Departmana özgü gereksinimler için iyileştirilmiş Sanal WAN mimarisi

Azure Virtual WAN
Azure ExpressRoute
Azure Virtual Network

Bu makalede açıklanan mimariyi küresel bir üretim şirketi sağladı. Şirketin operasyonel teknolojisi ve bilgi teknolojisi departmanları yüksek oranda tümleşiktir ve tek bir iç ağ talep eder. Ancak ortamlar önemli ölçüde farklı güvenlik ve performans gereksinimlerine sahiptir. Şirketin işlemlerinin hassas yapısı nedeniyle tüm trafiğin, müşterinin kendi sanal makinelerinde barındırdığı bir ağ sanal gereci (NVA) tarafından korunan bir güvenlik duvarı ve bir Yetkisiz Erişim Algılama ve Koruma Sistemi (IDPS) çözümünün yerinde olması gerekir. Bilgi teknolojisi departmanının ağ için daha az zorlu güvenlik gereksinimleri vardır, ancak bu bölüm performans için iyileştirme yapmak istediğinden kullanıcıların BT uygulamalarına düşük gecikme süreli erişimi olur.

Şirketin karar alıcıları, farklı güvenlik ve performans gereksinimlerine sahip tek bir ağın genel gereksinimlerini karşılamak için Azure Sanal WAN'a yöneldi. Ayrıca kolayca yönetilebilir, dağıtılacak ve ölçeklendirilebilen bir çözüme de sahipler. Bölgeler ekledikçe, ihtiyaçları için yüksek oranda iyileştirilmiş bir ağ ile sorunsuz bir şekilde büyümeye devam edebilirler.

Olası kullanım örnekleri

Bu mimari için tipik kullanım örnekleri şunlardır:

  • İş açısından kritik işler için merkezi bir dosya çözümü gerektiren genel bir kuruluş.
  • Yerelleştirilmiş önbelleğe alınmış dosyalar gerektiren yüksek performanslı dosya iş yükleri.
  • ofis içinde ve dışında bulunan kullanıcılar için esnek bir uzak iş gücü.
  • Şirket içinde barındırılan NVA'ları kullanma gereksinimi.

Mimari

Departmana bağlı olarak güvenlik veya performans için iyileştirilmiş bir mimariyi gösteren diyagram.

Bu mimarinin Visio dosyasını indirin.

Mimarinin özeti aşağıdadır:

  • Kullanıcılar bir daldan sanal ağlara erişer.
  • Azure ExpressRoute, bir bağlantı sağlayıcısının yardımıyla şirket içi ağları özel bir bağlantı üzerinden Microsoft bulutuna genişletir.
  • Sanal WAN hub'ı trafiği güvenlik veya performans için uygun şekilde yönlendirir. Hub, bağlantıyı etkinleştirmek için çeşitli hizmet uç noktaları içerir.
  • Kullanıcı tanımlı yollar gerektiğinde NVA'lara trafiği zorlar.
  • Her NVA, sanal ağa akan trafiği inceler.
  • Sanal ağ eşlemesi, performans için iyileştirilmiş ortamda sanal ağdan sanal ağa inceleme sağlar.

Şirketin birden çok bölgesi var ve modele bölge dağıtmaya devam ediyor. Şirket, yalnızca gerektiğinde güvenlik için iyileştirilmiş veya performans için iyileştirilmiş bir ortam dağıtır. Ortamlar aşağıdaki trafiği ağ sanal gereci (NVA) üzerinden yönlendirir:

Trafik yolları

Hedefler
VNet1 VNet2 VNet3 VNet4 Dal Internet
Güvenlik için iyileştirilmiş kaynak VNet1 VNet İçi NVA1-VNet2 NVA1-hub-VNet3 NVA1-hub-VNet4 NVA1-hub-branch NVA1-internet
Performans için iyileştirilmiş kaynak VNet3 hub-NVA1-VNet1 hub-NVA1-VNet2 VNet İçi NVA2-VNet4 hub-branch NVA2-internet
Dal kaynağı Dal hub-NVA1-VNet1 hub-NVA1-VNet2 hub-VNet3 hub-VNet4 Uygulanamaz Uygulanamaz

Mimari için trafik yollarını gösteren diyagram.

Yukarıdaki diyagramda gösterildiği gibi, bir NVA ve yönlendirme mimarisi, güvenlik için iyileştirilmiş ortamdaki tüm trafik yollarını sanal ağlar ile merkez arasında ortak katmanlı bir mimaride kullanmaya zorlar.

Performans için iyileştirilmiş ortamın daha özelleştirilmiş bir yönlendirme şeması vardır. Bu şema, gerektiğinde bir güvenlik duvarı ve trafik denetimi sağlar. Gerekli olmayan bir güvenlik duvarı sağlamaz. Performans için iyileştirilmiş alanda sanal ağdan sanal ağa trafik NVA2 aracılığıyla zorlanır, ancak daldan sanal ağa trafik doğrudan merkez üzerinden gidebilir. Benzer şekilde, NVA VNet1'de NVA tarafından güvenli ortamın kenarında incelendiği için güvenli ortama giden her şeyin NVA VNet2'ye gitmesi gerekmez. Sonuç olarak dala yüksek hızlı erişim elde edilir. Mimari yine de performans için iyileştirilmiş ortamda sanal ağdan sanal ağa inceleme sağlar. Bu, tüm müşteriler için gerekli değildir, ancak mimaride görebileceğiniz eşlemeler aracılığıyla gerçekleştirilebilir.

Sanal WAN hub'ının ilişkilendirmeleri ve yayılmaları

Sanal WAN hub'ına yönelik yolları aşağıdaki gibi yapılandırın:

Veri Akışı Adı İlişkili olduğu öğe Yayma
NVA VNet1 defaultRouteTable defaultRouteTable
NVA Sanal Ağı2 PerfOptimizedRouteTable defaultRouteTable
VNet3 PerfOptimizedRouteTable defaultRouteTable
VNet4 PerfOptimizedRouteTable defaultRouteTable

Yönlendirme gereksinimleri

  • VNet1 ve VNet2 için tüm trafiği secOptConnection'a yönlendirmek için Sanal WAN hub'ında varsayılan yol tablosundaki özel yol.

    Yönlendirme adı Hedef türü Hedef ön eki Sonraki atlama Sonraki atlama IP'si
    Güvenlik için iyileştirilmiş yol CIDR 10.1.0.0/16 secOptConnection <NVA1'in IP adresi>
  • secOptConnection üzerindeki statik bir yol, VNet1 ve VNet2 trafiğini NVA1'in IP adresine iletme.

    Veri Akışı Adı Adres ön eki Sonraki atlama türü Sonraki atlama IP adresi
    rt-to-secOptimized 10.1.0.0/16 Sanal gereç <NVA1'in IP adresi>
  • Sanal WAN hub'ında perfOptimizedRouteTable adlı özel bir yol tablosu. Bu tablo, performans açısından iyileştirilmiş sanal ağların merkez üzerinden birbirleriyle iletişim kuramamasını sağlamak için kullanılır ve eşlemeyi NVA VNet2 ile kullanmalıdır.

  • Tüm trafiği NVA1'e geri yönlendirmek için VNet1 ve VNet2'deki tüm alt ağlarla ilişkilendirilmiş bir UDR.

    Veri Akışı Adı Adres ön eki Sonraki atlama türü Sonraki atlama IP adresi
    rt-all 0.0.0.0/0 Sanal gereç <NVA1'in IP adresi>
  • VNet-VNet trafiğini ve İnternet trafiğini NVA2'ye yönlendirmek için VNet3 ve VNet4'teki tüm alt ağlarla ilişkilendirilmiş bir UDR.

    Veri Akışı Adı Adres ön eki Sonraki atlama türü Sonraki atlama IP adresi
    rt-to-internet 0.0.0.0/0 Sanal gereç <NVA2 adresinin IP adresi>
    sanal ağdan sanal ağa 10.2.0.0/16 Sanal gereç <NVA2 IP adresi>

Not

Yük dengeleyicinin arkasında birden çok NVA bulunan yüksek kullanılabilirlik mimarisi dağıtıyorsanız, NVA IP adreslerini yönlendirmedeki yük dengeleyici IP adresleriyle değiştirebilirsiniz.

Bileşenler

  • Azure Sanal WAN. Sanal WAN, tek bir işlem arabirimi sağlamak için birçok ağ, güvenlik ve yönlendirme işlevini bir araya getiren bir ağ hizmetidir. Bu durumda, bağlı sanal ağlara ve dallara yönlendirmeyi basitleştirir ve ölçeklendirir.
  • Azure ExpressRoute. ExpressRoute, şirket içi ağları özel bir bağlantı üzerinden Microsoft bulutuna genişletir.
  • Azure Sanal Ağı. Sanal Ağ, Azure'daki özel ağınız için temel yapı taşıdır. Sanal Ağ, Azure sanal makineleri (VM' ler) gibi birçok Azure kaynağı türünün birbiriyle, İnternet'le ve şirket içi ağlarla gelişmiş güvenlikle iletişim kurmasını sağlar.
  • Sanal WAN hub'ı. Sanal hub, Microsoft'un yönettiği bir sanal ağdır. Hub, bağlantıyı etkinleştirmek için çeşitli hizmet uç noktaları içerir.
  • Hub sanal ağ bağlantıları. Hub sanal ağ bağlantısı kaynağı, hub'ı sanal ağlarınıza sorunsuz bir şekilde bağlar.
  • Statik yollar. Statik yollar, trafiği bir sonraki atlama IP'sinde yönlendirmek için bir mekanizma sağlar.
  • Merkez yönlendirme tabloları. Bir sanal hub yolu oluşturabilir ve yolu sanal hub yönlendirme tablosuna uygulayabilirsiniz.
  • Sanal ağ eşlemesi. Sanal ağ eşlemesini kullanarak Azure'da iki veya daha fazla sanal ağı sorunsuz bir şekilde bağlayabilirsiniz.
  • Kullanıcı tanımlı yollar. Kullanıcı tanımlı yollar, varsayılan Azure sistem yollarını geçersiz kılan veya bir alt ağın yol tablosuna daha fazla yol ekleyen statik yollardır. Gerektiğinde NVA'lara trafiği zorlamak için burada kullanılırlar.
  • Ağ sanal gereçleri. Ağ sanal gereçleri, market tarafından sunulan ağ gereçleridir. Bu durumda, şirket Palo Alto'nun NVA'sını dağıttı, ancak tüm NVA güvenlik duvarları burada çalışır.

