Ignite 2019 Edition - بررسی مجازی سازی ⋆

شبکه لاجوردی: Ignite 2019 Edition

نوشت Paul Paul Schnackenburg
12/03/2019

شبکه جهانی مایکروسافت که دیتاسنترهای آن را وصل می کند خانه های لاجورد ، آفیس 365 ، بینگ ، ایکس باکس و غیره دومین شبکه بزرگ است. جهان (بعد از اینترنت) در کنفرانس Ignite مایکروسافت چندین سرویس جدید و پیشرفته را برای افرادی که از Azure استفاده می کنند معرفی کرد ، این مقاله این پیشرفت ها را پوشش می دهد.

ما به اتصال به اینترنت و تجزیه و تحلیل آن ترافیک خواهیم پرداخت ، با اتصال ایمن به Azure با استفاده از ماهواره ها ، Virtual WAN ، ExpressRoute و Site to Site VPN ، پیشرفت های IPv6 ، مدیر جدید Firewall و Application Gateway / Front Door به همراه وب بهبود برنامه های دیوار آتش.

مدیر فایروال لاجورد. — **[Click on image for larger view.]** *شکل 1: مدیر فایروال لاجورد*

Peering Service & Analyzer Internet
ارائه دهندگان بزرگ ابر عمومی رویه های مختلفی در رابطه با نحوه اتصال کاربران به پایگاه داده های ابری خود دارند. GCP و Azure ترجیح می دهند در اسرع وقت ترافیک را به شبکه ستون فقرات خود وارد کنند ، در حالی که AWS بیشتر به اینترنت متکی است تا مطابق این گزارش ThousandEyes با استفاده از ترافیک کاربران روبرو شود. با هدف این اطمینان حاصل شده است که فقط یک ISP بین مکانهای شما و یک نقطه حضور لاجورد (سایت POP یا Edge – 160 مورد از این موارد) وجود داشته باشد. شما با ISP وارد می شوید که بخشی از این سرویس است و آنها اتصال بهینه ای به Office 365 ، Dynamics 365 و Azure دارند. به صورت اختیاری می توانید اندازه گیری تأخیر کاربر ، نظارت بر مسیر BGP و هشدارهای مربوط به نشت / ربودن BGP را فعال کنید.

Internet Analyzer یکی دیگر از سرویس های پیش نمایش است که به شما امکان می دهد تجربه کاربر نهایی را برای برنامه های خود اندازه گیری و مقایسه کنید (یک مشتری جاوا اسکریپت کوچک در برنامه شما مستقر است) ، برای بررسی نتایج حاصل از اجرای CDN / Front Door و مقایسه آن در فضای داخلی مفید است. و استقرار ابری برای آماده سازی برای مهاجرت.

اتصال ماهواره ای

ExpressRoute یک گزینه عالی برای مشاغل بزرگتر است که به شدت به Azure تکیه می کنند ، به جای اینکه با لینک های VPN از طریق اینترنت ارتباط برقرار کنید ، لینک اختصاصی و اختصاصی خود را دارید. اما مکانهایی در این سیاره وجود دارد که در آن قرار دارد

برقراری ارتباط آسان نیست
یا شاید شما در یک کشتی هستید که در حال حرکت است.

ExpressRoute از طریق ماهواره
ممکن است یک راه حل برای تجارت شما باشد ، که با آن ارائه می شود

ویاسات
،

SES
و اینتلست

Virtual WAN
Azure یک بازیکن در نرم افزار تعریف شده WAN (SD-WAN) از طریق Virtual WAN است که سال گذشته منتشر شد. تقریباً جدید ادغام اتصال ExpressRoute ، Point به Site (P2S) VPN و امکان انتخاب مسیر از یک شاخه به مکان دیگر است. در پیش نمایش ادغام با فایروال لاجورد (به تصویر زیر مراجعه کنید) و اتصال Hub / Any-to-any. حالت دوم شاخه ها را به Azure ، شاخه ها به یکدیگر ، ExpressRoute و S2S VPN مکان های متصل به یکدیگر ، کاربران P2S VPN را به سایت ها و vNets به vNets وصل می کند. اگر فکر می کنید این ارتباط تقریباً بهبود یافته است و بهتر است با قرارداد قفل سه ساله ارائه دهنده مخابراتی فعلی WAN خود ، WAN را رعایت کنید ، این جلسه را از Ignite اکیداً توصیه می کنم. شبکه جهانی شرکت های آینده چابک ، مبتنی بر نرم افزار است و هر جا ممکن باشد ستون فقرات ابر را سوار می کند.

ExpressRoute
طی یک سال گذشته ExpressRoute با FastPath (دور زدن از شبکه دروازه مجازی در لاجورد) بهبود یافته است ، بنابراین فراهم می کند تأخیر) و افزودن مکانهای بیشتر و شرکای ارتباط از راه دور. ExpressRoute Local یک سایت جالب جدید (فقط برای اتصالات جدید) برای سایتهای نزدیک به دیتاسنترهای لاجورد است. برای سرعت 1 گیگابیت بر ثانیه و بالاتر ، به آن منطقه محلی وصل خواهید شد که هیچ گونه هزینه انتقال اطلاعات در خارج از کشور را ندارد ، اگر به دنبال راهی برای مهاجرت مقادیر زیادی از داده به ابر هستید ، مفید خواهد بود.

Bidirectional Detectoring Forwarding ( BFD) سرعتي را كه در آن خطاها در پيوند تشخيص داده مي شود را بهبود مي بخشد و عدم وقوع آن اتفاق مي افتد. ExpressRoute Direct اتصال دوگانه 10 یا 100 گیگابیتی را مستقیماً به لاجورد می دهد و هم اکنون از MACsec پشتیبانی می کنید ، همه رمز عبور بین شما و لاجورد را با کلیدهایی که مدیریت می کنید رمزگذاری می کنید.

سایت به سایت و نقطه به سایت VPN
مقیاس برای VPN با حداکثر 10 Gbps به لاجوردی و تا 10،000 کاربر P2S متصل به SKU های جدید Gateway بهبود یافته است. اکنون P2S احراز هویت Azure Active Directory (از جمله MFA / Access Access) را در پیش نمایش ارائه می دهد و مشتری VPN اکنون از پروتکل OpenVPN استفاده می کند.

همچنین با ضبط بسته های دروازه VPN با فرمت PCAP / ETW ، مشکل عیب یابی نیز آسان تر خواهد شد. می تواند بر اساس زیر شبکه منبع یا پورت ، زیر شبکه مقصد یا پورت یا پروتکل و همچنین پرچم های TCP (SYN ، ACK ، FIN ، URG ، PSH ، RST) فیلتر شود.

IPv6
IPv6 کمی شبیه "سال لینوکس روی دسک تاپ" است – اتفاق نمی افتد. اما هرچه بیشتر دستگاه ها به هم وصل شوند ، واقعیت کاهش آدرس IPv4 در حال تنظیم است و IPv6 در vNets اکنون در دسترس است. قوانین NSG ، Routes تعریف شده توسط کاربر (UDR) ، vNet peering و محافظت از DDOS همه از آدرس های IPv6 کاملاً پشتیبانی می کنند و در صورت استفاده از IPv6 می توانید از داخل محل به vure های Azure vNets خود اتصال بومی داشته باشید. برای امتحان کردن می توانید پشتیبانی از یک vNet موجود را اضافه کنید و در صورت عدم کارآمد می توانید دوباره آن را غیرفعال کنید. متعادل کننده بار اصلی و استاندارد از پروب های بهداشتی IPv6 پشتیبانی می کند و قوانین آن را می توان با آدرس های IPv6 پیکربندی کرد. اگر شما یک فروشگاه سیسکو هستید ، می توانید از Cisco Cloud Services Router (CSR) 1000V برای مدیریت اتصال پشته دوگانه v4 / v6 استفاده کنید.

با این وجود پوشش کامل نیست ، پشتیبانی از IPv6 در ExpressRoute و VPN Gateway هنوز آینده است. (وعده داده شده برای سال 2020) همچنین پشتیبانی از ظروف و خدمات PaaS مانند Storage و SQL است.

مدیر فایروال
در آزور ما همیشه گروه امنیت شبکه (NSG) ، یک فایروال نرم افزار رایگان برای کنترل ترافیک از و به سمت VM و سایر خدمات داشته ایم. در محیط های بزرگتر NSG می تواند سخت شود زیرا هیچ مکانی برای اجرای سیاست و به روزرسانی قوانین وجود ندارد. سال گذشته ما Azure Firewall را دریافت کردیم ، یک دیوار آتش سرویس PaaS با کنترل متمرکز ، قادر به مدیریت یک مرکز است و به راحتی از معماری صحبت می کند. اما اگر چندین منطقه فایروال در مناطق مختلف داشتید که مجبور بودند جداگانه آنها را مدیریت کنید ، مدیر جدید Firewall به شما امکان می دهد تمام Firewall را از یک مکان مدیریت کنید. شما می توانید قوانین را در یک منطقه تعریف کنید و از آنها در هر منطقه دیگری استفاده کنید و می توانید یک سیاست فایروال مرکزی داشته باشید که فایروال ها را در یک سلسله مراتب مدیریت کند که در آن فایروال های موجود در پایین خط می توانند مجموعه ای از قوانین خاص خود را داشته باشند (تا زمانی که آنها سعی نکنید. اجازه دهید تا ترافیکی که به طور مرکزی مسدود شده باشد).

مدیر فایروال Azure. — **[Click on image for larger view.]** *شکل 2: ایجاد یک مرکز مجازی امن*

فایروال و مجازی WAN همچنین با هاب های مجازی ایمن ارتباط برقرار می کنند ، روشی جدید برای انجام یک vNet مرکزی مدیریت شده که نیازی به انجام آن ندارد. مسیریابی تعریف شده توسط کاربر (UDR) برای مدیریت جریان ترافیک. همچنین با امنیت به عنوان یک سرویس دهنده (SECaaS) ارائه دهنده خدمات ارتباط برقرار می کند و به شما امکان می دهد خدمات مدیریتی را برای شخص ثالث (zscaler و iboss امروز با ورود Check Point) به شبکه مدیریت خود اضافه کنید. در نقشه راه پشتیبانی از مدیریت NSG از طریق Firewall Manager است.