此中樞輪輻架構提供 Azure 中樞輪輻網路拓撲參考架構的替代解決方案,並實作安全的混合式網路。
「中樞」是 Azure 中的虛擬網路,會作為您內部部署網路連線的中心點。 輪 輻 是與中樞對等互連的虛擬網路,可用來隔離工作負載。 流量會透過 ExpressRoute 或 VPN 閘道連線,在內部部署資料中心和中樞之間流動。 此方法的主要區別在於使用 Azure 虛擬 WAN (VWAN) 來取代中樞作為受控服務。
此結構包含標準中樞輪輻網路拓撲的權益,並引進了新的權益:
將現有的中樞取代為完全受控的 VWAN 服務,以降低營運的經常性支出。
使用受管理的服務並移除網路虛擬設備的需求,以節省成本。
引進集中管理的安全中樞以及 Azure 防火牆 和 VWAN 將與設定錯誤相關的安全性風險降到最低,以改善安全性。
中央 IT (SecOps、InfraOps) 與工作負載 (DevOps) 之間的關注點分離。
潛在的使用案例
一般使用此結構時會包含下列情況:
工作負載之間的連線需要集中控制和存取共用服務。
企業需要集中控制安全性層面,例如:防火牆,並需要針對每個輪輻中的工作負載進行分離管理。
架構
架構包含:
內部部署網路。 在組織內執行的私人局域網路(LAN)。
VPN 裝置。 提供內部部署網路外部連線的裝置或服務。
VPN 虛擬網路閘道或 ExpressRoute 閘道。 虛擬網路閘道可讓虛擬網路連線到用於與內部部署網路連線的 VPN 裝置或 ExpressRoute 線路。
虛擬 WAN 中樞。 虛擬 WAN 會作為中樞輪輻拓撲中的中樞。 中樞是內部部署網路的連線中心點,也是裝載可由輪輻虛擬網路中裝載的不同工作負載所使用服務的位置。
受保護的虛擬中樞。 虛擬 WAN 中樞,具有 Azure 防火牆 管理員所設定的相關聯安全性和路由原則。 安全的虛擬中樞隨附內建路由,因此不需要設定使用者定義的路由。
閘道子網。 虛擬網路閘道會保留在相同的子網中。
輪輻虛擬網路。 一或多個作為中樞輪輻拓撲中輪輻使用的虛擬網路。 輪輻可用來隔離自己虛擬網路中的工作負載,並且與其他輪輻分開管理。 每個工作負載在透過 Azure 負載平衡器連線多個子網路的情況下,都可能包括多個階層。
虛擬網路對等互連。 您可以使用 VNet 對等互連連線來連線兩個虛擬網路。 對等互連連線是虛擬網路之間的非傳輸、低延遲連線。 對等互連之後,虛擬網路會使用 Azure 骨幹交換流量,而不需要路由器。 在中樞輪輻網路拓撲中,您可以使用虛擬網路對等互連,將中樞連線至每個輪輻。 Azure 虛擬 WAN 可讓您在中樞之間傳輸,這不能只使用對等互連。
元件
替代項目
中樞輪輻架構可以透過兩種方式來達成:客戶管理的中樞基礎結構或 Microsoft 管理的中樞基礎結構。 不論是哪一種情況,輪輻都會使用虛擬網路對等互連連線到中樞。
優點
上圖說明此架構可能提供的一些優點:
- Azure 虛擬網路之中的完整網狀中樞
- 分支對 Azure 連線
- 分支對分支連線
- 混合使用 VPN 和 ExpressRoute
- 混合使用網站的使用者 VPN
- VNET 對 VNET 連線
建議
下列建議適用於大部分案例。 除非您有覆寫它們的特定需求,否則請遵循它們。
資源群組
中樞和每個輪輻都可以在不同的資源群組中實作,而且更適合在不同的訂用帳戶中實作。 當您將不同訂用帳戶中的虛擬網路對等互連時,這兩個訂用帳戶都可以與相同或不同的 Microsoft Entra 租使用者相關聯。 這允許分散管理每個工作負載,同時在中樞維護服務。
虛擬 WAN
如果您有下列任一項需求,請建立標準虛擬 WAN:
調整以達到更高的輸送量
私人 連線 性(需要全球觸達位置 進階版 線路)
ExpressRoute VPN 互連
整合式監視與 Azure 監視器 (計量和 資源健康狀態)
標準虛擬 WAN 預設會在完整網狀結構中連接。 標準虛擬 WAN 支援單一中樞和跨中樞的任何連線能力(站對站 VPN、VNet、ExpressRoute、點對站端點)。 基本虛擬 WAN 僅支援單一中樞中的站對站 VPN 連線、分支對分支連線,以及分支對 VNet 連線。
虛擬 WAN 中樞
虛擬中樞是 Microsoft 管理的虛擬網路。 中樞包含各種服務端點,可啟用連線。 中樞是您區域內網路的核心。 每個 Azure 區域可以有多個中樞。 如需詳細資訊,請參閱 虛擬 WAN 常見問題。
當您使用 Azure 入口網站 建立中樞時,它會建立虛擬中樞 VNet 和虛擬中樞 VPN 閘道。 虛擬 WAN 中樞至少需要 /24 的位址範圍。 此IP位址空間將用於保留閘道和其他元件的子網。
安全虛擬中樞
虛擬中樞可以建立為安全的虛擬中樞,或在建立后隨時轉換成安全的中樞。 如需詳細資訊,請參閱使用 Azure 防火牆 Manager 保護您的虛擬中樞。
GatewaySubnet
如需設定閘道的詳細資訊,請參閱下列參考架構,視您的連線類型而定:
為了獲得更高的可用性,您可以使用 ExpressRoute 加上用於故障轉移的 VPN。 請參閱使用 ExpressRoute 搭配 VPN 故障轉移將內部部署網路 連線 至 Azure。
即使您不需要與內部部署網路連線,也不會在沒有網關的情況下使用中樞輪輻拓撲。
虛擬網路對等互連
虛擬網路對等互連是兩個虛擬網路之間的不傳輸關聯性。 不過,Azure 虛擬 WAN 可讓輪輻彼此連線,而不需在其中進行專用對等互連。
不過,如果您有數個輪輻需要彼此連線,由於每個虛擬網路的虛擬網路對等互連數目限制,您將非常快速地耗盡可能的對等互連連線。 (如需詳細資訊,請參閱 網路限制。)在此案例中,Azure VWAN 會使用其現用功能解決此問題。 如需詳細資訊,請參閱 全域傳輸網路架構和虛擬 WAN。
您也可以將輪輻設定為使用中樞閘道與遠端網路通訊。 若要允許閘道流量從輪輻流向中樞,並連線到遠端網路,您必須:
設定中樞中的對等互連連線以 允許閘道傳輸。
設定每個輪輻中的對等互連連線以 使用遠端閘道。
設定所有對等互連連線以 允許轉送的流量。
如需詳細資訊,請參閱 在虛擬網路對等互連和 VPN 閘道之間進行選擇。
中樞延伸模組
若要支援全網路共享服務,例如 DNS 資源、自定義 NVA、Azure Bastion 等,請遵循 虛擬中樞擴充模式實作每個服務。 遵循此模型,您可以建置及操作單一責任延伸模組,以個別公開這些業務關鍵、共用的服務,否則您無法直接部署在虛擬中樞。
考量
Operations
Azure VWAN 是 Microsoft 所提供的受控服務。 從技術的觀點來看,它與客戶管理的中樞基礎結構並不完全不同。 Azure 虛擬 WAN 透過在輪輻之間提供具有可轉移網路連線的網狀網路拓撲,來簡化整體網路架構。 您可以使用 Azure 監視器來監視 Azure VWAN。 內部部署網路與 Azure 之間的站對站組態和連線能力可以完全自動化。
可靠性
Azure 虛擬 WAN 會處理路由,有助於優化輪輻之間的網路等待時間,並確保延遲的可預測性。 Azure 虛擬 WAN 也針對跨越多個區域的工作負載,在不同的 Azure 區域之間提供可靠的連線能力。 透過此設定,Azure 內的端對端流程會變得更加可見。
效能
透過 Azure 虛擬 WAN 的協助,可以達到輪輻和跨區域之間的較低延遲。 Azure 虛擬 WAN 可讓您相應增加至 20 Gbps 匯總輸送量。
延展性
Azure 虛擬 WAN 藉由保留根據需求限制流量的能力,在輪輻之間提供完整的網狀連線能力。 有了此架構,就有可能具有大規模的站對站效能。 此外,您可以藉由啟用全域分散式雲端工作負載集之間的任意對任意連線,來建立全域傳輸網路架構。
安全性
Azure VWAN 中的中樞可以藉由利用 Azure 防火牆 轉換為安全的 HUB。 使用者定義路由 (UDR) 仍然可以以相同的方式來達到網路隔離。 Azure VWAN 可讓您透過 ExpressRoute 加密內部部署網路與 Azure 虛擬網路之間的流量。
Azure DDoS 保護 (結合應用程式設計最佳做法) 可提供增強的 DDoS 風險降低功能,以針對 DDoS 攻擊提供更多的防禦。 您應該在任何周邊虛擬網路上啟用 Azure DDOS 保護。
輪輻聯機和共用服務
輪輻之間的 連線 已使用 Azure 虛擬 WAN 來達成。 不過,在輪輻流量中使用 UDR 有助於隔離虛擬網路。 任何共用服務也可以裝載在與輪輻相同的虛擬WAN 上。
虛擬網路對等互連 - 中樞連線
虛擬網路對等互連是兩個虛擬網路之間的不傳輸關聯性。 使用 Azure 虛擬 WAN 時,虛擬網路對等互連是由 Microsoft 管理。 新增至中樞的每個連線也會設定虛擬網路對等互連。 透過虛擬 WAN 協助,所有輪輻都會有可轉移的關聯性。
成本最佳化
客戶管理的中樞基礎結構會對基礎 Azure 資源帶來管理成本。 若要達到可預測延遲的可轉移連線,您必須在每個中樞部署網路虛擬設備 (NVA) 或 Azure 防火牆。 搭配任一選擇使用 Azure 防火牆,相較於 NVA,成本會降低。 Azure 防火牆 兩個選項的成本都相同。 Azure 虛擬 WAN 有額外的成本;不過,其成本遠低於管理您自己的中樞基礎結構。
如需詳細資訊,請參閱 虛擬 WAN 定價。
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主體作者:
- 尤努斯·埃姆雷·阿爾波森 |程序架構設計人員跨工作負載
若要查看非公用LinkedIn配置檔,請登入LinkedIn。
下一步
深入了解: