспечения требований к безопасности и соответствию требованиям. Убедитесь, что весь трафик Azure остается в магистральной сети Майкрософт для оптимальной производительности. Для трафика, привязанного к Интернету, настройте фильтрацию исходящего трафика через брандмауэр Azure.

Реализация элементов управления безопасностью

  1. Рассмотрим виртуальные сетевые устройства (NVA). Брандмауэры NVA можно развернуть в концентраторе виртуальной глобальной сети, который выполняет как SD-WAN подключение, так и возможности брандмауэра следующего поколения. Локальные устройства можно подключить к NVA в концентраторе, а также использовать одно и то же устройство для проверки всего трафика, связанного с Северо-Югом, Востоком и Интернетом. При развертывании сетевых технологий и NVA партнера следуйте рекомендациям поставщика партнера по недопущению конфликтующих конфигураций в сети Azure.

  2. Рассмотрим защищенные виртуальные центры. Защищенный виртуальный концентратор — это Центр виртуальной глобальной сети Azure с связанными политиками безопасности и маршрутизации, настроенными диспетчером брандмауэра Azure. Просмотрите последние ограничения перед развертыванием. Виртуальная сеть WAN поддерживает трафик от концентратора к концентратору, проходящий через Брандмауэр Azure как в исходных узлах, так и в целевых узлах (защищенных виртуальных узлах), когда включены намерения маршрутизации и политики. Используйте намерения маршрутизации и политики маршрутизации концентратора Виртуальной глобальной сети для поддержки трафика, который проходит между защищёнными узлами. Защищенные виртуальные центры виртуальной глобальной сети не поддерживают стандартные планы защиты От атак DDoS Azure. Дополнительные сведения см. в статье Azure DDoS Protection, известные проблемы диспетчера брандмауэра Azure и виртуальная сеть Концентратора и сравнение защищенных виртуальных концентраторов.

Управление развертыванием и мониторинг

Настройте аналитику Azure Monitor для мониторинга сквозной топологии виртуальной глобальной сети. Аналитика в Azure Monitor для виртуальной глобальной сети обеспечивает видимость состояния сети, работоспособности подключений и ключевых метрик для упреждающего управления. Настройте оповещения для критических пороговых значений для обнаружения и реагирования на проблемы, прежде чем они влияют на пользователей.

Перенос существующих топологий концентраторов и периферийных узлов

Сведения о сценариях для существующих сред с переносом данных из звездообразной сетевой топологии, не основанной на Виртуальной глобальной сети, см. в статье Миграция в Виртуальную глобальную сеть Azure.