Sternetwerktopologie met Azure Virtual WAN - Azure Architecture Center (2024)

Table of Contents
Potentiële gebruikscases Architectuur Onderdelen Alternatieven Voordelen Aanbevelingen Resourcegroepen Virtuele WAN Virtual WAN-hub Beveiligde virtuele hub GatewaySubnet Peering op virtueel netwerk Hubextensies Overwegingen Operations Betrouwbaarheid Prestaties Schaalbaarheid Beveiliging Peering van virtuele netwerken - Hubverbinding Kostenoptimalisatie Medewerkers Volgende stappen

Deze hub-spoke-architectuur biedt een alternatieve oplossing voor de referentiearchitecturen hub-spoke-netwerktopologie in Azure en implementeer een beveiligd hybride netwerk.

De hub is een virtueel netwerk in Azure dat fungeert als een centraal punt van connectiviteit met uw on-premises netwerk. De spokes zijn virtuele netwerken die peeren met de hub en kunnen worden gebruikt om workloads te isoleren. Verkeer stroomt tussen de on-premises datacenters en de hub via een ExpressRoute- of VPN-gatewayverbinding. De belangrijkste differentiator van deze benadering is het gebruik van Azure Virtual WAN (VWAN) om hubs te vervangen als een beheerde service.

Deze architectuur bevat de voordelen van de standaard hub-spoke-netwerktopologie en introduceert nieuwe voordelen:

  • Minder operationele overhead door bestaande hubs te vervangen door een volledig beheerde VWAN-service.

  • Kostenbesparingen door gebruik te maken van een beheerde service en de noodzaak van virtueel netwerkapparaat te verwijderen.

  • Verbeterde beveiliging door centraal beheerde beveiligde hubs te introduceren met Azure Firewall en VWAN om beveiligingsrisico's met betrekking tot onjuiste configuratie te minimaliseren.

  • Scheiding van problemen tussen centrale IT (SecOps, InfraOps) en workloads (DevOps).

Potentiële gebruikscases

Typische toepassingen voor deze architectuur zijn gevallen waarin:

  • Voor connectiviteit tussen workloads is centraal beheer en toegang tot gedeelde services vereist.

  • Een onderneming vereist centrale controle over beveiligingsaspecten, zoals een firewall, en vereist gescheiden beheer voor de workloads in elke spoke.

Architectuur

Sternetwerktopologie met Azure Virtual WAN - Azure Architecture Center (1)

Een Visio-bestand van deze architectuur downloaden.

De architectuur bestaat uit:

  • On-premises netwerk. Een lan (Private Local Area Network) dat binnen een organisatie wordt uitgevoerd.

  • VPN-apparaat. Een apparaat of service dat een externe verbinding met het on-premises netwerk biedt.

  • Virtuele VPN-netwerkgateway of ExpressRoute-gateway. Met de gateway van het virtuele netwerk kan het virtuele netwerk verbinding maken met het VPN-apparaat of het ExpressRoute-circuit , dat wordt gebruikt voor connectiviteit met uw on-premises netwerk.

  • Virtual WAN-hub. De Virtual WAN wordt gebruikt als de hub in de hub-spoke-topologie. De hub is het centrale punt van connectiviteit met uw on-premises netwerk en een locatie voor het hosten van services die kunnen worden gebruikt door de verschillende workloads die worden gehost in de virtuele spoke-netwerken.

  • Beveiligde virtuele hub. Een Virtual WAN-hub met gekoppeld beveiligings- en routeringsbeleid dat is geconfigureerd door Azure Firewall Manager. Een beveiligde virtuele hub wordt geleverd met een ingebouwde routering, zodat u door de gebruiker gedefinieerde routes niet hoeft te configureren.

  • Gatewaysubnet. De virtuele netwerkgateways zijn ondergebracht in hetzelfde subnet.

    See Also
    Hub-and-spoke-netwerktopologie - Cloud Adoption FrameworkZelfstudie: Een NAT-gateway gebruiken met een hub- en spoke-netwerk - Azure NAT GatewayVoordelen van het 'hub-and-spoke'-modelNext-level Netwerken in Azure: schaalbaarheid en flexibiliteit

  • Virtuele spoke-netwerken. Een of meer virtuele netwerken die worden gebruikt als spokes in de stertopologie. Spokes kunnen worden gebruikt om workloads in hun eigen virtuele netwerken te isoleren en afzonderlijk van andere spokes te worden beheerd. Elke workload kan meerdere lagen bevatten, met meerdere subnetten die zijn verbonden via Azure-load balancers.

  • Peering van virtuele netwerken. Er kunnen twee virtuele netwerken worden verbonden met behulp van een VNet-peeringverbinding. Peeringverbindingen zijn niet-transitieve verbindingen met lage latentie tussen virtuele netwerken. Na peering wisselen virtuele netwerken verkeer uit met behulp van de Azure-backbone, zonder dat er een router nodig is. In een sternetwerktopologie gebruikt u peering van virtuele netwerken om de hub te verbinden met elke spoke. Azure Virtual WAN maakt transitiviteit mogelijk tussen hubs, wat niet alleen mogelijk is met behulp van peering.

Onderdelen

  • Azure Virtual Network
  • Azure Virtual WAN
  • Azure VPN Gateway
  • Azure ExpressRoute
  • Azure Firewall

Alternatieven

Een hub-spoke-architectuur kan op twee manieren worden bereikt: een door de klant beheerde hubinfrastructuur of een door Microsoft beheerde hubinfrastructuur. In beide gevallen zijn spokes verbonden met de hub met behulp van peering van virtuele netwerken.

Voordelen

Sternetwerktopologie met Azure Virtual WAN - Azure Architecture Center (2)

Een Visio-bestand van deze architectuur downloaden.

Dit diagram illustreert een aantal voordelen die deze architectuur kan bieden:

  • Een volledige meshed hub tussen Azure Virtual Networks
  • Vertakking naar Azure-connectiviteit
  • Vertakking naar vertakkingsconnectiviteit
  • Gemengd gebruik van VPN en Express Route
  • Gemengd gebruik van gebruikers-VPN naar de site
  • VNET-naar-VNET-connectiviteit

Aanbevelingen

De volgende aanbevelingen zijn van toepassing op de meeste scenario's. Volg deze, tenzij u een specifieke vereiste hebt die deze overschrijft.

Resourcegroepen

De hub en elke spoke kunnen worden geïmplementeerd in verschillende resourcegroepen en, nog beter, in verschillende abonnementen. Wanneer u virtuele netwerken in verschillende abonnementen peert, kunnen beide abonnementen worden gekoppeld aan dezelfde of een andere Microsoft Entra-tenant. Dit maakt een gedecentraliseerd beheer van elke workload mogelijk, terwijl services worden gedeeld die in de hub worden onderhouden.

Virtuele WAN

Maak een Standard Virtual WAN als u een van de volgende vereisten hebt:

  • Schalen voor hogere doorvoer

  • Privéconnectiviteit (vereist Premium-circuit in Global Reach-locatie)

  • ExpressRoute VPN Interconnect

  • Geïntegreerde bewaking met Azure Monitor (metrische gegevens en resourcestatus)

Standaard virtuele WAN's zijn standaard verbonden in een volledige mesh. Standard Virtual WAN ondersteunt any-to-any-connectiviteit (site-naar-site-VPN, VNet, ExpressRoute, punt-naar-site-eindpunten) in één hub en tussen hubs. Basic Virtual WAN ondersteunt alleen site-naar-site-VPN-connectiviteit, vertakkings-naar-vertakkingsconnectiviteit en vertakkings-naar-VNet-connectiviteit in één hub.

Virtual WAN-hub

een virtuele hub is een virtueel netwerk dat door Microsoft wordt beheerd. De hub bevat verschillende service-eindpunten die verbindingen mogelijk maken. De hub is de kern van uw netwerk in een regio. Er kunnen meerdere hubs per Azure-regio zijn. Zie Veelgestelde vragen over Virtual WAN voor meer informatie.

