Архитектура глобальной транзитной сети и виртуальная глобальная сеть

Современные предприятия требуют универсального подключения между гипер-распределенными приложениями, данными и пользователями в облаке и локальной среде. Глобальная сетевая архитектура транзитной сети внедряется предприятиями для консолидации, подключения и управления облачным и глобальным ИТ-пространством.

Архитектура глобальной транзитной сети основана на классической модели подключения концентратора и периферийной сети, в которой размещенная в облаке сеть "концентратор" обеспечивает транзитивное подключение между конечными точками, которые могут быть распределены между различными типами "периферий".

В этой модели спица может быть:

• Виртуальная сеть (VNet)
• Физическое отделение
• Удаленный пользователь
• Интернет

рис. 1. Глобальная сеть транзитного центра и периферийной сети

На рисунке 1 показано логическое представление глобальной транзитной сети, где географически распределенные пользователи, физические сайты и виртуальные сети связаны через сетевой концентратор, размещенный в облаке. Эта архитектура обеспечивает логическое транзитное подключение между сетевыми конечными точками.

Глобальная транзитная сеть с виртуальной глобальной глобальной сетью

Виртуальная глобальная сеть Azure — это облачная служба, управляемая корпорацией Майкрософт. Все сетевые компоненты, из которых состоит эта служба, размещаются и управляются корпорацией Майкрософт. Дополнительные сведения о виртуальной глобальной сети см. в статье Обзор виртуальной глобальной сети.

Виртуальная сеть Azure WAN позволяет реализовать архитектуру глобальной транзитной сети, обеспечивая всеместное, любое-по-любому подключение между глобально распределенными наборами облачных рабочих нагрузок в виртуальных сетях, филиалах, приложениях SaaS и PaaS, а также пользователями.

рис. 2. Глобальная транзитная сеть и виртуальная глобальная сеть

В архитектуре виртуальной глобальной сети Azure виртуальные концентраторы глобальной сети подготавливаются в регионах Azure, к которым можно подключить ветви, виртуальные сети и удаленных пользователей. Сайты физической ветви подключены к концентратору через «Premium» или «Standard» ExpressRoute или VPN типа «сеть–сеть», виртуальные сети подключены к концентратору с помощью подключений VNet, а удаленные пользователи могут напрямую подключаться к концентратору с помощью пользовательских VPN (VPN типа «точка–сеть»). Виртуальная глобальная сеть также поддерживает подключение между регионами, где виртуальная сеть в одном регионе может быть подключена к виртуальному концентратору глобальной сети в другом регионе.

Вы можете установить виртуальную глобальную сеть, создав один виртуальный концентратор глобальной сети в регионе с наибольшим количеством периферийных устройств (ветвей, виртуальных сетей, пользователей), а затем подключив периферийные узлы, которые находятся в других регионах, к концентратору. Это хороший вариант, когда присутствие предприятия в основном сосредоточено в одном регионе с несколькими удаленными филиалами.

Подключение "хаб — хаб"

Облачная структура предприятия может охватывать несколько облачных регионов, и оптимально с точки зрения задержки получать доступ к облаку из региона, ближайшего к их физическому расположению и пользователям. Одним из основных принципов архитектуры глобальной транзитной сети является включение подключения между регионами между всеми облачными и локальными сетевыми конечными точками. Это означает, что трафик из филиала, подключенного к облаку в одном регионе, может достигать другого филиала или виртуальной сети в другом регионе с использованием соединения между концентраторами, обеспеченного глобальной сетью Azure.

рис. 3. Подключение между регионами виртуальной глобальной сети

Если несколько концентраторов включены в одной виртуальной глобальной сети, концентраторы автоматически соединяются с помощью каналов "концентратор — концентратор", что позволяет обеспечить глобальное подключение между ветвями и виртуальными сетями, распределенными по нескольким регионам.

Кроме того, центры, которые являются частью одной виртуальной глобальной сети, могут быть связаны с различными региональными политиками доступа и безопасности. Дополнительные сведения см. в разделе Управление безопасностью и политикой далее в этой статье.

Подключение от любого к любому

Архитектура глобальной транзитной сети позволяет подключаться к любому через концентраторы виртуальной глобальной сети. Эта архитектура устраняет или уменьшает необходимость в создании полной или частичной сетевой связности между узлами, которые более сложны в построении и обслуживании. Кроме того, управление маршрутизацией в сетях типа "звезда-спица" по сравнению с ячеистыми сетями проще настроить и поддерживать.

Подключение "любой к любому" (в контексте глобальной архитектуры) позволяет предприятиям с глобально распределенными пользователями, филиалами, центрами обработки данных, виртуальными сетями и приложениями подключаться друг к другу через "транзитные" концентраторы. Виртуальная глобальная сеть Azure выступает в качестве глобальной транзитной системы.

