Мал. 1. Традиційна топологія мережі AzureРекомендації щодо проектування.
• Різні мережеві топології можуть підключатися до кількох віртуальних мереж цільової зони. Приклади топологій мережі включають одну велику неструктуровану віртуальну мережу, кілька віртуальних мереж, підключених до кількох каналів Azure ExpressRoute або підключень, концентратор і периферійних мереж, повній сітці та гібридному середовищі.
• Віртуальні мережі не можуть виходити за межі передплати, але ви можете забезпечити можливість підключення між віртуальними мережами в різних підписках за допомогою пірінгу між віртуальними мережами, каналу ExpressRoute або VPN-шлюзів.
• Для підключення віртуальних мереж в Azure кращим способом є пірінг між віртуальними мережами. Піринг між віртуальними мережами можна використовувати для підключення віртуальних мереж в одному регіоні, між різними регіонами Azure та різними клієнтами Microsoft Entra.
• Як піринг між віртуальними мережами, і глобальний піринг між віртуальними мережами є транзитивними. Щоб увімкнути транзитну мережу, потрібні маршрути (UDR) і віртуальні (модуль) мережі (NVA), що визначаються користувачем. Щоб отримати додаткові відомості, див.
Зіркоподібна мережа топології в Azure.
• Ви можете надати спільний доступ до плану захисту від атак DDoS Azure у всіх віртуальних мережах в одному клієнті Microsoft Entra для захисту ресурсів із загальнодоступними IP-адресами. Щоб отримати додаткові відомості, див.
Захист від атак DDoS Azure.
◌ Плани захисту від атак DDoS Azure охоплюють лише ресурси із загальнодоступними IP-адресами.
◌ Вартість плану захисту від атак DDoS Azure включає 100 загальнодоступних IP-адрес у всіх захищених віртуальних мережах, пов'язаних із планом захисту від атак DDoS. Захист додаткових ресурсів доступний за окремою ціною. Додаткові відомості про ціни на план захисту від атак DDoS Azure див.
на сторінці цін на захист від атак DDoS Azure або
на запитання, що часто ставляться .
◌ Перегляньте підтримувані
ресурси планів захисту від атак DDoS Azure.
• Канали ExpressRoute можна використовувати для підключення між віртуальними мережами в межах одного регіону або за допомогою надбудови рівня "Преміум" для підключення між регіонами. Пам'ятайте наступне:
◌ Мережевий трафік може зіткнутися з більшою затримкою, оскільки трафік має прикріпитись до маршрутизаторів Microsoft Enterprise Edge (MSEE).
◌ Номер SKU шлюзу ExpressRoute обмежує пропускну здатність.
◌ Розгортання визначуваних користувачем користувачів та керування ними за необхідності перевірки або реєстрації визначуваних користувачем користувачів для трафіку у віртуальних мережах.
• VPN-шлюзи з протоколом BGP є транзитивними в Azure та локальних мережах, але за промовчанням не надають транзитивний доступ до мереж, підключених через ExpressRoute. Якщо вам потрібний транзитивний доступ до мереж, підключених через ExpressRoute, розгляньте
сервер маршрутизації Azure.
• При підключенні кількох каналів ExpressRoute до однієї віртуальної мережі використовуйте ваги підключень та методи BGP, щоб забезпечити оптимальний шлях для трафіку між локальними мережами та Azure. Щоб отримати додаткові відомості, див.
Оптимізація маршрутизації ExpressRoute.
• Використання метрик BGP, щоб вплинути на маршрутизацію ExpressRoute – це зміна конфігурації, виконана за межами платформи Azure. Ваша організація або постачальник послуг з'єднання повинні належним чином настроїти локальні маршрутизатори.
• Канали ExpressRoute із надбудовами рівня "Преміум" забезпечують глобальний зв'язок.
• ExpressRoute має певні обмеження; Існує максимальна кількість підключень ExpressRoute на шлюз ExpressRoute, а приватний піринг ExpressRoute може визначити максимальну кількість маршрутів з Azure до локального середовища. Додаткові відомості про обмеження ExpressRoute див. у розділі "
Обмеження ExpressRoute".
• Максимальна сумарна пропускна здатність VPN-шлюзу становить 10 гігабіт на секунду. VPN-шлюз підтримує до 100 тунелів типу "мережа-мережа" або "мережа-мережа".
• Якщо NVA є частиною архітектури, розгляньте azure Route Server, щоб спростити динамічну маршрутизацію між віртуальною мережею (модуль) (NVA) та віртуальною мережею. Сервер маршрутизації Azure дозволяє обмінюватися даними про маршрутизацію безпосередньо через протокол маршрутизації BGP (BGP) між будь-яким NVA, що підтримує протокол маршрутизації BGP та програмно-визначувану мережу Azure (SDN) у віртуальній мережі Azure без необхідності вручну налаштовувати або підтримувати таблиці маршрутів.
Рекомендації щодо проектування.
• Розглянемо архітектуру мережі на основі традиційної зіркоподібної топології мережі для наступних сценаріїв:
◌ Мережева архітектура, розгорнута в одному регіоні Azure.
◌ Мережева архітектура, що охоплює декілька регіонів Azure, без необхідності транзитного підключення між віртуальними мережами для цільових зон у різних регіонах.
◌ Мережева архітектура, яка охоплює кілька регіонів Azure та пірінг глобальних віртуальних мереж, які можуть підключати віртуальні мережі між регіонами Azure.
◌ Немає потреби у можливості транзитивного підключення між підключеннями VPN та ExpressRoute.
◌ Основним методом гібридного підключення є ExpressRoute, а кількість VPN-підключень менше 100 на VPN-шлюз.
◌ Існує залежність від централізованих мережевих віртуальних модулів та детальної маршрутизації.
• Для регіональних розгортань переважно використовується зіркоподібна топологія. Використовуйте віртуальні мережі цільової зони, які підключаються з пірингом між віртуальними мережами віртуальної мережі у центральному концентраторі для наступних сценаріїв:
◌ Крос-локальне підключення через ExpressRoute.
◌ VPN для підключення гілки.
◌ Підключення між периферійними мережами за допомогою NVAs та визначених користувачем користувачів.
◌ Захист від вихідного трафіку через Інтернет через Брандмауер Azure або іншу сторонню NVA.
Див.:
Традиційна топологія мережі Azure. 28.03.2023
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
