Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Azure Traffic Manager en private connections

Pagina: 1
Acties:

maandag 12 augustus 2019 22:19

Acties:
  • Pimmerd
  • Registratie: Mei 2006
  • Laatst online: 14-11 21:09

Pimmerd

Topicstarter
Hi!

Ik ben bezig om een design te maken voor een webapp met een SQL backend in Azure. De applicatie moet active-active draaien, verspreid over twee regions. Daarnaast moet al het verkeer over een direct connect verlopen (ExpressRoute) vanaf ons on-prem omgeving en hier loop ik een beetje vast.

Dit moet het ongeveer worden (high-level):
https://docs.microsoft.co...zure/scenario-diagram.png

Om het verkeer te routeren tussen de regions wil ik gebruik maken van Azure Traffic Manager, ik kom er alleen niet uit hoe ik het verkeer vanaf on-prem over de expressroute kan sturen. Volgens de documentatie, krijg ik een DNS record (voorbeeld.trafficmanager.net) van Azure and raden ze mij aan om een CNAME te maken in mijn lokale DNS. Echter, mijn lokale DNS zal altijd voorbeeld.trafficmanager.net doorsturen naar de root DNS (internet), zie ook:
https://docs.microsoft.co...e-traffic-manager-profile

Volgens de ExpressRoute FAQ (https://docs.microsoft.co...ssroute/expressroute-faqs) is ExpressRoute wel supported icm met Traffic Manager.

Ik kan erg weinig voorbeelden vinden op het internet. Denk ik te moeilijk? Ik kan me niet voorstellen dat andere hier niet tegenaan gelopen zijn. Iemand hier ervaring mee.

dinsdag 13 augustus 2019 07:31

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 25-11 22:42

jvanhambelgium

Ik denk dat je daar een uitdaging hebt om het verkeer specifiek van on-prem door de sluizen over je ExpressRoute circuit ja.

Je hebt een ExpressRoute Private peering ? Tja dan kun je wel VNET's linken aan een ExpressRoute circuit maar meer ook niet lijkt me. No way, dat je de publiek-IP's van je application-gateways (waarnaar de verwijzing staat vanuit TrafficManager) langs deze weg gaan binnenkrijgen.

STEL dat het verkeer voor de verschillende publieke IP's (waarachter je resources zitten) toch zou forceren over je ExpressRoute circuit denk ik niet dat het aan de andere kant tot een connect komt...

Alternatief is je interne gebruikers niet laten connecten naar die "traffic-manager" URL maar ze ergens laten inkoppelen direct op een ApplicationGateway ? Die zal vanuit een VNET mischien wel bereikbaar zijn over ExpressRoute
Vereist dan wel een aanpassing van design, iets met interne load-balancer ervoor ofzo.

Maar los daarvan , is het zo'n probleem dat je gebruikers ook gewoon "Internet" gebruiken om deze omgeving te gebruiken ? Als je met TM aan de slag gaat lijkt het me dat de focus is : wereldwijde beschikbaarheid over het publieke internet.

dinsdag 13 augustus 2019 17:27

Acties:
  • Pimmerd
  • Registratie: Mei 2006
  • Laatst online: 14-11 21:09

Pimmerd

Topicstarter
Bedankt voor je reactie!
jvanhambelgium schreef op dinsdag 13 augustus 2019 @ 07:31:
Ik denk dat je daar een uitdaging hebt om het verkeer specifiek van on-prem door de sluizen over je ExpressRoute circuit ja.

Je hebt een ExpressRoute Private peering ? Tja dan kun je wel VNET's linken aan een ExpressRoute circuit maar meer ook niet lijkt me. No way, dat je de publiek-IP's van je application-gateways (waarnaar de verwijzing staat vanuit TrafficManager) langs deze weg gaan binnenkrijgen.

STEL dat het verkeer voor de verschillende publieke IP's (waarachter je resources zitten) toch zou forceren over je ExpressRoute circuit denk ik niet dat het aan de andere kant tot een connect komt...
Klopt, het is inderdaad een private peering. Ik had dat inderdaad ook gevonden in de ExpressRoute FAQ, lijkt me inderdaad een onmogelijke opgave.
Alternatief is je interne gebruikers niet laten connecten naar die "traffic-manager" URL maar ze ergens laten inkoppelen direct op een ApplicationGateway ? Die zal vanuit een VNET mischien wel bereikbaar zijn over ExpressRoute
Vereist dan wel een aanpassing van design, iets met interne load-balancer ervoor ofzo.
Wat ik tot nu toe heb gevonden is dat dit wel mogelijk is, maar we dan geen active-active kunnen draaien over meerdere regions. Active-passive moet kunnen waar we dan handmatig het DNS record omzetten wanneer een failover doen naar de andere regions (of scripten). De Traffic Manager zorgt er juist voor dat dit verspreid wordt gebasseerd op de policies in TM.
Maar los daarvan , is het zo'n probleem dat je gebruikers ook gewoon "Internet" gebruiken om deze omgeving te gebruiken ? Als je met TM aan de slag gaat lijkt het me dat de focus is : wereldwijde beschikbaarheid over het publieke internet.
Helaas is dit een requirement van onze InfoSec afdeling. Het is een slecht argument, omdat ExpressRoute geen security layer is wat mij betreft.
Ik heb inmiddels ook de vraag aan Microsoft gesteld, als ik hun antwoord heb zal ik dat hier posten.

dinsdag 13 augustus 2019 22:30

Acties:
  • Tricq
  • Registratie: Oktober 2011
  • Laatst online: 12:36

Tricq

Je komt via een express route binnen, dat zorgt er dus voor dat alles via een single point binnen komt.

De traffic manager gaat hier geen waarde toevoegen, de toegevoegde waarde van de traffic manager is dat hij op basis van een van de profielen gaat besluiten bij welke uiteindelijke locatie jij uitkomt. Aangezien je elke keer vanaf een single point binnen komt gaat het resultaat dus elke keer hetzelfde zijn. De standaard load balancer kan precies wat jij wilt :) . De geschikte reference architecture is deze.

Verkeer zal je on-prem dus via de express route moeten sturen, de lokale DNS zal naar de load balancer wijzen, die het vanaf daar weer verder overpakt.

Mocht je toch aan de traffic manager willen zou je hier eens naar kunnen kijken voor het gebruik van traffic manager met private ip's: MSDN: Using Azure Traffic Manager for Private Endpoint Failover – Manual Meth...

vrijdag 23 augustus 2019 14:21

Acties:
  • Pimmerd
  • Registratie: Mei 2006
  • Laatst online: 14-11 21:09

Pimmerd

Topicstarter
Bedankt voor je reactie.

We hebben afgelopen week een dag contact gehad met Microsoft en die hebben inderdaad bevestigd dat Traffic Manager niet supported met ExpressRoute. We gaan inderdaad met DNS aan de slag, waarschijnlijk met GSLB.
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq