מבט כללי Azure Networking

אחת הבעיות הנפוצות בשירות Azure היא הקמה של שירות או רכיב בצורה לא נכונה, ובפרט רכיבי רשת, ואפשר לומר שהבעיה הנפוצה ביותר היא הקמה של מכונה ללא ניתובים נכונים וחשיפה אל הרשת החיצונית בפורטים שונים, כדוגמת RDP.

למי שמתחיל לעבוד עם Azure ואפילו לאלה שעובדים איתו כיום, במצבים מסוימים, ישנם אתגרים שונים כמו הקמה וניהול Networking ומתאגר להבין מהן האפשרויות או רכיבי הרשת הקיימים בשירות Azure, ויש לא מעט.

בעקבות שאלות רבות שנשאלתי, דיונים מעניינים שהיו בנושא Azure Networking ואיך מנגישים על גבי רכיבי Load-Balancer, הגעתי למסקנה שהדרך הטובה ביותר להנגיש Azure Networking היא על גבי תרשמים (והרבה), ולכן מעלה כאן מספר דיאגרמות פשוטות של רכיבי הרשת קיימים בשירות Azure Networking.

Azure Networking בדיאגרמה אחת – דיאגרמה כללית ומצוינת שמתארת את כלל רכיבי הרשת המרכזים של Azure, החל מחיבורי VPN, דרך Virtual Network ועד רכיבי Load balancing.

יש אינספור רכיבי רשת, אז מאיפה להתחיל?

תצורת VPN מאפשרות באופן כללי חיבור בין תשתיות מקומיות לבין תשתית מבוססת Azure וללא ציוד VPN כלשהוא, החיבור נעשה באופן מאובטח ומאפשר לממש יכולות הזדהות מבוססות Azure AD, ניהול על גבי מנגנון RBAC ועל גבי הזדהות רב פעמית (MFA) וכך מבטיח את צמצום חשיפה של הרשתות.

ישנם מספר תצורות VPN בשירות Azure ואלה הם המרכזיות:

תצורת Site-2-Site (חיבור S2S) מאפשרת לחבר תשתית מקומית אל תשתית וירטואלית בשירות Azure דרך IPSEC / IKE, ולחיבור מסוג זה ישנם דרישות מסוימות, למשל, VPN הממוקם ברשת המקומית ומוגדר עם כתובת IP מפורסמת (כתובת Public) כלפי חוץ. עוד על תצורת Site-2-Site בקישור הבא Create a Site-to-Site connection

תצורת Point-2-Site (חיבור P2S) מאפשרת חיבור על גבי תשתית מאובטחת בין הרשת בשירות Azure לבין התחנה שמתחברת באופן פרטני וללא תלות במיקום המשתמש עם שימוש ברובדי אבטחה שונים: Azure AD + MFA + Azure AD Conditional Access + JIT + RBAC. עוד על תצורת Point-to-Site VPN

טופולוגיה אחת מיני רבות של תצורת Point-2-Site ושל Site-2-Site בשילוב שרת RADIUS 

תשתית מבוססת ExpressRoute מאפשר לנו למתוח את התשתית המקומית לשירות Azure (ואפילו Office 365) באמצעות חיבור פרטי שמאופשר על ידי ספק תקשורת מקומי בשכבה 3.

הקישוריות על גבי ExpressRoute אינה עוברת דרך רשת האינטרנט הציבורית, ולכן ExpressRoute מציע אמינות רבה יותר, מהירות רבה יותר ואבטחה גבוהה יותר.

ישנם שלושה תצורות חיבור מרכזיות שניתן ליישם על גבי Azure ExpressRoute והם תצורות:

  • תצורת Cloud Exchange Co-location
  • תצורת Point-to-point Ethernet
  • תצורת Any-to-any IPVPN

עוד על ExpressRoute בקישור הבא ExpressRoute overview

תשתית מבוססת על גבי Azure Virtual WAN מאפשרת להנגיש רכיבי רשת רבים המספקים ניתוב אחיד מרשתות שונות אל Azure בכדי לספק ממשק תפעולי אחד.

כלל רכיבי הרשת כוללות בין היתר, קישוריות VPN בין אתרים, קישוריות VPN למשתמשים מרוחקים, קישוריות מבוססת Private Network, קישוריות מבוססת Intra-cloud, קישוריות בתצורת  ExpressRoute, שימוש ביכולות Azure Firewall והצפנה לקישוריות פרטית.

החיבור הוא גרנולרי ולכן אפשר להתחיל עם תשתית אחת ומשם להרחיב את הרשת במידת הצורך עם רכיבי רשת נוספים. מידע נוסף על Azure Virtual WAN

תצורת Interconnect 2 VNets ישנם מספר תצורות עיקריות לחיבור בין רשתות, למשל, Peering או VNet-to-VNet או במקרי קצה Site-to-Site.

רשת מבוססת VNet-to-VNet מספקת רשת וירטואלית עם כלל מרכיבי רשת (כתובת, סגמנטים, ניתובים וכן הלאה) שמקושרת לשרת בצורה לוגית, ולכן בכל פעם שמקימים שרת ומחברים אותו אל VNET אנו למעשה מקימים רשת וירטואלית.

בתצורת רשת של VNet-to-VNet אנו מאפשרים חיבור המבוסס על חיבור רשת אחת מול הרשת השניה וזה דומה ליצירת חיבור IPSEC בין שני אתרים שונים.

החיבור נעשה על גבי VPN Gateway לטובת חיבור מאובטח מבוסס IPSEC / IKE אשר מתפקדים באותו אופן, למעט העובדה של חיבור מול Local Network Gateway, ולכן כאשר יוצרים חיבור VNet-to-VNet טווח הכתובות המקומית של אותו VNET נוצר אוטומטית.

רשת מבוססת Site-2-Site מאפשר לחבר רשת מקומית אל רשת וירטואלית בשירות Azure דרך IPSEC / IKE, וחיבור מסוג זה דורש VPN הממוקם ברשת המקומית ומוגדר עם כתובת IP מפורסמת (כתובת public) כלפי חוץ.

רשת מבוססת Peering מאפשרת חיבור בין שתי רשתות וירטואליות נפרדות ללא צורך ברכיב Gateway, ובנוסף לכך מגיע עם מספר יתרונות על גבי חיבורים אחרים, כמו רוחב פס גבוה בין האובייקטים הקיימים בין שתי הרשתות, או תמיכה בפתרונות תקשורת צד שלישי וכן היכולות לחבר רשתות וירטואליות בין סביבות שונות של Azure.

לצד כל רכיבי הרשת אנו צריכים לדגום ולווא תקינות באמצעות Azure Network Watcher שמספק כלים לניטור, בדיקת קישוריות, הצגת מדדים, אבחון על גבי לוגים ולפקח על תקינות הרשת הקיימת שלנו בשירות Azure.

למשל, ניתן לנטר את הקישוריות בין שרת וירטואלי לבין הגישה לרשתות שונות ולוודא האם ישנה בעיה ע"י מנגנונים שונים כמו ביצועים, או intervalים, או latency וכן הלאה, ומכאן נוכל להבחין האם הניתובים שלנו נכונים ברמת שרת או VNET עצמו.

אפשרות נוספת היא בדיקת טופולוגית רשת והקישוריות בין כלל רכיבי הרשת

עוד על Azure Network Watcher

מידע נוסף על Azure Networking וטיפים במאמרים הבאים

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.