Гибридная сетевая инфраструктура в Microsoft Azure (часть 2)

Опубликовано: 7 Марта, 2023
Гибридная сетевая инфраструктура в Microsoft Azure (часть 2)

  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 3)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 4)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 5)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 6)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 7)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 8)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 9)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 10)

Введение

Том Шиндер

В части 1 этой серии статей Деб начала обсуждение гибридной сетевой инфраструктуры с некоторых мыслей о гибридных облаках, а затем рассказала о некоторых сетевых функциях, которые вы получаете при переходе на службы инфраструктуры Azure. Она также познакомила меня со схемой эталонной архитектуры расширения центра обработки данных, которую я составил вместе с Джимом Дайалом и несколькими другими сотрудниками Microsoft. Во второй части я сяду за руль, а в этой и последующих частях я более подробно расскажу о сетевых функциях, представленных в этой статье.

Напоминаем, что вот список сетевых возможностей, доступных в Azure на момент написания этой статьи (имейте в виду, что это «разрабатываемое программное обеспечение», поэтому к моменту прочтения этой статьи возможны изменения и новые функции).:

  • VPN между сайтами
  • Укажите на сайт VPN
  • Выделенные каналы WAN
  • Виртуальные сетевые шлюзы
  • Виртуальные сети Azure
  • Межвиртуальная сетевая связь
  • Внешние балансировщики нагрузки
  • Внутренние балансировщики нагрузки
  • Группы безопасности сети
  • ACL виртуальной машины
  • Сторонние прокси-брандмауэры
  • Двойной дом
  • Выделенные общедоступные IP-адреса
  • Статические IP-адреса на виртуальных машинах
  • Публичные адреса на виртуальных машинах

Я расскажу немного подробнее о каждом из них и посмотрю, сможем ли мы найти что-то, что может вас заинтересовать.

Сеть-сеть VPN

Вы можете использовать стандартную отраслевую технологию Site-to-Site VPN для подключения вашей сети к виртуальной сети Azure. Эти виртуальные частные сети типа site-to-site используют туннельный режим IPsec — ту же технологию, которую вы уже много лет используете для соединения сетей через Интернет. Когда вы настраиваете VPN между сайтами между локальной сетью и Azure, вы устанавливаете маршрутизируемое подключение через Интернет.

Виртуальные частные сети типа «сеть-сеть» в Azure полезны, если у вас нет сверхвысоких требований к пропускной способности. По умолчанию пропускная способность между сайтами VPN составляет около 100 Мбит/с. Существует вариант для высокопроизводительного VPN-шлюза между сайтами, и если вы выберете этот вариант, вы можете получить до 200 Мбит/с.

Помните, что эти VPN-подключения между сайтами осуществляются через Интернет, поэтому Microsoft не может реально предоставить SLA для чего-либо, кроме своего шлюза Azure, к которому подключается ваш локальный шлюз. Время безотказной работы будет зависеть от надежности вашего локального подключения к Интернету и общей надежности Интернета, по крайней мере, от надежности всех сетей между вашим центром обработки данных и центром обработки данных Azure, к которому вы подключаетесь.

Что нужно помнить о подключении VPN между сайтами, так это то, что вы платите только за исходящую пропускную способность (то есть данные, перемещаемые из центра обработки данных Azure). Вам не нужно платить за использование входящей полосы пропускания.

Например, если вы хотите скопировать группу виртуальных машин в свою виртуальную сеть Azure из локального местоположения через VPN-туннель между сайтами, вам не придется платить за используемую пропускную способность, поскольку это входящая пропускная способность в сеть. Центр обработки данных Azure.

Существует также номинальная плата за шлюз Azure.

На схеме эталонной архитектуры расширения центра обработки данных показано, что компания Contoso могла использовать либо VPN типа site-to-site, либо ExpressRoute (о чем мы поговорим позже). Используете ли вы VPN-подключение типа site-to-site или ExpressRoute, зависит от того, какая пропускная способность вам нужна, а также от того, есть ли в вашем регионе сетевой провайдер, поддерживающий ExpressRoute. Если провайдера нет, то единственным вариантом будет VPN типа «сеть-сеть». Если есть местный провайдер, то требования к пропускной способности в значительной степени будут определять, какой тип гибридного сетевого подключения вы будете использовать.

Виртуальные частные сети типа «сеть-сеть» — отличный способ начать любой проект гибридного центра обработки данных, поскольку их легко настроить, а затраты вас не пугают. Когда вы будете готовы к полноценному развертыванию, требующему гигабитной скорости между локальной средой и Azure, вы можете серьезно подумать о настройке подключения ExpressRoute.

Для получения дополнительных сведений о VPN-подключении между сайтами к Azure перейдите по этой ссылке.

Укажите на сайт VPN

Я помню, когда Microsoft впервые представила термин «точка-сайт» VPN. Должен признаться, что я понятия не имел, что такое VPN-подключение «точка к сайту», поскольку никогда раньше не слышал этого термина. Я подумал, что, возможно, я был вне бизнеса VPN достаточно долго, когда какая-то совершенно новая технология VPN стала преобладающей, и я пропустил заметку о ней.

Это было не так. VPN типа «точка-сайт» — это традиционное клиентское VPN-подключение удаленного доступа. Я полагаю, что название, указывающее на сайт VPN, звучало как хорошая идея, поскольку они хотели прояснить, что оно отличается от «сайта к сайту». Хотя это самоочевидно для профессионалов в области сетевых технологий, я подозреваю, что цель изменения названия с «клиентское VPN-подключение удаленного доступа» на «подключение «точка-сайт»» состояла в том, чтобы прояснить, что виртуальные частные сети «сеть-сеть» соединяют целые сетевые сайты друг с другом., а точка-сайт подключает «точку» (конкретный компьютер) к сети Azure.

Какой бы ни была причина присвоения нового имени старой технологии, факт в том, что вы можете создавать клиентские VPN-подключения удаленного доступа, ах, я имею в виду точечные подключения к сайту, между компьютером и виртуальной сетью Azure. Как и любое другое подключение VPN-клиента с удаленным доступом, клиент может находиться локально или в любом месте в Интернете.

Укажите на подключение сайта к Azure, используя протокол SSTP. Если вы не знакомы с SSTP, это протокол безопасного туннелирования сокетов, который использует HTTP в качестве транспортного протокола. SSTP является дружественным к прокси-серверу и использует порт SSL по умолчанию, TCP 443. Это означает, что он будет работать практически где угодно, поскольку мы все знаем, что универсальный открытый порт брандмауэра — TCP 443.

Основной вариант использования VPN-подключений "точка-сайт" — это возможность для одного разработчика или ИТ-администратора подключить рабочую станцию управления к виртуальной сети Azure для доступа к виртуальным машинам. Разработчик или администратор запускает VPN-подключение с рабочей станции к Azure, а затем подключается к виртуальным машинам, используя их IP-адреса или имена.

С точки зрения сетевой безопасности это лучший вариант, чем использование RDP через Интернет для подключения к виртуальным машинам. Когда вы создаете виртуальную машину в Azure, вам предоставляется возможность разрешить входящие подключения RDP из Интернета к этой виртуальной машине.

Это удобно, поскольку все, что вам нужно сделать, — это запустить клиентское соединение RDP, которое вы загружаете с портала Azure, а затем подключиться к виртуальной машине через этот клиент RDP. После подключения RDP к машине в виртуальной сети Azure вы можете подключиться к любой другой виртуальной машине в виртуальной сети Azure с той виртуальной машины, к которой вы подключены по RDP.

VPN-подключения типа «точка-сайт» более безопасны, поскольку вам необходимо дважды проходить аутентификацию. Во-первых, вам необходимо пройти аутентификацию на шлюзе Azure, чтобы установить VPN-подключение. После того, как VPN-подключение установлено, вы можете использовать RDP (или удаленный PowerShell, или SSH, или любой другой способ, который вы хотите использовать) на любой из виртуальных машин в виртуальной сети Azure. Конечно, когда вы подключаетесь к виртуальным машинам через RDP после установления VPN-подключения, вам нужно будет снова пройти аутентификацию.

Конечно, необходимость дважды аутентифицироваться более безопасна, чем необходимость аутентифицироваться один раз. Но реальное преимущество безопасности заключается в том, что вы используете два разных репозитория проверки подлинности (или, по крайней мере, учетных записей) для двух событий проверки подлинности. Вы создаете подключение «точка-сайт», используя учетные записи, которые используете для подключения к порталу Azure, а затем подключаетесь к виртуальным машинам, используя либо локальные учетные записи на виртуальных машинах, либо учетные данные домена (если вы решили расширить свой домен в Azure, или если вы создали новую Active Directory в Azure).

Обратите внимание, что существуют сценарии, в которых вы объединяете учетные данные, которые можно использовать как для доступа к порталу Azure, так и для подключения к виртуальным машинам, но я не хочу, чтобы на данном этапе это было слишком сложно.

Дополнительные сведения о подключениях типа "точка-сайт" к Azure см. по этой ссылке.

Резюме

Во второй части этой серии мы начали более подробное обсуждение сетевых технологий, которые можно использовать при планировании и проектировании гибридной ИТ-среды. Мы начали с обсуждения сетей VPN типа «сеть-сеть» и того, как их можно использовать для подключения локальной сети к виртуальной сети Azure. Затем мы перешли к VPN-подключениям к сайту, которые на самом деле являются клиентскими подключениями VPN с удаленным доступом, которые используют SSTP для своего протокола VPN. В части 3 этой серии мы рассмотрим другие сетевые технологии Azure из списка. Имейте в виду, что Azure находится в стадии разработки, и то, о чем мы говорим сегодня, могло измениться со временем. Всегда посещайте сайт www.azure.com для получения самой последней информации.

  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 3)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 4)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 5)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 6)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 7)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 8)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 9)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 10)
Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023