Гибридная сетевая инфраструктура в Microsoft Azure (часть 3)

Опубликовано: 7 Марта, 2023
Гибридная сетевая инфраструктура в Microsoft Azure (часть 3)

  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 1)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 2)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 3)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 5)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 6)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 7)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 8)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 9)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 10)

Введение

Том и Деб Шиндер

В части 1 этой серии статей Деб начала обсуждение гибридной сетевой инфраструктуры с некоторых мыслей о гибридных облаках, а затем рассказала о некоторых сетевых функциях, которые вы получаете при переходе на службы инфраструктуры Azure. Также было введение в схему эталонной архитектуры расширения центра обработки данных, которую Том составил вместе с Джимом Дайалом и несколькими другими людьми из Microsoft. Во второй части серии Том присоединился к нам в качестве соавтора, и мы рассмотрели VPN-подключения между сайтами и VPN-подключения между сайтами.

Мы продолжим обсуждение, проработав список сетевых возможностей, доступных в Azure на момент написания этой статьи. Напомню, вот этот список:

  • VPN между сайтами
  • Укажите на сайт VPN
  • Выделенные каналы WAN
  • Виртуальные сетевые шлюзы
  • Виртуальные сети Azure
  • Межвиртуальная сетевая связь
  • Внешние балансировщики нагрузки
  • Внутренние балансировщики нагрузки
  • Группы сетевой безопасности
  • ACL виртуальной машины
  • Сторонние прокси-брандмауэры
  • Двойной дом
  • Выделенные общедоступные IP-адреса
  • Статические IP-адреса на виртуальных машинах
  • Публичные адреса на виртуальных машинах
  • DNS

Выделенные каналы глобальной сети (ExpressRoute)

Существует несколько способов подключения локальной сети к виртуальной сети Azure. Как обсуждалось во второй части этой серии, одним из таких вариантов является VPN типа «сеть-сеть». С другой стороны, межсайтовые VPN дешевы. С другой стороны, они увеличивают свою пропускную способность на уровне около 200 Мбит/с для высокопроизводительного VPN-соединения между сайтами и 100 Мбит/с для не-премиум-версии.

Виртуальные частные сети типа «сеть-сеть» полезны, если вы предполагаете, что между локальной сетью и виртуальной сетью Azure будет перемещаться лишь умеренный объем трафика. Они могут быть полезны, если вы хотите использовать подключение только для управления трафиком или для управления и малоиспользуемых локальных служб. Однако если вы планируете фактически расширить локальную инфраструктуру до Azure, вам понадобится гораздо большая пропускная способность (и надежность).

Подумайте об этом: вы потратили годы, а то и десятилетия на тонкую настройку и оптимизацию локальных сетей. У вас есть магистрали 10-40-100 Гбит/с, а задержка сведена к абсолютному минимуму. Теперь вы хотите расширить локальную сеть до облака. Вы действительно собираетесь получить много пользы от жалкого соединения со скоростью 200 Мбит/с для тяжелых рабочих нагрузок уровня 1?

Очевидно нет. Но у Microsoft есть очень хорошее решение для вас, и оно называется ExpressRoute. ExpressRoute — это выделенный канал глобальной сети, который можно использовать для обеспечения высокой производительности и надежности. Как и любой другой выделенный канал глобальной сети, вы получаете выделенный канал между локальной сетью и виртуальной сетью Azure. Таким образом, в дополнение к преимуществам в производительности и надежности по сравнению с VPN между сайтами, вы также получаете большую безопасность, поскольку ваши сообщения не передаются через Интернет.

Параметры ExpressRoute

ExpressRoute предлагает два немного разных метода подключения к виртуальной сети Azure.

  • Провайдер обмена
  • Поставщик сетевых услуг

Провайдеры Exchange предоставят вам самую высокую пропускную способность, предлагая варианты пропускной способности от 200 Мбит/с (бла) до 10 Гбит/с (ух!). Конечно, как и во всем, что связано с облаком, чем больше вы используете, тем больше платите. Вы будете платить намного больше за соединение 10 Гбит/с, чем за соединение 200 Мбит/с.

Обратите внимание, что при использовании поставщика Exchange вы не подключаете локальную сеть напрямую к виртуальной сети Azure. Что вы на самом деле делаете, так это подключаете свою сеть к сети поставщика Exchange, а затем оттуда вы можете маршрутизироваться к виртуальной сети Azure.

Поставщики сетевых услуг позволяют подключаться к виртуальной сети Azure с помощью MPLS (многопротокольное переключение по меткам). По этой причине вы не получите пропускную способность, которую вы можете получить от решений Exchange Provider (Exchange Providers достигает максимальной скорости 1 Гбит/с), но и платить вам не придется.

Имейте в виду, что решение об использовании поставщика Exchange или поставщика сетевых услуг будет основываться на ваших требованиях к безопасности, производительности и надежности. Еще одно важное соображение относительно того, какой вариант выбрать, будет зависеть от доступности. В зависимости от вашего местоположения вам может быть доступен только один вариант.

Дополнительные сведения об ExpressRoute см. по этой ссылке.