Wanneer u een hub maakt met behulp van Azure Portal, wordt er een VNet van een virtuele hub en een VPN-gateway voor een virtuele hub gemaakt. Voor een Virtual WAN-hub is minimaal /24 een adresbereik vereist. Deze IP-adresruimte wordt gebruikt voor het reserveren van een subnet voor gateway en andere onderdelen.

Beveiligde virtuele hub

Een virtuele hub kan worden gemaakt als een beveiligde virtuele hub of worden geconverteerd naar een beveiligde hub wanneer deze is gemaakt. Zie Uw virtuele hub beveiligen met Behulp van Azure Firewall Manager voor meer informatie.

GatewaySubnet

Zie voor meer informatie over het instellen van de gateway de volgende referentiearchitecturen, afhankelijk van het verbindingstype:

Voor een grotere beschikbaarheid kunt u ExpressRoute plus een VPN gebruiken voor failover. Zie Een on-premises netwerk verbinden met behulp van ExpressRoute met VPN-failover.

Een hub-spoke-topologie kan niet worden gebruikt zonder een gateway, zelfs niet als u geen verbinding met uw on-premises netwerk nodig hebt.

Peering op virtueel netwerk

Peering van virtuele netwerken is een niet-transitieve relatie tussen twee virtuele netwerken. Met Azure Virtual WAN kunnen spokes echter met elkaar verbinding maken zonder dat er een toegewezen peering tussen hen is.

Als u echter meerdere spokes hebt die met elkaar moeten worden verbonden, hebt u te weinig mogelijk peeringverbindingen vanwege de beperking van het aantal peerings per virtueel netwerk. (Zie voor meer informatie Netwerklimieten.) In dit scenario lost Azure VWAN dit probleem op met de out-of-box-functionaliteit. Zie Global Transit Network Architecture en Virtual WAN voor meer informatie.

U kunt spokes ook configureren om de hubgateway te gebruiken om te communiceren met externe netwerken. Als u gateway-verkeer wilt laten lopen van knooppunt naar hub en verbinding wilt maken met externe netwerken, voert u de volgende stappen uit:

  • Configureer de peeringverbinding in de hub om gatewaydoorvoer toe te staan.

  • Configureer de peeringverbinding in elke spoke om externe gateways te gebruiken.

  • Configureer alle peeringverbindingen om doorgestuurd verkeer toe te staan.

Zie Kiezen tussen peering van virtuele netwerken en VPN-gateways voor meer informatie.

Hubextensies

Als u netwerkbrede gedeelde services, zoals DNS-resources, aangepaste NVA's, Azure Bastion en andere, wilt ondersteunen, implementeert u elke service volgens het patroon van de virtuele hub-extensie. Na dit model kunt u extensies met één verantwoordelijkheid bouwen en gebruiken om deze bedrijfskritieke, gedeelde services die u anders niet rechtstreeks in een virtuele hub kunt implementeren, beschikbaar te maken en te gebruiken.

Overwegingen

Operations

Azure VWAN is een beheerde service die wordt geleverd door Microsoft. Vanuit het oogpunt van technologie is het niet helemaal anders dan een door de klant beheerde hubinfrastructuur. Azure Virtual WAN vereenvoudigt de algehele netwerkarchitectuur door een mesh-netwerktopologie met transitieve netwerkconnectiviteit tussen spokes aan te bieden. Bewaking van Azure VWAN kan worden bereikt met behulp van Azure Monitor. Site-naar-site-configuratie en -connectiviteit tussen on-premises netwerken en Azure kunnen volledig worden geautomatiseerd.

Betrouwbaarheid

Azure Virtual WAN verwerkt routering, wat helpt de netwerklatentie tussen spokes te optimaliseren en voorspelbaarheid van latentie te garanderen. Azure Virtual WAN biedt ook betrouwbare connectiviteit tussen verschillende Azure-regio's voor de workloads die meerdere regio's omvatten. Met deze installatie wordt de end-to-end-stroom in Azure beter zichtbaar.

