Планирование гибридной ИТ-инфраструктуры с использованием инфраструктурных служб Windows Azure (часть 2)

Опубликовано: 8 Марта, 2023
Планирование гибридной ИТ-инфраструктуры с использованием инфраструктурных служб Windows Azure (часть 2)

Введение

В первой части этой серии мы говорили о феномене гибридных ИТ, гибридном облаке и преимуществах гибридизации. Затем мы рассмотрели вопросы, которые вы можете задать, чтобы направлять процесс планирования и проектирования, а также шаги, связанные с этим процессом. На этот раз мы сосредоточимся на службах инфраструктуры Windows Azure и виртуальных сетях Azure.

Преимущества служб инфраструктуры Windows Azure

Как мы отмечали в части 1, службы инфраструктуры Windows Azure позволяют легко размещать виртуальные машины в облаке Windows Azure таким же образом, как вы устанавливаете виртуальные машины в собственной корпоративной сети. Я немного рассказывал о службах инфраструктуры Azure в информационном бюллетене ISAServer.org за март, поэтому, если вы его читаете, вы знаете, что я в восторге от этого нового предложения Microsoft.

Цель служб инфраструктуры Azure — предоставить вам возможность перемещать некоторые или все виртуальные машины, которые вы сейчас запускаете локально, в службы инфраструктуры Azure в облаке. Обоснование этого заключается в том, что, поскольку Windows Azure настолько велика, вы можете извлечь выгоду из эффекта масштаба, чтобы вы могли фактически запускать свою ИТ-инфраструктуру с меньшими затратами в Azure Infrastructure Services, чем в локальной среде.

Это может оказаться правдой, а может и не оказаться правдой в вашем конкретном случае, но одно можно сказать наверняка: если вы сейчас используете виртуализированную инфраструктуру, есть большая вероятность, что вы когда-нибудь будете использовать поставщика услуг общедоступной облачной инфраструктуры. в будущем. Есть ряд причин, по которым вы можете подумать об этом. Какой поставщик вы выберете, будет основан на функциях и возможностях, которые вам нужны. Поставщики инфраструктуры как услуги различаются по тому, что они предлагают в отношении сетевых услуг, хранилищ и вычислительных услуг, а также по гарантиям безотказной работы и предложениям по производительности. Чтобы принять наилучшее решение для вашей организации, вам необходимо заранее определить, что вам нужно, а затем сравнить свои требования с тем, что может предложить каждый из различных поставщиков.

Компоненты служб инфраструктуры Windows Azure

Службы инфраструктуры Azure можно рассматривать как сочетание виртуальных сетей Azure и виртуальных машин Azure. Вы можете поместить виртуальные машины в виртуальную сеть Azure, и эти виртуальные машины смогут взаимодействовать друг с другом и с другими сетевыми объектами.

В некотором смысле вы можете думать о виртуальной сети Azure как о виртуальном коммутаторе Hyper-V. Исключением является то, что виртуальные сети Azure страдают от истории PaaS Windows Azure в том смысле, что если две виртуальные машины находятся в одной виртуальной сети Azure, но являются частью разных «облачных служб», то они не смогут взаимодействовать друг с другом.. Я надеюсь, что это будет исправлено в будущем, потому что это совершенно неинтуитивно и, вероятно, сведет с ума многих потенциальных клиентов.

Все о виртуальных сетях Azure

Если вы новичок в Windows Azure, вам необходимо знать несколько ключевых моментов о виртуальных сетях Azure.

  • При создании виртуальной сети Azure необходимо использовать схему частной IP-адресации. Вы не можете использовать общедоступные IP-адреса. Кроме того, вам необходимо убедиться, что вы не используете адреса, которые используются в вашей частной сети, поскольку вы можете захотеть подключить свою частную сеть к виртуальной сети Azure. Если у вас есть перекрывающиеся IP-адреса, вы не сможете этого сделать.
  • Вы можете подключить свою корпоративную сеть к одной или нескольким виртуальным сетям Azure. Для этого вы создаете VPN-соединение типа «сеть-сеть» между вашей сетью и виртуальной сетью Azure. Если у вас есть несколько виртуальных сетей Azure, вы можете подключить свою корпоративную сеть ко всем из них. Однако если у вас есть несколько корпоративных точек присутствия, одна виртуальная сеть Azure может подключаться только к одной из них.
  • Виртуальная сеть Azure не поддерживает протоколы высокой доступности, такие как BGP, и не поддерживает NLB для локального VPN-шлюза. Если вам нужна высокая доступность, вам придется использовать какой-то другой метод, например, холодный резерв, который может раскрутиться в случае выхода из строя основного VPN-шлюза.

VPN-подключение типа "сеть-сеть" между локальной сетью и виртуальной сетью Azure создается путем установления подключения в режиме туннеля IPsec. Обратите внимание, что Microsoft поддерживает только определенные локальные шлюзы VPN. Хорошей новостью является то, что если у вас нет поддерживаемого устройства, вы можете использовать Windows Server 2012 RRAS для создания VPN-подключения между сайтами, и это считается поддерживаемым устройством. Из других хороших новостей Microsoft предоставляет сценарии настройки, которые можно использовать для настройки локального VPN-шлюза. Плохая новость заключается в том, что сценарии не настроены заранее на основе того, что Azure знает о вашей сети — вам придется редактировать сценарии самостоятельно.

Виртуальным машинам в виртуальной сети Azure назначаются IP-адреса через DHCP. Вы не можете настроить любую виртуальную машину в виртуальной сети Azure со статическим IP-адресом. Если вы сделаете это, вы не сможете подключиться к этой виртуальной машине, потому что система виртуальной сети Azure обнаружит это устройство как «неизвестное» и отключит связь.

Хотя виртуальные машины в виртуальной сети Azure получают информацию об IP-адресах через DHCP, они сохраняют свои IP-адреса в течение всего срока службы виртуальной машины. Единственным исключением является случай, когда виртуальная машина проходит так называемое «восстановление службы». Если виртуальная машина вылечена службой, она будет перемещена на другой сервер в центре обработки данных Azure. Если вы создали виртуальную машину через портал Azure, виртуальная машина потеряет свой IP-адрес. Если вы создали виртуальную машину с помощью PowerShell, IP-адрес не будет потерян. Почему это работает именно так? Я не знаю; Я не был посвящен в мысли, которые привели к принятию этого решения.

При создании виртуальной сети Azure вы можете запросить набор IP-адресов, представляющих суммарный идентификатор сети для всех подсетей, которые вы создаете в виртуальной сети Azure. Несмотря на то, что вы можете разделить свой суммарный блок на подсети, между этими подсетями нет маршрутизации, и нет возможности выполнять управление доступом между подсетями (по крайней мере, на уровнях инфраструктуры). Если вы хотите создать какую-то изоляцию между создаваемыми вами подсетями, вам нужно будет использовать что-то вроде IPsec на самих виртуальных машинах, чтобы получить такой контроль доступа к сети.

Примечание:
В будущем могут быть внесены изменения, позволяющие создавать сетевые ACL для разрешения или запрета трафика, но на момент написания этой статьи такие сетевые ACL недоступны.

Разрешение имени

Виртуальная сеть Azure включает некоторые встроенные возможности DNS. Однако они ограничены машинами, которые являются частью одной и той же «облачной службы». Это может сбивать с толку, потому что большинство из нас думают о машинах, подключенных к одному и тому же виртуальному коммутатору, как о способных взаимодействовать друг с другом, и поэтому мы думаем о сети как о разделе для связи. Однако в виртуальных сетях Azure только машины, находящиеся в одной и той же «облачной службе», будут регистрироваться в Azure DNS. Это очень ограниченная функциональность DNS, поскольку она позволяет только виртуальным машинам в одной и той же «облачной службе» разрешать имена друг друга.

Если вы хотите, чтобы виртуальные машины разрешали имена других компьютеров, например, в Интернете или в корпоративной сети, вы можете добавить DNS-серверы в конфигурацию виртуальной сети Azure. Это похоже на настройку параметра DHCP для назначения адреса DNS-сервера. DNS-сервер, который вы назначаете виртуальным машинам, может быть создан в самой виртуальной сети Azure, это может быть DNS-сервер в Интернете или локальный DNS-сервер. Если вы помещаете контроллер домена в виртуальную сеть Azure, убедитесь, что вы также настроили его в качестве DNS-сервера и убедитесь, что вы создали контроллер домена с помощью PowerShell, так как вы не хотите, чтобы его служба была восстановлена и его IP-адрес изменен.

Подключение к виртуальным машинам

Существует несколько способов подключения к виртуальным машинам в виртуальной сети Azure. По умолчанию виртуальная сеть Azure сделает каждую из ваших виртуальных машин «конечной точкой» RDP и откроет входящий порт, на который вы можете использовать RDP. Обратите внимание, что Azure не использует порт RDP по умолчанию. У вас есть возможность отключить конечную точку, если вы не хотите раскрывать миру RDP-подключения ваших виртуальных машин.

Другой способ подключения к виртуальным машинам — это подключение VPN-подключения типа «сеть-сеть» между локальной сетью и виртуальной сетью Azure. Это тот же метод, с помощью которого вы будете подключаться к компьютерам в филиале через RDP-подключение, когда у вас есть VPN типа «сеть-сеть» между главным офисом и филиалом.

Если вы находитесь за пределами корпоративной сети и не хотите использовать VPN в корпоративной сети, вы можете использовать то, что Microsoft называет подключением «точка-сайт», для подключения к виртуальным машинам в виртуальной сети Azure. Это подключение является просто подключением VPN-клиента удаленного доступа SSTP к виртуальной сети Azure. Хотя этот вариант не будет использоваться для подключения локальной инфраструктуры к виртуальной сети Azure, он более безопасен, чем предоставление всему миру RDP-доступа к виртуальным машинам в вашей виртуальной сети Azure.

Терминология

В Azure используется необычная новая терминология, с которой вам необходимо ознакомиться. Например, IP-адрес, который используется для подключения к виртуальным машинам через Интернет, называется VIP (виртуальный IP-адрес). Это общедоступный адрес в сети Azure, который перенаправляет подключения к виртуальным машинам в виртуальной сети Azure. Ах, но вы думали, что VIP — это виртуальный IP-адрес, используемый в решении NLB, не так ли? Ну, это не то же самое в Azure. Я не уверен, почему они назвали его таким именем, но помните, что это не тот VIP, который вы знали раньше, и, насколько я знаю, он не сбалансирован по нагрузке.

Они также использовали термин DIP (я не уверен, что означает буква «D», потому что при поиске «Azure DIP» это может означать «прямой» или «динамический» в зависимости от исходного документа).. Независимо от того, что означает «D», дело в том, что, опять же, это не связано с DIP NLB, который представляет собой выделенный IP-адрес, который не используется членами массива NLB. Azure DIP — это совершенно другое; Azure DIP — это назначенный DHCP IP-адрес, который предоставляется виртуальным машинам в виртуальной сети Azure.

Резюме

Если вы понимаете эти основы виртуальных сетей Azure, у вас будет преимущество в конкурентной борьбе, и вы будете готовы создать виртуальную сеть Azure. В следующей статье этой серии мы сделаем именно это: создадим настоящую виртуальную сеть Azure в Azure! Тогда увидимся. – Деб.