Netzwerk-Management in Azure: Freiheiten & Feinheiten

Häufig sehen wir bei Kundenprojekten eine Vielzahl von Netzwerkimplementierungen in der Cloud. Einige Kunden setzen dabei auf völlig unabhängige Network Stacks zur Bereitstellung von IaaS-Diensten in Azure, wie beispielsweise virtuelle Server. Andere nutzen klassische, netzwerkunabhängige PaaS- und SaaS-Dienste, die über das Internet oder das Microsoft-Backbone-Netzwerk über einen öffentlichen Endpunkt zugänglich sind. Der Versuch, On-Premises-Netzwerkumgebungen in die Cloud zu adaptieren, ist ebenfalls ein verbreiteter Ansatz, der jedoch oft unnötige Komplexität und Probleme mit sich bringt. Es ist deutlich, dass die Ansätze vielfältig sind und die Implementierungsmöglichkeiten ebenso komplex.

Eine sorgfältige Planung ist in Azure grundsätzlich wichtig, doch nicht unveränderlich. Um eine hybride Infrastruktur aufzubauen, sollte eine Überschneidung von IP-Adressbereichen in Cloud und On-Premises vermieden werden. Neben solchen grundlegenden Entscheidungen können jederzeit vielfältige Lösungen implementiert werden. Services wie die Azure Firewall bieten in verschiedenen Leistungsstufen hervorragenden Edge-Security-Service für ausgehenden und eingehenden Verkehr. Es besteht kein Bedarf, Third-Party-NVA-Lösungen einzusetzen oder den Traffic zu einer On-Premises-Firewall umzuleiten, was hohe Kosten verursachen kann. Das Azure Application Gateway mit WAF (Web Application Firewall) bietet eine ausgezeichnete Lösung für das sichere Bereitstellen von Internet-facing-Webservices, ähnlich einer vereinfachten DMZ. Neuerdings können auch andere Ports als die reinen Web-Service-Ports wie Port 80 und 443 veröffentlicht und gesichert werden.

Es ist auch möglich, Azure-Dienste, die sonst über einen rein öffentlichen Endpunkt bereitgestellt würden, als interne Dienste mit privaten Endpunkten anzubieten. Der öffentliche Endpunkt kann dabei deaktiviert und durch einen privaten Endpunkt ersetzt werden, der eine Netzwerkschnittstelle und somit eine private IP-Adresse bereitstellt. Der Traffic verlässt dann nicht die eigene Netzwerkumgebung und ist nicht öffentlich zugänglich. Dies erhöht die Sicherheit der Dienste, allerdings sollte der Traffic stets sorgfältig reguliert werden, etwa durch eine Azure Firewall oder, einfacher, mit Network Security Groups.

Azure bietet auch für die Vernetzung von On-Premises-Rechenzentren, Niederlassungen oder Benutzerclients zahlreiche Möglichkeiten. ExpressRoute bietet einen schnellen und zuverlässigen Service mit geringen Latenzen, obwohl er kostenintensiv ist. Außerdem gibt es klassische Site-to-Site-Verbindungen basierend auf VPN, für die verschiedene Gateway-Größen verfügbar sind. Auch Client-to-Azure-Verbindungen basierend auf zertifikatsbasierter oder EntraID-basierter Authentifizierung sind möglich.

Der Virtual WAN-Service von Microsoft vereinfacht das globale Management des Netzwerkstacks erheblich und zentralisiert viele sonstige Konfigurationen, wie die globale und regionale Routingkonfiguration und -propagation. Dabei lassen sich auch Services wie Third-Party-Firewalls oder Azure-Dienste wie Azure Firewall und Gateways schnell und einfach implementieren und verwalten.

Zusammenfassend lässt sich sagen, dass Azure eine breite Palette an Netzwerkdiensten bietet, die hohe Anfangsinvestitionen unnötig machen und die Nutzungshürden deutlich senken. Dennoch muss für das allgemeine Netzwerkdesign und die lösungsspezifische Anpassung bei einzelnen Anwendungen sorgfältig geprüft werden, welche Lösungen am besten geeignet sind. Gerne unterstützen wir euch mit unserer Erfahrung bei der Gestaltung des optimalen Netzwerkdesigns.