Azure Networking Overview Mohamed Tahar Chaouch

Agenda Mise en contexte Connectivité avec Azure VNET SubNet Load Balancer Traffic Manager Application Gateway NSG

Mise en Contexte

Pas besoin d’être un Guru de Cisco Azure networking c’est du soft. Je ne suis pas un ingénieur réseau J’ai jamais: Créer un VLAN Configurer un switch Comprendre le BGP …. Je connais un peut Concepts réseaux Routage & firewall Je suis un gars de AZURE

Que cherche-t-on? Disponibilité Ecosystem Politiques Hyper Scale: Enterprise Grade: Disponibilité Ecosystem Politiques Hyper Scale: Présence globale Connectivité globale Scale-out Hybrid: Sécurité Performance Automatisme

Connectivité avec Azure

Connectivité avec Azure Client Segment & workloads Internet Connectivity Clients Access over public IP DNS resolution Connect from anywhere Point-to-site connectivity Developers POC Efforts Small scale deployments Connect from anywhere Site-to-site VPN connectivity PME, Enterprises Connect to Azure compute ExpressRoute PME & Enterprises Connect to Microsoft services Mission critical workloads

Point-to-Site VPN User crée un VPN vers VNet Gestion par utilisateur Gestion/access “administrators” as a back door 10.1.0.0/24 10.1.1.0/24 10.1.254.0/29 Gateway Public IP Address

Site-to-Site (S2S) VPN VNet Gateway Gateway VPN to a VNet Pros: Cons 10.1.0.0/24 10.1.1.0/24 10.1.254.0/29 Gateway GW VM 1 GW VM 2 Gateway Public IP Address VPN to a VNet Pros: Prix Rapide à déployer Gestion interne Parfait PME Cons Support uniquement des connections vers des VNets Pas de SLA for the Internet

ExpressRoute Lower cost Predictable performance ExpressRoute provides a private, dedicated, high-throughput network connection between on-premises and Microsoft Azure Predictable performance Security High throughput Lower cost Microsoft Confidential

ExpressRoute… On-premises Network Microsoft Azure IT ExpressRoute Proxy / Interner edge IIS Servers AD / DNS SQL Farm Exchange ExpressRoute SQL DB Storage Websites Marketing Monitoring Sales R&D IT

VNet-to-VNet via gateway Connectivité dans azure … Azure Azure Segment & workloads VNet Peering within region In-region VNet-to-VNet Direct VM-to-VM connectivity Peer VNets for routing and transit VNet-to-VNet via gateway Same region or cross regions Connectivity via Azure VPN gateways

Connectivité dans azure …

Azure VNET

ExpressRoute VPN Gateways Azure virtual network Users Internet Backend connectivity ExpressRoute VPN Gateways Virtual Networks Flexible multi-tier topologies Frontend Connectivity Load-balanced and direct IPs ACLs & DDoS protection Traffic Manager & Azure DNS

Le rôle d’un VNet

Le rôle d’un Vnet … Azure MTMDET Autres Entreprise 10.1.0.0/24 10.1.1.0/24 10.1.2.0/24 10.1.1.0/24 10.1.2.0/24 MTMDET Autres Entreprise Azure

SUBNET

Subnets VNET: 3 subnets: default gateway Addresses VMs Network address: 10.0.0.0/16 3 subnets: Subnet-1: 10.0.0.0/24 Subnet-2: 10.0.1.0/24 Subnet-2: 10.0.2.0/24 default gateway 10.0.0.1, 10.0.1.1, 10.0.2.1 Addresses VMs 10.0.0.4 – 10.0.0.254 10.1.0.4 – 10.0.1.254 10.2.0.4 – 10.0.2.254 Anciennement: Gérer broadcast / domains Dans Azure: Ajouter de la sécurité dans le VNet Différente politiques de sécurité par subnet

Subnets… Chaque VM est dans un subnet Certaines VM peuvent être dans +ieurs subnets VM conntée à une nic virtuelle Une NIC est connectée à un subnet VNet DNS: 10.1.0.4; 10.1.0.5 IP Range: 10.2.0.4 - 10.2.0.254 Créer un VNet Nom et localisation Assigner adresse Créer 1 ou +ieurs subnets Nom Configurer DNS VNet (facultatif) Créer VMs Lier VNet/subnet Azure faire le reste IP: 10.2.0.4 Subnet Mask: 255.255.255.0 Default Gateway: 10.2.0.1 DNS: 10.1.0.4; 10.1.0.5

Subnets… Active Directory 192.168.3.0/24 Subnet3 App Server 1 Tier 3 192.168.2.0/24 Subnet2 Tier 2 192.168.1.0/24 Subnet1 Tier 1 App Server 1 VM Web Server 1 Web Server 2 192.168.3.0/24 Subnet3 Tier 3 Active Directory App Server 2 Outbound NAT  10.127.132.5

Balanceur de Charge

Vue d’ensemble de l’équilibreur de charge Azure Azure Load Balancer fonctionne au niveau couche 4 dans la pile de référence de réseau OSI. Il fournit une distribution du trafic au niveau du réseau. Application Gateway fonctionne au niveau de la couche 7 dans la pile de référence de réseau OSI. Il agit comme un service de proxy inversé, qui met fin à la connexion du client et transfère les requêtes vers les points de terminaison principaux. Traffic Manager fonctionne au niveau du DNS. Il utilise les réponses DNS pour diriger le trafic de l’utilisateur final vers les points de terminaison globalement distribués. Les clients se connectent ensuite à ces points de terminaison directement.

Load Balancer dans Azure Distribution basée sur le hachage Réacheminement de port Reconfiguration automatique Surveillance des services Source NAT

Load Balancer dans Azure …. Client 1 Client 2 Client 3 Client Idle Connection Timeout increased up to 30 minutes Traffic to the VIP LB VIP Azure Load Balancer VM Server Instance 1 VM Server Instance 2 Server 1 Server 2

Traffic Manager

Traffic Manager: DNS-based Load Balancing www.yourapp.com Performance - Direct to “closest” service based on network latency Round-robin - Distribute equally across all services Failover - Direct to “backup” service if primary fails —also included in other policies Load balancing policies

Traffic Manager … Le client envoie une requête DNS à son service DNS. Le service DNS récursif demande l’enregistrement CNAME qui pointe vers contoso.trafficmanager.net. Le service DNS récursif envoie envoi une demande pour l’enregistrement DNS « contoso.trafficmanager.net » à ces serveurs DNS. Les serveurs de noms Traffic Manager choisissent un point de terminaison. Le point de terminaison est retourné en tant qu’autre enregistrement CNAME DNS. Ensuite, le service DNS demande un enregistrement DNS contenant l’adresse IP du point de terminaison. Le service DNS récursif consolide les résultats et renvoie une seule réponse DNS au client. Le client reçoit les résultats DNS et se connecte à l’adresse IP donnée.

Passerelle Application Gateway

passerelle Application Gateway Les applications pour lesquelles les requêtes provenant d’une même session utilisateur/client doivent atteindre la même machine. Suppression de surcharge de terminaison SSL pour les batteries de serveurs web. Les applications qui exigent le routage ou l’équilibrage de charge sur différents serveurs principaux des multiples requêtes HTTP sur une même connexion TCP de longue durée. Applications prenant en charge le trafic websocket Protection des applications web des attaques basées sur le web courantes comme l’injection de code SQL, les attaques de script de site à site et les piratages de session. Distribution logique du trafic selon différents critères de routage, comme le chemin d’accès de l’URL ou les en-têtes de domaine.

Network Security Group

√ √ √ √ Network Security Groups (NSG) Internet Virtual Network On Premises 10.0/16 Le NSG contient une liste de règles de sécurité qui autorisent ou rejettent le trafic réseau vers les ressources connectées aux réseaux virtuels Azure (VNet). Les NSG peuvent être associés à des sous-réseaux, à des machines virtuelles spécifiques (Classic) ou à des interfaces réseau (NIC) individuelles attachées à des machines virtuelles (Resource Manager). Lorsqu’un NSG est associé à un sous-réseau, les règles s’appliquent à toutes les ressources connectées au sous-réseau. On peut restreindre davantage le trafic en associant également un NSG à une machine virtuelle ou à une NIC. Internet Internet S2S VPNs √ √ √ √ VPN GW Backend 10.3/16 Mid-tier 10.2/16 Frontend 10.1/16 Virtual Network

DMZ dans un Virtual Network Internet VIRTUAL NETWORK DMZ Database DNS Servers NSG Load Balancer Internal Load Balancer NSG Web Proxy App Servers NSG NSG

Questions