Sesiunea 4
Take Networking to the Next Level
ExpressRoute, VPN Gateway, Private Link și arhitecturi hub-spoke
Introducere
Take Networking to the Next Level
De ce contează acest material
Dacă Azure Firewall este paznicul central al traficului, atunci ExpressRoute, VPN Gateway, Private Link și hub-spoke sunt drumurile, tunelurile, intrările private și planul orașului. Fără ele, o infrastructură cloud poate funcționa, dar nu este ușor de extins, securizat și operat la scară.
Un serviciu poate fi perfect implementat la nivel de aplicație, dar dacă rutarea, DNS-ul, conectivitatea hibridă și izolarea de rețea sunt proiectate slab, apar exact problemele care dor în viața reală: latență, downtime, timeouts, rezolvare DNS inconsistentă, troubleshooting dificil și costuri operaționale inutile.
Analogii simple
ExpressRoute
Autostradă privată închiriată între compania ta și cloud.
VPN Gateway
Tunel securizat prin drumurile publice ale internetului.
Private Link
Ușă laterală privată direct în clădirea unui serviciu Azure, fără intrarea publică.
Hub-Spoke
Aeroport central cu terminale: un hub comun și mai multe zone specializate.
Slide 3–5
Ce problemă rezolvă fiecare serviciu
Servicii de networking — când alegi ce
| Serviciu | Analogie | Ce face bine | Când îl alegi |
|---|---|---|---|
| ExpressRoute | Autostradă privată | Conectivitate privată, stabilă, predictibilă, BGP, latență mai bună | Ai datacenter / MPLS și vrei conectivitate enterprise |
| VPN Gateway | Tunel securizat | Criptează traficul IPsec; bun pentru filiale și backup | Vrei timp rapid de implementare și cost mai mic |
| Private Link | Intrare privată dedicată | Expune un serviciu PaaS prin IP privat în VNet | Vrei acces privat la Storage, SQL, Key Vault, App Service |
| Hub-Spoke | Aeroport central | Centralizează gateway, firewall, DNS, monitorizare și politici | Ai mai multe workload-uri și vrei guvernanță clară |
| App Gateway | Recepție inteligentă | Reverse proxy, WAF, TLS, routing HTTP/S | Ai trafic web L7 și vrei WAF / routing pe URL |
| NSG | Paznic la ușa clădirii | Allow/Deny stateful pentru conexiuni; micro-segmentare | Vrei micro-segmentare la nivel de VM sau subnet |
Roluri principale — privire de ansamblu
ExpressRoute
Conectivitate privată între on-prem și Azure. Folosește provider și BGP; nu este internet VPN. Nivel: Hibrid / WAN.
VPN Gateway
Tuneluri IPsec între Azure și alte rețele. Excelent pentru filiale, backup și scenarii rapide. Nivel: L3.
Private Endpoint
IP privat în VNet pentru un serviciu. Nu conectează rețele întregi; conectează consumatorul la un serviciu concret.
Hub-Spoke
Model de arhitectură și guvernare. Centralizează gateway, firewall, DNS și controale comune. Nivel: Topologie.
Private Link Service
Publici propriul tău serviciu în mod privat. Necesită Standard Load Balancer în fața serviciului tău.
Slide 6
Concepte fundamentale de rețea
Fundația pe care se construiesc toate serviciile
Înainte de orice deploy, trebuie să stăpânești aceste concepte de bază.
CIDR și adresare
Alege spații de adrese care nu se suprapun cu on-premises sau cu alte VNets. Un design bun începe cu IP plan-ul.
Subnet
Porțiune a VNet-ului. Unele servicii Azure cer subneturi dedicate — de exemplu GatewaySubnet pentru VPN/ExpressRoute.
Routing
Traficul urmează cea mai specifică rută. Azure combină system routes, peering routes, BGP routes și UDR-uri.
BGP
Protocol de rutare dinamică folosit intens de ExpressRoute și, opțional, de VPN Gateway. Permite schimb automat de rute.
Gateway transit
Permite spoke-urilor să folosească gateway-ul din hub fără a crea gateway în fiecare spoke. Economie și simplitate.
DNS pentru Private Endpoint
Private Endpoint fără DNS bine gândit devine rapid o sursă de confuzie. Numele trebuie să rezolve către IP-ul privat.
Regulă de aur: Proiectarea adresării este primul exercițiu de disciplină, nu un detaliu administrativ. Fă-o corect de la început.
Slide 7
Arhitectura Hub-Spoke explicată
Hub vs Spoke
Hub — centrul de comandă
Locul central pentru servicii comune: gateway-uri, firewall, DNS, monitorizare, bastion, instrumente de ops. Tot ce este partajat stă aici.
Spoke — zona de workload
Rețele separate pentru workload-uri: aplicații, date, integrare, sandbox sau medii dev/test/prod. Fiecare spoke este izolat logic.
Principii cheie
Hub = centralizare și guvernare. Spoke = izolare logică și limitarea blast radius-ului. Peering = legătura de mare viteză între VNETs.
Allow gateway transit pe hub + Use remote gateways pe spoke = spoke-ul învață rutele din gateway-ul hub-ului. Poți adăuga Azure Firewall sau NVA în hub și folosi UDR pentru a direcționa traficul prin el.
Întrebări frecvente
| Întrebare | Răspuns |
|---|---|
| Pui gateway în fiecare spoke? | De regulă nu. De aceea există hub-ul. |
| Peering-ul este tranzitiv? | Nu. Dacă A peered cu B și B cu C, A nu vede automat C. |
| Private Endpoint în hub sau spoke? | Cât mai aproape de consumatorul principal și de zona de guvernare DNS. |
| Virtual WAN vs hub-spoke self-managed? | Virtual WAN când ai multe site-uri globale și vrei model gestionat de Microsoft. |
Slide 8
Decision Flow: Ce alegi și când
Arborele de decizie
1. Conectezi Azure cu on-prem?
Primul pas: determini dacă ai nevoie de conectivitate hibridă.
2. Privat și enterprise?
ExpressRoute — conexiune privată, predictibilă, cu SLA și BGP prin provider dedicat.
3. Rapid și criptat?
VPN Gateway — tunel IPsec prin internet public, ideal pentru filiale și bootstrap.
4. Acces privat la PaaS?
Private Endpoint / Private Link — IP privat în VNet pentru servicii specifice.
5. Organizare multi-VNet?
Hub-Spoke + peering + gateway transit — guvernanță clară pentru mai multe workload-uri.
Slide 9–10
ExpressRoute în profunzime
ExpressRoute extinde rețeaua ta în Microsoft cloud peste o conexiune privată oferită printr-un provider. Nu traversezi internetul public pentru traficul de date către Azure. De aceea este ales când vrei stabilitate, latență mai predictibilă, SLA și integrare serioasă cu rețeaua enterprise.
Cele 4 componente ExpressRoute
Circuitul ExpressRoute
Legătura contractuală și tehnică cu providerul. Definește bandwidth-ul, locația de peering și SLA-ul.
Peering-ul
Private peering pentru VNETs și, dacă este cazul, Microsoft peering pentru anumite servicii Microsoft (Office 365, Dynamics).
ExpressRoute Gateway în VNet
Aduce VNet-ul în conversație cu circuitul. Se creează în GatewaySubnet. SKU-ul determină capacitatea.
BGP
Schimb automat de rute între mediile tale și Azure. Fără BGP, rutele nu se propagă dinamic între on-prem și cloud.
Deploy ExpressRoute — pas cu pas
Creează Resource Group-ul
Portal > Resource groups > Create. Alege subscription, nume și regiune coerentă cu restul designului.
Creează circuitul
Caută ExpressRoute > Create. Completează subscription, resource group, region, provider, peering location și bandwidth.
Notează Service Key-ul
Acesta este codul pe care îl dai providerului pentru a activa circuitul. Fără el, providerul nu poate face nimic.
Configurează peering-ul
După ce providerul activează circuitul, intri la Peerings și creezi Private peering; dacă ai cerință specifică, adaugi și Microsoft peering.
Pregătește VNET-ul cu GatewaySubnet
VNET-ul care va consuma ExpressRoute trebuie să aibă un GatewaySubnet. Proiectează-l cel puțin /27.
Creează ExpressRoute Virtual Network Gateway
Alege gateway type = ExpressRoute și SKU-ul potrivit. Dacă folosești gateway-ul scalabil, ajustezi scale units după trafic.
Leagă VNET-ul la circuit
Creezi Connection / Link către virtual network gateway. Verifici că starea devine Connected.
Verifică BGP routes și conectivitatea
Verifici effective routes și conectivitatea reală din VM sau workload. Validarea este obligatorie după orice schimbare.
Gateway type trebuie să fie ExpressRoute, nu VPN. GatewaySubnet mai mare îți lasă spațiu pentru scenarii de creștere și coexistență.
Când NU alegi ExpressRoute: Dacă ai doar un site mic, un buget limitat sau ai nevoie de conectivitate rapidă de tip bootstrap, VPN Gateway este adesea alegerea mai pragmatică. ExpressRoute strălucește când contextul este enterprise.
Slide 11–12
VPN Gateway în profunzime
VPN Gateway trimite trafic criptat între Azure și alte rețele prin internetul public, folosind IPsec/IKE. Este una dintre cele mai utile unelte pentru conectivitate rapidă, pentru filiale, laboratoare, parteneri sau pentru fallback față de ExpressRoute.
Tipuri de conexiune VPN
Site-to-Site (S2S)
Conectează sediul on-premises la Azure. Ideal pentru filiale și birouri cu echipament de rețea dedicat.
Point-to-Site (P2S)
Acces individual securizat pentru admini și utilizatori remote. Fiecare utilizator se conectează cu un client VPN.
VNet-to-VNet
Leagă două VNET-uri aflate în regiuni diferite dacă nu folosești peering sau ai cerințe specifice de criptare.
Deploy VPN Gateway — pas cu pas
Pregătește VNet-ul
Asigură-te că spațiul de adresare nu se suprapune cu on-premises. Aceasta este condiția de bază.
Creează GatewaySubnet
Recomandarea uzuală este /27 sau mai mare pentru flexibilitate și compatibilitate viitoare.
Virtual network gateway > Create
Pornești procesul de creare din portal. Alege subscription și resource group corect.
Gateway type = VPN
VPN type = Route-based în majoritatea scenariilor moderne. Policy-based rămâne o excepție.
Alege SKU-ul și opțiunile
Dacă designul o cere, activezi active-active și zone-redundant. Folosești SKU Standard pentru IP public.
Creează Local Network Gateway
Definești IP-ul public al echipamentului on-prem și prefixele rețelei locale. Aceasta reprezintă sediul tău în Azure.
Creează Connection
Între VPN gateway și Local network gateway. Introduci pre-shared key și, opțional, BGP settings.
Configurează echipamentul on-prem
Configurezi tunelul cu parametrii compatibili Azure. Validezi conectivitatea și verifici diagnostic logs.
Modele de disponibilitate: active-standby sau active-active. Active-active înseamnă două instanțe gateway și două IP-uri publice.
Slide 13–16
Private Link și Private Endpoint
VPN și ExpressRoute conectează rețele. Private Link conectează consumatorul la un serviciu specific, printr-un IP privat în subnetul tău. Sunt concepte fundamental diferite.
Componentele Private Link
Private Endpoint
Interfață de rețea cu IP privat în subnetul tău, asociată unui serviciu precum Storage, SQL, Key Vault sau App Service.
Private Link Service
Modul în care publici propriul tău serviciu, în spatele unui Standard Load Balancer, pentru a fi consumat privat.
Private DNS Zone
Face ca numele serviciului să rezolve către IP-ul privat corect. Fără aceasta, aplicația rezolvă endpoint-ul public.
DNS Private Resolver
Util pentru rezolvare între Azure și on-prem fără VM DNS forwarders. Simplifică arhitectura DNS hibridă.
Greșeala clasică: Administratorul creează Private Endpoint, dar uită DNS. Rezultatul: aplicația continuă să rezolve numele public și pare că Private Link 'nu merge'.
Private Endpoint vs Service Endpoint
| Aspect | Private Endpoint | Service Endpoint |
|---|---|---|
| Acces | IP privat în subnetul tău | Optimizează pe backbone Microsoft |
| Endpoint | Privat | Rămâne public |
| Izolare | Maximă | Mai puțin izolat |
| Model preferat | Da | Legacy / scenarii simple |
Deploy Private Endpoint — pas cu pas
Alege serviciul țintă
Selectezi serviciul pe care vrei să-l expui privat: Storage Account, SQL Server, Key Vault sau App Service.
Pornește crearea
Caută Private endpoint > Create sau pornești din resursa respectivă din secțiunea Networking.
Completează detaliile
Selectezi subscription, resource group, nume, regiune și resursa țintă.
Alege VNET-ul și subnetul
Subnetul trebuie să aibă spațiu IP disponibil și să fie ales aproape de consumatorul principal.
Activează integrarea cu Private DNS Zone
Aceasta este alegerea corectă pentru laborator și pentru majoritatea mediilor enterprise. Nu sări peste acest pas!
Verifică conexiunea aprobată
Resursa primește o conexiune aprobată, iar în subnet apare noul NIC cu IP privat.
