В современном цифровом мире всё больше организаций переходят к мультиоблачным стратегиям, используя возможности нескольких облачных провайдеров для достижения гибкости, отказоустойчивости и глобального охвата. Обычно сюда входит Microsoft Azure, но также активно применяются Amazon Web Services (AWS), Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) и другие.
Однако управление несколькими облаками создаёт целый ряд вызовов: вопросы управления (governance), безопасности, идентификации, архитектуры приложений, размещения данных, эксплуатации и DevOps — все эти аспекты необходимо учитывать одновременно. В данной статье основное внимание уделено сетевой связности между облаками и внутри них, при этом важно помнить, что полноценная мультиоблачная стратегия невозможна без унифицированного управления безопасностью и политиками.
Сетевые основы в Azure
Базовым элементом сетевой инфраструктуры Azure является Virtual Network (VNet). Каждая виртуальная сеть:
существует в рамках конкретной подписки и не может охватывать несколько подписок;
располагается в одном регионе Azure, то есть не может быть распределена между регионами;
определяется одним или несколькими диапазонами IPv4 (и, при необходимости, IPv6).
Внутри VNet разворачиваются ресурсы — виртуальные машины (VM), контейнеры и сервисы. Хотя не все сервисы Azure изначально входят в VNet, многие можно интегрировать для приватного подключения, обходя публичные точки доступа и снижая риски взаимодействия с интернетом.
Подсети и интеграция сервисов
Каждая VNet делится на подсети (subnets), в которых размещаются ресурсы. Существует два основных способа интеграции сервисов Azure в VNet:
Delegated Subnets — некоторые сервисы (например, базы данных) можно разворачивать в подсетях, делегированных конкретному сервису. Это обеспечивает доступ к ним через приватные IP-адреса внутри сети.
Private Endpoints — специальные сетевые интерфейсы, подключающие PaaS-сервисы Azure к вашей подсети. Это позволяет безопасно обращаться к ним через внутреннюю сеть, без выхода в интернет.
В обоих случаях обеспечивается безопасное и приватное соединение с сервисами, включая те, что находятся за пределами VNet.
DNS и безопасность
DNS играет ключевую роль в обеспечении корректного подключения. Поскольку большинство соединений защищены с помощью TLS, правильное разрешение имён (DNS resolution) необходимо для соответствия сертификатов TLS именам доменов. Azure предлагает Private DNS Zones и поддержку conditional forwarding для корректного разрешения имён между связанными сетями и локальными средами.
Гибридная облачная связность
Большинство организаций уже используют гибридные инфраструктуры, совмещающие локальные ресурсы и облачные сервисы.
При подключении локальной сети к Azure применяются два основных типа соединений:
Публичное подключение
Приватное подключение
Глобальная сеть Microsoft
Microsoft управляет одной из крупнейших частных сетей в мире:
более 165 000 миль оптоволоконных и подводных кабелей, соединяющих свыше 60 регионов Azure;
более 185 глобальных точек присутствия (PoP), где осуществляется взаимодействие с другими сетями и интернетом.
Эта сеть используется как для публичных, так и для приватных подключений.
Приватное подключение: ExpressRoute
Для высокопроизводительных и надёжных соединений Azure предлагает ExpressRoute.
Как это работает:
Организация подключается от своего дата-центра к точке присутствия (PoP), где доступна глобальная сеть Microsoft.
Провайдер связи организует кросс-подключение к маршрутизаторам Microsoft.
В Azure разворачивается ExpressRoute Gateway, управляющий обменом трафика между облаком и локальной сетью.
Каждое соединение ExpressRoute включает две физические линии для отказоустойчивости.
Для критичных систем рекомендуется использовать несколько каналов ExpressRoute в разных городах.
Публичное подключение: Site-to-Site VPN
Более доступной альтернативой ExpressRoute является Site-to-Site VPN — защищённый туннель через интернет между локальным VPN-устройством и Azure VPN Gateway.
Это дешевле, но менее стабильно — возможны задержки и потери пакетов.
Обычно используется как резервный канал для ExpressRoute.
Соединение между виртуальными сетями
Так как каждая VNet ограничена регионом и подпиской, крупные компании создают десятки таких сетей.
Azure предлагает несколько способов их объединить:
VNet Peering — прямое соединение двух сетей без перекрытия адресов.
Hub-and-Spoke — центральная сеть-хаб подключает несколько «спиц» (spokes). Хаб содержит общие сервисы — DNS, файрвол, шлюзы и т.д.
Azure Virtual WAN — управляемый сервис, упрощающий масштабное подключение.
Azure Virtual Network Manager — централизованное управление маршрутами и связностью.
Связь между облаками (Multicloud Connectivity)
Теперь перейдём к межоблачным соединениям — например, между Azure, AWS, GCP или OCI.
Каждый крупный провайдер использует схожую сетевую модель:
AWS — VPC (Virtual Private Cloud)
GCP — VPC (Virtual Private Cloud)
OCI — VCN (Virtual Cloud Network)
Эти сети могут подключаться как к интернету, так и к приватным каналам.
VPN-соединение между облаками
Самый простой способ соединить Azure с другим облаком — это Site-to-Site VPN, создающий зашифрованный туннель между двумя шлюзами.
Метод безопасный, но ограничен скоростью (~1 Гбит/с) и нестабилен по задержкам.
Приватное межоблачное подключение
У каждого провайдера есть собственное решение, аналогичное ExpressRoute:
AWS Direct Connect
Google Cloud Interconnect
Oracle FastConnect
Эти сервисы подключаются через те же PoP-центры, что и Microsoft, обеспечивая прямую межоблачную связь.
Главное правило — выбирать географически близкие регионы (например, Azure London и AWS London), чтобы снизить задержки.
Варианты подключения
Прямое подключение (Dedicated)
Используются собственные маршрутизаторы.
До 100 Гбит/с пропускной способности.
Подходит для крупных предприятий.
Cloud Exchange-провайдеры (например, Equinix, Megaport)
Управляют маршрутизацией и кросс-подключениями за вас.
Идеально для компаний, предпочитающих управляемые решения.
Также можно настроить VPN как резервное соединение для повышения отказоустойчивости.
Особый случай: Azure – Oracle Interconnect
Microsoft и Oracle предоставляют совместное решение Oracle Interconnect for Azure, объединяющее ExpressRoute и FastConnect.
Оно обеспечивает сверхнизкую задержку (например, между Azure London и OCI London).
Производительность и оптимизация
Для максимальной производительности:
Включите ExpressRoute FastPath для обхода шлюза.
Настройте единое DNS-разрешение.
Используйте резервные каналы в разных PoP для отказоустойчивости.
Безопасность, управление и мониторинг
Мультиоблачная связность невозможна без:
Централизованного мониторинга безопасности (логи, метрики, оповещения);
Единого управления и соответствия политикам (например, с помощью Azure Arc);
Единой системы идентификации и контроля доступа во всех средах.
Заключение
Мультиоблачная связность строится не на «магических» технологиях, а на проверенных сетевых принципах.
Подключая Azure к локальной инфраструктуре или другим облакам (AWS, GCP, OCI), организации выбирают два основных подхода:
Зашифрованный VPN-туннель через интернет — проще, но с ограниченной скоростью.
Приватное подключение через выделенные каналы — сложнее, но с уровнем надёжности предприятия.
Главное — планировать резервирование, поддерживать единое управление и мониторинг, а также обеспечивать безопасность и контроль во всех облаках.
Так создаётся устойчивая и гибкая мультиоблачная архитектура, способная связать разные платформы в единую экосистему.