post

Wie aan de cloud denkt, denkt meestal aan virtuele servers, databases en applicaties. Wat minder breed belicht wordt is de mogelijkheid om het Azure netwerk van Microsoft te gebruiken als WAN-verbinding. Dit kan in sommige situaties een zeer interessante toepassing zijn.

Microsoft heeft de laatste jaren miljarden geïnvesteerd in Azure datacenters over de hele wereld. Daarbij is ook geïnvesteerd in een enorm, intercontinentaal netwerk. Dat netwerk is nodig om gigantische hoeveelheden gegevens tussen de datacenters uit te kunnen wisselen. Bijvoorbeeld voor het wegschrijven van backups van het ene naar het andere datacenter. Deze verbindingen maken het ook mogelijk om bijvoorbeeld webservers verdeeld over de planeet te hosten, zodat er niet alleen geo-redundantie ontstaat, maar ook de performance per continent kan worden geborgd. Er is echter nog een toepassing die voor veel internationaal opererende bedrijven interessant kan zijn. Je kunt de verbindingen van Microsoft via Azure namelijk gebruiken als WAN-verbinding tussen kantoorlocaties. Dat is mogelijk omdat Microsoft verkeer dat zich binnen Azure begeeft als ‘cloud verkeer’ beschouwt. Het maakt daarbij niet uit of dit netwerkverkeer tussen servers is of feitelijk dataverkeer tussen twee on-premise omgevingen of kantoorlocaties. Natuurlijk, hier zitten bandbreedtebeperkingen aan, maar daar loop je met een kantoor waar je alleen werkplekken of slechts een handjevol servers hebt zeer waarschijnlijk niet tegenaan.

De voordelen

De voordelen van deze constructie zijn talrijk. Allereerst hoef je niet meer per land of locatie in gesprek met een lokale netwerkprovider voor een goede, betrouwbare verbinding naar het hoofdkantoor of primaire datacenter. Natuurlijk, je hebt nog steeds een verbinding nodig vanaf het kantoor naar het dichtstbijzijnde Azure datacenter, maar je bent verlost van internationale of intercontinentale lijnen: dat doet Microsoft voor je. Dat scheelt niet alleen een heleboel gedoe en onderhandelen, maar in veel gevallen ook kosten omdat het meestal niet de goedkoopste lijnen zijn. Een ander voordeel zit in beveiliging. Het enige wat je zelf goed moet dichttimmeren is de verbinding van je lokale kantoor naar de gateway in Azure. Binnen Azure maak je dankbaar gebruik van alle beveiligingsmaatregelen die Microsoft in stelling brengt voor haar netwerk. Microsoft gaat daar enorm ver in. Het enige wat ze bij hun providers afnemen is letterlijk een glasvezelkabel. De lasers die voor het transporteren van data over de verbinding nodig zijn, zijn van Microsoft. Ze dragen dus zelf zorg voor iedere bit die tussen hun datacenters wordt verstuurd. De reden hiervoor is dat Microsoft een enorm belang heeft om deze verbindingen veilig en stabiel te laten functioneren. Zouden ze dat niet doen dan bestaat de kans dat er gegevens van duizenden klanten op straat komen te liggen of dat tienduizenden servers geen backup kunnen maken of zelfs kunnen stoppen met werken. Je kunt dan ook met redelijke zekerheid zeggen dat het lastig is om op de markt een betere intercontinentale verbinding te vinden dan die van Azure. Door de inzet van Azure kunnen daarnaast ook de complexiteit en latency afnemen. Enerzijds omdat Azure het standaard koppelvlak wordt (en dus niet per provider anders is) anderzijds omdat de performance van systemen binnen Azure beter kan worden beheerst. Door slim te ontwerpen kun je zo tijdgevoelige componenten, zoals AD-servers, sneller bereikbaar maken via Azure. Dit komt onder meer authenticatie-tijden ten goede.

De aandachtspunten

Natuurlijk is het niet allemaal rozengeur en maneschijn. Om de voordelen te kunnen benutten moet je hoe dan ook investeren. Allereerst in een verbinding naar het dichtstbijzijnde Azure datacenter. Er zijn verschillende manieren om deze connectie tot stand te brengen. Dat kan een reguliere glasvezel- of ADSL-verbinding zijn van een lokale ISP, of een ExpressRoute koppeling door één van Microsofts connectivity partners. In alle gevallen geldt dat veiligheid ergens hoog bij de prioriteiten moet staan bij het tot stand brengen van de verbinding. Een netwerk is zo veilig als het zwakste onderdeel, dus je moet er voor zorgen dat de beveiliging van dit stuk netwerk goed op orde is voor alle locaties, anders hebben de maatregelen van Microsoft alsnog geen nut en is je WAN internationaal zo lek als een mandje. Als je eenmaal een internetverbinding bij het overzeese kantoor hebt liggen dan is het opzetten van een IPSEC VPN vanaf bijvoorbeeld een lokale firewall naar de gateway in Azure een goede optie qua veiligheid. Gaat het om een eigen datacenter aan de andere kant van de planeet en is er behoorlijk wat bandbreedte nodig? Dan is een ExpressRoute koppeling wellicht de beste keuze. Op TechNet is meer informatie te vinden over verbinden met Azure.

Als je eenmaal een veilige verbinding met Azure hebt dan ben je er nog niet. Binnen Azure moet je een virtueel netwerk maken, compleet met routeringen. Je moet de diverse verbindingen naar de verschillende kantoorlocaties immers wel ergens samenbrengen zodat ze weten van elkaars bestaan en gegevens kunnen uitwisselen. Het komt er feitelijk op neer dat je in Azure alles virtueel bouwt wat je normaal gesproken nodig zou hebben om het WAN tot stand te brengen zonder dat er een cloud beschikbaar is. Het aandachtspunt is hier dat je gedegen kennis van virtual networking in Azure nodig hebt om te zorgen dat dit goed en stabiel functioneert.

Een belangrijk onderwerp om naar te kijken bij het design is de routering van het verkeer. Microsoft hanteert voor diverse verkeersstromen een pay-per-use constructie. Details over voor welke verkeersstromen betaald moet worden en actuele prijzen zijn hier te vinden. Als je serieus bandbreedte verstookt dan kunnen deze kosten flink oplopen. Door handig te ontwerpen en bewust te kijken hoe je dataverkeer kunt minimaliseren tussen de Azure Zone’s en on-premise omgevingen, kan dit beperkt worden.

Afweging

Of het inzetten van Azure als WAN-verbinding interessant is, hangt sterk af van de situatie. Uiteraard is de benodigde virtuele netwerkomgeving met bijbehorende serves in Azure niet gratis. De kosten die worden uitgespaard door het niet hoeven afnemen van allerlei netwerklijnen moeten daar dus wel tegenop wegen om het totaal financieel rendabel te maken. Omdat het opzetten van een WAN via een virtueel netwerk in Azure een behoorlijk andere tak van sport is dan waar je je wellicht op dit moment mee bezig houdt in Azure, is het absoluut noodzakelijk om hier eerst onderzoek naar te doen voordat je alleen op basis van een gunstige business case aan de slag gaat. Puur financieel gezien lijkt een WAN via Azure het meest interessant voor bedrijven die meerdere locaties hebben die verspreid zijn over de gehele wereld. Denk bijvoorbeeld aan regionale productiefaciliteiten of kantoren. De pay-per-use constructie kan in veel gevallen juist voordelig zijn, zeker bij kantoren die niet fulltime bezet zijn of slechts zeer beperkt bandbreedte gebruiken. In dat geval bespaar je aanzienlijk op een lijn die je anders wel volledig betaald, maar zeker niet volledig gebruikt.

Voor wie volop met de cloud bezig is of er al gebruik van maakt en internationaal opereert is een WAN via Azure absoluut een interessante optie om nader te bekijken. De eenmalige investeringen in design en het opbouwen van kennis kunnen zich daarbij over tijd gemakkelijk terugverdienen door een verlaging van de maandelijkse netwerkkosten. De twee grootste voordelen die je eruit haalt zijn dat Microsoft zich voor je ontfermt over de kwaliteit, veiligheid en beschikbaarheid van de (internationale) verbindingen en je zelf niet meer in gesprek hoeft met allerlei verschillende netwerk providers. Hierdoor kun je er in betrouwbaarheid op vooruit gaan terwijl de kosten en complexiteit dalen. Dat spreekt ons als Hollanders natuurlijk wel aan!

Meer weten? Microsoft heeft een praktijkvoorbeeld van de cross-site verbindingen van internationale hotelketen Hyatt verwerkt in een presentatie tijdens Microsoft Ignite over Azure networking.

Leave a comment