рис. 4. Пути трафика виртуальной глобальной сети

Виртуальная глобальная сеть Azure поддерживает следующие глобальные пути транзитного подключения. Буквы в скобках соответствуют рис. 4.

• Подключение филиала к виртуальной сети (a)
• Филиал-к-филиалу (b)
• ExpressRoute Global Reach и виртуальная WAN
• Подключение удаленного пользователя к виртуальной сети (c)
• Удаленный пользователь-к-филиалу (d)
• Соединение виртуальных сетей (e)
• Отделение-узел-отделение (f)
• Подключение филиала к концентратору и к виртуальной сети (г)
• VNet к концентратору и обратно к VNet (h)

Подключение филиала к виртуальной сети (a) и межрегиональное подключение филиала к виртуальной сети (g)

"Подключение отделения к виртуальной сети является основным путем, поддерживаемым виртуальной сетью Azure WAN." Этот путь позволяет подключать ветви к корпоративным рабочим нагрузкам Azure IaaS, развернутым в виртуальных сетях Azure. Филиалы можно подключить к виртуальной WAN через ExpressRoute или VPN между сайтами. Трафик передается в виртуальные сети (VNets), подключенные к концентраторам виртуальной глобальной сети через подключения VNet. Явное транзитное соединение шлюза не требуется для виртуальной глобальной сети, поскольку виртуальная глобальная сеть автоматически предоставляет транзит шлюза к филиальному узлу. См. статью о партнерах Виртуальной глобальной сети для получения информации о подключении SD-WAN CPE к Виртуальной глобальной сети.

ExpressRoute Global Reach и виртуальная WAN

Служба ExpressRoute предоставляет конфиденциальный и устойчивый способ подключения локальных сетей к облаку Майкрософт. Виртуальная WAN поддерживает подключения к схемам Express Route. Следующие SKU схемы ExpressRoute можно подключить к виртуальной сети WAN: Локальный, Стандартный и Премиум.

Существует два варианта для включения транзитного подключения ExpressRoute к ExpressRoute при использовании виртуальной глобальной сети Azure:

• Вы можете включить транзитное подключение ExpressRoute к ExpressRoute, включив ExpressRoute Global Reach в каналах ExpressRoute. Global Reach — это функция расширения ExpressRoute, которая позволяет соединять каналы ExpressRoute в различных местоположениях пиринга для создания частной сети. Транзитное подключение ExpressRoute к ExpressRoute между цепями с надстройкой Global Reach не будет проходить через концентратор виртуальной WAN-сети, поскольку Global Reach обеспечивает более оптимальный маршрут через глобальную магистраль.

• Функцию "Намерение маршрутизации" можно использовать с политиками маршрутизации частного трафика, чтобы включить транзитное подключение ExpressRoute через устройство безопасности, развернутое в Концентраторе виртуальной глобальной сети. Этот параметр не требует глобального охвата. Дополнительные сведения см. в разделе ExpressRoute документации по намерению маршрутизации.

Филиал-к-Филиалу (b) и Филиал-к-Филиалу между регионами (f)

Ветви можно подключить к виртуальному концентратору глобальной сети Azure с помощью каналов ExpressRoute и (или) VPN-подключений типа "сеть — сеть". Вы можете подключить ветви к концентратору виртуальной глобальной сети, который находится в регионе, ближайшем к ветви.

Этот параметр позволяет предприятиям использовать магистраль Azure для подключения ветвей. Тем не менее, хотя эта возможность доступна, следует взвесить преимущества подключения ветвей по сравнению с виртуальной глобальной сетью Azure и частной глобальной сетью.

Подключение удаленного пользователя к виртуальной сети (c)

Вы можете включить прямой, безопасный удаленный доступ к Azure с помощью подключения типа "точка — сеть" от клиента удаленного пользователя к виртуальной глобальной сети. Корпоративным удалённым пользователям больше не нужно использовать VPN для перехода в облако через центральный офис.

Удаленный пользователь-к-филиалу (d)

Путь от удаленного пользователя до филиала позволяет удаленным пользователям, использующим подключение типа "точка-сайт" к Azure, получать доступ к локальным рабочим нагрузкам и приложениям путем передачи через облако. Этот путь дает удаленным пользователям гибкость доступа к рабочим нагрузкам, которые развертываются как в Azure, так и в локальной среде. Предприятия могут включить центральную облачную защищенную службу удаленного доступа в Виртуальной глобальной сети Azure.

Транзит между виртуальными сетями (e) и кросс-региональный обмен между виртуальными сетями (h)

Транзит между виртуальными сетями позволяет виртуальным сетям подключаться друг к другу, чтобы объединить многоуровневые приложения, реализованные в нескольких виртуальных сетями. При необходимости можно подключить виртуальные сети друг к другу через пиринг виртуальных сетей, и это может пригодиться для некоторых сценариев, когда транзит через концентратор VWAN не требуется.

Принудительное туннелирование и маршрут по умолчанию

Принудительное туннелирование можно включить, включив маршрут по умолчанию для VPN, ExpressRoute или виртуальной сети в виртуальной WAN.

Виртуальный концентратор распространяет изученный маршрут по умолчанию в виртуальную сеть, VPN-подключение типа "сеть—сеть" или ExpressRoute, если флаг маршрута по умолчанию включен для подключения.

Этот флаг отображается, когда пользователь редактирует подключение к виртуальной сети, VPN-подключение или подключение ExpressRoute. По умолчанию этот флаг отключается, когда сайт или канал ExpressRoute подключается к концентратору. Он включается по умолчанию, когда добавляется виртуальное сетевое подключение между виртуальной сетью и виртуальным концентратором. Маршрут по умолчанию не создается в концентраторе Виртуальной глобальной сети. Он распространяется, только если он уже был получен концентратором Виртуальной глобальной сети в результате развертывания брандмауэра в концентраторе или если для другого подключенного сайта включено принудительное туннелирование.

Управление безопасностью и политикой

Центры виртуальной глобальной сети Azure соединяют все конечные точки сети в гибридной сети и потенциально видят весь транзитный сетевой трафик. Концентраторы виртуальной глобальной сети можно преобразовать в безопасные виртуальные центры, развернув встраиваемое решение для обеспечения безопасности в концентраторе. Вы можете развернуть брандмауэр Azure, выбрать виртуальные сетевые устройства брандмауэра следующего поколения или программное обеспечение безопасности как услуга (SaaS) в центрах виртуальной глобальной сети, чтобы обеспечить облачную безопасность, доступ и управление политикой. Вы можете настроить Virtual WAN для маршрутизации трафика к решениям безопасности в узле с использованием намерения маршрутизации виртуального узла.

Оркестрация брандмауэров Azure в центрах виртуальной глобальной сети может выполняться диспетчером брандмауэров Azure. Менеджер защитного экрана Azure предоставляет возможности для управления и масштабируемой защиты глобальных транзитных сетей. Диспетчер брандмауэра Azure предоставляет возможность централизованного управления маршрутизацией, глобального управления политиками, а также использования расширенных интернет-сервисов безопасности, предоставляемых сторонними поставщиками, наряду с брандмауэром Azure.

Дополнительные сведения о развертывании и оркестрации сетевых виртуальных устройств брандмауэра следующего поколения в концентраторе Virtual WAN см. в разделе Интегрированные сетевые виртуальные устройства в Виртуальном концентраторе. Дополнительные сведения о решениях безопасности SaaS, которые можно развернуть в концентраторе виртуальной сети, см. в SaaS.

рис. 5. Защищенный виртуальный концентратор с помощью брандмауэра Azure

Виртуальная глобальная сеть поддерживает следующие глобальные защищенные пути транзитного подключения. Хотя схемы и шаблоны трафика в этом разделе описывают варианты использования брандмауэра Azure, те же шаблоны трафика поддерживаются с сетевыми виртуальными устройствами и решениями безопасности SaaS, развернутыми в центре. Буквы в скобках соответствуют рис. 5.

• Безопасный транзит филиала к виртуальной сети (c)
• Безопасный транзит филиала к VNet через виртуальные центры (g), поддерживаемый Роутинг Интент
• Безопасный транзит между виртуальными сетями (e)
• Безопасный транзит между виртуальными сетями и виртуальными центрами (h), поддерживаемый план маршрутизации
• Безопасная передача данных между офисами (b), поддерживаемая маршрутизацией
• Безопасная передача между филиалами через виртуальные узлы (f), поддерживается намерением маршрутизации
• Подключение VNet к Интернету или сторонней службе безопасности (i)
• Подключение филиала к Интернету или услуга безопасности третьей стороны (j)

Защищенный транзит между виртуальными сетями (e), защищенный транзит между виртуальными сетями в разных регионах (h)

Защищенный транзит между виртуальными сетями позволяет виртуальным сетям подключаться друг к другу через устройства безопасности (брандмауэр Azure, выбрать NVA и SaaS), развернутые в концентраторе виртуальной глобальной сети.

Подключение VNet к Интернету или сторонней службе безопасности (i)

Подключение виртуальной сети к Интернету позволяет виртуальным сетям подключаться к интернету через средства безопасности, такие как Azure Firewall, выбор NVA и SaaS, в концентраторе виртуальной сети (WAN). Трафик к Интернету через поддерживаемые сторонние службы безопасности не проходит через устройство безопасности и направляется прямо в стороннюю службу безопасности. Вы можете настроить путь между виртуальными сетями и Интернетом через поддерживаемую стороннюю службу безопасности с помощью диспетчера брандмауэра Azure.

Подключение филиала к Интернету или услуга безопасности третьей стороны (j)

Возможность Branch-to-Internet позволяет филиалам подключаться к интернету через брандмауэр Azure в виртуальном WAN-концентраторе. Трафик к Интернету через поддерживаемые сторонние службы безопасности не проходит через устройство безопасности и направляется прямо в стороннюю службу безопасности. Вы можете настроить путь "Филиал — Интернет" через поддерживаемую стороннюю службу безопасности с помощью диспетчера брандмауэра Azure.

Защищенный транзит между филиалами, защищенный транзит между филиалами через регионы (b), (f)

Ветви можно подключить к защищенному виртуальному концентратору с брандмауэром Azure с помощью каналов ExpressRoute и (или) VPN-подключений типа "сеть — сеть". Вы можете подключить ветви к концентратору виртуальной глобальной сети, который находится в регионе, ближайшем к ветви. Настройка намерения маршрутизации в узлах виртуальной WAN позволяет выполнять ветвь-к-ветви в одном и том же концентраторе или межрегиональную проверку ветвь-к-ветви между концентраторами устройствами безопасности (брандмауэр Azure, определенные NVA и SaaS), развернутыми в виртуальном концентраторе WAN.

Этот параметр позволяет предприятиям использовать магистраль Azure для подключения ветвей. Тем не менее, хотя эта возможность доступна, следует взвесить преимущества подключения ветвей по сравнению с виртуальной глобальной сетью Azure и частной глобальной сетью.

Защищенный транзит от филиала к виртуальной сети (c), защищенный транзит от филиала к виртуальной сети между регионами (g)

Защищенный транзит "Филиал — виртуальная сеть" позволяет филиалам взаимодействовать с виртуальными сетями в том же регионе, что и концентратор виртуальной глобальной сети, а также с другой виртуальной сетью, подключенной к другому концентратору виртуальной глобальной сети в другом регионе (проверка трафика между концентраторами поддерживается только с Routing Intent).

Как включить маршрут по умолчанию (0.0.0.0/0/0) в защищенном виртуальном концентраторе

Брандмауэр Azure, развернутый в концентраторе виртуальной глобальной сети (безопасный виртуальный концентратор), можно настроить как основной маршрутизатор для доступа в Интернет или как доверенного поставщика безопасности для всех филиалов (подключенных через VPN или Express Route), периферийных виртуальных сетей и пользователей (подключенных через P2S VPN). Эту конфигурацию необходимо выполнить с помощью диспетчера брандмауэра Azure. Настройте маршрут трафика к вашему хабу, чтобы направить весь трафик из филиалов (включая пользователей), а также из виртуальных сетей в Интернет через брандмауэр Azure.

Это двухфакторная конфигурация:

1. Настройка маршрутизации трафика в Интернете с помощью меню "Настройка маршрута безопасного виртуального концентратора". Настройте виртуальные сети и ветви, которые могут отправлять трафик в Интернет через брандмауэр.

2. Настройте, какие подключения (виртуальная сеть и ветвь) могут направлять трафик в Интернет (0.0.0.0/0/0) через Azure FW в концентраторе или доверенном поставщике безопасности. Этот шаг гарантирует, что маршрут по умолчанию распространяется на выбранные ветки и виртуальные сети (VNet), подключенные к концентратору Virtual WAN через соединения.

Принудительное туннелирование трафика в локальный брандмауэр в защищенном виртуальном концентраторе

Если маршрут по умолчанию уже получен (через BGP) виртуальным концентратором из одного из филиалов (VPN или сайтов ER), этот маршрут по умолчанию переопределяется с помощью настроек Azure Firewall Manager. В этом случае весь трафик, который входит в концентратор из виртуальных сетей и филиалов и предназначен для интернета, будет перенаправлен в брандмауэр Azure или к доверенному поставщику безопасности.

Дальнейшие действия

Создайте подключение с помощью виртуальной глобальной сети и разверните брандмауэр Azure в концентраторах VWAN.

• подключения типа "сеть — сеть" с помощью виртуальной глобальной сети
• Подключения ExpressRoute с использованием Виртуальной глобальной сети
• Диспетчер брандмауэра Azure для развертывания Azure FW в VWAN