Microsoft Azure — сетевая операционная система будущего, сегодня (часть 2) — выделенное подключение к глобальной сети с помощью ExpressRoute

• Microsoft Azure: сетевая операционная система будущего, сегодня (часть 3) — многосайтовая VPN и подключение между виртуальными сетями
• Microsoft Azure — сетевая операционная система будущего, сегодня (часть 4) — многосайтовая VPN и подключение между виртуальными сетями

Введение

В части 1 этой серии мы совершили краткий экскурс в историю сетевых операционных систем (NOS) и представили Windows Azure как новейшую и лучшую из этой длинной линейки, но с большим отличием: именно NOS может управлять сетями. в облако.

Некоторые люди думают об общедоступном облаке, когда слышат этот термин, но для корпоративных ИТ-отделов Windows Azure — это гибридное облако (также известное как гибридная ИТ), где вы можете воспользоваться преимуществами «внешних» ресурсов Windows Azure и заставить их работать. вместе с ресурсами, расположенными в вашей корпоративной сети. В большинстве случаев термин «гибридная ИТ» является более точным выбором слов, поскольку «гибридное облако» предполагает наличие облачной системы в вашей корпоративной сети. Поскольку на данный момент у большинства организаций до сих пор нет частного облака (того, которое полностью реализует пять основных характеристик облачных вычислений), гибридная ИТ является более описательной.

Внедрение гибридных ИТ

Существует несколько способов подключения ресурсов, размещенных в общедоступном облаке Windows Azure, к ресурсам в вашем локальном центре обработки данных (или в частном облаке, если оно у вас действительно есть). Некоторые из них включают:

• Подключение отдельных узлов к виртуальной сети Azure через VPN-подключение удаленного доступа. Это похоже на типичный сценарий VPN-сервера удаленного доступа, но в этом случае Windows Azure предоставляет сервер RRAS, к которому ваши клиентские системы могут подключаться для создания виртуальной частной сети.
• Разрешение HTTP-доступа между локальными ресурсами и ресурсами, размещенными в виртуальной сети Azure. В этом случае между вашей корпоративной сетью и виртуальными сетями Windows Azure нет соединения уровня 2 (или виртуального уровня 2). Скорее, есть только подключение приложений и подключение к сети.
• Подключение целых локальных сетей к виртуальной сети Azure. В этом сценарии вы можете создать VPN-подключение между локальными сетями и одной или несколькими виртуальными сетями Azure. Другим вариантом может быть создание выделенного канала глобальной сети между вашими локальными ресурсами (или ресурсами, размещенными на совместном сайте поставщика сетевых услуг), чтобы поток данных не проходил через общедоступный Интернет.

Наличие выделенного канала глобальной сети между вашими локальными ресурсами и виртуальной сетью Azure дает множество преимуществ. К ним относятся следующие:

• Конфиденциальность. Поскольку ссылка предназначена для вашей организации, существует очень небольшое изменение в том, что кто-то может получить доступ к вашим потокам данных. Чтобы сделать это, злоумышленник должен иметь возможность скомпрометировать средства провайдера или физические каналы, и это не так просто сделать по сравнению с атаками, основанными только на программном обеспечении.
• Производительность. Выделенные каналы WAN могут быть очень быстрыми. Поскольку это соединения уровня 2, они обходят большую часть накладных расходов на обработку, связанных с виртуальными соединениями уровня 2, такими как VPN. Накладные расходы на шифрование и протоколы для VPN и аналогичных технологий сильно влияют на способность даже приблизиться к скорости проводной сети для подключения к сети.
• Надежность. Когда вы используете общедоступные методы подключения к сети, вы всегда зависите от сетевых условий в любом месте между вашим локальным местоположением и пунктом назначения. Иногда интернет быстрый, а иногда не очень. При использовании выделенных каналов WAN у вас есть соглашение об уровне обслуживания, гарантирующее определенный уровень пропускной способности, и вы можете быть уверены, что получите этот объем пропускной способности, пока соединение работает. У вас также есть соглашения об уровне обслуживания в отношении времени безотказной работы, что невозможно для общедоступной ссылки, когда сети между источником и получателем находятся вне контроля ни вас, ни поставщика общедоступных облачных услуг.

Однако нет ничего идеального, и у выделенных каналов WAN есть несколько недостатков:

• Стоимость. Вы получаете то, за что платите, и много платите за выделенные каналы WAN. Вы должны быть в состоянии рационализировать стоимость каналов WAN, принимая во внимание ценность, которую они представляют для вашей организации. Вам нужно будет иметь хорошее экономическое обоснование, чтобы оправдать стоимость.
• Сложность. Настройка выделенных каналов WAN не похожа на настройку VPN типа «сеть-сеть». Вы должны тесно сотрудничать со своими сетевыми партнерами и убедиться, что у вас есть все необходимое оборудование и дополнительная информация, настроенная на этом оборудовании. Существуют также некоторые сложные протоколы маршрутизации, такие как BGP, с которыми вам придется иметь дело.

Представляем ExpressRoute

До мая 2014 года единственным способом подключения локальной сети к виртуальной сети Azure было использование VPN типа "сеть-сеть". Хотя это проверенный и надежный способ соединения разрозненных сетей, за это приходится платить в плане накладных расходов на обработку. Из-за этих накладных расходов практический предел пропускной способности для этого соединения варьировался от 80 до 100 Мбит/с. Это может показаться большой пропускной способностью для интернет-службы, но если вы хотите полностью интегрировать свою высокопроизводительную локальную сеть с виртуальной сетью Azure, то 100 Мбит/с совершенно ничтожны. Зачем вам снижать производительность приложений до 100 Мбит/с, если вы точно настроили локальную сеть с использованием современных сетевых стандартов и оборудования со скоростью 10+ Гбит/с?

Конечно, вы бы не стали. Вот почему Microsoft представила ExpressRoute. ExpressRoute — это новая возможность выделенной связи по глобальной сети, которая позволяет подключать локальные сетевые ресурсы к виртуальной сети Azure. Локальные ресурсы могут размещаться действительно локально или совместно с поставщиком Exchange. В последнем случае у вас будет Ethernet-подключение к поставщику Exchange, что позволит вам в полной мере использовать преимущества скорости передачи данных, которые вы заложили в свою локальную сеть.

Как быстро это может произойти? Это зависит от того, подключаетесь ли вы от поставщика сетевых услуг или поставщика услуг Exchange. Если вы подключаетесь от поставщика сетевых услуг, вы будете подключать свою локальную сеть к виртуальной сети Azure. Если вы подключаетесь от поставщика Exchange, у вас будут Ethernet-подключения к сети поставщиков Exchange, или ваши локальные ресурсы будут размещены в сети поставщика Exchange.

Доступные скорости передачи данных:

• Подключение к провайдеру сетевых услуг: 10–1000 Мбит/с (до 1 Гбит/с)
• Провайдеры обмена: 200 Мбит/с-10 Гбит/с

Если вас интересует именно такая производительность и вы можете оправдать затраты, то ExpressRoute может стать вашим билетом на высокопроизводительное гибридное ИТ-развертывание.

Вот несколько интересных фактов об ExpressRoute, которые могут ответить на ваши начальные вопросы о службе.

• Услуга доступна не везде. Вы должны иметь возможность использовать предложения компании, которая сотрудничает с Windows Azure. Вы можете найти их здесь.
• Вы можете использовать ExpressRoute для подключения к хранилищу Azure. Это делает реальной настройку резервного центра обработки данных, который можно использовать для аварийного восстановления и обеспечения непрерывности бизнеса.
• Вы также можете использовать ExpressRoute для подключения ресурсов локального центра обработки данных к базе данных SQL Azure. Высокопроизводительная сеть ExpressRoute с малой задержкой должна поддерживать даже самые ресурсоемкие приложения, привязанные к базе данных.
• Вам по-прежнему придется платить за исходящий трафик центра обработки данных (исходящий из виртуальной сети Azure), как и при использовании VPN типа «сеть-сеть». Объем исходящего трафика центра обработки данных, который вы получаете в месяц, связан с месячной стоимостью услуги, которая связана с приобретенной вами скоростью сети. Если вы превысите это число, с вас будет взиматься дополнительная плата в размере 3,5 цента за гигабайт. Хорошая новость заключается в том, что нет ограничений на объем передаваемых данных, вы можете передавать столько, сколько хотите заплатить.
• Хотя вам нужно платить за трафик, исходящий из виртуальной сети Azure, вам не нужно платить за трафик, поступающий в виртуальную сеть Azure. Это означает, что если вы хотите выполнить резервное копирование 100 ТБ данных из локальной среды в хранилище Azure, с вас не будет взиматься дополнительная плата.
• Убедитесь, что вы знаете, какая скорость передачи вам действительно , прежде чем заказывать услугу. Цены пропорциональны скорости соединения. Подключение со скоростью 200 Мбит/с обойдется вам в 200 долларов в месяц. Если вам нужно 10 Гбит/с (50-кратное соединение со скоростью 200 Мбит/с), вы будете платить в 50 раз больше этих 200 долларов в месяц, что составляет 10 000 долларов в месяц.
• Подключения ExpressRoute являются избыточными и настраиваются с парами перекрестных подключений «активный/активный».
• Виртуальные локальные сети не поддерживаются в вашей виртуальной сети Azure. Просто невозможно учесть архитектуру вашей частной VLAN в общедоступной облачной службе, такой как Windows Azure.
• В большинстве организаций будет несколько виртуальных сетей Azure. Хорошей новостью является то, что вы можете соединить несколько виртуальных сетей Azure через соединение ExpressRoute. Однако все эти виртуальные сети Azure должны быть частью одной подписки.
• Если вы сейчас используете site-to-site или point-to-site (подключение VPN-клиента удаленного доступа через SSTP) для локального подключения к виртуальной сети Azure, вам придется перейти только на ExpressRoute, поскольку вы можете Не используйте эти методы подключения на основе VPN одновременно с ExpressRoute. Тем не менее, неясно, можете ли вы по-прежнему сохранять текущий программный шлюз для поддержки клиентских подключений VPN с удаленным доступом, которые могут использоваться пользователями сайта, когда они находятся за пределами предприятия. Это стоит задать, если вы заинтересованы в ExpressRoute, так как подключения типа "точка-сайт" очень полезны для пользователей, которые подключаются из-за пределов вашей корпоративной сети. Если выяснится, что при использовании ExpressRoute у вас не может быть шлюза "точка-сайт", то вам придется включить VPN-подключение к вашей локальной сети для этих пользователей, чтобы они могли получить доступ к виртуальным сетям Azure из вашей корпоративная сеть.

Резюме

Сеть-сеть и клиентские виртуальные частные сети удаленного доступа, которые проходят через общедоступный Интернет, подходят, если у вас скромные требования. Но если вы хотите в полной мере реализовать преимущества гибридных ИТ, вам потребуется доступ к выделенному каналу глобальной сети. В этом году Microsoft представила ExpressRoute, который позволяет подключать локальные ресурсы к виртуальным сетям Azure по выделенному каналу глобальной сети. ExpressRoute может предоставить вам высокодоступные и высокопроизводительные сетевые решения для подключения ваших гибридных ИТ-ресурсов. Если вы хотите узнать больше об ExpressRoute, посетите страницу Microsoft ExpressRoute.

ExpressRoute — это лишь одна из многих новых функций Azure, которые делают ее сетевой операционной системой будущего, доступной вам уже сегодня. В части 3 мы расскажем вам больше об этих замечательных новых технологиях.

• Microsoft Azure: сетевая операционная система будущего, сегодня (часть 3) — многосайтовая VPN и подключение между виртуальными сетями
• Microsoft Azure — сетевая операционная система будущего, сегодня (часть 4) — многосайтовая VPN и подключение между виртуальными сетями