Гибридная сетевая инфраструктура в Microsoft Azure (часть 4)

Опубликовано: 7 Марта, 2023
Гибридная сетевая инфраструктура в Microsoft Azure (часть 4)

  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 1)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 2)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 3)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 5)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 6)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 7)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 8)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 9)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 10)

Введение

В части 1 этой серии статей Деб начала обсуждение гибридной сетевой инфраструктуры с некоторых мыслей о гибридных облаках, а затем рассказала о некоторых сетевых функциях, которые вы получаете при переходе на службы инфраструктуры Azure. Также было представлено введение в схему эталонной архитектуры расширения центра обработки данных, которую Том составил вместе с Джимом Дайалом и несколькими другими людьми из Microsoft. Во второй части серии Том присоединился к нам в качестве соавтора, и мы рассмотрели VPN-подключения между сайтами и VPN-подключения между сайтами. В части 3 мы рассмотрели выделенную службу подключения к глобальной сети Azure, которая носит название ExpressRoute, а также обсудили виртуальный шлюз Azure, который расположен на краю вашей виртуальной сети Azure и позволяет вам подключаться к вашей локальной сети. локальной сети в виртуальную сеть Azure.

Мы продолжим обсуждение, проработав список сетевых возможностей, доступных в Azure на момент написания этой статьи:

  • VPN между сайтами
  • Укажите на сайт VPN
  • Выделенные каналы WAN
  • Виртуальные сетевые шлюзы
  • Виртуальные сети Azure
  • Подключение к виртуальной сети
  • Внешние балансировщики нагрузки
  • Внутренние балансировщики нагрузки
  • Группы безопасности сети
  • ACL виртуальной машины
  • Сторонние прокси-брандмауэры
  • Двойной дом
  • Выделенные общедоступные IP-адреса
  • Статические IP-адреса на виртуальных машинах
  • Публичные адреса на виртуальных машинах
  • DNS

Следующая остановка — виртуальные сети Azure.

Виртуальные сети Azure

Мы часто упоминали виртуальные сети Azure в первых трех частях этой серии статей, но не представили их должным образом, поэтому начнем с исправления этого. Виртуальная сеть Azure очень похожа на сети, которые вы создаете с помощью Hyper-V или любой другой платформы виртуализации. Например, когда вы создаете виртуальный коммутатор в Hyper-V, вы, по сути, создаете виртуальную сеть. Он работает почти так же (с функциональной точки зрения) с виртуальными сетями Azure.

До сих пор для целей статей я предполагал, что у вас будет виртуальная сеть Azure, поскольку мы говорили о гибридных сценариях, таких как описанный на схеме эталонной архитектуры расширения центра обработки данных. По крайней мере одна виртуальная сеть Azure требуется, если вы собираетесь подключить локальный центр обработки данных к ресурсам Azure, независимо от того, основаны ли эти ресурсы на инфраструктуре как услуге (IaaS) или платформе как услуге (PaaS). Обратите внимание, что вы можете создать «гибридное» подключение к Office 365 с помощью ExpressRoute, но в документации неясно, требуется ли для этого виртуальная сеть Azure. Нам не удалось узнать подробности об этом, но для целей нашего текущего обсуждения это не имеет значения, поскольку мы говорим о расширении сети гибридного центра обработки данных в Azure.

Автономные виртуальные машины

При этом вам не нужно создавать виртуальную сеть Azure для запуска виртуальных машин в службах инфраструктуры Azure. Вы можете создавать то, что иногда называют «автономными» виртуальными машинами. Это виртуальные машины, которых нет в виртуальной сети Azure. Они существуют в сетевой структуре Azure, но не в виртуальной сети Azure.

Если вы создадите виртуальную машину в службах инфраструктуры Azure и не подключите ее к виртуальной сети Azure, то она сможет взаимодействовать с другими устройствами только через Интернет. Другими словами, единственное сетевое соединение, которое будет иметь эта автономная виртуальная машина, — это подключение к Интернету. В этом сценарии, если у вас есть вторая автономная виртуальная машина в службах инфраструктуры Azure, единственный способ, которым эти две виртуальные машины могут взаимодействовать друг с другом, — это подключение друг к другу через Интернет. По сути, они «зацикливаются» через Интернет, чтобы связаться друг с другом, вместо того, чтобы общаться напрямую через сетевую структуру Azure.

Преимущество создания виртуальной сети Azure

В сценарии расширения центра обработки данных, подобном тому, который мы здесь рассматриваем, автономные виртуальные машины не очень полезны. Мы хотим расширить наш центр обработки данных, что означает размещение большого количества виртуальных машин в Azure. Мы хотим, чтобы эти виртуальные машины могли взаимодействовать друг с другом через сетевую структуру Azure, и мы хотим, чтобы эти виртуальные машины (по крайней мере, некоторые из них) могли взаимодействовать с ресурсами в локальной сети.

Для этого потребуется виртуальная сеть Azure. С помощью виртуальной сети Azure мы можем:

  • Создайте подключение между локальной сетью и виртуальной сетью Azure с помощью VPN типа "сеть-сеть" или ExpressRoute.
  • Обеспечьте прямую связь между виртуальными машинами, расположенными в одной виртуальной сети Azure, без необходимости их подключения друг к другу через Интернет.
  • Воспользуйтесь преимуществами встроенных служб DNS, поставляемых с виртуальной сетью Azure, чтобы виртуальные машины могли обращаться друг к другу по имени.
  • Соедините несколько виртуальных сетей Azure друг с другом, используя виртуальные частные сети типа "сеть-сеть", которые проходят через структуру сети Azure, а не через Интернет.
  • Изолируйте виртуальные машины от других виртуальных машин, размещенных в Azure, а также изолируйте их от Интернета.
  • Разрешить входящий доступ из Интернета к выбранным виртуальным машинам.
  • Настройте принудительное туннелирование на виртуальных машинах в виртуальной сети Azure, чтобы они не могли инициировать исходящие подключения к Интернету.
  • Подключения балансировки нагрузки к виртуальным машинам, расположенным в виртуальной сети Azure; входящие подключения из Интернета могут быть сбалансированы по нагрузке, а также подключения от других виртуальных машин в виртуальной сети Azure. Кроме того, подключения из локальной сети к виртуальным машинам в виртуальной сети Azure могут быть сбалансированы по нагрузке.
  • Обеспечьте контроль доступа к сети либо в подсети (я немного расскажу об этом), либо в виртуальной машине.
  • Воспользуйтесь преимуществами динамической (DHCP) адресации виртуальных машин или статической IP-адресации (включая поддержку использования общедоступных IP-адресов в виртуальной сети Azure).
  • Добавьте многосетевые сетевые устройства, которые могут выполнять различные функции, такие как брандмауэр, IDS/IPS и прокси.
  • И многое другое!

Имейте в виду, что Microsoft Azure быстро растет, и что этот набор функций определенно будет расширяться со временем, а изменения и дополнения будут появляться часто. Таким образом, вы должны периодически проверять эту ссылку, чтобы узнавать, когда новые функции и возможности добавляются в виртуальные сети Azure.

Как работают виртуальные сети Azure

Виртуальные сети Azure взаимодействуют с сетевой структурой Azure аналогично тому, как виртуальные сети, используемые в Hyper-V, взаимодействуют с локальной сетевой структурой. Однако есть небольшая разница. Когда вы создаете виртуальные коммутаторы в Hyper-V, вы обычно считаете, что все машины, подключенные к этому виртуальному коммутатору, находятся в одном домене коллизий, и, следовательно, все машины будут находиться в одной подсети (как определено по их сетевому идентификатору).

В виртуальной сети Azure вам не предоставляется понятие виртуального коммутатора. Причина этого в том, что вы являетесь потребителем облачных услуг, и поэтому детали того, как инфраструктура обслуживает необходимые вам возможности, не должны вас беспокоить. Фактически это лежит в основе облачных вычислений: инфраструктура должна быть прозрачна для заказчика/пользователя. Каждую создаваемую вами виртуальную сеть Azure (а вы можете создавать сколько угодно) можно сравнить с отдельными коммутаторами Hyper-V. Все машины в одной виртуальной сети Azure могут взаимодействовать друг с другом (если вы этого хотите), и все машины, подключенные к одному коммутатору Hyper-V, также могут взаимодействовать друг с другом.

При создании новой виртуальной сети Azure вам будет предложено указать диапазон RFC 1918 (частный адрес), из которого могут быть назначены IP-адреса. Вам также будет предложено создать доступные вам подсети в одной из сетей класса A, B или C (хотя вы можете и должны использовать сеть CIDR). Вы можете создать столько подсетей, сколько захотите.

Адресация обрабатывается автоматически, а адреса шлюзов автоматически назначаются виртуальным машинам в каждой подсети. Azure обрабатывает записи таблицы маршрутизации для всех подсетей, которые находятся в вашей виртуальной сети Azure. Конечно, если вы хотите использовать статическую IP-адресацию, вам нужно будет проверить информацию таблицы маршрутизации либо на виртуальной машине, использующей DHCP, либо запросив систему.

В прошлом эти записи таблицы маршрутизации были не очень гибкими, но последние обновления позволяют создавать настраиваемые пользовательские маршруты, которые будут поддерживать запуск виртуальных устройств, расположенных между подсетями.

Резюме

В этом. В части 4 этой статьи, состоящей из нескольких частей, мы сосредоточились на виртуальных сетях Azure и рассмотрели некоторые преимущества, которые вы получаете при создании виртуальной сети Azure, а также то, что происходит, когда вы не создаете виртуальную сеть Azure. В следующей части, части 5, мы более подробно рассмотрим виртуальные сети Azure, а затем перейдем к следующей теме в нашем списке. Тогда увидимся!

  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 1)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 2)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 3)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 5)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 6)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 7)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 8)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 9)
  • Гибридная сетевая инфраструктура в Microsoft Azure (часть 10)