这种中心辐射型体系结构为参考体系结构 Azure 中的中心辐射型网络拓扑提供了一种替代解决方案,并实现了安全的混合网络。
“中心”是 Azure 中的虚拟网络,充当本地网络的中心连接点。 “分支”是与中心对等互连的虚拟网络,可用于隔离工作负载。 流量通过 ExpressRoute 或 VPN 网关连接在本地数据中心与中心之间流动。 此方法的主要区别在于使用 Azure 虚拟 WAN (VWAN) 将中心替换为托管服务。
此体系结构具有标准中心辐射型网络拓扑的优点,并带来了新的优点:
将现有中心替换为完全托管的 VWAN 服务,从而降低运营开销。
使用托管服务后不再需要网络虚拟设备,因此可以节省成本。
通过使用 Azure 防火墙和 VWAN 引入集中管理的受保护中心来最大限度地减少与错误配置相关的安全风险,从而提高安全性。
关注点隔离(在中心 IT(SecOps、InfraOps)与工作负荷 (DevOps) 之间)。
可能的用例
此体系结构通常用于以下情况:
工作负荷之间的连接要求进行集中控制,以及要求访问共享服务。
企业要求集中控制安全事项(如防火墙),并且要求对每个分支中的工作负荷进行隔离管理。
体系结构
下载此体系结构的 Visio 文件。
该体系结构包括:
本地网络。 在组织内运行的专用局域网 (LAN)。
VPN 设备。 用于与本地网络建立外部连接的设备或服务。
VPN 虚拟网络网关或 ExpressRoute 网关。 虚拟网络网关使虚拟网络能够连接到 VPN 设备或 ExpressRoute 线路,用于与本地网络建立连接。
虚拟 WAN 中心。 虚拟 WAN 用作中心辐射型拓扑中的中心。 中心是连接到本地网络的中心点,也是托管服务的地方,这些服务可由托管在支路虚拟网络中的不同工作负载使用。
安全虚拟中心。 具有由 Azure 防火墙管理器配置了关联安全和路由策略的虚拟 WAN 中心。 安全虚拟中心带有内置路由,因此无需配置用户定义的路由。
网关子网。 虚拟网络网关保留在同一子网中。
辐射型虚拟网络。 一个或多个虚拟网络在中心辐射型拓扑中用作分支。 分支可用于在自身所处的虚拟网络中隔离工作负载,并与其他分支分开管理。 每个工作负荷可以包括多个层,并具有通过 Azure 负载均衡器连接的多个子网。
虚拟网络对等互连。 可以使用 VNet 对等连接来连接两个虚拟网络。 对等连接是虚拟网络之间的非传递性、低延迟连接。 建立对等互连后,虚拟网络将使用 Azure 主干网交换流量,而无需路由器。 在中心辐射型网络拓扑中,使用虚拟网络对等互连将中心连接到每个支路。 Azure 虚拟 WAN 支持中心之间的传递,而仅使用对等互连是不可能的。
组件
备选方法
可以通过以下两种方式实现中心辐射型体系结构:客户管理的中心基础结构或 Microsoft 管理的中心基础结构。 不管什么方式,分支都使用虚拟网络对等互连连接到中心。
优点
下载此体系结构的 Visio 文件。
此图说明了此体系结构可以提供的一些优势:
- Azure 虚拟网络之间的完整网格中心
- 分支到 Azure 的连接性
- 分支到分支的连接性
- 混合使用 VPN 和 ExpressRoute
- 混合使用通往站点的用户 VPN
- VNET 到 VNET 的连接性
建议
以下建议适用于大多数场景。 遵循这些建议,除非有优先于这些建议的特定要求。
资源组
中心和每个分支可以在不同的资源组中实现,甚至可以在不同订阅中实现。 如果对等虚拟网络位于不同的订阅中,两个订阅可关联到同一个或不同的 Microsoft Entra 租户。 这样,可以对各个工作负载进行非集中管理,同时在中心内维护共享服务。
虚拟 WAN
如果有以下任何要求,请创建标准虚拟 WAN:
缩放功能,以获得更高的吞吐量
专用连接(需要在 Global Reach 位置使用高级线路)
ExpressRoute VPN 互连
使用 Azure Monitor 进行集成监视(指标和资源运行状况)
默认情况下,标准虚拟 WAN 以全网格形式连接。 标准虚拟 WAN 支持单个中心以及跨中心之间的任意连接(站点到站点 VPN、VNET、ExpressRoute,以及点到站点终结点)。 基本虚拟 WAN 仅支持“单个中心”中的站点到站点 VPN 连接、分支到分支连接以及分支到 VNet 连接。
虚拟 WAN 中心
虚拟中心是 Microsoft 托管的虚拟网络。 中心包含用于建立连接的不同服务终结点。 中心是区域中网络的核心。 每个 Azure 区域可以有多个中心。 有关详细信息,请参阅虚拟 WAN 常见问题解答。
使用 Azure 门户创建中心时,会创建虚拟中心 VNet 和虚拟中心 VPN 网关。 虚拟 WAN 中心要求地址范围最小为 /24。 此 IP 地址空间将用于为网关和其他组件保留子网。
安全虚拟中心
