Azure Networking Overview

Présentation au sujet: "Azure Networking Overview"— Transcription de la présentation:

1 Azure Networking Overview
Mohamed Tahar Chaouch

2 Agenda Mise en contexte Connectivité avec Azure VNET SubNet Load Balancer Traffic Manager Application Gateway NSG

3 Mise en Contexte

4 Pas besoin d’être un Guru de Cisco
Azure networking c’est du soft. Je ne suis pas un ingénieur réseau J’ai jamais: Créer un VLAN Configurer un switch Comprendre le BGP …. Je connais un peut Concepts réseaux Routage & firewall Je suis un gars de AZURE

5 Que cherche-t-on? Disponibilité Ecosystem Politiques Hyper Scale:
Enterprise Grade: Disponibilité Ecosystem Politiques Hyper Scale: Présence globale Connectivité globale Scale-out Hybrid: Sécurité Performance Automatisme

6 Connectivité avec Azure

7 Connectivité avec Azure
Client Segment & workloads Internet Connectivity Clients Access over public IP DNS resolution Connect from anywhere Point-to-site connectivity Developers POC Efforts Small scale deployments Connect from anywhere Site-to-site VPN connectivity PME, Enterprises Connect to Azure compute ExpressRoute PME & Enterprises Connect to Microsoft services Mission critical workloads

8 Point-to-Site VPN User crée un VPN vers VNet Gestion par utilisateur
Gestion/access “administrators” as a back door /24 /24 /29 Gateway Public IP Address

9 Site-to-Site (S2S) VPN VNet Gateway Gateway VPN to a VNet Pros: Cons
/24 /24 /29 Gateway GW VM 1 GW VM 2 Gateway Public IP Address VPN to a VNet Pros: Prix Rapide à déployer Gestion interne Parfait PME Cons Support uniquement des connections vers des VNets Pas de SLA for the Internet

10 ExpressRoute Lower cost Predictable performance
ExpressRoute provides a private, dedicated, high-throughput network connection between on-premises and Microsoft Azure Predictable performance Security High throughput Lower cost Microsoft Confidential

11 ExpressRoute… On-premises Network Microsoft Azure IT ExpressRoute
Proxy / Interner edge IIS Servers AD / DNS SQL Farm Exchange ExpressRoute SQL DB Storage Websites Marketing Monitoring Sales R&D IT

12 VNet-to-VNet via gateway
Connectivité dans azure … Azure Azure Segment & workloads VNet Peering within region In-region VNet-to-VNet Direct VM-to-VM connectivity Peer VNets for routing and transit VNet-to-VNet via gateway Same region or cross regions Connectivity via Azure VPN gateways

13 Connectivité dans azure …

14 Azure VNET

15 ExpressRoute VPN Gateways
Azure virtual network Users Internet Backend connectivity ExpressRoute VPN Gateways Virtual Networks Flexible multi-tier topologies Frontend Connectivity Load-balanced and direct IPs ACLs & DDoS protection Traffic Manager & Azure DNS

16 Le rôle d’un VNet

17 Le rôle d’un Vnet … Azure MTMDET Autres Entreprise 10.1.0.0/24
/24 /24 /24 /24 MTMDET Autres Entreprise Azure

18 SUBNET

19 Subnets VNET: 3 subnets: default gateway Addresses VMs
Network address: /16 3 subnets: Subnet-1: /24 Subnet-2: /24 Subnet-2: /24 default gateway , , Addresses VMs – – – Anciennement: Gérer broadcast / domains Dans Azure: Ajouter de la sécurité dans le VNet Différente politiques de sécurité par subnet

20 Subnets… Chaque VM est dans un subnet
Certaines VM peuvent être dans +ieurs subnets VM conntée à une nic virtuelle Une NIC est connectée à un subnet VNet DNS: ; IP Range: Créer un VNet Nom et localisation Assigner adresse Créer 1 ou +ieurs subnets Nom Configurer DNS VNet (facultatif) Créer VMs Lier VNet/subnet Azure faire le reste IP: Subnet Mask: Default Gateway: DNS: ;

21 Subnets… Active Directory 192.168.3.0/24 Subnet3 App Server 1 Tier 3
/24 Subnet2 Tier 2 /24 Subnet1 Tier 1 App Server 1 VM Web Server 1 Web Server 2 /24 Subnet3 Tier 3 Active Directory App Server 2 Outbound NAT 

22 Balanceur de Charge

23 Vue d’ensemble de l’équilibreur de charge Azure
Azure Load Balancer fonctionne au niveau couche 4 dans la pile de référence de réseau OSI. Il fournit une distribution du trafic au niveau du réseau. Application Gateway fonctionne au niveau de la couche 7 dans la pile de référence de réseau OSI. Il agit comme un service de proxy inversé, qui met fin à la connexion du client et transfère les requêtes vers les points de terminaison principaux. Traffic Manager fonctionne au niveau du DNS. Il utilise les réponses DNS pour diriger le trafic de l’utilisateur final vers les points de terminaison globalement distribués. Les clients se connectent ensuite à ces points de terminaison directement.

24 Load Balancer dans Azure
Distribution basée sur le hachage Réacheminement de port Reconfiguration automatique Surveillance des services Source NAT

25 Load Balancer dans Azure ….
Client 1 Client 2 Client 3 Client Idle Connection Timeout increased up to 30 minutes Traffic to the VIP LB VIP Azure Load Balancer VM Server Instance 1 VM Server Instance 2 Server 1 Server 2

26 Traffic Manager

27 Traffic Manager: DNS-based Load Balancing
Performance - Direct to “closest” service based on network latency Round-robin - Distribute equally across all services Failover - Direct to “backup” service if primary fails —also included in other policies Load balancing policies

28 Traffic Manager … Le client envoie une requête DNS à son service DNS.
Le service DNS récursif demande l’enregistrement CNAME qui pointe vers contoso.trafficmanager.net. Le service DNS récursif envoie envoi une demande pour l’enregistrement DNS « contoso.trafficmanager.net » à ces serveurs DNS. Les serveurs de noms Traffic Manager choisissent un point de terminaison. Le point de terminaison est retourné en tant qu’autre enregistrement CNAME DNS. Ensuite, le service DNS demande un enregistrement DNS contenant l’adresse IP du point de terminaison. Le service DNS récursif consolide les résultats et renvoie une seule réponse DNS au client. Le client reçoit les résultats DNS et se connecte à l’adresse IP donnée.

29 Passerelle Application Gateway

30 passerelle Application Gateway
Les applications pour lesquelles les requêtes provenant d’une même session utilisateur/client doivent atteindre la même machine. Suppression de surcharge de terminaison SSL pour les batteries de serveurs web. Les applications qui exigent le routage ou l’équilibrage de charge sur différents serveurs principaux des multiples requêtes HTTP sur une même connexion TCP de longue durée. Applications prenant en charge le trafic websocket Protection des applications web des attaques basées sur le web courantes comme l’injection de code SQL, les attaques de script de site à site et les piratages de session. Distribution logique du trafic selon différents critères de routage, comme le chemin d’accès de l’URL ou les en-têtes de domaine.

31 Network Security Group

32 √ √ √ √ Network Security Groups (NSG) Internet Virtual Network
On Premises 10.0/16 Le NSG contient une liste de règles de sécurité qui autorisent ou rejettent le trafic réseau vers les ressources connectées aux réseaux virtuels Azure (VNet). Les NSG peuvent être associés à des sous-réseaux, à des machines virtuelles spécifiques (Classic) ou à des interfaces réseau (NIC) individuelles attachées à des machines virtuelles (Resource Manager). Lorsqu’un NSG est associé à un sous-réseau, les règles s’appliquent à toutes les ressources connectées au sous-réseau. On peut restreindre davantage le trafic en associant également un NSG à une machine virtuelle ou à une NIC. Internet Internet S2S VPNs √ √ √ √ VPN GW Backend 10.3/16 Mid-tier 10.2/16 Frontend 10.1/16 Virtual Network

33 DMZ dans un Virtual Network
Internet VIRTUAL NETWORK DMZ Database DNS Servers NSG Load Balancer Internal Load Balancer NSG Web Proxy App Servers NSG NSG

34 Questions