Windows Azure ExpressRoute

В. Чем отличается механизм Windows Azure ExpressRoute от обычного решения VPN типа «сеть-сеть»?

О. В системе Windows Azure создаются виртуальные сети, содержащие виртуальные подсети, в которых размещаются виртуальные машины. Последовательность высокоуровневых операций выглядит следующим образом:

  1. Создайте территориальную группу Affinity Group в области Windows Azure.
  2. Создайте виртуальную сеть в территориальной группе.
  3. Создайте новую службу Cloud Service в территориальной группе.
  4. Создайте виртуальные машины в новой «облачной» службе и виртуальной сети/подсети.

Все виртуальные машины внутри виртуальной сети могут взаимодействовать, даже если они находятся в разных «облачных» службах. До появления механизма ExpressRoute единственным способом подключения виртуальной сети Windows Azure к локальному центру обработки данных было использование шлюза VPN типа «сеть-сеть» (S2S) на основе технологии IPSEC. На данный момент поддерживается один шлюз S2S VPN Gateway для подключения к одному центру обработки данных из каждой виртуальной сети (см. рисунок 1).

 

Подключение к центру обработки данных из?виртуальной сети
Рисунок 1. Подключение к центру обработки данных из? виртуальной сети

Проблема в том, что если у организации развернуто несколько центров обработки данных, к виртуальной сети Windows Azure может быть подключен только один из них (так как поддерживается только один шлюз VPN), а остальным центрам обработки данных придется взаимодействовать с виртуальной сетью через подключенный центр обработки данных. Кроме того, максимально возможная скорость обмена составляет 100 Мбит/с, хотя обычно я наблюдаю значения около 80-90 Мбит/с.

Еще одна сложность заключается в том, что обмен информацией между локальными ресурсами и системой Windows Azure осуществляется через Интернет (даже если каналы зашифрованы). Также можно использовать технологию «узел-сеть» (P2S). Однако данная технология обеспечивает подключение к виртуальной сети Windows Azure одной определенной машины и не является решением для подключения целой сети.

Механизм ExpressRoute преобразует данный подход благодаря использованию двух разных моделей, каждая из которых задействует частные соединения между системой Windows Azure и локальной инфраструктурой.

Первая модель предусматривает передачу данных через точки обмена Internet Exchange Point (IXP) – крупные сетевые инфраструктуры, в которых соединяются между собой сети крупнейших операторов, таких как Verizon и AT&T. Иногда их называют «оптоволоконными отелями» (см. рисунок 2).

 

Передача данных через точки обмена Internet Exchange Point (IXP)
Рисунок 2. Передача данных через точки обмена Internet Exchange Point (IXP)

На сегодня подписка Windows Azure позволяет создавать прямые подключения к сетевым инфраструктурам некоторых партнерских точек обмена IXP, которые в свою очередь подключаются напрямую в структуру Windows Azure. На момент написания статьи, такая схема подключения реализована с компанией-партнером Equinix. Организации могут воспользоваться одним из двух предложений:

  • размещать свои серверы напрямую в расположении инфраструктуры IXP (используя ее, как площадку для хостинга);
  • использовать оптоволоконный канал от своей площадки до точки обмена IXP, которая в свою очередь подключена к структуре Windows Azure.

Организации подключаются к своей подписке Windows Azure и могут выбирать, какие именно виртуальные сети должны маршрутизироваться в рамках подписки.

Другая модель использует существующую схему подключения WAN, предоставляемую провайдером, такую как MPLS VPN, соединяющую все «площадки» организации через «облако» MPLS.

Как показано на рисунке 3, в этой модели система Windows Azure становится для клиентов частью глобальной сети WAN с бесперебойным доступом к подписке. На сегодня такой тип подключения предоставляет партнерская компания AT&T.

 

Windows Azure как часть глобальной сети WAN
Рисунок 3. Windows Azure как часть глобальной сети WAN

Примечательно, что ни одно из подключений ExpressRoute не реализовано через «открытые» сегменты сети Интернет. Предлагаются исключительно частные соединения и более высокие скорости. В зависимости от цены доступны различные скоростные режимы. Однако модели с размещением в точках IXP будут иметь верхнюю границу в 10 Гбит/с, в то время как WAN модели (MPLS) будут ограничены полосой 1 Гбит/с.

Хотя на данный момент количество партнеров ограничено, планируется постепенно его увеличивать, предлагая организациям дополнительные варианты подключения локальных окружений к системе Windows Azure. Подробную информацию можно найти на следующих ресурсах компании Microsoft:

  • ExpressRoute Technical Overview (http://msdn.microsoft.com/library/windowsazure/dn606309.aspx);
  • ExpressRoute FAQ (http://msdn.microsoft.com/en-us/library/windowsazure/dn606292.aspx).

Кроме того, наличие технологии ExpressRoute не означает, что компания Microsoft отказалась от идеи совершенствования своего решения Site-to-Site VPN, ведь модели ExpressRoute не подойдут многим организациям, которые будут продолжать использовать механизм Site-to-Site VPN для подключения локальных ресурсов к системе Windows Azure.

Виртуальный IP-адрес Windows Azure

В. Изменяется ли когда-нибудь виртуальный IP-адрес моей «облачной» службы Windows Azure?

О. Когда создается «облачная» служба и она имеет как минимум один ресурс, который запускается внутри нее, назначается виртуальный IP-адрес (VIP). VIP – это виртуальный IP-адрес, благодаря которому можно получить доступ к «облачной» службе из Интернета. Также предоставляется доступ к ресурсам внутри «облачной» службы через заданные точки входа. VIP, назначенный «облачной» службе, не меняется до тех пор, пока «облачная» служба содержит как минимум один активный ресурс (например, такой, как виртуальная машина в модели IaaS). Если все ресурсы в «облачной» службе становятся неактивными, тогда служба тоже становится неактивной и теряет свой VIP. Новый VIP должен быть назначен, когда ресурс инициализируется в «облачной» службе вновь.

Если вы хотите убедиться, что «облачная» служба сохраняет тот же самый VIP, необходимо удостовериться, что имеется как минимум один активный ресурс. Можно создать дополнительную небольшую виртуальную машину и поддерживать ее активной в постоянном режиме. По состоянию на сегодня это обойдется в 15 долл. в месяц. Но вы будете уверены, что ваш VIP никогда не изменится.