Microsoft Azure Aufbau von hybriden Infrastrukturdiensten (eBook)
488 Seiten
Books on Demand (Verlag)
978-3-7534-5101-5 (ISBN)
Göran Eibel ist selbstständiger Solution Architect, Dozent, Trainer und Autor mit über 25 Jahren Erfahrung in der IT-Branche. Seine primären Betätigungsfelder umfassen die Planung und den Aufbau von Microsoft basierten Infrastrukturdiensten und hybriden Cloud Data-Center Lösungen sowie das Design von Modern Workplace Umgebungen im internationalen Umfeld. Das umfangreiche Wissen und die langjährige Erfahrung machen ihn zu einem der führenden Experten für die Konzeption von gesamtheitlichen IT-Architekturdesigns.
2 Azure Networking
2.1 Grundlagen
Eine ordnungsgemäß konfigurierte und gut segmentierte Netzwerkumgebung ist die Basis jedes IT-Infrastrukturprojektes. Um den Netzwerkverkehr innerhalb des Tenants entsprechend steuern zu können, bietet die Microsoft Azure Cloud die folgenden wichtigsten Komponenten bzw. Services an.
2.1.1 Virtual Network – VNET
Bevor das erste IaaS Service provisioniert werden kann, muss dem Tenant mindestens ein VNET zugewiesen werden. Das Azure VNET ist die Grundlage für den Aufbau eines privaten Netzwerks in der Azure Cloud. Alle Azure Ressourcen innerhalb eines VNETs können automatisch miteinander kommunizieren, die Verbindung zu einem on-premises Data-Center wird über einen speziellen Netzwerkbereich innerhalb des VNETs mittels VPN Technologien hergestellt.
- Alle Ressourcen innerhalb eines VNETs können standardmäßig miteinander kommunizieren
- Alle Ressourcen innerhalb eines VNETs haben standardmäßig Zugriff auf das Internet. Für eingehende Verbindungen muss der Ressource eine öffentliche IP-Adresse - oder die öffentliche IP-Adresse eines Load-Balancers – zugewiesen werden
Beim Anlegen eines VNETs müssen, neben einem eindeutigen Namen für das VNET - folgende Parameter konfiguriert werden:
Abonnement (Subscription) & Ressourcen Gruppe
Ein VNET muss einer Subscription und einer Ressourcen Gruppe zugewiesen werden, und kann auch nur immer mit einer Subscription bzw. Ressourcen Gruppe verknüpft sein. RBAC Regeln auf einem VNET werden standardmäßig auf alle Ressourcen innerhalb des VNETs vererbt.
Adressbereich
Einem VNET muss ein privater Adressbereich zugewiesen werden. Abhängig von der geplanten Größe der Umgebung kann ein privater Class-A, Class-B oder Class-C Bereich verwendet werden. Der Adressbereich darf sich dabei nicht mit in weiterer Folge angebunden privaten Netzwerken der on-premises Umgebung überlappen.
Private IP-Range Class-A | 10.0.0.0 – 10.255.255.255 (10.0.0.0 / 8) |
Private IP-Range Class-B | 172.16.0.0 – 172.31.255.255 (172.16.0.0 / 12) |
Private IP-Range Class-C | 192.168.0.0 – 192.168.255.255 (192.168.0.0 / 16) |
Subnetze
Wie bei einem klassischen Netzwerk, erfolgt die Segmentierung des VNETs mit Hilfe von Subnetzen. Hier empfiehlt es sich – wie in jedem Netzwerkdesign – eine Segmentierung auf Basis von Ressourcen mit unterschiedlichen Sicherheitsanforderungen über Subnetze vorzunehmen. Das Subnetz ist auch die primäre Sicherheitsbarriere, da mit Hilfe von sogenannten NSGs (Network Security Groups) in weiterer Folge der gesamte Netzwerkzugriff auf Ressourcen innerhalb des Subnetzes gesteuert wird.
Region
Ein VNET ist immer auf eine Azure Region beschränkt. Über das sogenannte VNET-Peering können virtuelle Azure Netzwerke regionsübergreifend miteinander verbunden werden. Der gesamte Datenverkehr erfolgt dabei ausschließlich über das interne, private Microsoft global network (MGN) über welches alle Azure Regionen miteinander verbunden sind.
Abbildung 2.1-1: Beispiel eines Azure Netzwerkkonzeptes
Multiple Netzwerkkarten
Nahezu alle IaaS-VMs und über den Marketplace angebotene virtuelle Appliances unterstützen mehrere Netzwerkkarten um ein einfaches Traffic-Management (beispielsweise isolierte Segmentierung mittels VM Firewall) abbilden zu können.
Abbildung 2.1-2: Azure Ressource mit multipler NIC Konfiguration
2.1.2 Service Endpoints
In jedem hybriden Umfeld kommt es normalerweise zur Nutzung von PaaS Diensten, welche per Design ausschließlich über die öffentliche Cloud angeboten werden (Shared managed Services). Um die Sicherheit beim Zugriff bzw. bei der Nutzung der PaaS Dienste aus dem eigenen VNET (Private Cloud) heraus können sogenannte Service Endpoints (Dienstendpunkte) definiert werden.
Die Service Endpoint Konfiguration bietet mehrere Vorteile:
- Erhöhte Sicherheit durch Zugriff auf die PaaS Dienste über das VNET und nicht dem Internet
- Direkte Weiterleitung über das Microsoft global network. Dadurch erfolgt die Nutzung der PaaS Dienste über hoch performante private Verbindungen mit niedriger Latenz
- Einfache Verwaltung da für den Verbindungsaufbau keine Gateway- und NAT Konfigurationen notwendig sind
Aktuell (Q1-2021) sind über die Service Endpoint Konfiguration nicht alle PaaS Dienste konfigurierbar, das Angebot wird allerdings ständig erweitert. Wichtige PaaS Dienste wie beispielsweise Azure Storage, Azure SQL oder auch Azure KeyVault sind bereits über diese Funktion verfügbar.
Abbildung 2.1-3: Service Endpoint Konfiguration
2.1.3 VPN Gateway
Ein VPN Gateway wird immer in einem eigenen Subnetz (GatewaySubnet) des VNETs provisioniert und stellt eine verschlüsselte und stetige Verbindung zwischen dem VNET in der Azure Cloud und einem lokalen Netzwerk über das Internet her. Das VPN Gateway wird auch für die Kommunikation zwischen zwei VNETs über das interne Microsoft global network verwendet.
Beim Anlegen des VPN Gateways muss eine Leistungsklasse definiert werden, alle VPN Verbindungen teilen sich in weitere Folge die Leistung dieses VPN Gateways. Aktuell gibt es 15 verschiedene VPN Gateway Klassen, das erste VPN Gateway Service (VPN Basic) startet z.B. bei 100Mbit/sec aggregierten Durchsatz und unterstützt maximal 10 gleichzeitige Site-2-Site VPN Verbindungen. Das aktuell leistungsstärkste VPN Gateway hat einen aggregierten Datendurchsatz von 10 Gbit/sec und unterstützt maximal 30 gleichzeitige Site-2-Site Verbindungen.
Nach der Erstellung des VPN Gateways im VNET über ein eigenes dediziertes Subnetz (Name lautet dabei immer GatewaySubnet) können folgende Verbindungen hergestellt werden:
Point-2-Site Verbindung | Verbindung von einem Remote-Standort (Endgerät) über OpenVPN, IKEv2 oder SSTP. Der VPN Client muss am Endgerät installiert bzw. konfiguriert werden. |
Site-2-Site Verbindung | IPSec / IKEv2 Verbindung zu einem anderen VPN Gateway (VNET-to-VNET) oder einem lokalen VPN Gateway (Site-2-Site). Bei einer Site-2-Site Verbindung mit einem lokalen Gateway wird im Regelfall die Verbindung immer über den lokalen Router / Firewall über eine Shared Secret Konfiguration aufgebaut. |
Bei der Planung muss sichergestellt werden, dass das lokal eingesetzte VPN Device kompatibel ist und einen permanenten Site-2-Site Tunnel zur Microsoft Azure Infrastruktur herstellen kann.