Виртуальные сетевые шлюзы

Когда вы подключаете локальную сеть к виртуальной сети Azure, вы всегда создаете маршрутизируемое подключение. В этом нет ничего нового, так как многие из вас уже используют хостинг-провайдеров и таким же образом подключаются к сети провайдера. Чтобы установить это маршрутизируемое соединение, вам понадобится маршрутизатор. Точно так же Azure также нужен маршрутизатор для подключения к вашему маршрутизатору.

Здесь на помощь приходит шлюз виртуальной сети Azure. Не все «шлюзы» являются маршрутизаторами (шлюз — это общий термин, используемый для обозначения многих различных возможностей в ИТ, обычно относящихся к любому сетевому устройству, которое взаимодействует с другой сетью). Однако в случае виртуального шлюза Azure это маршрутизатор. Шлюз виртуальной сети поддерживает как VPN-соединения между сайтами, так и ExpressRoute. Однако если у вас есть ExpressRoute, вы не сможете использовать виртуальные частные сети типа "сеть-сеть" с базовым шлюзом (не то, чтобы вы этого хотели, потому что ваше соединение ExpressRoute намного быстрее и надежнее).

Существует три типа шлюзов, из которых вы можете выбрать:

  • Базовый. При использовании базового шлюза вам придется выбирать между VPN-подключением типа site-to-site или ExpressRoute. Пропускная способность VPN достигает 100 Мбит/с, а ExpressRoute — до 500 Мбит/с.
  • Стандарт. С помощью стандартного шлюза вы можете совместить VPN-подключение и подключение ExpressRoute. В этом случае вы можете получить скорость до 1 Гбит/с при подключении к ExpressRoute, но максимальная скорость VPN по-прежнему составляет 100 Мбит/с.
  • Производительность. Шлюз Performance обеспечивает пропускную способность ExpressRoute до 2 Гбит/с и пропускную способность VPN до 200 Мбит/с.

Теперь вы можете спросить себя: «Эй, я думал, что смогу получить до 10 Гбит/с по моему соединению ExpressRoute, так что же не так с этими маленькими 2 Гбит/с?» Мои ответы были бы такими: 1) я бы не назвал 2 Гбит/с piddley:), и 2) это отображает максимальную скорость для соединений поставщика сетевых услуг, которые используют MPLS, технологию инкапсуляции VPN. Я предполагаю, что поддержка 2 Гбит/с предусмотрена для обеспечения отказоустойчивости, поскольку поддержка соединения MPLS ограничена 1 Гбит/с.

Рекомендации по настройке шлюза

Конфигурация шлюза не для робких. Сеть-сеть VPN использует туннельный режим IPsec, и вы должны убедиться, что все ваши параметры IPsec (такие как версия IKE, алгоритм хеширования, SA, PFS и т. д.) настроены правильно. Что касается настройки ExpressRoute, вам нужно будет работать с вашим провайдером, чтобы получить необходимую информацию, поэтому настройка, хотя и может быть сложной, не будет большой проблемой. Кроме того, это то, что вы захотите передать своим сетевым людям.

Если вы выберете VPN-соединение между сайтами, вам следует подумать о совместимости между вашим локальным VPN-шлюзом и Виртуальным шлюзом Azure. В свое время у команды Azure был список так называемых «поддерживаемых шлюзов», что означало, что если вашего шлюза нет в списке, значит, он не поддерживается. Со временем формулировка немного изменилась, и теперь есть список известных «совместимых» шлюзовых устройств. В этот список входят шлюзы, протестированные корпорацией Майкрософт и работающие.

Вы можете узнать больше о виртуальных шлюзах Azure и VPN-шлюзах, которые в настоящее время работают, здесь.

Прежде чем завершить обсуждение VPN-шлюзов, мы хотели ответить на вопрос, о котором вы могли подумать. Этот вопрос звучит так: «Как мне протестировать VPN-подключение между сайтами? Я не хочу вызывать своих сетевых парней только для того, чтобы провести какое-то базовое тестирование, но у меня нет мега-оборудования, которое, похоже, мне нужно использовать. Есть помощь?

Да! Это распространенный вопрос, и решение заключается в использовании службы маршрутизации и удаленного доступа Windows Server. Вы можете использовать RRAS в Windows Server 2012 и более поздних версиях для подключения к виртуальному шлюзу Azure. Для получения дополнительной информации о том, как это сделать, перейдите по этой ссылке.

Резюме

В этой статье мы рассмотрели Azure ExpressRoute и виртуальные шлюзы Azure. Azure ExpressRoute — это выделенная ссылка на глобальную сеть, которую можно использовать вместо VPN типа «сеть-сеть» для подключения локальной сети к виртуальной сети Azure. Учитывая, что это выделенный канал, вы получаете преимущества производительности, надежности и безопасности от выделенного канала. Виртуальные шлюзы Azure позволяют подключить локальный сайт к виртуальной сети Azure, используя один или оба сайта для VPN сайта или ExpressRoute. Эти шлюзы представляют собой маршрутизируемые соединения между вашим сайтом и Azure. При использовании VPN-соединений между сайтами помните о списке VPN-шлюзов, которые, как известно, работают; это может избавить вас от многих горя. Если вы используете ExpressRoute, вы будете работать со своим поставщиком, чтобы определить подходящее оборудование и конфигурацию этого оборудования.

В следующий раз, в части 4, мы перейдем к более подробному обсуждению виртуальных сетей Azure.

  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 1)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 2)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 3)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 5)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 6)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 7)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 8)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 9)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 10)
Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023