Prestaties

Met behulp van Azure Virtual WAN kan een lagere latentie tussen spokes en tussen regio's worden bereikt. Met Azure Virtual WAN kunt u schalen tot 20 Gbps geaggregeerde doorvoer.

Schaalbaarheid

Azure Virtual WAN biedt een volledige mesh-connectiviteit tussen spokes door de mogelijkheid te behouden om verkeer te beperken op basis van behoeften. Met deze architectuur is het mogelijk om grootschalige site-naar-site-prestaties te hebben. Bovendien kunt u een wereldwijde netwerkarchitectuur voor doorvoer maken door any-to-any-connectiviteit mogelijk te maken tussen wereldwijd gedistribueerde sets van cloudworkloads.

Beveiliging

Hubs in Azure VWAN kunnen worden geconverteerd naar beveiligde HUBs door gebruik te maken van Azure Firewall. Door de gebruiker gedefinieerde routes (UDR's) kunnen nog steeds op dezelfde manier worden gebruikt om netwerkisolatie te bereiken. Azure VWAN maakt versleuteling van verkeer mogelijk tussen de on-premises netwerken en virtuele Azure-netwerken via ExpressRoute.

Azure DDoS Protection, gecombineerd met best practices voor toepassingsontwerp, biedt verbeterde DDoS-risicobeperkingsfuncties om meer bescherming te bieden tegen DDoS-aanvallen. Schakel Azure DDOS Protection in voor elk virtueel perimeternetwerk.

Connectiviteit tussen spokes wordt al bereikt met behulp van Azure Virtual WAN. Het gebruik van UDR's in het spoke-verkeer is echter handig om virtuele netwerken te isoleren. Elke gedeelde service kan ook worden gehost op hetzelfde Virtual WAN als een spoke.

Peering van virtuele netwerken - Hubverbinding

Peering van virtuele netwerken is een niet-transitieve relatie tussen twee virtuele netwerken. Tijdens het gebruik van Azure Virtual WAN wordt peering van virtuele netwerken beheerd door Microsoft. Elke verbinding die aan een hub wordt toegevoegd, configureert ook peering van virtuele netwerken. Met behulp van Virtual WAN hebben alle spokes een transitieve relatie.

Kostenoptimalisatie

Gebruik de pagina met prijzen van Azure Virtual WAN om de meest rendabele oplossing voor uw netwerktopologie te begrijpen en te schatten. Prijzen van Azure Virtual WAN zijn verschillende belangrijke kostenfactoren:

  1. Implementatieuren: kosten voor de implementatie en het gebruik van Virtual WAN-hubs.
  2. Schaaleenheid: kosten op basis van de bandbreedtecapaciteit (Mbps/Gbps) voor het schalen van VPN-gateways (S2S, P2S) en ExpressRoute-gateways.
  3. Verbindingseenheid: kosten voor elke verbinding met VPN-, ExpressRoute- of externe gebruikers.
  4. Verwerkte gegevenseenheid: kosten per GB voor gegevens die via de hub worden verwerkt.
  5. Eenheid routeringsinfrastructuur: kosten voor de routeringsmogelijkheden in de hub.
  6. Azure Firewall met beveiligde virtuele hub: aanbevolen en voegt extra kosten toe per implementatie-eenheid en verwerkte gegevenseenheid.
  7. Hub-naar-hub-gegevensoverdracht: kosten voor het overdragen van gegevens tussen hubs die onderhevig zijn aan interregiokosten (intra/inter-continentale kosten), zoals beschreven in de prijzen voor Azure-bandbreedte.

Voor prijzen die zijn afgestemd op algemene netwerkscenario's, raadpleegt u Over prijzen voor Virtual WAN.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

Meer informatie:

  • Hub-spoke-netwerktopologie in Azure

  • Een hybride Domain Name System-oplossing ontwerpen met Azure

  • Een beveiligd hybride netwerk implementeren

  • Wat is Azure ExpressRoute?

  • Een on-premises netwerk verbinden met Azure met behulp van ExpressRoute

  • Firewall en Application Gateway voor virtuele netwerken

  • Een on-premises netwerk uitbreiden met VPN

  • Workloads beveiligen en beheren met segmentatie op netwerkniveau

  • Uw beveiligingspostuur versterken met Azure

  • Virtueel netwerk

  • Azure ExpressRoute

  • VPN Gateway

  • Azure Firewall

Sternetwerktopologie met Azure Virtual WAN - Azure Architecture Center (2024)
Top Articles
Crossword Solver - Enter Clues and Find Answers
XFL hiring Director of Ticket Sales & Experience - Arlington Renegades in Arlington, TX | LinkedIn
What Did Bimbo Airhead Reply When Asked
11 beste sites voor Word-labelsjablonen (2024) [GRATIS]
Tiny Tina Deadshot Build
Lengua With A Tilde Crossword
Weeminuche Smoke Signal
Le Blanc Los Cabos - Los Cabos – Le Blanc Spa Resort Adults-Only All Inclusive
30 Insanely Useful Websites You Probably Don't Know About
Alpha Kenny Buddy - Songs, Events and Music Stats | Viberate.com
CHESAPEAKE WV :: Topix, Craigslist Replacement
My.doculivery.com/Crowncork
Ncaaf Reference
World of White Sturgeon Caviar: Origins, Taste & Culinary Uses
Jscc Jweb
Cincinnati Bearcats roll to 66-13 win over Eastern Kentucky in season-opener
今月のSpotify Japanese Hip Hopベスト作品 -2024/08-|K.EG
Snow Rider 3D Unblocked Wtf
Craigslist West Valley
Morristown Daily Record Obituary
MLB power rankings: Red-hot Chicago Cubs power into September, NL wild-card race
Craigslist Lakeville Ma
Bekijk ons gevarieerde aanbod occasions in Oss.
Ups Print Store Near Me
Stoney's Pizza & Gaming Parlor Danville Menu
Menus - Sea Level Oyster Bar - NBPT
Shadbase Get Out Of Jail
Sadie Sink Reveals She Struggles With Imposter Syndrome
Chamberlain College of Nursing | Tuition & Acceptance Rates 2024
55Th And Kedzie Elite Staffing
Bidrl.com Visalia
Bj타리
HP PARTSURFER - spare part search portal
Jail Roster Independence Ks
Kacey King Ranch
1400 Kg To Lb
Enjoy4Fun Uno
Hell's Kitchen Valley Center Photos Menu
Elizaveta Viktorovna Bout
Unifi Vlan Only Network
Felix Mallard Lpsg
Weather Underground Bonita Springs
15 Best Things to Do in Roseville (CA) - The Crazy Tourist
Mid America Irish Dance Voy
Coroner Photos Timothy Treadwell
Powerboat P1 Unveils 2024 P1 Offshore And Class 1 Race Calendar
Guided Practice Activities 5B-1 Answers
Hanco*ck County Ms Busted Newspaper
Caphras Calculator
Marcel Boom X
Gear Bicycle Sales Butler Pa
Marion City Wide Garage Sale 2023
Latest Posts
Telegram Scat
Mogadore Reservoir Boat Rental Price
Article information

Author: Duncan Muller

Last Updated:

Views: 5568

Rating: 4.9 / 5 (59 voted)

Reviews: 82% of readers found this page helpful

Author information

Name: Duncan Muller

Birthday: 1997-01-13

Address: Apt. 505 914 Phillip Crossroad, O'Konborough, NV 62411

Phone: +8555305800947

Job: Construction Agent

Hobby: Shopping, Table tennis, Snowboarding, Rafting, Motor sports, Homebrewing, Taxidermy

Introduction: My name is Duncan Muller, I am a enchanting, good, gentle, modern, tasty, nice, elegant person who loves writing and wants to share my knowledge and understanding with you.