Рекомендации по архитектуре для Виртуальной глобальной сети Azure

Просмотрите ограничения службы и известные проблемы: Ознакомьтесь с ограничениями виртуальной глобальной сети и известными проблемами перед планированием архитектуры. Виртуальная глобальная сеть применяет ограничения на подключенные ресурсы для каждого концентратора и для каждой подписки. Известные проблемы включают доступные обходные пути.

Выберите Стандартный виртуальный SKU WAN для производственных развертываний, чтобы получить зоновую избыточность и расширенные возможности маршрутизации.

Прогнозирование потенциальных сбоев с помощью анализа режима сбоя (FMA): FMA помогает предвидеть сценарии сбоев и разрабатывать стратегии устранения рисков.

Общие сведения о соглашении об уровне обслуживания (SLA) и составных целевых показателях надежности: Инфраструктура маршрутизации концентратора виртуальной глобальной сети имеет соглашение об уровне обслуживания 99,95%. Во время простоя невозможно установить или сохранить подключения. См. условия SLA для получения компенсаций за обслуживание.

Для конечного подключения требуется комплексный расчет SLA. Центры, шлюзы и брандмауэры имеют независимые соглашения об уровне обслуживания. Вычислите объединенное соглашение об уровне обслуживания для критически важных путей подключения.

Соглашение об уровне обслуживания исключает обязанности клиента, такие как сбои локального оборудования, проблемы с подключением к Интернету за пределами управления Azure и ошибки конфигурации.

Планирование мультирегиональной избыточности для развертывания виртуального узла: Распределяйте виртуальные узлы между несколькими регионами Azure для обеспечения избыточности на уровне региона.

При выборе регионов определите приоритеты следующих факторов:

• Близость к пользователям и рабочим нагрузкам
• Парные регионы для аварийного восстановления
• Требования к подключению между регионами
• Ограничения регуляторных норм и местоположения данных

Установите маршрутизацию для обеспечения автоматического или ручного переключения на резервный регион. Учитывайте асимметричные шаблоны маршрутизации во время сбоев и документируйте ожидаемое поведение при сбоях. Требования к нормативным актам и месту размещения данных могут ограничивать многорегиональные стратегии развертывания.

Планирование многоуровневой избыточности: Виртуальная глобальная сеть поддерживает три уровня избыточности. Каждый слой обращается к отдельным сценариям сбоя.

Оценивайте решения о резервировании, взвешивая их с учетом потребностей в доступности, сложности реализации и затрат. Оцените влияние каждого домена сбоя на операции рабочей нагрузки. Выберите симметричные или асимметричные шаблоны маршрутизации, соответствующие операционным возможностям.

Планирование масштабирования надежного концентратора и шлюза: Масштабируйте инфраструктуру с расчетом на ожидаемый рост, а не на текущий трафик. Маршрутизаторы концентратора автоматически масштабируются, однако это требует до 25 минут. Шлюзы требуют ручной настройки размеров и запланированного обслуживания при изменениях. Избыточность емкости для обеспечения надежности во время пиков спроса.

Обеспечение отказоустойчивости для VPN типа "точка — сайт": Используйте глобальный профиль VPN для автоматического выбора концентратора и переключения на резерв. Настройте пулы адресов типа "точка-сайт" так, чтобы они могли обрабатывать в два раза больше ожидаемого количества одновременных пользователей, чтобы предотвратить исчерпание ресурсов во время перераспределения шлюза.

Настройте резервное копирование VPN для отработки отказа: Разверните VPN-шлюз вместе со шлюзом ExpressRoute. Задайте предпочтение протоколу BGP в пользу ExpressRoute над VPN для автоматического переключения на резервный канал.

Проверка поведения фейловера: Проверка поведения маршрутизации и сетевого виртуального устройства (NVA) во время сценариев фейловера. Документируйте ожидаемые потоки трафика и влияние на клиента для каждого сценария резервирования.

Включение тестирования непрерывности бизнеса: Проверьте резервную конфигурацию, чтобы избежать сюрпризов в случае реальных сбоев.

Имитируйте следующие сценарии во время тестирования:

• Проблемы региона с целью проверки механизма отработки отказа в мультирегиональной среде
• Сбои канала ExpressRoute для подтверждения активации резервного копирования VPN
• Сценарии параллельного пути для определения асимметричных шаблонов маршрутизации
• Анонсирование маршрута BGP во время аварийного переключения

Включите мониторинг и оповещение о работоспособности служб: Настройте мониторинг для маршрутизаторов концентраторов, шлюзов и инфраструктуры маршрутизации, чтобы обнаружить проблемы, прежде чем пользователи сообщают о сбоях. Создание оповещений о снижении производительности для раннего ответа.

Включите журналы диагностики во всех компонентах виртуальной глобальной сети для поддержки устранения неполадок с помощью корреляции событий. Служба "Работоспособность ресурсов Azure" позволяет различать проблемы с сервисами Azure и проблемы с подключением на стороне клиента.

Создайте базовые показатели безопасности: Примените базовый план безопасности Azure для виртуальной глобальной сети в качестве базовой базовой базы безопасности. Базовый план охватывает элементы управления виртуальной глобальной сетью для обеспечения безопасности концентратора, конфигурации шлюза, безопасности маршрутизации и шифрования подключений.

Этот стандартизированный подход обращается к конечным точкам службы виртуальной глобальной сети, таким как виртуальные концентраторы, VPN-шлюзы, шлюзы ExpressRoute и интеграция брандмауэра Azure. Он обеспечивает сопоставление соответствия требованиям к сетевой инфраструктуре.

Реализуйте сегментацию сети с помощью элементов управления маршрутизацией: Управляйте сегментацией сети в виртуальной глобальной сети с помощью таблиц маршрутизации. Создайте пользовательские таблицы маршрутов для изоляции доменов маршрутизации и предотвращения несанкционированного трафика между зонами. Примените карты маршрутов, если стандартная изоляция таблицы маршрутов не соответствует требованиям к подключению.

Разверните защищенный виртуальный концентратор для централизованного проверки трафика. Используйте Брандмауэр Azure для аналитики угроз и интеграции служб Azure или разверните сетевые сети партнеров для глубокой проверки пакетов и расширенной защиты от угроз.

Установите частное подключение и защитите общедоступные конечные точки: Разверните частные конечные точки в периферийных сетях, чтобы получить доступ к решениям платформы Azure как услуга (PaaS) без доступа к Интернету. Локальные пользователи обращаются к этим службам через ExpressRoute или VPN-подключения. Маршрутизация через защищенные центры обеспечивает проверку, но добавляет задержку и стоимость.

Защита общедоступных периферийных рабочих нагрузок с помощью Защиты от атак DDoS Azure на уровне виртуальной сети или IP-адреса. Общедоступные IP-адреса концентратора не поддерживают защиту от атак DDoS.

Реализуйте управление удостоверениями и доступом: Выберите метод проверки подлинности VPN типа "точка — сеть" на основе требований.

• Идентификация Microsoft Entra ID включает в себя политики условного доступа Microsoft Entra, многофакторную аутентификацию (MFA), проверки соответствия устройств и аутентификацию на основе оценки риска.
• Для проверки подлинности на основе сертификатов требуется инфраструктура открытых ключей (PKI) и управление жизненным циклом сертификатов.
• Аутентификация с использованием Remote Authentication Dial-In User Service (RADIUS) интегрируется с существующей инфраструктурой RADIUS.

Управление доступом к конфигурации виртуальной глобальной сети с помощью управления доступом на основе ролей (RBAC):

• Примените назначения RBAC для управления тем, кто может изменить конфигурацию виртуальной глобальной сети.
• Для большинства сценариев используйте встроенные роли участника сети и читателя.
• Создайте пользовательские роли для более детализированных границ прав доступа, если встроенные роли слишком разрешительные.

Управление сетевым трафиком и фильтрация с помощью защиты: Развертывание элементов управления безопасностью на нескольких сетевых уровнях. Используйте SKU Virtual WAN Standard для развертывания Azure Firewall или решений безопасности партнеров в хабе для централизованной фильтрации и защиты от угроз с учетом приложений. Разверните группы безопасности сети (NSG) в периферийных сетях для фильтрации на уровне подсети на основе IP-адресов, портов и протоколов.

Каждый слой отвечает различным требованиям к безопасности. Средства управления безопасностью концентратора применяют политики всей организации и обнаруживают угрозы во всех подключенных сетях. Периферийные группы безопасности сети предоставляют элементы управления, зависящие от рабочей нагрузки, которые команды определяют на основе требований приложения.

Убедитесь, что зашифрованное подключение: Выберите надежные алгоритмы шифрования, такие как AES-256-GCM или AES-256-CBC, чтобы защитить конфиденциальность данных. Используйте надежные алгоритмы целостности, такие как SHA-256 или SHA-384, чтобы предотвратить изменение. Чтобы предотвратить сбои при создании туннеля, выровняйте политики шифрования протокола IPsec и Exchange ключей Интернета (IKE) для VPN типа "сеть — сеть" между Azure и локальными VPN-устройствами.

Управление шифрованием для EXPRESSRoute и VPN типа "точка — сеть": Оцените требования к шифрованию ExpressRoute отдельно от требований VPN, так как для каждого типа подключения требуются разные конфигурации. Управление шифрованием VPN типа "точка — сеть" на основе требований клиента и политик безопасности.

Архитектура жесткой защиты, следуя принципам нулевого доверия: Предположим, что нарушение и ограничение радиуса взрыва. Реализуйте управление доступом к сети по принципу запрета по умолчанию, с явными правилами разрешения только для необходимого трафика.

Отключите неиспользуемые функции, чтобы уменьшить область атаки:

• Избегайте устаревших или слабых наборов шифров VPN, таких как DES, 3DES и MD5.
• Удалите ненужные режимы проверки подлинности типа "точка — сеть".
• Удалите лишние назначения общедоступных IP-адресов.

Включите ведение журнала диагностики, оповещения метрик и обнаружение угроз Microsoft Sentinel для отслеживания нарушений.

Реализуйте мониторинг безопасности и обнаружение угроз: Включите ведение журнала диагностики для компонентов виртуальной глобальной сети, таких как центры, шлюзы и брандмауэр Azure, для видимости событий безопасности. Используйте рабочую область Log Analytics для предоставления централизованной коллекции журналов, долгосрочного хранения и анализа на основе запросов.

Создание оповещений Azure Monitor для реактивного уведомления определенных пороговых значений метрик или шаблонов журналов. Разверните Microsoft Sentinel, чтобы добавить упреждающее обнаружение угроз с помощью машинного обучения и корреляции с более широкими организационными сигналами.

Общие сведения о структурах ценообразования для создания точных моделей затрат: Цены на виртуальную глобальную сеть имеют фиксированные и переменные компоненты. Фиксированные затраты включают выбор SKU и выделенные ресурсы для масштабирования и подключения. Переменные затраты включают расходы на передачу данных и активные функции.

Затраты на передачу данных представляют значительные переменные расходы. Передача данных между концентраторами через регионы требует выплат региональных сборов, а обработка концентраторным маршрутизатором влияет на затраты, связанные с обработкой данных концентратором. Оцените как фиксированные, так и переменные затраты перед развертыванием, чтобы избежать сюрпризов бюджета.

Отслеживайте затраты и использование концентратора для текущей оптимизации: Реализуйте отслеживание ежедневных затрат для расходов виртуальной глобальной сети. Сосредоточьтесь на затратах на обработку данных концентратора, использовании подключения шлюза и затратах на передачу данных между регионами.

Упорядочение ресурсов по бизнес-единице или приложению с помощью тегов для распределения затрат. Реализуйте отчёты о перерасчёте затрат или информировании о затратах. Отслеживайте расходы по бюджетам, чтобы обнаружить непредвиденные увеличения.

Установите средства защиты расходов с помощью бюджетов и оповещений: Реализуйте бюджеты и оповещения, чтобы предотвратить непредвиденные расходы. Задайте пороговые значения градуированных оповещений для ранних предупреждений до исчерпания бюджета.

Отслеживайте метрики, которые непосредственно влияют на затраты на переменные. Отслеживать объем трафика маршрутизатора центрального узла для учета расходов на обработку данных и использование единиц подключения для расчета затрат на емкость.

Применение политик управления для предотвращения несанкционированного увеличения затрат. Прежде чем добавлять емкость, используйте политику Azure, чтобы требовать утверждения для высокозатратных изменений и проверок мандатов.

Оптимизация размера инфраструктуры на основе фактических требований к рабочей нагрузке: Размер единиц маршрутизации инфраструктуры на основе фактических потребностей рабочей нагрузки, а не максимальной теоретической емкости. Каждая единица увеличивает емкость и затраты на виртуальную машину.

Каждый концентратор несет фиксированные ежемесячные затраты независимо от объема трафика. Добавьте центры только в том случае, если требования к подключению оправдывают затраты. Масштабируйте единицы шлюза в зависимости от фактических требований к пропускной способности. Отслеживайте шаблоны использования и настраивайте емкость при мониторинге устойчивых изменений спроса.

Выберите экономичные типы подключений и интегрированные номера SKU служб: VPN типа "сеть — сеть" обеспечивает экономичное подключение для снижения пропускной способности и некритических подключений. ExpressRoute обеспечивает более высокую производительность при значительно более высокой стоимости. VPN типа "точка — сеть" поддерживает удаленных пользователей с разными характеристиками затрат.

Используйте VPN для сред разработки и тестирования, где низкая стоимость оправдывает производительность переменных. Используйте ExpressRoute для рабочих нагрузок, требующих согласованной пропускной способности и надежности. Реализуйте гибридные подходы, которые направляют обычный трафик через VPN и критически важные для бизнеса приложения через ExpressRoute.

Оптимизация маршрутизации для минимизации затрат на передачу данных: Шаблоны потока трафика напрямую влияют на переменные затраты. Взаимодействие узлов в разных регионах вызовет межрегиональные расходы. Обработка данных маршрутизатором концентратора способствует затратам на обработку данных на концентраторе.

Оптимизируйте топологию маршрутизации, чтобы сократить затраты без ущерба для подключения. Используйте прямой пиринг между виртуальными сетями для связи "спица-спица", чтобы обойти расходы на обработку концентратора. Оцените расположение концентратора на основе доминирующих шаблонов трафика, чтобы свести к минимуму расходы на передачу между регионами. Балансируйте оптимизацию затрат на соответствие требованиям политики безопасности и маршрутизации.

Разработка эффективной стратегии масштабирования для роста: Планирование размещения концентратора для балансировки требований к задержке с затратами. Размещать узлы рядом с пользовательскими группами, чтобы уменьшить задержку и избежать чрезмерного количества узлов. Консолидируйте регионы, где допустимые пороговые значения задержки позволяют это сделать.

Оптимизируйте выделение единиц подключения на основе фактических требований к пропускной способности, а не теоретических ресурсов. Мониторинг использования для выявления возможностей оптимизации по мере колебания спроса.

Реализуйте инфраструктуру как код (IaC) для согласованных развертываний: Используйте шаблоны Azure Resource Manager (шаблоны ARM), Bicep или Terraform для повторяющихся развертываний виртуальной глобальной сети в разных средах. Шаблоны ARM и Bicep обеспечивают встроенную интеграцию Azure. Terraform поддерживает сценарии с несколькими облаками.

Проектирование модульных шаблонов IaC: Отделите базовую инфраструктуру концентратора от политик подключения и правил маршрутизации. Изменения в основной инфраструктуре происходят редко, а правила маршрутизации изменяются чаще. Параметризация значений для конкретной среды, таких как единицы масштабирования и адресные пространства.

Оркестрация зависимостей ресурсов: Последовательность операций должна быть правильной, поскольку шлюзы зависят от концентраторов, подключения зависят от шлюзов, а политики маршрутизации зависят от подключений. Добавьте условия ожидания в вашу автоматизацию, чтобы проверить распространение маршрута перед завершением развертывания.

Создание конвейеров сборки и развертывания для автоматизации: Проектирование конвейеров развертывания с разделением этапов для проверки, утверждения и развертывания. Реализуйте шлюзы качества между этапами, чтобы заблокировать проблемные изменения.

Включите статическую проверку для проверки синтаксиса, соответствия политик и проверки правил безопасности. Реализуйте предварительное тестирование для проверки конфигурации в соответствии со стандартами организации.

Реализуйте мониторинг топологии, служб и зависимостей: Обеспечение полной видимости в топологии, работоспособности служб и операционной телеметрии. Отслеживайте глобальное распределение узлов, подключение спиц и оперативный статус шлюзов.

Сбор метрик производительности шлюза для использования пропускной способности и количества подключений. Отслеживайте метрики надежности подключения для доступности туннеля. Отслеживайте метрики работоспособности маршрутизации для состояния распространения маршрутов.

Проектирование рабочих представлений на основе ролей. Создайте панели мониторинга состояния здоровья в режиме реального времени для операционных команд и просмотры тенденций использования емкости для архитекторов. Задайте сроки хранения данных, которые балансируют необходимость исторического анализа с затратами на хранение.

Создание оповещений о проблемах с подключением и производительностью: Разработка оповещений о сценариях сбоя, влияющих на операции. Сбои целевого подключения, которые нарушают доступ пользователей, снижение производительности, которое замедляет приложения и аномалии конфигурации, указывающие на ошибки.

Определите определенные измеримые условия, такие как отключение туннеля, насыщенность ЦП шлюза выше безопасных пороговых значений и непредвиденные изменения маршрутизации. Балансируйте пороговые значения оповещений между ранним обнаружением и избытком оповещений. Установите маршрутизацию уведомлений, которая соответствует серьезности оповещений с соответствующей срочностью.

Автоматизация операционных задач и проверки подключения: Автоматизация повторяющихся задач виртуальной глобальной сети, таких как проверка состояния подключения и обновления конфигурации нескольких hub. Автоматизация срочных операций для снижения ручного труда.

Реализуйте регулярную автоматизацию для регулярных проверок состояния системы. Используйте автоматизацию на основе событий для исправления смещения конфигурации. Создайте скрипты проверки и средства устранения неполадок, которые операторы могут выполнять по запросу.

Используйте собственные возможности автоматизации виртуальной глобальной сети, включая автоматическое объявление маршрутов, распространение маршрутов по инфраструктуре концентратора и автоматическое масштабирование шлюза, которое реагирует на шаблоны загрузки.

Реализуйте прогрессивные методики развертывания: Сначала разверните в среду разработки, а затем в промежуточную среду и проверяйте на каждом шаге. Запустите проверку статической конфигурации и проверки соответствия политик перед развертыванием. Следуйте за развертыванием с проведением дымовых тестов, чтобы проверить доступность шлюза и установление соединений.

Установите возможность отката: Поддерживайте версионирование конфигураций в репозитории IaC. Процедуры отката документов для восстановления параметров шлюза и политик маршрутизации. Разделение стандартных развертываний от чрезвычайных ситуаций. Маршрутизация регулярных изменений с помощью полной проверки с утверждениями. Разрешить в чрезвычайных ситуациях пропускать детализированные утверждения, одновременно проверяя синтаксис.

Планирование емкости для компонентов: Планирование емкости виртуальной глобальной сети путем оценки ШЛЮЗов VPN и ExpressRoute, маршрутизаторов концентраторов и инфраструктуры маршрутизации. Начните с оценки пропускной способности VPN-шлюза на туннель, так как все активные туннели используют общую емкость шлюза.

Отслеживайте текущее использование шлюзов и маршрутизаторов концентраторов, чтобы установить базовые показатели производительности. Используйте эти базовые показатели для точного прогнозирования будущих потребностей в мощности. Включите в планы планирования мощности сценарии пикового трафика, ожидаемый рост бизнеса и запланированные подключения к сайту.

Реализация мониторинга производительности: Реализуйте мониторинг производительности для каждого компонента виртуальной глобальной сети для обеспечения оптимальной работы. Установите базовые показатели производительности во время обычных операций, чтобы определить типичное поведение и обнаружить отклонения.

Мониторинг данных поддерживает инициативы планирования емкости и определяет возможности оптимизации перед снижением производительности. Отслеживание тенденций производительности в течение времени помогает прогнозировать будущие требования и проактивно планировать изменения инфраструктуры.

Проектирование масштабируемой архитектуры: Планирование горизонтального масштабирования путем добавления концентраторов в регионы, когда требования превышают ограничения для каждого концентратора. Проектирование инфраструктуры маршрутизации для поддержки ожидаемых объемов трафика между центральными узлами и периферийными узлами, с балансировкой требований к производительности и затратами.

Проверьте эффективность масштабирования с помощью мониторинга производительности и анализа использования емкости, чтобы обеспечить соответствие архитектуры бизнес-потребностям по мере развития требований.

Установите методики тестирования производительности: Для тестирования производительности требуется развертывание непроизводственных сред виртуальной глобальной сети, соответствующих рабочей конфигурации для проверки. Проверьте конфигурации маршрутизации, сценарии подключения и активацию компонентов перед развертыванием рабочей среды, чтобы обеспечить оптимальную производительность.

Используйте тестирование, чтобы проверить производительность для шаблонов трафика между филиалами в Azure, branch-to-branch и virtual network-to-virtual network traffic. Оцените производительность шлюза при пиковом трафике и параллельных нагрузках подключения. Сравните результаты теста с целевыми и базовыми показателями производительности перед реализацией изменений, чтобы предотвратить проблемы с производительностью в рабочих средах.

Оптимизация размещения концентратора для минимальной задержки: Оптимизируйте размещение концентраторов, размещая центры в регионах, близких к населению пользователей и расположениям филиалов, чтобы свести к минимуму задержку в сети. Оптимизируйте размещение концентратора для доминирующих шаблонов трафика, таких как подключение "ветвь — Azure", "ветвь — ветвь" или "виртуальная сеть — виртуальная сеть". Рассмотрите требования к трафику между регионами и производительность межузлового подключения.

Оптимизация конфигураций для повышения производительности: Оцените стратегии изменения размера шлюза, оценивая емкость VPN и шлюза ExpressRoute в соответствии с требованиями к пропускной способности и проекциями трафика. Учитывайте сценарии пикового трафика и ожидаемый рост бизнеса при выборе подходящих SKU шлюза.

Выберите алгоритмы шифрования IPsec, обеспечивающие баланс между требованиями безопасности и производительностью ЦП шлюза. Проектирование параметров пути маршрутизации для оптимизации шаблонов трафика, критически важных для бизнеса. Рассмотрим характеристики производительности различных вариантов маршрутизации, таких как пути типа «концентратор — концентратор» и пути ExpressRoute для сценариев, когда виртуальные сети подключаются друг к другу.

Проверка маршрутизации для устранения неполадок с производительностью: Разработка операционных процедур для проверки обучения маршрутов и распространения между компонентами гибридной сети. Документирование рабочих процессов устранения неполадок с производительностью, связанных с маршрутизацией. Применение выводов из инцидентов маршрутизации для повышения эффективности мониторинга и профилактических мер.

Непрерывно отслеживайте и оптимизируйте емкость: Создайте упреждающие методики, поддерживающие производительность по мере развития требований. Разработка упреждающего подхода к управлению емкостью, включающего регулярные проверки производительности. Планируйте корректировку мощности до того, как использование достигнет пределов, чтобы избежать негативного влияния на производительность. Этот подход согласует оптимизацию использования ресурсов с ростом бизнеса и изменяющимися схемами подключения.