Vad är en virtuell nätverksinstallation för något?

Slutförd

En virtuell nätverksinstallation (NVA) är en virtuell installation som bland annat består av de här lagren:

  • En brandvägg
  • En WAN-optimerare
  • Kontrollanter för programleverans
  • Routrar
  • lastbalanserare
  • IDS/IPS
  • Proxyservrar

Du kan distribuera NVA:er som du väljer mellan leverantörer på Azure Marketplace. Sådana leverantörer inkluderar Cisco, Check Point, Barracuda, Sophos, WatchGuard och SonicWall. Du kan använda en virtuell nätverksinstallation till att filtrera inkommande trafik till ett virtuellt nätverk och blockera skadliga förfrågningar, eller förfrågningar som görs från oväntade resurser.

I exemplet med återförsäljaren måste du samarbeta med säkerhets- och nätverksteamen. Du vill implementera en säker miljö där all inkommande trafik granskas och eventuell obehörig trafik till det interna nätverket blockeras. Du vill också skydda nätverksanvändningen för både virtuella datorer och Azure-tjänster som en del av företagets strategi för nätverkssäkerheten.

Målet är att förhindra att oönskad eller oskyddad nätverkstrafik når viktiga system.

Nätverkssäkerhetsstrategin går ut på att du måste kunna styra trafikflödet i det virtuella nätverket. Du måste också lära dig hur virtuella nätverksinstallationer fungerar och vilka fördelar det innebär att styra trafikflöden i Azure-nätverk med en sådan nätverksinstallation.

Virtuell nätverksinstallation

Virtuella nätverksinstallationer (NVA) är virtuella datorer som styr flödet av nätverkstrafik genom att styra routningen. Du använder dem vanligtvis för att hantera trafik som flödar från en perimeternätverksmiljö till andra nätverk eller undernät.

Diagram över en nätverksarkitektur med en virtuell nätverksinstallation.

Du kan distribuera brandväggar i ett virtuellt nätverk i olika konfigurationer. Du kan placera en brandväggsinstallation i ett perimeternätverksundernät i det virtuella nätverket, eller implementera en mikrosegmenteringsmetod om du vill ha mer kontroll över säkerheten.

Med mikrosegmentering kan du skapa dedikerade undernät för brandväggen och sedan distribuera webbappar och övriga tjänster i andra undernät. All trafik går via brandväggen och inspekteras av de virtuella nätverksinstallationerna. Du aktiverar vidarebefordran på nätverksgränssnitten för virtuella installationer för att skicka trafik som godkänns av lämpligt undernät.

Med mikrosegmentering kan brandväggen inspektera alla paket i OSI-lager 4, och i lager 7 för programmedvetna installationer. När du distribuerar en virtuell nätverksinstallation till Azure fungerar den som en router och vidarebefordrar förfrågningar mellan undernäten i det virtuella nätverket.

Vissa virtuella nätverksinstallationer kräver flera nätverksgränssnitt. Ett nätverksgränssnitt är dedikerat till hanteringsnätverket för installationen. Andra nätverksgränssnitt hanterar och styr trafikbearbetningen. När du har distribuerat den virtuella nätverksinstallationen kan du sedan konfigurera den så att trafiken dirigeras via rätt gränssnitt.

Användardefinierade vägar

I de flesta miljöer är de standardsystemvägar som redan har definierats av Azure tillräckliga för att få igång miljöerna. I vissa fall bör du skapa en routningstabell och lägga till anpassade vägar. Exempel:

  • Åtkomst till Internet via lokalt nätverk med tvingad tunneltrafik
  • Använda virtuella installationer till att styra trafikflödet

Du kan skapa flera routningstabeller i Azure. Varje routningstabell kan associeras med ett eller flera undernät. Ett undernät kan bara associeras med en routningstabell.

Virtuella nätverksinstallationer i en arkitektur med hög tillgänglighet

Om trafiken dirigeras via en virtuell nätverksinstallation blir installationen en kritisk del av infrastrukturen. Eventuella NVA-fel påverkar direkt dina tjänsters förmåga att kommunicera. Därför är det viktigt att bygga in hög tillgänglighet i distributionen av virtuella nätverksinstallationer.

Det finns flera metoder för att uppnå hög tillgänglighet när du använder virtuella nätverksinstallationer. I slutet av den här modulen finns mer information om att använda virtuella nätverksinstallationer i scenarier med hög tillgänglighet.

Kontrollera dina kunskaper

1.

Vilken är den största fördelen med att använda en virtuell nätverksinstallation?

2.

Hur kan du distribuera en virtuell nätverksinstallation?