Einleitung
In diesem Artikel möchte ich Euch Azure Virtual WAN näherbringen. Azure Virtual WAN ist ein Dienst von der es Euch ermöglicht Euer eigenes Corporate Netzwerk weltweit über den Azure Backbone abzubilden.
Der Azure Backbone
Da dies nur schlecht mit Telcos auf der ganzen Erde zu verwirklichen wäre, hat Microsoft schon vor vielen Jahren damit begonnen, Netzwerke über den ganzen Globus zu spannen. Konkret ist es tatsächlich so dass Microsoft Glasfaserleitungen im Boden und im Meer verlegt die dann zur alleinigen Nutzung durch Microsoft oder zur Nutzung mit wenigen Partnern zur Verfügung stehen. Mit diesem Konzept macht sich Microsoft auch nicht abhängig von Drittanbietern oder Themen wie der Eingriff in die Netzneutralität.
Tatsächlich ist Microsoft mittlerweile einer der 3 grössten Netzwerkanbieter der Welt.
- 100 Gbps Bandbreite im Backbone
- 210’000 km Glasfaserverbindungen
- 170 globale Einstiegspunkte
- Das gesamte Netzwerk wir nie übers Internet geleitet
Dadurch das das gesamte Netzwerk unter Microsoft Kontrolle ist und keine Verbindungen über das Internet stattfinden, ist dieses Netzwerk nicht nur sehr sicher, es ist vor allem auch wahnsinnig schnell.
Traditionelle Netze
Traditionell binden Firmen, die ihren Sitz in der Schweiz haben, ihre Aussenstellen überall auf der Welt über komplexe und teure Verbindungen, wie z.B. MPLS an. Eine Erschliessung von mehreren Standorten kann Monate dauern und wird mit niedrigen Bandbreiten trotzdem sehr viel kosten.
Änderungen an dem Konstrukt sind immer ein kleines Projekt, da man dies an den Telco übergeben muss. Insgesamt also eine teure und nicht allzu flexible Lösung.
Azure Virtual WAN an einem Kundenbeispiel
Meine Kollegen und ich bei Baggenstos durften daher kürzlich für einen Kunden ein solches konventionelles MPLS Netzwerk gegen ein Azure Virtual WAN ablösen.
Die Eckdaten:
- 1 Hauptsitz in der Schweiz
- 4 Kontinente
- 30 Standorte
- 3 Azure Regionen
- Anbindung aller mobilen Clients über Always on VPN
Wir begleiten den Kunden seit seinem Entscheid für eine Azure / O365 Strategie auf dem Weg in die Cloud. Neben der Migration aller Workloads vom einem Rechencenter am Boden nach Azure und dem globalen Rollout von neuen Intune verwalteten Clients, war auch der Anspruch an ein verlässliches, skalierbares und günstiges Netzwerk über den Globus gegeben.
Der Kunde ist an rund 30 Standorten auf den 4 Kontinenten Nord- und Südamerika, Europa und Asien verteilt.
- Als erstes erschlossen wir 3 Azure Regionen, East US, Western Europe und Central India. Die Regionen wurden auf Basis der Standorte, die angeschlossen werden mussten, bestimmt.
- Anschliessend erstellten wir ein Azure Virtual WAN mit 3 sogenannten Hubs in den 3 Azure Regionen. Diese 3 Hubs wurden dann über ein Hub to Hub Peering verbunden. Somit erreichten wir sehr schnelle Verbindungen mit tiefen Antwortzeiten über alle 3 Geo Regionen.
- Von den 3 Hubs aus wurden dann via Site 2 Site VPNs die Standorte erschlossen. Die Erschliessung erfolgt im ersten Schritt über einfache aber möglichst schnelle lokale Internetanbindungen. In einem weiteren Schritt werden diese dann je nach Bedarf redundant ausgelegt.
- So wurde Standort für Standort abgelöst und die MPLS Verbindungen gekappt und die Verträge gekündigt. Die Standorte profitieren so im Vergleich zu vorher von schnelleren Internet Zugängen und einer weitgehenden Unabhängigkeit der Telcos.
- Die mobilen Clients wurden über einen Always on VPN Gateway direkt über das vWAN angebunden.
Nebenschauplatz Active Directory
Da in der Kundeninfrastruktur Windows das primäre OS ist, gab es auch eine hohe Anzahl an Domain Controllern die über den ganzen Globus verteilt waren. Mindestens einer pro Standort um Logon, DNS, etc. bereitzustellen. Diese wurden nun sukzessive abgebaut und es bestehen nur noch redundante Domain Controller pro Azure Region. Alle Standorte beziehen dann ihre nötigen AD Dienste über die vWAN Verbindung in die am nächsten liegende Azure Region.
Da der neue Client der gerollt wird, sowieso nur noch Azure AD gejoint ist, konnte auch auf diese komplexe und mit hohen Verwaltungsaufwand verbundene Infrastruktur abgelöst werden.
Einige Worte zum Deployment
Das Deployment ist komplett mit PowerShell und ARM Templates automatisiert und kann jederzeit neu deployt werden. Wenn die Internet Anschlüsse stehen und die lokalen Firewalls als Endpunkte konfiguriert sind, kann das Azure Virtual WAN mit allen VPN Verbindungen voll automaisch deployt werden. Das Ganze steht nach einigen Stunden.
Insgesamt benötigten wir für dieses Umstellung von Zeitpunkt des Entschlusses bis zum Abschluss knapp 2 Monate. Die meiste Zeit ging für Administrative Arbeiten und die Konfiguration der lokalen Firewalls und der neuen Internet Anschlüsse drauf.
Jeder der mal ein MPLS über 30 Standorte in der Welt von seinem Telco des Vertrauens hat erstellen lassen, weiss dass dies nicht in der Zeit machbar wäre.
Ähnliche Artikel
Wenn einer eine Reise tut – mit dem Flugzeug
Reisen. Dies war die letzten Jahre stark mit meinem Beruf verbunden.Durch meine Rolle bei Microsoft, konnte ich in ganz EMEA eingesetzt werden. Im groben bedeutet…
Weiterlesen »
Cloud und die Schweiz – eine persönliche Analyse
Ich gehe in diesem Artikel nur auf Microsoft Cloud Lösungen wie Microsoft Azure und Office 365 ein.Als ich vor vielen Jahren an einer internen Konferenz…
Weiterlesen »