虚拟中心可以直接创建为安全虚拟中心,也可以在创建后随时转换为安全虚拟中心。 有关详细信息,请参阅使用 Azure 防火墙管理器保护虚拟中心。
GatewaySubnet
有关设置网关的详细信息,请根据你的连接类型参阅以下参考体系结构:
要实现更高的可用性,可以将 ExpressRoute 外加 VPN 用于故障转移。 请参阅将本地网络连接到 Azure 并将 ExpressRoute 和 VPN 用于故障转移。
即使不需要与本地网络建立连接,也无法在没有网关的情况下使用中心辐射型拓扑。
虚拟网络对等互连
虚拟网络对等互连是两个虚拟网络之间的非传递关系。 但是,Azure 虚拟 WAN 允许分支相互连接,而在它们之间无需建立专用对等互连。
但是,如果有多个需要相互连接的分支,由于对每个虚拟网络的虚拟网络对等互连数量有限制,可能的对等互连将很快耗尽。 (有关详细信息,请参阅网络限制。)在此方案中,Azure VWAN 将通过即用功能解决此问题。 有关详细信息,请参阅全局传输网络体系结构和虚拟 WAN。
还可以将分支配置为使用中心网关与远程网络进行通信。 若要允许网关流量从辐射流动到中心,以及允许连接到远程网络,必须:
在中心内配置对等互连连接以允许网关传输。
在每个分支配置对等互连连接以使用远程网关。
配置所有对等互连连接以允许转发流量。
有关详细信息,请参阅在虚拟网络对等互连和 VPN 网关之间进行选择。
中心扩展
要支持网络范围的共享服务(如 DNS 资源、自定义 NVA、Azure Bastion 等),请遵循虚拟中心扩展模式实现每个服务。 按照此模型,可以生成和操作单一责任扩展,以单独公开这些业务关键型共享服务,否则无法将其直接部署在虚拟中心。
注意事项
Operations
Azure VWAN 是 Microsoft 提供的托管服务。 从技术的角度来看,它与客户管理的中心基础结构并不是完全不同。 Azure 虚拟 WAN 通过在分支之间提供具有可传递网络连接的网格网络拓扑来简化整体网络体系结构。 可以使用 Azure Monitor 实现对 Azure VWAN 的监视。 本地网络和 Azure 之间的站点到站点配置和连接可以完全自动化。
可靠性
Azure 虚拟 WAN 处理路由,这有助于优化分支之间的网络延迟并确保延迟的可预测性。 Azure 虚拟 WAN 还为跨多个区域的工作负载提供不同 Azure 区域之间的可靠连接。 此设置会增加 Azure 中端到端流的可见性。
性能
在 Azure 虚拟 WAN 的帮助下,可以降低分支之间和跨区域的延迟。 可通过 Azure 虚拟 WAN 纵向扩展到高达 20Gbps 的总吞吐量。
可伸缩性
Azure 虚拟 WAN 通过保留根据需求限制流量的功能,在分支之间提供全网格连接。 使用这种体系结构,可以实现大规模站点到站点的性能。 此外,可以通过启用全局分布式云工作负载集之间的任意连接来创建全局传输网络体系结构。
安全性
通过利用 Azure 防火墙,可以将 Azure VWAN 的中心转换为安全中心。 仍然可以以相同方式利用用户定义的路由 (UDR) 来实现网络隔离。 Azure VWAN 支持通过 ExpressRoute 对本地网络和 Azure 虚拟网络之间的流量进行加密。
Azure DDoS 防护与应用程序设计最佳做法相结合,提供增强的 DDoS 缓解功能来更全面地防御 DDoS 攻击。 应在任何外围虚拟网络上启用 Azure DDOS 防护。
分支连接和共享服务
已使用 Azure 虚拟 WAN 实现分支之间的连接。 然而,在分支流量中使用 UDR 有助于隔离虚拟网络。 任何共享服务也可以托管在与分支相同的虚拟 WAN 上。
虚拟网络对等互连 - 中心连接
虚拟网络对等互连是两个虚拟网络之间的非传递关系。 使用 Azure 虚拟 WAN 时,虚拟网络对等互连由 Microsoft 管理。 添加到中心的每个连接还将配置虚拟网络对等互连。 在虚拟 WAN 的帮助下,所有分支都将具有传递关系。
成本优化
客户管理的中心基础结构为基础 Azure 资源带来了管理成本。 若要实现具有可预测延迟的可传递连接,必须在每个中心中部署网络虚拟设备 (NVA) 或 Azure 防火墙。 与 NVA 相比,无论以何种方式使用 Azure 防火墙都将降低成本。 Azure 防火墙对于两种选项的成本相同。 Azure 虚拟 WAN 需要额外的成本;但是,它比管理自己的中心基础结构成本要低得多。
有关详细信息,请参阅虚拟 WAN 定价。
作者
本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。
主要作者:
- Yunus Emre Alpozen | 跨工作负载程序架构师
若要查看非公开的 LinkedIn 个人资料,请登录到 LinkedIn。
后续步骤
了解详细信息: