Гибридная сетевая инфраструктура в Microsoft Azure (часть 6)

• Гибридная сетевая инфраструктура в Microsoft Azure (часть 1)
• Гибридная сетевая инфраструктура в Microsoft Azure (часть 2)
• Гибридная сетевая инфраструктура в Microsoft Azure (часть 3)
• Гибридная сетевая инфраструктура в Microsoft Azure (часть 4)
• Гибридная сетевая инфраструктура в Microsoft Azure (часть 5)
• Гибридная сетевая инфраструктура в Microsoft Azure (часть 7)
• Гибридная сетевая инфраструктура в Microsoft Azure (часть 8)
• Гибридная сетевая инфраструктура в Microsoft Azure (часть 9)
• Гибридная сетевая инфраструктура в Microsoft Azure (часть 10)

В части 1 этой серии я начал обсуждение гибридной сетевой инфраструктуры с некоторых мыслей о гибридных облаках, а затем рассказал о некоторых сетевых функциях, которые вы получаете при переходе на службы инфраструктуры Azure. Также было представлено введение в схему эталонной архитектуры расширения центра обработки данных, которую Том составил вместе с Джимом Дайалом и несколькими другими людьми из Microsoft.

Во второй части серии Том присоединился к нам в качестве соавтора, и мы рассмотрели виртуальные частные сети между сайтами и VPN-соединения между сайтами. В части 3 мы рассмотрели выделенную службу подключения к глобальной сети Azure, которая носит название ExpressRoute, а также обсудили виртуальный шлюз Azure, который расположен на краю вашей виртуальной сети Azure и позволяет вам подключаться к вашей локальной сети. локальной сети в виртуальную сеть Azure.

Затем в 4 мы потратили большую часть нашего времени на обсуждение того, что такое виртуальные сети Azure и как они сравниваются с виртуальными сетями, которые мы используем в традиционных локальных установках Hyper-V. В части 5 были более подробно описаны виртуальные сети Azure и некоторые особенности, которые необходимо учитывать.

В прошлом месяце Том перешел на новую должность, что является захватывающей возможностью, но ему требуется больше времени, чтобы набрать скорость, поэтому я вернусь, чтобы закончить эту серию без его сотрудничества (хотя, вероятно, не без его участия).

В этой части 6 я продолжу обсуждение виртуальных сетей Azure, поскольку мы продолжаем работать над нашим списком сетевых возможностей, доступных в Azure на момент написания этой статьи (всегда помня о том, что Azure постоянно меняется, растет и добавляет новые функции):

√ Виртуальные частные сети между сайтами

√ Виртуальные частные сети типа «укажи на сайт»

√ Выделенные каналы WAN

√ Виртуальные сетевые шлюзы

√ Виртуальные сети Azure

> Межвиртуальная сетевая связь

• Внешние балансировщики нагрузки
• Внутренние балансировщики нагрузки
• Группы сетевой безопасности
• ACL виртуальной машины
• Сторонние прокси-брандмауэры
• Двойной дом
• Выделенные общедоступные IP-адреса
• Статические IP-адреса на виртуальных машинах
• Публичные адреса на виртуальных машинах
• DNS

Давайте перейдем вниз по списку и поговорим о подключении между виртуальными сетями и внешней балансировке нагрузки.

Взаимодействие между виртуальными сетями

В последних двух статьях этой серии мы представили концепцию виртуальной сети Azure — что это такое, как вы ее используете и некоторые вещи, о которых вам нужно знать, чтобы избежать проблем при их использовании. Виртуальные сети Azure — это места, где вы будете размещать свои виртуальные машины Azure, когда хотите, чтобы они подключались друг к другу с использованием традиционных сетевых концепций и технологий.

Как и в случае с любыми другими сетями, которые вы можете подключать друг к другу, вы можете подключать виртуальные сети Azure к другим виртуальным сетям Azure. Подключение виртуальных сетей Azure друг к другу похоже на то, как вы можете настроить несколько логических сегментов сети в виртуализированной среде. Например, если вы используете Hyper-V, вы можете создать несколько виртуальных сетей, представляющих разные домены логических коллизий, и создать маршрутизируемое соединение между этими сетями с помощью встроенного сетевого устройства, такого как брандмауэр или маршрутизатор уровня 3. Устройство маршрутизации будет иметь интерфейсы, подключенные к каждой из сетей.

Это не совсем то же самое, когда вы подключаете виртуальные сети Azure друг к другу. Вы не можете использовать многосетевое виртуальное сетевое устройство для подключения к различным виртуальным сетям Azure. Вместо этого вам нужно будет создать VPN-соединения типа «сеть-сеть» между всеми сетями. Для этого вы создаете VPN-шлюз на «грани» каждой из виртуальных сетей Azure, а затем соединяете шлюзы друг с другом. Шлюзы VPN выступают в роли маршрутизатора VPN.

Концепция и практика VPN типа "сеть-сеть" не нова, и использование VPN типа "сеть-сеть" для подключения виртуальных сетей Azure друг к другу очень похоже на любую конфигурацию VPN типа "сеть-сеть", которую вы использовали в мимо. Разница в том, что вам придется делать это с помощью механизмов, специфичных для сетей Azure.

Понимание связей сайта с сайтом

Вот несколько ключевых моментов, которые необходимо знать о подключениях типа «сеть-сеть», которые используются для подключения к виртуальным сетям Azure.

• Туннельный режим IPsec — это протокол VPN, используемый для этих VPN типа «сеть-сеть». Прошли времена PPTP и L2TP/IPsec для VPN-соединений между сайтами.
• Подключаемые виртуальные сети Azure не обязательно должны быть частью одной и той же подписки Azure. вы можете подключить виртуальные сети Azure, принадлежащие разным подпискам.
• Вы можете подключить несколько виртуальных сетей Azure к другим виртуальным сетям Azure. Например, вы можете подключить виртуальную сеть Azure «1» к 10 другим виртуальным сетям Azure, а виртуальную сеть Azure «2» можно подключить к 10 другим виртуальным сетям Azure, которые могут включать виртуальную сеть Azure «1», если тебе нравится.
• Методика, используемая для подключения виртуальных сетей Azure друг к другу, аналогична той, которую вы используете при подключении локальной сети к виртуальной сети Azure. Однако вам не нужно подключать локальную сеть к виртуальной сети Azure, чтобы соединить виртуальные сети Azure друг с другом.
• Поскольку соединение между виртуальными сетями Azure является маршрутизируемым, необходимо убедиться, что вы используете разные идентификаторы сети в каждой из подключенных сетей, поскольку в противном случае маршрутизация не будет работать.
• Вам необходимо учитывать проблемы с пропускной способностью на уровне VPN-шлюза/маршрутизатора. Как и любой другой VPN-шлюз, он имеет ограничения по пропускной способности. Если у вас есть несколько VPN-соединений типа «сеть-сеть» на одном и том же VPN-шлюзе, пропускная способность, которая используется для всех подключений, проходит через этот маршрутизатор и может привести к превышению ограничений шлюза (которые составляют 100 Мбит/с или 200 Мбит/с в зависимости от того, вы используете шлюз по умолчанию или доплачиваете за высокопроизводительный шлюз).

Вы можете узнать больше о подключении между виртуальными сетями и о том, как соединить виртуальные сети друг с другом, перейдя к настройке подключения виртуальной сети к виртуальной сети на веб-сайте Microsoft Azure.

Внешние балансировщики нагрузки

В Azure есть два типа балансировщиков нагрузки: внутренние балансировщики нагрузки и внешние балансировщики нагрузки. Внешние балансировщики нагрузки также называются «балансировщиками нагрузки, выходящими в Интернет». Подобно балансировщикам нагрузки, которые вы используете локально, вы можете использовать внешние балансировщики нагрузки для балансировки нагрузки входящих подключений из Интернета к виртуальным машинам или облачным службам, содержащимся в Azure.

Внешние балансировщики нагрузки

Внешний балансировщик нагрузки Azure — это балансировщик нагрузки транспортного уровня OSI, поэтому он будет балансировать нагрузку входящих подключений TCP и UDP. Входящие подключения к общедоступному IP-адресу, предоставленному облачной службе или виртуальной машине, будут переадресовываться на частный IP-адрес, который используется виртуальной машиной или облачной службой в сети Azure. Алгоритм балансировки нагрузки использует хэш из 5 кортежей (5 разных значений) для сопоставления трафика с целевыми серверами. Это позволяет перенаправлять соединения для одного и того же сеанса транспортного уровня на один и тот же сервер в сети Azure.

Мониторинг здоровья

Вы также можете воспользоваться мониторингом работоспособности при балансировке нагрузки. Мониторинг работоспособности важен, потому что вы не должны балансировать нагрузку подключений к виртуальным машинам или элементам облачных служб, которые находятся в автономном режиме. Существует три способа мониторинга работоспособности при использовании внешнего балансировщика нагрузки в Azure.

• Зонд гостевого агента — доступен только на виртуальных машинах Azure PaaS (для виртуальных машин Azure IaaS агент работоспособности балансировки нагрузки недоступен). Гостевой агент проверит веб-сайт с помощью HTTP, и если не будет возвращено HTTP 200 OK, он пометит сервер как отключенный и перестанет отправлять на него трафик.
• Пользовательские HTTP-зонды — это еще один вариант, позволяющий программно настраивать ваши зонды с помощью гостевого агента.
• TCP Custom Probes — с этой опцией вы можете использовать любой TCP-порт, который вам нравится, чтобы определить, доступна ли виртуальная машина или служба.

Когда виртуальная машина или служба с балансировкой нагрузки инициирует исходящее подключение, она использует Source NAT с тем же виртуальным IP-адресом, который используется для входящих подключений. Кроме того, он использует преимущества полноконусного NAT для UDP, поэтому входящие подключения могут приниматься с любого внешнего узла в ответ на исходящий запрос от виртуальной машины Azure или облачной службы.

Одна вещь, на которую вы должны обратить внимание, — это исчерпание исходного порта. Это может быть проблемой, если ваша виртуальная машина или облачная служба будут устанавливать много исходящих подключений. Если вы ожидаете такой сценарий, вам следует воспользоваться преимуществами общедоступных IP-адресов уровня экземпляра Azure — функции, которая позволяет назначить выделенный IP-адрес вашей виртуальной машине или службе.

Вы можете узнать больше о внешней балансировке нагрузки, перейдя в статью «Обзор балансировщика нагрузки».

Резюме

В этой шестой части нашей серии, посвященной сети и сетевым службам Azure, мы рассмотрели межсетевое подключение Azure и внешнюю балансировку нагрузки Azure. Вы можете подключать виртуальные сети Azure друг к другу с помощью шлюзов VPN в каждой из виртуальных сетей Azure. Шлюзы VPN действуют как маршрутизаторы VPN и разрешают маршрутизируемые подключения между виртуальными сетями Azure. Обратите внимание, что в отличие от маршрутизации виртуальной сети, которую вы можете выполнять на своей собственной платформе виртуализации в локальной среде, вы не можете использовать многосетевые компьютеры в виртуальной сети Azure для соединения разных виртуальных сетей Azure вместе.

Внешняя балансировка нагрузки Azure позволяет балансировать нагрузку входящих подключений к виртуальным машинам Azure или облачным службам. Алгоритм балансировки нагрузки использует 5-кортеж, чтобы гарантировать, что подключения, являющиеся частью одного и того же сеанса, всегда направляются к одной и той же виртуальной машине или облачной службе в Azure. Исходный NAT используется для динамического сопоставления подключений с новым экземпляром виртуальной машины или облачной службы в случае их недоступности и необходимости переноса на новый экземпляр.

• Гибридная сетевая инфраструктура в Microsoft Azure (часть 1)
• Гибридная сетевая инфраструктура в Microsoft Azure (часть 2)
• Гибридная сетевая инфраструктура в Microsoft Azure (часть 3)
• Гибридная сетевая инфраструктура в Microsoft Azure (часть 4)
• Гибридная сетевая инфраструктура в Microsoft Azure (часть 5)
• Гибридная сетевая инфраструктура в Microsoft Azure (часть 7)
• Гибридная сетевая инфраструктура в Microsoft Azure (часть 8)
• Гибридная сетевая инфраструктура в Microsoft Azure (часть 9)
• Гибридная сетевая инфраструктура в Microsoft Azure (часть 10)