Når man tar i bruk skytjenester kan det være viktig å ha et aktivt forhold til hvordan trafikk til og fra bedriftens nettverk skal håndteres. Det finnes en del eldre myter og “sannheter” som ikke nødvendig vis stemmer i dagens tekniske virkelighet, samtidig som mulighetene og alternativene kan være forvirrende. Bli med i en gjennomgang […]
2. AGENDA:
• Kjenn ditt publikum
Gå igjennom ulike type tjenester å hvordan disse vil påvirke infrastrukturen.
• Utfordringer
Avdekke utfordringer som kan påvirke ytelse
• Planlegg
Hvordan planlegge nettverksoppsett sammen med skyen
• Optimalisering av trafikk
Ulike måter for å optimalisere trafikken mellom bedriften og skyen
• Sikring og overvåkning av trafikken
Hvordan sikre trafikken til skyen uten at det påvirker funksjonalitet eller ytelse
2
3. NOEN INTERESSANTE FAKTA…
• 100 millioner
• SaaS > IaaS > PaaS
• 35 Zetabytes - 57 Milliarder
• 5x innen 2020
• 40 Lokasjoner
• 40 - 60 MS
3
4. KJENN DITT PUBLIKUM
• Big Data og Analytics
• Samhandling
• IaaS eller Hybrid Cloud
• SaaS
• IoT
• PaaS
4
5. UTFORDRINGER
• Lysets hastighet
Latens mellom Norge og Azure
• Begrensinger i platformen
Applikasjoner eller tjenester som krever lag 2 funksjonalitet alternative løsninger?
• Applikasjoner og nettverkslag
Tjenester som krever funksjonalitet ikke tilgjengelig?
• Håndtering av SaaS applikasjoner og identitet
Hvordan skal authentiseringen skje og hvordan skal vi styre bruken?
• Sikkerhet og rutiner
Har vi innsikt og kontroll nok på trafikken?
5
6. PLANLEGGING
• Eksisterende nettverksinfrastruktur
Er eksisterende infrastruktur klar?
• Internett aksess, båndbredde og oppsett
Har vi nok båndbredde og eventuelt muligheter til å redusere latensen?
• Brannmur og tilgangsstyring mot skytjenester
Skal tilgangen låses ned IP, applikasjonslaget eller via brukeridenten?
• Hvordan skal trafikken legges opp
Trenger viVPN eller rett ut mot Internett?
6
Ekstra trafikk:
• Intune: 10 MB per dag per enhet
• Exchange Online: 2 – 10 MB per
dag per bruker
• Skype for Business: Audio
stream 130 Kbps og 500 Kbps
for video streaming
• Totalt supportert enheter bak
en Offentlig IP: 6,000
7. OPTIMALSERING OG HYBRID
• Raskeste vei til Cloud og WAN styring
Direct Peering, Cloud Exchange, DNS, QoS
• Applikasjonstuning
HTTP/2,TCP – Set-NetTCPsetting
• Virtuelle Maskiner i Azure
Instans typer, Accelerated Networking og RSS
• SD-WAN
• ExpressRoute ogVPN
7
https://azure-in-action.blog/2017/01/01/azure-vm-network-bandwidth-tests/
8. SD-WAN
8
• Intelligent styring av trafikk
Fordeling av trafikk basert på prioritert og linjekvalitet
• Inspeksjon av trafikk
• InnebyggetVPN
Tradisjonell IPsec
• WAN Optimalsering
Dedup, TCP Optimalisering, compression
• Caching
Caching av ofte aksesserte filer
MPLS EF Queue
MPLS Default Queue
Internet
latency loss jitter cong.
latency loss jitter cong.
latency loss jitter cong.
latency loss jitter cong.
latency loss jitter cong.
latency loss jitter cong.
10. EXPRESSROUTE
▪ Krever planlegging og design
▪ Ulike tjenester i ulike «domener»
Microsoft, Public og Private
▪ Prioritering av trafikk
▪ Tenk på brukere avVPN
ExpressRouteTechnical Documentation: https://azure.microsoft.com/en-us/documentation/services/expressroute/
ExpressRoute for Office 365: https://support.office.com/en-us/article/Azure-ExpressRoute-for-Office-365-6d2534a2-c19c-4a99-be5e-33a0cee5d3bd
10
11. VPN
11
• P2SVPN
• S2SVPN
Policy-based eller Route-based
• ForcedTunnelig – inspeksjon av trafikk
• BGP
Standard og High Performance
• Active/Active Scenario
• HuskTCP MSS oppsett – 1350
• Begrensninger antall IPsec tunneler
• Ikke overlappende IP range
VPN S2S
• Basic: 100 Mbps (1o gateways)
ingen BGP
• Standard: 100 Mbps (10
gateways) Ikke Policy based)
• High Performance 200 Mbps
(30 gateways) – Active / Active
scenario
13. APPLIKASJONS BRANNMUR
13
• Håndtering av lag 7 angrep
• Sikring av «usikre» applikasjoner
• Håndtering av innkommende trafikk
• PaaS eller IaaS
Application Gateway eller virtuell appliance
• Avasert HTTP kontroll
Rewrite,Transform, Responder & AAA
14. CLOUD ACCESS SECURITY BROKERS
14
• Håndtering av lag 7
• Innsikt i bruk av SaaS
• Forward proxy med regelstyring
• Innsamling av informasjon og logging
• Kan oftest integreres med Brannmur
15. SECURE WEB GATEWAY
15
• Håndtering av lag 7
• Forward proxy med policy styring av
tjeneste tilgang
• URL filtrering og IP reputation
• SSL interception
16. AZURE SECURITY CENTER
16
• Gjør Assessment av ressurser i Azure
• Nettverk
• Applikasjoner
• Virtuelle maskiner
17. LOG ANALYTICS
17
• Innsamling fra Azure
NSG, Application Gateway, Azure Monitor
• Feilsøking av nettverkstrafikk
Network Monitor, DNS Monitor, WireData
• Innsamling fra andre systemer
Syslog, Windows og Linux
18. NETWORKWATCHER
18
• Feilsøking av trafikkflyt i Azure
• Validering av brannmur regler
• Lage topologi kart
• Innsamling av trace filer til feilsøking av trafikk
Network Monitor eller WireShark
19. 19
Azure Vnet
10.0.0.0/16
Gateway subnet
10.0.255.224/27
UDR
Private DMZ in
10.0.0.0/27
Internal load
balancer
N
I
C
N
I
C
Private DMZ out
10.0.0.32/27
NVA
NVA
NSG
N
I
C
N
I
C
NSG
Management subnet
10.0.0.128/25
Jump box
NSG
Public DMZ in
10.0.0.64/27
N
I
C
N
I
C
Public DMZ out
10.0.0.96/27
NVA
NVA
NSG
N
I
C
N
I
C
NSGPIP
Web tier
10.0.1.0/24
Availability
set
Availability
set
Availability
set
NSG
Business tier
10.0.2.0/24
Availability
setNSG
Data tier
10.0.3.0/24
Availability
setNSG
On-premises network
192.168.0.0/16
Gateway
Web app request
Authentication request
AD DS subnet
10.0.4.0/27
Availability
setNSG
20. OPPSUMMERING
20
Gjør nøye sjekk av eksisterende tjenester og applikasjoner
Sjekk hvordan dette påvirker eksisterende infrastruktur
Se på mulighetene for å optimalisering av trafikken
Tenk på ansvarsfordelingen mellom deg og leverandøren
Ingen one size fits all
22. VIDERE LESING
22
Top 10Tips to troubleshoot in Networking Issues against Office365
https://blogs.technet.microsoft.com/onthewire/2014/06/18/top-10-tips-for-optimising-
troubleshooting-your-office-365-network-connectivity/
Office 365 and NAT:
https://support.office.com/en-us/article/NAT-support-with-Office-365-170e96ea-d65d-4e51-
acac-1de56abe39b9
Azure Network Best Pratices:
https://docs.microsoft.com/en-us/azure/security/azure-security-network-security-best-
practices
Managing Office 365 endpoints:
https://support.office.com/en-us/article/Managing-Office-365-endpoints-99cab9d4-ef59-
4207-9f2b-3728eb46bf9a
23. Tusen Takk for oss!
http://mvpdagen.no
@MVPdagen
#MVPdagen
Editor's Notes
100 millioner Office365 kontoer
Gartner anslår av over 5 dobling av IT bruken på Cloud innen 2020
Microosft Azure er nå tilgjengelig rundt 40 lokasjoner rundt omkring i verden
Gjennomsnittlig latency fra Norge til nærmeste datasenter til Microosft er på rundt 40 – 50 MS latecy
Mengden av data vil være på rundt 35 Zetabytes innen 2020
57 milliarder lord of the rings extended cut på Blueray
Latens mellom Oslo (Norge og Azure)L2 funksjonalitet er ikke tilgjengelig i Azure, ingen VLAN, Ikke broadcast eller multicast.
ICMP.
Viktig at vi ikke besvarer noen spørsmål her, bare at man tenker over hva man har å hvor man skal?
Eksisternede infrastruktur:
Tenk over hvor mye trafikk det blir blir generert når man starter med cloud, Exchange, Skype, Intune, Azure AD osv alt blir publisert ut.
Internett aksess:har vi nok båndbredde? Hvordan ser topologien ut? Har vi DNS liggende et annet sted? Hvordan kan vi redusere latens?