Testează DNS și conectivitatea
Dintr-o VM sau aplicație din VNet, verifici că numele rezolvă către IP-ul privat, nu către endpoint-ul public.
Slide 16–17
Deploy Hub-Spoke
Hub-Spoke — pas cu pas
Creează Hub VNet
De exemplu 10.0.0.0/16. Rezervi GatewaySubnet și subneturi pentru Firewall, Bastion, DNS Resolver, management.
Creează Spoke VNETs
De exemplu 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16. Păstrezi prefixele distincte și documentate. Nicio suprapunere!
Creează VNet peering
Peering între hub și fiecare spoke. Peering-ul nu este tranzitiv — fiecare spoke trebuie peered direct cu hub-ul.
Allow gateway transit pe hub
Dacă spoke-urile trebuie să folosească gateway-ul din hub, activezi această opțiune pe peering-ul din hub.
Use remote gateways pe spoke
Pe peering-ul din spoke activezi această opțiune. Verifici și Allow forwarded traffic pentru trafic forțat prin firewall/NVA.
Configurează UDR-uri pentru Azure Firewall
Dacă vrei centralizare de trafic, creezi UDR-uri în spoke-uri și trimiți prefixele dorite către IP-ul privat al firewall-ului.
Configurează DNS links
Dacă spoke-urile consumă Private Endpoints sau zone private, configurezi corect DNS links și DNS Private Resolver.
Verifică effective routes și connectivity
Folosești Network Watcher sau direct workload-urile pentru a valida că rutele și conectivitatea sunt corecte.
De ce hub-spoke este atât de popular: Reduce haosul. În loc să pui gateway, firewall, DNS și reguli în fiecare VNet, le concentrezi într-un hub.
Slide 18–19
Colaborarea dintre servicii
Cum colaborează serviciile în mod natural
| Serviciu | Cu ce colaborează natural |
|---|---|
| ExpressRoute | Hub-spoke, ExpressRoute gateway, BGP, Firewall, Private DNS Resolver |
| VPN Gateway | Gateway transit, on-prem routers, P2S users, Firewall/NVA, DNS |
| Private Endpoint | Private DNS Zones, DNS Resolver, spoke workloads, NSG policy |
| Hub-Spoke | Peering, UDR, Firewall, shared services, monitoring |
| NSG | Toate subneturile și NIC-urile relevante |
Slide 20
Greșeli clasice și cum le eviți
7 greșeli de evitat
Adrese suprapuse între Azure și on-prem
Soluție: IP plan serios înainte de deployment. Aceasta este prima disciplină.
GatewaySubnet prea mic
Soluție: Proiectează de la început /27 sau mai mare pentru flexibilitate.
Private Endpoint fără DNS privat
Soluție: Leagă Private DNS Zone și testează rezolvarea numelui. Fără DNS corect, Private Link 'nu merge' aparent.
Confuzie App Gateway vs VPN Gateway
Unul este pentru trafic web L7, celălalt pentru conectivitate de rețea. Instrumente complet diferite.
Confuzie Private Link vs Peering
Private Link expune un serviciu; peering conectează VNETs. Concepte fundamental diferite.
Lipsa verificării effective routes
După orice schimbare de peering, UDR, BGP sau gateway, validează rutele efective. Nu presupune că funcționează.
Prea multă logică distribuită în fiecare spoke
Soluție: Centralizează cât are sens în hub. Spoke-urile trebuie să rămână curate și dedicate workload-urilor lor.
Slide 21
Scenarii reale de utilizare
Design recomandat pe tip de organizație
Companie cu datacenter principal
Cerințe stricte de performanță și SLA. Design: ExpressRoute + hub-spoke + Firewall + Private Endpoints pentru PaaS critice.
Firmă medie cu 2-3 sedii
Buget atent controlat. Design: VPN Gateway S2S + hub-spoke simplu + Private Endpoints pentru servicii sensibile.
Admini și dezvoltatori remote
Acces individual securizat. Design: P2S VPN + Private Link + DNS Resolver unde este nevoie.
Migrare treptată spre cloud
Tranziție graduală. Design: VPN Gateway inițial, apoi coexistență cu ExpressRoute pentru traseu principal.
Platformă multi-workload
Multe echipe și workload-uri. Design: Hub-spoke cu gateway transit, firewall central și standarde clare.
Slide 22
Checklist practic pentru Network Engineer
Verifică înainte de a considera un design complet
IP plan fără suprapuneri
Am un IP plan fără suprapuneri între on-prem, hub, spoke și eventuale medii viitoare?
Claritate asupra conexiunii
Știu clar ce conectez: rețele întregi, utilizatori individuali sau doar servicii specifice?
Alegere corectă ExpressRoute vs VPN
Am ales corect pe baza cerințelor reale, nu din reflex?
GatewaySubnet proiectat corect
Am verificat cerințele pentru coexistență / scale?
DNS pentru Private Link
Am gândit DNS-ul pentru Private Link și rezolvarea hibridă?
Peering settings documentate
Am documentat Allow gateway transit, Use remote gateways, Allow forwarded traffic?
Validare effective routes
Am verificat effective routes, NSG-uri, UDR-uri și health-ul conexiunilor?
Plan de monitorizare
Am plan de monitorizare și alerte pentru gateway, conexiuni, DNS și availability?
Slide 23
Laborator recomandat
5 laboratoare practice
Lab 1 — Hub-Spoke de bază
Creează un hub VNet și două spoke VNETs cu peering corect. Validează că peering-ul funcționează și că rutele sunt propagate.
Lab 2 — VPN Gateway cu gateway transit
Adaugă un VPN Gateway în hub și validează gateway transit către spoke. Verifică effective routes din spoke.
Lab 3 — Private Endpoint și DNS privat
Creează un Storage Account cu Private Endpoint și rezolvă DNS-ul privat. Testează că numele rezolvă IP privat, nu public.
Lab 4 — Design enterprise pe hârtie
Desenează varianta enterprise: ExpressRoute + VPN backup + hub-spoke + Private Link + Firewall. Exercițiu de arhitectură.
Lab 5 — Troubleshooting
Schimbă o setare de peering sau DNS și cere cursantului să identifice de ce nu mai merge. Cel mai valoros exercițiu practic.
Slide 24
Formulă simplă de memorat
Ce alegi pentru fiecare nevoie
| Nevoie | Serviciu |
|---|---|
| Rețele întregi | ExpressRoute sau VPN Gateway |
| Servicii specifice | Private Link |
| Organizare și guvernare | Hub-Spoke |
| Segmentare locală | NSG |
| Protecție centralizată | Firewall / NVA |
| Trafic web inteligent | Application Gateway / WAF |
În Azure networking nu câștigi doar când 'merge', ci când designul este suficient de clar încât să poți explica de ce merge, cum se scalează și unde va ceda dacă apar schimbări.
— Take Networking to the Next Level
Verifică-ți cunoștințele
1 Care este diferența fundamentală între ExpressRoute și VPN Gateway?
ExpressRoute folosește o conexiune privată printr-un provider dedicat (nu traversează internetul public), oferind stabilitate și SLA enterprise. VPN Gateway criptează traficul IPsec prin internetul public, fiind mai rapid de implementat și mai ieftin.
2 Ce face Private Endpoint și de ce nu înlocuiește VPN sau ExpressRoute?
Private Endpoint creează un IP privat în subnetul tău pentru un serviciu specific (Storage, SQL, etc.). Nu conectează rețele întregi — conectează consumatorul la un serviciu concret. VPN/ExpressRoute sunt pentru conectivitate de rețea.
3 De ce este important DNS-ul pentru Private Endpoint?
Fără Private DNS Zone configurată, numele serviciului continuă să rezolve către endpoint-ul public, chiar dacă Private Endpoint există. Traficul nu va folosi calea privată. DNS este esențial pentru ca Private Link să funcționeze corect.
4 Ce înseamnă 'gateway transit' în arhitectura hub-spoke?
Gateway transit permite spoke-urilor să folosească gateway-ul VPN sau ExpressRoute din hub fără a crea gateway propriu în fiecare spoke. Se activează cu 'Allow gateway transit' pe hub și 'Use remote gateways' pe spoke.
5 De ce peering-ul nu este tranzitiv și ce implicații are?
Dacă VNet A este peered cu B și B este peered cu C, A nu vede automat C. Fiecare spoke trebuie peered direct cu hub-ul. Aceasta este o decizie de design Azure pentru izolare și securitate.
6 Când alegi VPN Gateway în locul ExpressRoute?
Când ai un site mic, buget limitat, ai nevoie de conectivitate rapidă (bootstrap), sau ca backup pentru ExpressRoute. VPN Gateway este mai pragmatic și mai rapid de implementat decât un circuit privat dedicat.
Surse oficiale pentru aprofundare
ExpressRoute, VPN Gateway, Private Link și hub-spoke nu sunt servicii concurente. Sunt piese complementare ale aceleiași discipline.