Hybrid Cloud-Netzwerke

Abgeschlossen

Für ein herkömmliches lokales Netzwerk mit mehreren Standorten ist es möglicherweise erforderlich, Verbindungen für mehrere Filialen mit der Zentrale herzustellen. Ähnlich bringen Hybrid-Cloud-Netzwerke die Verwendung geeigneter Technologien für eine nahtlose Verbindung zwischen lokalen Benutzern, Anwendungen und Daten mit Anwendungen und Daten mit sich, die in der Cloud gehostet werden.

Aus dem Blickwinkel des Tailwind Traders-Szenarios muss das Unternehmen in der Lage sein, seine lokalen Standorte auf sichere Weise mit den Ressourcen zu verbinden, die in Azure ausgeführt werden. Dies muss in einer Weise erreicht werden, dass es für die Mitarbeiter von Tailwind Traders keinen wirklichen Unterschied zwischen dem Zugriff auf eine Workload, die in einem lokalen Rechenzentrum von Tailwind Traders ausgeführt wird, und dem auf eine Workload gibt, die in Azure ausgeführt wird.

In dieser Einheit erfahren Sie mehr über verschiedene Netzwerktechnologien, die es ermöglichen, lokale und cloudgestützte Ressourcen in einer einzigen Hybrid Cloud miteinander zu vernetzen.

Was ist ein Azure-VPN?

Mit einem Azure VPN-Gateway können Sie das lokale Netzwerk mit Azure verbinden, indem Sie einen sicheren VPN-Tunnel über das öffentliche Internet nutzen. Azure VPN-Verbindungen verhalten sich wie herkömmliche VPN-Verbindungen, die beispielsweise zwischen einem Filialbüro und dem Standort des Hauptsitzes bestehen. Jedes virtuelle Netzwerk kann nur über ein VPN-Gateway verfügen, aber jedes VPN-Gateway unterstützt mehrere Verbindungen.

Die Abbildung unten zeigt eine Verbindung zwischen dem Umkreisnetzwerkgatewaygerät eines lokalen Netzwerks und einem VPN-Gateway in einem virtuellen Azure-Netzwerk. Sie stellt die Verbindung zwischen einem Azure Stack-Gerät und einem VPN-Gateway dar.

Abbildung eines Hybridnetzwerks, das lokale und Azure-Infrastrukturen überspannt.

Wenn Sie das Tailwind Traders-Beispiel betrachten, könnte Tailwind Traders Azure VPN-Gateways verwenden, um Verbindungen von kleineren Zweigstellen zuzulassen, für die nicht die Art von dedizierter Verbindung erforderlich ist, die eine Azure ExpressRoute-Verbindung bietet. Der Hauptnachteil von Azure VPN-Gateways besteht darin, dass sie sich auf die Internetverbindung eines Internetdienstanbieters (ISP) stützen. Wenn bei Ihrem ISP ein Ausfall auftritt, können keine VPN-Verbindungen hergestellt werden. Ebenso kann die Geschwindigkeit der VPN-Verbindung zwischen einem lokalen Standort und Azure beeinträchtigt werden, wenn bei Ihrem ISP eine substanzielle Überlastung eintritt.

Organisationen, die VPN-Verbindungen zwischen Zweigstellen betreiben, sehen sich heute bereits mit Problemen konfrontiert, die von dedizierten VPN-Verbindungen herrühren.

Was ist Azure ExpressRoute?

Mit Microsoft Azure ExpressRoute kann eine Organisation über eine dedizierte private Hochgeschwindigkeitsverbindung zwischen ihrem lokalen Netzwerk und Azure verfügen. Diese Verbindung wird nicht über das öffentliche Internet übertragen. Funktional handelt es sich um eine dedizierte faseroptische Leitung, die sich direkt von einem lokalen Standort zum nächstgelegenen Azure-Rechenzentrum zieht.

Im Gegensatz zu einem VPN-Gateway werden die Geräte, die diese Verbindung bereitstellen, vom ExpressRoute-Anbieter verwaltet. Da der ExpressRoute-Anbieter sämtliche Geräte verwaltet, kann er hinsichtlich Zuverlässigkeit und Bandbreite eine Vereinbarung zum Servicelevel (Service Level Agreement, SLA) bieten, die Benutzern von Azure VPN-Gatewayverbindungen nicht zur Verfügung steht.

Auf der folgenden Abbildung ist die ExpressRoute-Verbindung zwischen der lokalen Umgebung und Workloads dargestellt, die in Azure ausgeführt werden. Der ExpressRoute-Anbieter verwaltet die ExpressRoute-Verbindung und die lokalen Edgerouter.

Abbildung einer hybriden Netzwerkarchitektur mithilfe von Azure ExpressRoute

Neben der Bereitstellung einer Verbindung mit dedizierter Bandbreite zwischen der lokalen Umgebung und Azure ermöglicht es ExpressRoute einer Organisation darüber hinaus, sicherzustellen, dass vertraulicher Datenverkehr nicht über das öffentliche Internet übertragen wird. Dies ist in einigen Rechtsordnungen wichtig, in denen Governanceanforderungen die Übertragung bestimmter Arten von Informationen über das Internet verbieten.

In der Beispielfallstudie könnte Tailwind Traders eine ExpressRoute-Verbindung von größeren Büros implementieren, wie etwa Melbourne, Sydney und Auckland, in denen viele Personen anwesend sind. Das Unternehmen muss möglicherweise auch ExpressRoute verwenden, wenn bestimmte Arten von Daten verarbeitet werden, die aufgrund von Complianceanforderungen nicht über das Internet übertragen werden können.

Was ist Hybrid-DNS?

Beim Implementieren einer Hybrid Cloud muss sichergestellt werden, dass lokale Workloads die Adressen der Workloads in der Cloud und dass Workloads in der Cloud die Adressen von lokalen Workloads auflösen können. DNS-Bereitstellungen (Domain Name System) in einer Hybrid Cloud erfordern in der Regel lokal und in Azure bereitgestellte DNS-Server. Darüber hinaus müssen Zonenübertragungen zwischen der lokalen und der Cloudumgebung konfiguriert werden. Eine Alternative ist das Konfigurieren von DNS-Weiterleitungen, die dann implementiert werden, wenn die lokale DNS-Zone von der DNS-Zone getrennt ist, die den in Azure ausgeführten Workloads zugeordnet ist.

Die folgende Abbildung zeigt lokale DNS-Server, die DNS-Informationen auf DNS-Server replizieren, die in Azure ausgeführt werden. In diesem Szenario wird ein virtueller Computer (Virtual Machine, VM) als DNS-Server in Azure bereitgestellt. Das lokale DNS auf der Abbildung stellt eine Verbindung zu einem Hub-Abonnement mit DNS-Servern auf VMs her. Andere Azure-Abonnements stellen eine Verbindung zum Hub-Abonnement her.

Abbildung einer DNS-Hybridarchitektur

Alternativ ist Azure DNS Private Resolver ein Dienst, mit dem Sie private Zonen in Azure DNS von einer lokalen Umgebung aus abfragen können (und umgekehrt), ohne VM-basierte DNS-Server bereitstellen zu müssen. Der private Resolverdienst ist vollständig verwaltet und verfügt über integrierte Hochverfügbarkeitsfeatures.

Tailwind Traders kann mit dem Azure DNS Private Resolver sicherstellen, dass alle in Azure ausgeführten Workloads die DNS-Namen der Hosts im internen Netzwerk von Tailwind Traders auflösen können. Dies würde außerdem sicherstellen, dass alle Hosts interner Netzwerke von Tailwind Traders die DNS-Namen von Workloads auflösen können, die in der Cloud ausgeführt werden.

Was ist Azure Virtual WAN?

Azure Virtual WAN ermöglicht es einer Organisation, das Azure-Netzwerk in einer Hub-and-Spoke-Architektur zu verwenden. Das Azure-Netzwerk fungiert als Hub für transitive Konnektivität zwischen Endpunkten, die als Spokes fungieren.

Herkömmlich würde beispielsweise eine Netzwerktopologie verwendet, bei der jedes Filialbüro über eine VPN-Verbindung mit der Site der Hauptniederlassung verfügt. Wenn der Datenverkehr von einer Zweigniederlassung an eine andere übertragen werden soll, würde er den Hubstandort durchqueren, um dorthin zu gelangen. Wenn die Zentrale und alle Zweigstellen mit Azure verbunden sind, entweder über ein VPN oder über ExpressRoute, können diese Verbindungen als Spokes fungieren. Azure Virtual WAN kann als Weiterleitungshub für Datenverkehr zwischen lokalen Standorten fungieren.

Auf der folgenden Abbildung ist eine Azure Virtual WAN-Topologie dargestellt.

Diagramm: Azure Virtual WAN-Topologie, mit der mehrere Standorte in einer Hub-and-Spoke-Topologie über Azure miteinander verbunden sind

Dank Azure Virtual WAN kann Tailwind Traders die Verwendung von VPN-Verbindungen hinter sich lassen, um Niederlassungen und die Rechenzentrumsstandorte in Sydney, Melbourne und Auckland zu verbinden. So wird eine Topologie bereitgestellt, in der jede Zweigstelle und jedes Rechenzentrum über eine VPN- oder eine ExpressRoute-Verbindung zu Azure verfügt. Der Azure Virtual WAN-Dienst verwaltet die Weiterleitung des Datenverkehrs zwischen Standorten.

Überprüfen Sie Ihr Wissen

1.

Tailwind Traders muss sicherstellen, dass die Daten, die das Unternehmen vom Büro in Canberra an die in Azure ausgeführten Workloads übermittelt, nicht über das öffentliche Internet übertragen werden, nicht einmal in einem verschlüsselten Tunnel. Welche der folgenden Technologien kann Tailwind Traders verwenden, um dieses Büro mit in Azure ausgeführten Workloads zu verbinden?

2.

Zurzeit sind alle Standorte von Tailwind Traders-Filialbüros über VPN-Verbindungen mit dem Büro in Sydney verbunden. Der interne Netzwerkdatenverkehr zwischen den Filialbüros wird vollständig in einer Hub-and-Spoke-Architektur über Sydney geroutet. Anstatt das Büro in Sydney als Hub für die Weiterleitung von Datenverkehr zwischen den Filialbüros zu verwenden, würde Tailwind Traders die Verwendung von Azure vorziehen. Welche der folgenden Technologien könnte Tailwind Traders verwenden, um dieses Ziel zu erreichen?