Microsoft Azure Aufbau von hybriden Infrastrukturdiensten - Göran Eibel

Microsoft Azure Aufbau von hybriden Infrastrukturdiensten (eBook)

inklusive Windows virtual Desktops

(Autor)

eBook Download: EPUB
2021 | 1. Auflage
488 Seiten
Books on Demand (Verlag)
978-3-7534-5101-5 (ISBN)
Systemvoraussetzungen
34,99 inkl. MwSt
  • Download sofort lieferbar
  • Zahlungsarten anzeigen
Dieses Buch liefert einen praxisnahen Einblick in die Basis Infrastruktur-Technologien der Microsoft Azure Cloud. Es richtet sich an IT-Systemarchitekten, Berater sowie Administratoren und unterstützt neben der Planung auch beim Aufbau von hybriden Data-Center Konzepten sowie modernen Arbeitsplatz-Umgebungen mit Hilfe der grundlegenden IaaS (Infrastructure as a Service) und PaaS (Platform as a Service) Technologien. Die Inhalte eignen sich außerdem als Basis für eine optimale Vorbereitung auf die Infrastrukturthemen der entsprechenden Microsoft Azure Associate / Expert Zertifizierungen (AZ-104, AZ-303).

Göran Eibel ist selbstständiger Solution Architect, Dozent, Trainer und Autor mit über 25 Jahren Erfahrung in der IT-Branche. Seine primären Betätigungsfelder umfassen die Planung und den Aufbau von Microsoft basierten Infrastrukturdiensten und hybriden Cloud Data-Center Lösungen sowie das Design von Modern Workplace Umgebungen im internationalen Umfeld. Das umfangreiche Wissen und die langjährige Erfahrung machen ihn zu einem der führenden Experten für die Konzeption von gesamtheitlichen IT-Architekturdesigns.

2 Azure Networking


2.1 Grundlagen

Eine ordnungsgemäß konfigurierte und gut segmentierte Netzwerkumgebung ist die Basis jedes IT-Infrastrukturprojektes. Um den Netzwerkverkehr innerhalb des Tenants entsprechend steuern zu können, bietet die Microsoft Azure Cloud die folgenden wichtigsten Komponenten bzw. Services an.

2.1.1 Virtual Network – VNET

Bevor das erste IaaS Service provisioniert werden kann, muss dem Tenant mindestens ein VNET zugewiesen werden. Das Azure VNET ist die Grundlage für den Aufbau eines privaten Netzwerks in der Azure Cloud. Alle Azure Ressourcen innerhalb eines VNETs können automatisch miteinander kommunizieren, die Verbindung zu einem on-premises Data-Center wird über einen speziellen Netzwerkbereich innerhalb des VNETs mittels VPN Technologien hergestellt.

  • Alle Ressourcen innerhalb eines VNETs können standardmäßig miteinander kommunizieren
  • Alle Ressourcen innerhalb eines VNETs haben standardmäßig Zugriff auf das Internet. Für eingehende Verbindungen muss der Ressource eine öffentliche IP-Adresse - oder die öffentliche IP-Adresse eines Load-Balancers – zugewiesen werden

Beim Anlegen eines VNETs müssen, neben einem eindeutigen Namen für das VNET - folgende Parameter konfiguriert werden:

Abonnement (Subscription) & Ressourcen Gruppe

Ein VNET muss einer Subscription und einer Ressourcen Gruppe zugewiesen werden, und kann auch nur immer mit einer Subscription bzw. Ressourcen Gruppe verknüpft sein. RBAC Regeln auf einem VNET werden standardmäßig auf alle Ressourcen innerhalb des VNETs vererbt.

Adressbereich

Einem VNET muss ein privater Adressbereich zugewiesen werden. Abhängig von der geplanten Größe der Umgebung kann ein privater Class-A, Class-B oder Class-C Bereich verwendet werden. Der Adressbereich darf sich dabei nicht mit in weiterer Folge angebunden privaten Netzwerken der on-premises Umgebung überlappen.

Private IP-Range Class-A 10.0.0.0 – 10.255.255.255 (10.0.0.0 / 8)
Private IP-Range Class-B 172.16.0.0 – 172.31.255.255 (172.16.0.0 / 12)
Private IP-Range Class-C 192.168.0.0 – 192.168.255.255 (192.168.0.0 / 16)

Subnetze

Wie bei einem klassischen Netzwerk, erfolgt die Segmentierung des VNETs mit Hilfe von Subnetzen. Hier empfiehlt es sich – wie in jedem Netzwerkdesign – eine Segmentierung auf Basis von Ressourcen mit unterschiedlichen Sicherheitsanforderungen über Subnetze vorzunehmen. Das Subnetz ist auch die primäre Sicherheitsbarriere, da mit Hilfe von sogenannten NSGs (Network Security Groups) in weiterer Folge der gesamte Netzwerkzugriff auf Ressourcen innerhalb des Subnetzes gesteuert wird.

Region

Ein VNET ist immer auf eine Azure Region beschränkt. Über das sogenannte VNET-Peering können virtuelle Azure Netzwerke regionsübergreifend miteinander verbunden werden. Der gesamte Datenverkehr erfolgt dabei ausschließlich über das interne, private Microsoft global network (MGN) über welches alle Azure Regionen miteinander verbunden sind.

Abbildung 2.1-1: Beispiel eines Azure Netzwerkkonzeptes

Multiple Netzwerkkarten

Nahezu alle IaaS-VMs und über den Marketplace angebotene virtuelle Appliances unterstützen mehrere Netzwerkkarten um ein einfaches Traffic-Management (beispielsweise isolierte Segmentierung mittels VM Firewall) abbilden zu können.

Abbildung 2.1-2: Azure Ressource mit multipler NIC Konfiguration

2.1.2 Service Endpoints

In jedem hybriden Umfeld kommt es normalerweise zur Nutzung von PaaS Diensten, welche per Design ausschließlich über die öffentliche Cloud angeboten werden (Shared managed Services). Um die Sicherheit beim Zugriff bzw. bei der Nutzung der PaaS Dienste aus dem eigenen VNET (Private Cloud) heraus können sogenannte Service Endpoints (Dienstendpunkte) definiert werden.

Die Service Endpoint Konfiguration bietet mehrere Vorteile:

  • Erhöhte Sicherheit durch Zugriff auf die PaaS Dienste über das VNET und nicht dem Internet
  • Direkte Weiterleitung über das Microsoft global network. Dadurch erfolgt die Nutzung der PaaS Dienste über hoch performante private Verbindungen mit niedriger Latenz
  • Einfache Verwaltung da für den Verbindungsaufbau keine Gateway- und NAT Konfigurationen notwendig sind

Aktuell (Q1-2021) sind über die Service Endpoint Konfiguration nicht alle PaaS Dienste konfigurierbar, das Angebot wird allerdings ständig erweitert. Wichtige PaaS Dienste wie beispielsweise Azure Storage, Azure SQL oder auch Azure KeyVault sind bereits über diese Funktion verfügbar.

Abbildung 2.1-3: Service Endpoint Konfiguration

2.1.3 VPN Gateway

Ein VPN Gateway wird immer in einem eigenen Subnetz (GatewaySubnet) des VNETs provisioniert und stellt eine verschlüsselte und stetige Verbindung zwischen dem VNET in der Azure Cloud und einem lokalen Netzwerk über das Internet her. Das VPN Gateway wird auch für die Kommunikation zwischen zwei VNETs über das interne Microsoft global network verwendet.

Beim Anlegen des VPN Gateways muss eine Leistungsklasse definiert werden, alle VPN Verbindungen teilen sich in weitere Folge die Leistung dieses VPN Gateways. Aktuell gibt es 15 verschiedene VPN Gateway Klassen, das erste VPN Gateway Service (VPN Basic) startet z.B. bei 100Mbit/sec aggregierten Durchsatz und unterstützt maximal 10 gleichzeitige Site-2-Site VPN Verbindungen. Das aktuell leistungsstärkste VPN Gateway hat einen aggregierten Datendurchsatz von 10 Gbit/sec und unterstützt maximal 30 gleichzeitige Site-2-Site Verbindungen.

Nach der Erstellung des VPN Gateways im VNET über ein eigenes dediziertes Subnetz (Name lautet dabei immer GatewaySubnet) können folgende Verbindungen hergestellt werden:

Point-2-Site Verbindung Verbindung von einem Remote-Standort (Endgerät) über OpenVPN, IKEv2 oder SSTP. Der VPN Client muss am Endgerät installiert bzw. konfiguriert werden.
Site-2-Site Verbindung IPSec / IKEv2 Verbindung zu einem anderen VPN Gateway (VNET-to-VNET) oder einem lokalen VPN Gateway (Site-2-Site). Bei einer Site-2-Site Verbindung mit einem lokalen Gateway wird im Regelfall die Verbindung immer über den lokalen Router / Firewall über eine Shared Secret Konfiguration aufgebaut.

Bei der Planung muss sichergestellt werden, dass das lokal eingesetzte VPN Device kompatibel ist und einen permanenten Site-2-Site Tunnel zur Microsoft Azure Infrastruktur herstellen kann.

Site-2-Site Verbindungen (S2S)

  • Öffentliche IP-Adresse des Azure VPN Gateways (Microsoft)
  • Öffentliche statische IP-Adresse des lokalen VPN Device welche nicht hinter einer Firewall liegen darf oder nur über eine aktive NAT Konfiguration erreichbar ist

Abbildung 2.1-4: Beispiel – Multi Site-2-Site Verbindung

Point-2-Site Verbindungen (P2S)

  • Öffentliche IP-Adresse des Azure VPN Gateways (Microsoft)
  • Keine lokale öffentliche statische IP-Adresse oder ein VPN Device erforderlich
  • Herstellung von sicheren Verbindungen von einem Endgerät aus über Software-VPN in das Azure VNET und damit allen an das VNET angebunden Netzwerke
  • Unterstützung der Multi-Faktor Authentifizierung

Abbildung 2.1-5: Beispiel – P2S Verbindungen

2.1.4 ExpressRoute

ExpressRoute Verbindungen laufen nicht über das öffentliche Internet, sondern über private MPLS Leitungen welche vom jeweiligen lokalen Internet-Provider direkt zum nächstgelegenen Einstiegspunkt des MGN (Microsoft Global Network) geschalten werden. Damit bieten ExpressRoute Verbindungen eine höhere Sicherheit, größere Zuverlässigkeit (sie werden standardmäßig immer über 2 parallele Verbindungen geschalten) und eine höhere Performance bei geringerer Latenz als herkömmliche öffentliche Verbindungen.

  • Layer-3 Konnektivität direkt zum MGN über Any-to-Any VPN oder Point-to-Point Ethernet MPLS / WAN Verbindungen
  • Dynamisches Routing (BGP) innerhalb des MGN zu den öffentlichen Diensten (Office365) bzw. den privaten Diensten der Azure Cloud (VNET)
  • Integrierte Redundanz zu jedem Peering-Standort über MPLS
  • QoS Unterstützung
  • Flexibles Abrechnungsmodell (Flat-Rate / Daten-Taktung) und dynamische Skalierung der Bandbreite möglich

Abbildung 2.1-6: Darstellung ExpressRoute – Quelle: Microsoft TechNet

Azure ExpressRoute, Site-2-Site und Point-2-Site Verbindungen können beliebig miteinander kombiniert werden, um für jeden Standort bzw. jede Anforderung die optimale Technologie (natürlich auch abhängig von der Verfügbarkeit am Standort) einsetzen zu können. Seit Mitte 2019 wird an einigen Standorten auch ExpressRoute Direct...

Erscheint lt. Verlag 13.4.2021
Sprache deutsch
Themenwelt Mathematik / Informatik Informatik Netzwerke
ISBN-10 3-7534-5101-0 / 3753451010
ISBN-13 978-3-7534-5101-5 / 9783753451015
Haben Sie eine Frage zum Produkt?
EPUBEPUB (Wasserzeichen)
Größe: 45,7 MB

DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasser­zeichen und ist damit für Sie persona­lisiert. Bei einer missbräuch­lichen Weiter­gabe des eBooks an Dritte ist eine Rück­ver­folgung an die Quelle möglich.

Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belle­tristik und Sach­büchern. Der Fließ­text wird dynamisch an die Display- und Schrift­größe ange­passt. Auch für mobile Lese­geräte ist EPUB daher gut geeignet.

Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise

Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.

Print-Ausgabe
Buch | Softcover
46,90 €
Mehr entdecken
aus dem Bereich
PC-Netzwerke - Martin Linten; Axel Schemberg; Kai Surendorf
PC-Netzwerke
Das umfassende Handbuch

von Martin Linten; Axel Schemberg; Kai Surendorf

eBook Download (2023)
Rheinwerk Computing (Verlag)
29,90
Raspberry Pi - Michael Kofler; Charly Kühnast; Christoph Scherbeck
Raspberry Pi
Das umfassende Handbuch

von Michael Kofler; Charly Kühnast; Christoph Scherbeck

eBook Download (2024)
Rheinwerk Computing (Verlag)
33,68
Technik der IP-Netze - Anatol Badach; Erwin Hoffmann
Technik der IP-Netze
Grundlagen der IPv4- und IPv6-Kommunikation

von Anatol Badach; Erwin Hoffmann

eBook Download (2022)
Carl Hanser Verlag GmbH & Co. KG
69,99
auf Facebook teilen
bei Twitter
Link zu dieser Seite kopieren