Azure Virtual Network

เป็นโครงสร้างพื้นฐานในการจัดทำระบบเครือข่ายส่วนตัวใน Microsoft Azure โดย Azure Virtual Network (VNET) ช่วยให้การสื่อสารระหว่างทรัพยากรต่างๆ บน Microsoft Azure เกิดความปลอดภัย (จาก https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-overview)

การใช้งาน Azure Virtual Network แบ่งออกได้เป็น 3 กรณีดังนี้

1. การเชื่อมต่อกับเครือข่ายอินเทอร์เน็ตซึ่งปกติแล้วทรัพยากรต่างๆ บน Microsoft Azure จะสามารถเชื่อมต่อกับเครือข่ายอินเทอร์เน็ตได้ โดยต้องมีหมายเลขไอพีสาธารณะ (Public IP) เพื่อใช้ในการสื่อสารดังกล่าว นอกจากนี้ VNET ยังรองรับการทำงานกับ Load Balancer เพื่อช่วยเพิ่มประสิทธิภาพในการทำงานของแอพลิเคชั่นได้อีกด้วย
2. การเชื่อมต่อระหว่างทรัพยากรใน Microsoft Azure เป็นการสื่อสารภายในทรัพยากรต่างๆ ของ Microsoft Azure ผ่านช่องทางของ VNET ซึ่งมีด้วยกัน 3 รูปแบบคือ
   • การเชื่อมต่อผ่าน VNET มีลักษณะเช่นเดียวกับการเชื่อมต่อภายในเครือข่ายขององค์กร เช่นการสื่อสารระหว่าง Azure Virtual Machine ภายใน VNET เดียวกันเป็นต้น ดูเพิ่มเติม
   • การเชื่อมต่อผ่าน Virtual Network Endpoint การขยายความสามารถของ Azure Virtual Network ให้สามารถเชื่อมต่อกับทรัพยากรในรูปแบบ PaaS (Platform as a Service) ได้มากขึ้น เช่น Storage Account, Azure SQL Database เป็นต้น ดูเพิ่มเติม
   • การเชื่อมต่อผ่าน VNET Peering การเชื่อมต่อ VNET หลายๆ VNET เข้าด้วยกัน และมีการส่งข้อมูลข้ามไปจาก VNET หนึ่งไปยังอีก VNET หนึ่ง ดูเพิ่มเติม
3. การเชื่อมต่อระหว่างทรัพยากรใน Microsoft Azure ไปยัง On-premise Datacenter เปรียบได้กับ Microsoft Azure เป็นสำนักงานสาขาอีกแห่งหนึ่งให้กับองค์กรของท่าน ซึ่งผู้ดูแลสามารถเชื่อมต่อ Azure Virtual Network เข้ากับ On-premise Datacenter ได้ใน 3 รูปแบบคือ
   
   
   
   
   
   Figure 02 – Site-to-Site & Point-to-Site VPN
   
   
   • Site-to-Site VPN (Virtual Private Network) เป็นการสร้างอุโมงค์ (Tunnel) ที่ปลอดภัยภายใต้เครือข่ายอินเทอร์เน็ตเพื่อใช้ในการส่งข้อมูลระหว่าง Microsoft Azure กับ On-premise Datacenter รูปแบบนี้เป็นรูปแบบที่นิยมใช้กันมากในปัจจุบันเนื่องจากราคาประหยัด และสามารถติดตั้งได้ง่าย
   • Point-to-Site VPN (Remote VPN) เป็นการสร้างอุโมงค์ที่ปลอดภัยภายใต้เครือข่ายอินเทอร์เน็ตเพื่อใช้ในการส่งข้อมูลระหว่าง Microsoft Azure กับเครื่องคอมพิวเตอร์ที่ต้องการใช้งาน รูปแบบนี้นิยมใช้เฉพาะในคอมพิวเตอร์ที่มีการใช้งานเฉพาะอย่าง เนื่องจากต้องติดตั้ง Point-to-Site VPN ที่ทุกเครื่องที่ต้องการใช้
   
   
   
   
   
   
   Figure 03 – Express Route
   
   
   • Express Route เป็นการเชื่อมต่อเครือข่ายโดยตรงระหว่าง Microsoft Azure กับเครือข่ายของผู้ใช้บริการผ่านทางผู้ให้บริการ ซึ่งจะทำให้เกิดประสิทธิภาพในการเชื่อมต่อที่ดีกว่า Site-to-Site VPN ซึ่ง AWN เป็นผู้ให้บริการเพียงรายเดียวในขณะนี้ที่รองรับการใช้งาน Express Router ในประเทศไทย

แนวทางการวางแผนการใช้งาน Azure Virtual Network

เพื่อให้เกิดประสิทธิภาพ ความยืดหยุ่นและความปลอดภัยในการใช้งานของ VNET นั้น มีสิ่งที่ควรจะต้องทราบและวางแผนล่วงหน้าดังนี้ https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-vnet-plan-design-arm

1. Address Space เป็นหมายเลขไอพี (IP Address) ชุดใหญ่ที่ครอบคลุมหมายเลขไอพีทั้งหมดของ VNET ซึ่งการกำหนด Address Space จะต้องใช้ Custom Private IP ตาม RFC 1918 เช่น 10.0.0.0/16 และถ้าในกรณีที่มีการวางแผนจะเชื่อมต่อกับเครือข่ายอื่น Address Space นี้จะต้องไม่ซ้ำหรือซ้อนเหลื่อม (Overlap) กับหมายเลขไอพีในเครือข่ายอื่น
2. Segmentation เป็นการแบ่งกลุ่มของทรัพยากรต่างๆ ที่เชื่อมต่อกับ VNET ออกเป็นกลุ่มๆ โดยมีการแบ่งออกเป็น Subnet โดยหมายเลขไอพีของแต่ละกลุ่มจะต้องอยู่ในกรอบของ Address Space เช่น 10.0.1.0/24
3. Traffic Filter ควรมีการจำกัดข้อมูลที่สามารถส่งผ่านระหว่าง Subnet หนึ่งไปยังอีก subnet หนึ่ง เพื่อป้องกันการส่งข้อมูลที่ไม่ได้รับอนุญาต ซึ่งใน Microsoft Azure สามารถทำ Network Security Group (NSG) เพื่อใช้ในการกรองข้อมูลดังกล่าวได้
4. Connectivity เป็นการออกแบบเพื่อให้รองรับที่จะขยายการเชื่อมต่อของ VNET ไปยัง On-premise Datacenter หรือเครือข่ายอื่นๆ ภายนอก รวมถึงการเชื่อมต่อกับ VNET อื่นๆ ของ Microsoft Azure ด้วย
5. Security ในบางองค์กรอาจจะมีความต้องการรักษาความปลอดภัยของเครือข่ายมากขึ้น เช่นการใช้งาน Azure Firewall ก็สามารถทำได้ในอนาคต (Azure Firewall มีการคิดค่าใช้จ่ายเพิ่มเติม)

การใช้งาน Virtual Private Network (VPN) Gateway

ดังที่ได้กล่าวแล้วว่า VPN นั้นมีเป็นกลไกพื้นฐานในการเชื่อมต่อกับ Microsoft Azure ได้ทั้ง Site-to-Site VPN และ Point-to-Site VPN ซึ่งสิ่งหนึ่งที่จำเป็นต้องใช้ในการทำงานของ VPN ก็คือ VPN Gateway ซึ่งมีข้อที่ควรทราบเกี่ยวกับการใช้งาน VPN Gateway ดังนี้ https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpngateways