你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

传统 Azure 网络拓扑

  • 项目

重要

试用新的 拓扑(预览版) 体验,它提供 Azure 资源的可视化效果,以方便大规模库存管理和监视网络。 使用拓扑预览功能可视化资源及其跨订阅、区域和位置的依赖项。 选择此链接 可导航到体验。

了解 Microsoft Azure 中围绕网络拓扑的关键设计注意事项和建议。

Diagram that illustrates a traditional Azure network topology.

图 1:传统的 Azure 网络拓扑。

设计注意事项:

  • 各种网络拓扑可以连接多个登陆区域虚拟网络。 网络拓扑示例包括一个大型平面虚拟网络、多个连接到多个 Azure ExpressRoute 线路或连接的虚拟网络、中心辐射型、完整网格和混合。

  • 虚拟网络无法遍历订阅边界。 但是,可以使用虚拟网络对等互连、ExpressRoute 线路或 VPN 网关,实现跨不同订阅的虚拟网络之间的连接。

  • 虚拟网络对等互连是连接 Azure 中的虚拟网络的首选方法。 可以使用虚拟网络对等互连来连接同一区域中的虚拟网络、不同 Azure 区域以及不同 Microsoft Entra 租户。

  • 虚拟网络对等互连和全局虚拟网络对等互连均不可传递。 若要启用传输网络,需要用户定义的路由(UDR)和网络虚拟设备(NVA)。 有关详细信息,请参阅 Azure 中的中心辐射型网络拓扑

  • 可以在单个 Microsoft Entra 租户中的所有虚拟网络之间共享 Azure DDoS 防护计划,以保护具有公共 IP 地址的资源。 有关详细信息,请参阅 Azure DDoS 防护

    • Azure DDoS 防护计划仅涵盖具有公共 IP 地址的资源。

    • Azure DDoS 防护计划的成本包括与 DDoS 保护计划关联的所有受保护虚拟网络中的 100 个公共 IP 地址。 为更多资源提供保护,成本单独。 有关 Azure DDoS 防护计划定价的详细信息,请参阅 Azure DDoS 防护定价页常见问题解答

    • 查看 Azure DDoS 防护计划支持的资源。

  • 可以使用 ExpressRoute 线路在同一地缘政治区域内的虚拟网络之间建立连接,或使用高级加载项跨地缘政治区域实现连接。 请记住以下几点:

    • 网络到网络流量可能会遇到更多的延迟,因为流量必须在 Microsoft Enterprise Edge(M标准版E)路由器上发型。

    • ExpressRoute 网关 SKU 限制带宽。

    • 如果需要检查或记录跨虚拟网络的流量的 UDR,请部署和管理 UDR。

  • 具有边界网关协议(BGP)的 VPN 网关在 Azure 和本地网络中是可传递的,但它们默认不提供对通过 ExpressRoute 连接的网络的可传递访问。 如果需要对通过 ExpressRoute 连接的网络的可传递访问,请考虑 使用 Azure 路由服务器

  • 将多个 ExpressRoute 线路连接到同一虚拟网络时,请使用连接权重和 BGP 技术来确保本地网络与 Azure 之间的流量的最佳路径。 有关详细信息,请参阅优化 ExpressRoute 路由

  • 使用 BGP 指标影响 ExpressRoute 路由是在 Azure 平台之外进行的配置更改。 你的组织或连接提供商必须相应地配置本地路由器。

  • 具有高级加载项的 ExpressRoute 线路提供全球连接。

  • ExpressRoute 具有某些限制;每个 ExpressRoute 网关的最大 ExpressRoute 连接数,ExpressRoute 专用对等互连可以识别从 Azure 到本地的最大路由数。 有关 ExpressRoute 限制的详细信息,请参阅 ExpressRoute 限制

  • VPN 网关的最大聚合吞吐量为每秒 10 Gb。 VPN 网关最多支持 100 个站点到站点或网络到网络隧道。

  • 如果 NVA 是体系结构的一部分,请考虑使用 Azure 路由服务器来简化网络虚拟设备(NVA)与虚拟网络之间的动态路由。 Azure 路由服务器允许你直接通过边界网关协议(BGP)路由协议交换路由信息,这些 NVA 支持 BGP 路由协议和 Azure 虚拟网络(VNet)中的 Azure 软件定义网络(SDN),而无需手动配置或维护路由表。

设计建议:

  • 对于以下情况,请考虑基于传统中心辐射型网络拓扑的网络设计:

    • 单个 Azure 区域中部署的网络体系结构。

    • 跨多个 Azure 区域的网络体系结构,无需跨区域登陆区域的虚拟网络之间的可传递连接。

    • 跨多个 Azure 区域的网络体系结构,以及可跨 Azure 区域连接虚拟网络的全局虚拟网络对等互连。

    • 无需 VPN 与 ExpressRoute 连接之间的可传递连接。

    • 就地的主要混合连接方法是 ExpressRoute,每个VPN 网关 VPN 连接数小于 100。

    • 这依赖于集中式 NVA 和精细路由。

  • 对于区域部署,主要使用中心辐射型拓扑。 对于以下情况,请使用与虚拟网络对等互连连接到中心中心虚拟网络的登陆区域虚拟网络:

    • 通过 ExpressRoute 建立跨界连接。

    • 用于分支连接的 VPN。

    • 通过 NVA 和 UDR 进行辐射到辐射的连接。

    • 通过Azure 防火墙或其他第三方 NVA 进行 Internet 出站保护。

下图显示了中心辐射型拓扑。 此配置允许进行适当的流量控制,以满足大多数分段和检查要求。

Diagram that illustrates a hub-and-spoke network topology.

图 2:中心辐射型网络拓扑。

  • 如果满足以下条件之一,则使用与多个 ExpressRoute 线路连接的多个虚拟网络的拓扑:

    • 需要较高级别的隔离。

    • 需要为特定的业务部门提供专用的 ExpressRoute 带宽。

    • 已达到每个 ExpressRoute 网关的最大连接数(请参阅 ExpressRoute 限制一文,了解连接数上限)。

下图演示了此拓扑。

Diagram that illustrates multiple virtual networks connected with multiple ExpressRoute circuits.

图 3:与多个 ExpressRoute 线路连接的多个虚拟网络。

  • 在中心虚拟网络中部署一组最小共享服务,包括 ExpressRoute 网关、VPN 网关(根据需要)和 Azure 防火墙或合作伙伴 NVA(根据需要)。 如有必要,还可部署 Active Directory 域控制器和 DNS 服务器。

  • 在中心虚拟网络中部署 Azure 防火墙或合作伙伴 NVA,以进行东/西或南/北流量保护和筛选。

  • 部署合作伙伴网络技术或 NVA 时,请按照合作伙伴供应商的指南操作,以确保:

    • 供应商支持部署。

    • 本指南支持高可用性和最佳性能。

    • Azure 网络不存在冲突配置。

  • 不要将第 7 层入站 NVA(如 Azure 应用程序网关)部署为中心虚拟网络中的共享服务, 而应将其与应用程序一起部署在各自的登陆区域中。

  • 在连接订阅中部署单个 Azure DDoS 标准版防护计划。

    • 所有登陆区域和平台虚拟网络都应使用此计划。

  • 使用现有网络、多协议标签切换和 SD-WAN 将分支机构与公司总部连接起来。 如果不使用 Azure 路由服务器,则不支持在 ExpressRoute 和 VPN 网关之间传输 Azure。

  • 如果需要中心辐射方案中 ExpressRoute 和 VPN 网关之间的可传递性,请使用 Azure 路由服务器,如本参考方案中所述

    Diagram that illustrates transitivity between ER and VPN gateways with Azure Route Server.

  • 如果在多个 Azure 区域中具有中心辐射型网络,并且需要跨区域连接一些登陆区域,请使用全局虚拟网络对等互连直接连接需要相互路由流量的登陆区域虚拟网络。 全局虚拟网络对等互连可以提供较高的网络吞吐量,具体取决于通信 VM 的 SKU。 直接对等互连登陆区域虚拟网络之间的流量会绕过中心虚拟网络中的 NVA。 全局虚拟网络对等互连 的限制适用于流量。

  • 如果多个 Azure 区域中有中心辐射型网络,并且大多数登陆区域需要跨区域连接(或者当使用直接对等互连绕过中心 NVA 与安全要求不兼容时),请使用中心 NVA 将每个区域中的中心虚拟网络相互连接,并跨区域路由流量。 全局虚拟网络对等互连或 ExpressRoute 线路可通过以下方式帮助连接中心虚拟网络:

    • 全局虚拟网络对等互连提供低延迟和高吞吐量的连接,但会产生流量费用

    • 通过 ExpressRoute 路由可能会导致延迟增加(由于 M标准版E 发夹),所选的 ExpressRoute 网关 SKU 会限制吞吐量。

下图显示了这两个选项:

Diagram that illustrates options for hub-to-hub connectivity.

图 4:用于中心到中心连接的选项。

  • 当两个 Azure 区域需要连接时,请使用全局虚拟网络对等互连来连接两个中心虚拟网络。

  • 当两个以上的 Azure 区域需要连接时,我们建议每个区域中的中心虚拟网络连接到同一 ExpressRoute 线路。 全局虚拟网络对等互连需要管理大量的对等互连关系,和一组复杂的跨多个虚拟网络的用户定义路由 (UDR)。 下图显示了如何在三个区域中连接中心辐射型网络:

Diagram that illustrates ExpressRoute providing hub-to-hub connectivity between multiple regions.

图 5:ExpressRoute 提供多个区域之间的中心到中心的连接。

  • 使用 ExpressRoute 线路进行跨区域连接时,不同区域中的辐射会直接通信并绕过防火墙,因为它们通过 BGP 路由了解到远程中心的分支。 如果需要中心虚拟网络中的防火墙 NVA 来检查辐射之间的流量,则必须实现以下选项之一:

    • 在分支 UDR 中为本地中心虚拟网络中的防火墙创建更具体的路由条目,以跨中心重定向流量。

    • 若要简化路由配置,请在分支路由表上禁用 BGP 传播

  • 如果组织需要跨两个以上的 Azure 区域进行中心辐射型网络体系结构,以及跨 Azure 区域的登陆区域虚拟网络之间的全局传输连接,并且想要最大程度地降低网络管理开销,我们建议使用基于虚拟 WAN的托管全局传输网络体系结构。

  • 将每个区域的中心网络资源部署到单独的资源组中,并将它们分类到每个已部署的区域中。

  • 使用 Azure 虚拟网络管理器跨订阅管理全局虚拟网络的连接和安全配置。

  • 使用 Azure Monitor for Networks 监视 Azure 上的网络的端到端状态。

  • 将分支虚拟网络连接到中心虚拟网络时,必须考虑以下两 个限制

    • 每个虚拟网络的最大虚拟网络对等互连连接数。
    • 具有专用对等互连的 ExpressRoute 从 Azure 播发到本地的最大前缀数。

    请确保连接到中心虚拟网络的分支虚拟网络的数量不超过这些限制。