Microsoft Azure — сетевая операционная система будущего, сегодня (часть 3) — многосайтовая VPN и подключение между виртуальными сетями

Опубликовано: 8 Марта, 2023
Microsoft Azure — сетевая операционная система будущего, сегодня (часть 3) — многосайтовая VPN и подключение между виртуальными сетями

  • Microsoft Azure — сетевая операционная система будущего, сегодня (часть 2) — выделенное подключение к глобальной сети с помощью ExpressRoute
  • Microsoft Azure — сетевая операционная система будущего, сегодня (часть 4) — многосайтовая VPN и подключение между виртуальными сетями

Введение

Во второй части этой серии мы говорили о том, как можно использовать ExpressRoute для создания выделенного канала глобальной сети между вашей корпоративной сетью и виртуальной сетью Azure. ExpressRoute — отличный выбор для крупных предприятий, которым требуется очень высокая производительность и максимально возможное время безотказной работы. Конечно, с такой сверхвысокой производительностью и временем безотказной работы приходится изрядно платить. Но если вам это нужно и вы можете создать привлекательное экономическое обоснование для ExpressRoute, то это определенно то, что вам нужно.

Что делать, если вам не нужны или вы не можете позволить себе производительность, время безотказной работы и стоимость, присущие ExpressRoute? Что делать, если вы хотите расширить свой локальный центр обработки данных до общедоступного облака? Существует ряд причин, по которым вы можете захотеть сделать это, не разоряя банк с помощью ExpressRoute. Мы упоминали некоторые из этих причин ранее, например, использование преимуществ эластичности поставщика общедоступного облака, когда вы можете получить необходимые ресурсы, когда они вам нужны, а затем высвободить их, когда они вам больше не нужны. Или, может быть, вы просто хотите использовать поставщика общедоступного облака для размещения виртуального центра обработки данных, где вы можете размещать ресурсы, на которые можно опереться в случае аварии.

Альтернатива ExpressRoute

Каковы бы ни были ваши причины, хорошая новость заключается в том, что существует альтернатива ExpressRoute. Такой альтернативой является VPN типа «сеть-сеть». Возможности Microsoft site-to-site VPN прошли долгий путь со времен Windows 2000 Server. На самом деле, мы прошли такой долгий путь, что Azure теперь предоставляет вам сервер RRAS для подключения локального VPN-шлюза для создания VPN-подключения типа «сеть-сеть».

Большинство из вас, вероятно, уже знают, что такое VPN типа «сеть-сеть», но напомню, что VPN-сеть — это виртуальная глобальная связь между вашим локальным центром обработки данных и центром обработки данных в другом месте. Это похоже на подключение удаленного доступа к VPN-клиенту, но с одним большим отличием. Клиентское соединение удаленного доступа VPN подключает один компьютер к сети через Интернет. Почти все мы в тот или иной момент использовали клиентские VPN-подключения удаленного доступа для подключения с наших домашних компьютеров или мобильных устройств к нашим рабочим сетям.

Большая разница между клиентским VPN-подключением удаленного доступа и VPN-подключением типа «сеть-сеть» заключается в том, что вместо подключения одного клиентского компьютера к сети VPN-подключение «сеть-сеть» соединяет целые сети друг с другом через виртуальное сетевое соединение.. Это виртуальное сетевое соединение также на практике похоже на выделенный канал WAN, с большой разницей между ними в том, что выделенный канал WAN представляет собой выделенное соединение между вашей корпоративной сетью и другой сетью, а соединение site-to-site представляет собой соединение, которое использует общий Интернет для подключения сайтов.

Azure site-to-site VPN — тогда и сейчас

Azure уже некоторое время поддерживает сети VPN типа "сеть-сеть", поэтому вариант подключения "сеть-сеть" не является чем-то новым. Новым является возможность подключения нескольких сайтов к одной виртуальной сети Azure. В прошлом это было большой проблемой для организаций, у которых было более одного локального сайта.

Проблема с одним сайтом

Представьте, что у вашей компании есть пять местоположений по всему миру, которые вы хотите подключить к виртуальной сети Azure и ресурсам, расположенным в этой виртуальной сети Azure. На одном из сайтов будет размещен VPN-шлюз, соединяющий корпоративную сеть с виртуальной сетью Azure. Тогда возникает вопрос, как другие сайты подключаются к ресурсам в этой виртуальной сети Azure? В идеале они могли бы подключаться через локальный VPN-шлюз site-to-site.

Проблема с этим в прошлом заключалась в том, что виртуальная сеть Azure принимала подключения только от одного межсайтового шлюза. Из-за этого сайты, на которых не размещался корпоративный межсайтовый VPN-шлюз, должны были маршрутизировать любые существующие корпоративные сетевые подключения, чтобы добраться до корпоративного межсайтового VPN-шлюза, чтобы получить доступ к корпоративным ресурсам, которые были недоступны. размещенный в виртуальной сети Azure. Это создает большой объем внутреннего трафика по корпоративным ссылкам, которые должны были направляться непосредственно в виртуальную сеть Azure через Интернет.

Решение для нескольких площадок: что вам нужно знать

С появлением нескольких VPN-подключений типа «сеть-сеть», которым разрешено подключаться к одной виртуальной сети Azure, нам больше не нужно снижать производительность собственной локальной сети. Однако, прежде чем приступать к планированию и последующему проектированию на основе VPN типа «сеть-сеть» в Azure, вам нужно знать несколько вещей и подумать о том, как реализовать эту возможность.

  • Конфигурация VPN с несколькими сайтами может быть выполнена только путем редактирования файла конфигурации сети, который управляет конфигурацией виртуальной сети Azure. Это означает для настройки многосайтовых VPN-подключений, а также это означает, . Кроме того, если вы попытаетесь внести какие-либо изменения в виртуальную сеть Azure на портале, вероятно, ваше многосайтовое VPN-подключение типа "сеть-сеть" станет непригодным для использования. Вы должны знать это перед развертыванием, и, что не менее важно, все, кто может вносить изменения в ваши виртуальные сети, также должны знать об этом.
  • Чтобы использовать многосайтовую VPN-подключение "сеть-сеть", VPN-шлюзы, которые вы используете локально для подключения к виртуальной сети Azure, должны поддерживать динамическую маршрутизацию для VPN-подключения. Что это значит? Как многие говорят об их отношениях на Facebook, это сложно. Если вы проверите эту ссылку, там есть своего рода определение, касающееся VPN-шлюзов с динамической маршрутизацией, но на самом деле оно не дает много информации о реальных различиях. Эта информация из Википедии может дать вам немного больше информации.
  • Вы должны использовать общедоступные IP-адреса для своего локального шлюза. Ой! Мало того, они должны быть общедоступными IPv4-адресами, а это то, чего у нас технически нет. Будет ли это большой проблемой для вас, зависит от ваших политик сетевой безопасности для пограничных устройств. Некоторые организации требуют, чтобы пограничные сетевые устройства были выделены для работы брандмауэра, а шлюзы VPN должны быть размещены за пограничными брандмауэрами. В большинстве случаев это означает, что вам нужно подключиться к вашему VPN-шлюзу через NAT. Если это так, VPN-подключение типа «сеть-сеть» к виртуальной сети Azure вам не подойдет. Однако вы по-прежнему можете размещать общедоступные IPv4-адреса за брандмауэром и использовать маршрут брандмауэра к общедоступному IPv4-адресу VPN-шлюза типа «сеть-сеть». Это возможно в вашей организации имеется избыток публичных адресов.
  • Одна из замечательных особенностей настройки VPN типа «сеть-сеть» с помощью Azure заключается в том, что Microsoft предоставляет огромное количество сценариев настройки, которые можно использовать для настройки локального оборудования. Это отличная экономия времени и денег, потому что, если у вас нет опыта настройки межсайтовой VPN, не проблема! Вы можете найти эти скрипты здесь. Это хорошая новость. Плохая новость заключается в том, что если вы хотите сделать то же самое с многосайтовыми VPN-подключениями, вам не повезло. Вам придется либо иметь собственный опыт работы с вашим VPN-шлюзом, либо нанять кого-то, кто разбирается в вашей модели VPN-шлюза, чтобы настроить для вас многосайтовые VPN-подключения типа «сеть-сеть».
  • Имейте в виду, что многосайтовая конфигурация VPN типа «сеть-сеть» на самом деле является лишь расширением существующей возможности Azure «сеть-сеть VPN». Это означает, что вам нужно быстро освоить базовое предложение Site-to-Site VPN, прежде чем прыгать. Если вы еще этого не сделали, обязательно прочитайте Настройка VPN типа site-to-site на портале управления. статья. Кроме того, не забудьте включить обзор виртуальной сети, потому что он предоставит вам некоторые ключевые соображения, касающиеся выбора устройства (для VPN-шлюза), схем IP-адресации, проблем с разрешением имен и многого другого, которые необходимо решить, прежде чем вы завершите разработку своего сайта. решение на месте.

Вопрос производительности

Теперь я знаю, что некоторые из вас спрашивали о производительности. Мы много говорили о повышенной производительности, которую вы получаете с помощью решения для выделенных каналов WAN ExpressRoute, и это было довольно впечатляюще. Однако я боюсь, что мы не можем предоставить какую-либо точную информацию о характеристиках производительности VPN типа «сеть-сеть». Мы видели некоторые прошлые видеоролики от TechEd, в которых говорилось, что для всех практических целей максимальная скорость, которую вы можете получить в межсайтовой VPN, составляет около 80 Мбит/с. В первую очередь это было связано с тем, что были проблемы с закреплением всего сетевого трафика на одном виртуальном процессоре. Насколько мы понимаем, Windows Server 2012 R2 устраняет эту проблему. Однако мы не знаем, была ли инфраструктура Azure обновлена до Windows Server 2012 R2, и если да, то была ли эта возможность распространена на клиентские развертывания. Когда эта информация станет доступной, мы обязательно сообщим ее вам.

Резюме

В этой статье мы переместили наше внимание с выделенного канала глобальной сети на виртуальный канал глобальной сети. Если вы не хотите нести расходы или не нуждаетесь в производительности и надежности выделенного канала глобальной сети, вы можете подключить свою локальную сеть к виртуальной сети Azure с помощью VPN типа «сеть-сеть». рассказал о некоторых вещах, которые вам нужно знать о VPN типа "сеть-сеть", и о проблемах, которые вам необходимо знать и рассмотреть, прежде чем планировать и проектировать VPN типа "сеть-сеть" между вашими локальными сетями и виртуальной сетью Azure.. Спасибо! – Том и Деб.

  • Microsoft Azure — сетевая операционная система будущего, сегодня (часть 2) — выделенное подключение к глобальной сети с помощью ExpressRoute
  • Microsoft Azure — сетевая операционная система будущего, сегодня (часть 4) — многосайтовая VPN и подключение между виртуальными сетями
Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023