Alternatifler

Kendi kendine barındırma NVA'ları bir gereksinim değilse, NVA'nın Azure VWAN güvenli bir hub'da barındırıldığı ve her sanal ağ bağlantısı için iç trafik incelemesinin değiştirildiği daha basit bir çözüm vardır. Ancak bu çözüm, sanal ağdan sanal ağa ve sanal ağdan şirket içi trafiğe ayrım yapmanızı sağlamaz.

Yalnızca yüksek güvenlikli bir NVA ortamı dağıtmak için şu modeli izleyebilirsiniz: Trafiği NVA üzerinden yönlendirme.

Hem trafiği İnternet için ayrılmış bir güvenlik duvarına yönlendirmeyi hem de NVA üzerinden dal trafiğini yönlendirmeyi destekleyen özel bir NVA modeli dağıtmak için bkz . Özel ayarları kullanarak trafiği NVA'lar aracılığıyla yönlendirme.

Önceki alternatif, bir NVA'nın arkasında yüksek güvenlikli bir ortam dağıtır ve özel bir ortam dağıtma özelliği sunar. Ancak bu makalede açıklanan kullanım örneğinden iki şekilde farklıdır. İlk olarak, iki modeli birlikte değil yalıtımlı olarak gösterir. İkincisi, özel ortamda sanal ağdan sanal ağa trafiği desteklemez (burada Performans için iyileştirilmiş ortam olarak adlandırdığımız ortam ).

Dikkat edilmesi gereken noktalar

Bu dağıtımda, Sanal WAN hub'ını performans için iyileştirilmiş bir ortama geçen yollar, bu ortamdaki NVA'dan geçmez. Bu, burada gösterilen bölgeler arası trafikle ilgili olası bir sorun sunar:

Bölgeler arası trafikle ilgili olası bir sorunu gösteren diyagram.

Performans için iyileştirilmiş ortamlar arasındaki bölgeler arasındaki trafik NVA'nın üzerinden geçmez. Bu, hub trafiğini doğrudan sanal ağlara yönlendirmeye ilişkin bir sınırlamadır.

Kullanılabilirlik

Sanal WAN yüksek oranda kullanılabilir bir ağ hizmetidir. Sanal WAN hizmetine birden çok yol almak için daldan daha fazla bağlantı veya yol ayarlayabilirsiniz. Ancak VWAN hizmetinde ek bir şeye ihtiyacınız yoktur.

NVA'ları burada açıklanana benzer bir yüksek oranda kullanılabilir mimaride ayarlamanız gerekir: Yüksek oranda kullanılabilir NVA'ları dağıtma.

Performans

Bu çözüm gerektiğinde ağın performansını iyileştirir. Yönlendirmeyi kendi gereksinimlerinize göre değiştirebilir ve dal trafiğinin NVA'yı aşmasını ve sanal ağlar arasındaki trafiğin serbestçe akmasını veya İnternet çıkışı için tek bir güvenlik duvarı kullanmasını sağlayabilirsiniz.

Ölçeklenebilirlik

Bu mimari bölgeler arasında ölçeklenebilir. Yolları gruplandırma ve sanal hub'lar arasında dal trafiği iletme için yönlendirme etiketleri ayarlarken gereksinimlerinizi göz önünde bulundurun.

Güvenlik

NVA'larla IDPS gibi özellikleri Sanal WAN ile kullanabilirsiniz.

Dayanıklılık

Dayanıklılık hakkında daha fazla bilgi için bu makalenin önceki bölümlerinde yer alan Kullanılabilirlik bölümüne bakın.

Maliyet iyileştirme

Bu mimarinin fiyatlandırması büyük ölçüde dağıttığınız NVA'lara bağlıdır. 2 Gb/sn ER bağlantısı ve ayda 10 TB işleyen bir Sanal WAN hub'ı için bu fiyatlandırma tahminlerine bakın.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

Sonraki adımlar