Site-2-Site Verbindungen (S2S)
- Öffentliche IP-Adresse des Azure VPN Gateways (Microsoft)
- Öffentliche statische IP-Adresse des lokalen VPN Device welche nicht hinter einer Firewall liegen darf oder nur über eine aktive NAT Konfiguration erreichbar ist
Abbildung 2.1-4: Beispiel – Multi Site-2-Site Verbindung
Point-2-Site Verbindungen (P2S)
- Öffentliche IP-Adresse des Azure VPN Gateways (Microsoft)
- Keine lokale öffentliche statische IP-Adresse oder ein VPN Device erforderlich
- Herstellung von sicheren Verbindungen von einem Endgerät aus über Software-VPN in das Azure VNET und damit allen an das VNET angebunden Netzwerke
- Unterstützung der Multi-Faktor Authentifizierung
Abbildung 2.1-5: Beispiel – P2S Verbindungen
2.1.4 ExpressRoute
ExpressRoute Verbindungen laufen nicht über das öffentliche Internet, sondern über private MPLS Leitungen welche vom jeweiligen lokalen Internet-Provider direkt zum nächstgelegenen Einstiegspunkt des MGN (Microsoft Global Network) geschalten werden. Damit bieten ExpressRoute Verbindungen eine höhere Sicherheit, größere Zuverlässigkeit (sie werden standardmäßig immer über 2 parallele Verbindungen geschalten) und eine höhere Performance bei geringerer Latenz als herkömmliche öffentliche Verbindungen.
- Layer-3 Konnektivität direkt zum MGN über Any-to-Any VPN oder Point-to-Point Ethernet MPLS / WAN Verbindungen
- Dynamisches Routing (BGP) innerhalb des MGN zu den öffentlichen Diensten (Office365) bzw. den privaten Diensten der Azure Cloud (VNET)
- Integrierte Redundanz zu jedem Peering-Standort über MPLS
- QoS Unterstützung
- Flexibles Abrechnungsmodell (Flat-Rate / Daten-Taktung) und dynamische Skalierung der Bandbreite möglich
Abbildung 2.1-6: Darstellung ExpressRoute – Quelle: Microsoft TechNet
Azure ExpressRoute, Site-2-Site und Point-2-Site Verbindungen können beliebig miteinander kombiniert werden, um für jeden Standort bzw. jede Anforderung die optimale Technologie (natürlich auch abhängig von der Verfügbarkeit am Standort) einsetzen zu können. Seit Mitte 2019 wird an einigen Standorten auch ExpressRoute Direct...
Erscheint lt. Verlag | 13.4.2021 |
---|---|
Sprache | deutsch |
Themenwelt | Mathematik / Informatik ► Informatik ► Netzwerke |
ISBN-10 | 3-7534-5101-0 / 3753451010 |
ISBN-13 | 978-3-7534-5101-5 / 9783753451015 |
Haben Sie eine Frage zum Produkt? |
Größe: 45,7 MB
DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasserzeichen und ist damit für Sie personalisiert. Bei einer missbräuchlichen Weitergabe des eBooks an Dritte ist eine Rückverfolgung an die Quelle möglich.
Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belletristik und Sachbüchern. Der Fließtext wird dynamisch an die Display- und Schriftgröße angepasst. Auch für mobile Lesegeräte ist EPUB daher gut geeignet.
Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise
Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.
aus dem Bereich