Zum Inhalt springen
Theme

Azure

Azure-Infrastrukturdiagramme mit HashiCorp Flight und Carbon Icon-Paketen für VNet-Netzwerk, Compute und verwaltete Dienste.

VNet mit App Gateway

Abschnitt betitelt „VNet mit App Gateway“

Azure VNet mit Gateway-, Anwendungs- und Daten-Subnetzen. Das Application Gateway verteilt den Datenverkehr auf VM Scale Sets.

architecture-beta
  group vnet(carbon:virtual-private-cloud)[Azure VNet]
  group gwsub(carbon:ibm-cloud-subnets)[Gateway Subnet] in vnet
  group appsub(carbon:ibm-cloud-subnets)[App Subnet] in vnet
  group datasub(carbon:ibm-cloud-subnets)[Data Subnet] in vnet

  service appgw(carbon:gateway-security)[App Gateway] in gwsub
  service vm1(hashicorp-flight:azure-vms-color)[VM Scale Set] in appsub
  service vm2(hashicorp-flight:azure-vms-color)[VM Scale Set] in appsub
  service sqldb(carbon:data-base)[Azure SQL] in datasub

  appgw:R --> L:vm1
  appgw:B --> T:vm2
  vm1:R --> L:sqldb
  vm2:R --> L:sqldb

AKS mit F5 XC Multi-Cloud Connect

Abschnitt betitelt „AKS mit F5 XC Multi-Cloud Connect“

Azure Kubernetes Service mit vorgelagertem F5 Distributed Cloud für Multi-Cloud-Anwendungskonnektivität und Sicherheit.

architecture-beta
  group xc(lucide:cloud)[F5 XC]
  group aks(hashicorp-flight:azure-aks-color)[AKS Cluster]

  service mcn(f5xc:multi-cloud-network-connect)[Network Connect] in xc
  service waap(f5xc:web-app-and-api-protection)[WAAP] in xc
  service ingress(carbon:gateway)[Ingress] in aks
  service app(hashicorp-flight:docker-color)[App Pods] in aks
  service cache(carbon:datastore)[Redis Cache] in aks
  service blob(hashicorp-flight:azure-blob-storage-color)[Blob Storage]

  mcn:R --> L:waap
  waap:R --> L:ingress
  ingress:R --> L:app
  app:B --> T:cache
  app:R --> L:blob

Hub-Spoke-Netzwerktopologie

Abschnitt betitelt „Hub-Spoke-Netzwerktopologie“

Azure Hub-Spoke-Architektur mit zentralisierter Sicherheit und gemeinsamen Diensten, die mehrere Spoke-VNets verbinden.

flowchart TD
  hub@{ icon: 'carbon:virtual-private-cloud', label: 'Hub VNet' }
  fw@{ icon: 'carbon:firewall', label: 'Azure Firewall' }
  vpn@{ icon: 'carbon:gateway-vpn', label: 'VPN Gateway' }
  spoke1@{ icon: 'carbon:ibm-cloud-subnets', label: 'Spoke 1 - Web' }
  spoke2@{ icon: 'carbon:ibm-cloud-subnets', label: 'Spoke 2 - App' }
  spoke3@{ icon: 'carbon:ibm-cloud-subnets', label: 'Spoke 3 - Data' }
  onprem@{ icon: 'lucide:server', label: 'On-Premises DC' }

  onprem --> vpn
  vpn --> hub
  hub --> fw
  fw --> spoke1
  fw --> spoke2
  fw --> spoke3

NVA-Hochverfügbarkeit mit Load Balancer — Internetdatenverkehr

Abschnitt betitelt „NVA-Hochverfügbarkeit mit Load Balancer — Internetdatenverkehr“

Eingehender Internetdatenverkehr trifft auf einen öffentlichen Load Balancer, der ihn auf NVA-Instanzen im Hub verteilt. Die NVA leitet geprüften Datenverkehr an Spoke-Workloads weiter. Rückkehrdatenverkehr von Spokes wird über einen internen Load Balancer zurück zur NVA für den ausgehenden Datenverkehr geleitet. Nummerierte Schritte zeigen den eingehenden Pfad (1–3) und den Rückgabepfad (4–6).

flowchart TD
  subgraph internet[Internet]
    cloud@{ icon: 'lucide:globe', label: 'Internet' }
  end
  subgraph hub[Hub VNet 10.0.0.0/24]
    subgraph gwsub[Gateway Subnet 10.0.0.0/27]
      gw@{ icon: 'azure:virtual-network-gateways', label: 'VPN/ER GW' }
    end
    subgraph nvasub[NVA Subnet 10.0.0.32/27]
      intlb@{ icon: 'azure:load-balancers', label: 'Internal LB 10.0.0.36' }
      nva@{ icon: 'azure:firewalls', label: 'NVA' }
    end
    publb@{ icon: 'azure:load-balancers', label: 'Public LB' }
  end
  subgraph spoke1[Spoke1 10.1.1.0/24]
    app1@{ icon: 'azure:virtual-machine', label: 'App Server' }
  end
  subgraph spoke2[Spoke2 10.1.2.0/24]
    app2@{ icon: 'azure:virtual-machine', label: 'App Server' }
  end
  onprem@{ icon: 'lucide:building', label: 'On-Premises 192.168.0.0/16' }

  cloud -->|1| publb
  publb -->|2| nva
  nva -->|3| app2
  app2 -->|4| intlb
  intlb -->|5| nva
  nva -->|6| cloud
  onprem --> gw
  gw --> intlb

NVA-Hochverfügbarkeit mit Load Balancer — On-Premises-Datenverkehr

Abschnitt betitelt „NVA-Hochverfügbarkeit mit Load Balancer — On-Premises-Datenverkehr“

On-Premises-Datenverkehr gelangt über ein VPN- oder ExpressRoute-Gateway und wird an einen internen Load Balancer weitergeleitet, der mehrere NVA-Instanzen vorschaltet. Die NVA prüft und leitet den Datenverkehr an Spoke-Workloads weiter. Rückkehrdatenverkehr durchläuft denselben internen Load Balancer, um Flow-Symmetrie sicherzustellen und asymmetrische Routingprobleme zu vermeiden.

flowchart TD
  subgraph hub[Hub VNet 10.0.0.0/24]
    subgraph gwsub[Gateway Subnet 10.0.0.0/27]
      gw@{ icon: 'azure:virtual-network-gateways', label: 'VPN/ER GW' }
    end
    subgraph nvasub[NVA Subnet 10.0.0.32/27]
      intlb@{ icon: 'azure:load-balancers', label: 'Internal LB 10.0.0.36' }
      nva1@{ icon: 'azure:firewalls', label: 'NVA' }
      nva2@{ icon: 'azure:firewalls', label: 'NVA' }
    end
  end
  subgraph spoke1[Spoke1 10.1.1.0/24]
    app1@{ icon: 'azure:virtual-machine', label: 'App Server' }
  end
  subgraph spoke2[Spoke2 10.1.2.0/24]
    app2@{ icon: 'azure:virtual-machine', label: 'App Server' }
  end
  onprem@{ icon: 'lucide:building', label: 'On-Premises 192.168.0.0/16' }

  onprem -->|1| gw
  gw -->|2| intlb
  intlb -->|3| nva1
  nva1 -->|4| app2
  app2 -->|5| intlb
  intlb -->|6| nva2
  nva2 -->|7| gw
  gw -->|8| onprem

NVA-Hochverfügbarkeit mit PIP/UDR — Aktiv/Standby

Abschnitt betitelt „NVA-Hochverfügbarkeit mit PIP/UDR — Aktiv/Standby“

Aktiv/Standby-NVA-Paar, bei dem die aktive Instanz (NVA1) die öffentliche IP-Adresse hält. Bei einem Ausfall ruft die Standby-NVA2 die Azure-API auf, um die öffentliche IP-Adresse neu zuzuweisen und benutzerdefinierte Routen zu aktualisieren, sodass diese auf sich selbst verweisen. Dieser Ansatz vermeidet Load Balancer, erfordert jedoch eine Failover-Orchestrierung auf API-Ebene.

flowchart TD
  subgraph internet[Internet]
    cloud@{ icon: 'lucide:globe', label: 'Internet' }
  end
  subgraph hub[Hub VNet 10.0.0.0/24]
    pip@{ icon: 'azure:public-ip-addresses', label: 'Public IP' }
    subgraph gwsub[Gateway Subnet 10.0.0.0/27]
      gw@{ icon: 'azure:virtual-network-gateways', label: 'VPN/ER GW' }
    end
    subgraph nvasub[NVA Subnet 10.0.0.32/27]
      nva1@{ icon: 'azure:firewalls', label: 'NVA1 Active 10.0.0.37' }
      nva2@{ icon: 'azure:firewalls', label: 'NVA2 Standby 10.0.0.38' }
    end
  end
  subgraph spoke1[Spoke1 10.1.1.0/24]
    app1@{ icon: 'azure:virtual-machine', label: 'App Server' }
  end
  subgraph spoke2[Spoke2 10.1.2.0/24]
    app2@{ icon: 'azure:virtual-machine', label: 'App Server' }
  end
  onprem@{ icon: 'lucide:building', label: 'On-Premises 192.168.0.0/16' }

  cloud -->|1| pip
  pip -->|2| nva1
  nva1 -->|3| app2
  app2 -->|4| nva1
  nva1 -->|5| cloud
  onprem --> gw

NVA-Hochverfügbarkeit mit Azure Route Server

Abschnitt betitelt „NVA-Hochverfügbarkeit mit Azure Route Server“

BGP-basierte Hochverfügbarkeit mit Azure Route Server. Der Route Server stellt eBGP-Adjacencies mit beiden NVA-Instanzen her und programmiert dynamisch die effektiven Routen der Spokes. ECMP verteilt die Last auf die NVAs ohne benutzerdefinierte Routen. Der Route Server injiziert Next-Hop-Einträge für beide NVA-IPs in alle gepeerden VNets.

flowchart TD
  subgraph internet[Internet]
    cloud@{ icon: 'lucide:globe', label: 'Internet' }
  end
  subgraph hub[Hub VNet 10.0.0.0/24]
    publb@{ icon: 'azure:load-balancers', label: 'Public LB' }
    subgraph gwsub[Gateway Subnet 10.0.0.0/27]
      gw@{ icon: 'azure:virtual-network-gateways', label: 'VPN/ER GW' }
    end
    subgraph nvasub[NVA Subnet 10.0.0.32/27]
      nva1@{ icon: 'azure:firewalls', label: 'NVA1 10.0.0.37' }
      nva2@{ icon: 'azure:firewalls', label: 'NVA2 10.0.0.38' }
    end
    subgraph rssub[Route Server Subnet 10.0.0.64/27]
      rs@{ icon: 'azure:virtual-router', label: 'Route Server' }
    end
  end
  subgraph spoke1[Spoke1 10.1.1.0/24]
    app1@{ icon: 'azure:virtual-machine', label: 'App Server' }
  end
  subgraph spoke2[Spoke2 10.1.2.0/24]
    app2@{ icon: 'azure:virtual-machine', label: 'App Server' }
  end

  cloud -->|1| publb
  publb -->|2| nva1
  nva1 -->|3| app2
  app2 -->|4| nva1
  nva1 -->|5| cloud
  rs <-.->|eBGP| nva1
  rs <-.->|eBGP| nva2
  gw --> rs

NVA-Hochverfügbarkeit mit Gateway Load Balancer

Abschnitt betitelt „NVA-Hochverfügbarkeit mit Gateway Load Balancer“

Transparente NVA-Einbindung über Azure Gateway Load Balancer. Datenverkehr, der für die Anwendung bestimmt ist, wird transparent vom öffentlichen Standard-Load-Balancer zum Gateway LB in einem separaten NVA-VNet umgeleitet. NVAs prüfen den Datenverkehr und geben ihn an den Gateway LB zurück, der ihn an die Anwendung weiterleitet. Zwischen den NVA- und Anwendungs-VNets sind weder VNet-Peering noch UDRs erforderlich.

flowchart TD
  subgraph internet[Internet]
    cloud@{ icon: 'lucide:globe', label: 'Internet' }
  end
  subgraph nvavnet[NVA VNet]
    gwlb@{ icon: 'azure:load-balancers', label: 'Gateway LB' }
    nva1@{ icon: 'azure:firewalls', label: 'NVA' }
    nva2@{ icon: 'azure:firewalls', label: 'NVA' }
  end
  subgraph appvnet[App VNet]
    publb@{ icon: 'azure:load-balancers', label: 'Public Std LB' }
    web@{ icon: 'azure:virtual-machine', label: 'Web Server' }
  end

  cloud -->|1| publb
  publb -->|2| gwlb
  gwlb -->|3| nva1
  nva1 -->|4| gwlb
  gwlb -->|5| publb
  publb -->|6| web
  gwlb --> nva2