此參考架構示範如何使用 Azure ExpressRoute 將內部部署網路連線到 Azure 虛擬網路,並將站對站虛擬專用網 (VPN) 作為故障轉移連線。
架構
工作流程
此結構由下列元件組成。
- 內部部署網路。 在組織內執行的私人局域網路。
- VPN 設備。 提供內部部署網路外部連線的裝置或服務。 VPN 設備可以是硬體裝置,也可以是軟體解決方案,例如 Windows Server 2012 中的路由和遠端存取服務 (RRAS)。 如需支援的 VPN 設備清單,以及設定連線至 Azure 之所選 VPN 設備的相關信息,請參閱關於站對站連線的 VPN 裝置 VPN 閘道。
- ExpressRoute 線路。 連線提供者提供的第 2 層或第 3 層線路,可透過邊緣路由器將內部部署網路與 Azure 聯結在一起。 線路會使用由連線提供者管理的硬體基礎結構。
- ExpressRoute 虛擬網路閘道。 ExpressRoute 虛擬網路閘道可讓 Azure 虛擬網路連線到用來與內部部署網路連線的 ExpressRoute 線路。
- VPN 虛擬網路閘道。 VPN 虛擬網路閘道可讓 Azure 虛擬網路連線到內部部署網路中 VPN 設備。 VPN 虛擬網路閘道設定為只透過 VPN 裝置接受來自內部部署網路的要求。 如需詳細資訊,請參閱「將內部部署網路連線至 Microsoft Azure 虛擬網路」。
- VPN 連線。 線上具有屬性,可指定連線類型 (IPSec) 和與內部部署 VPN 裝置共用的金鑰,以加密流量。
- Azure 虛擬網路。 每個虛擬網路都位於單一 Azure 區域中,而且可以裝載多個應用層。 應用層可以使用每個虛擬網路中的子網來分割。
- 閘道子網。 虛擬網路閘道會保留在相同的子網中。
元件
案例詳細資料
此參考架構示範如何使用 ExpressRoute 將內部部署網路連線至 Azure 虛擬網路,並將站對站虛擬專用網 (VPN) 作為故障轉移連線。 內部部署網路與 Azure 虛擬網路之間的流量會透過 ExpressRoute 連線流動。 如果 ExpressRoute 線路中連線中斷,流量會透過 IPSec VPN 信道路由傳送。 部署此解決方案。
請注意,如果 ExpressRoute 線路無法使用,VPN 路由只會處理私人對等互連連線。 公用對等互連和 Microsoft 對等互連聯機會透過因特網傳遞。
建議
下列建議適用於大部分案例。 除非您有覆寫建議的特定需求,否則請遵循這些建議。
虛擬網路和 GatewaySubnet
使用閘道物件,在相同的虛擬網路中建立 ExpressRoute 虛擬網路網關聯機和 VPN 虛擬網路網關聯機。 兩者都會共用名為 GatewaySubnet 的相同子網。
如果虛擬網路已經包含名為 GatewaySubnet 的子網,請確定其具有 /27 或更大的地址空間。 如果現有的子網太小,請使用下列 PowerShell 命令來移除子網:
$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet
如果虛擬網路未包含名為 GatewaySubnet 的子網,請使用下列 PowerShell 命令建立新的子網:
$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
VPN 和 ExpressRoute 閘道
確認您的組織符合連線至 Azure 的 ExpressRoute 必要條件需求 。
如果您的 Azure 虛擬網路中已經有 VPN 虛擬網路閘道,請使用下列 PowerShell 命令來移除它:
Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>
依照使用 Azure ExpressRoute 設定混合式網路架構中的指示來建立 ExpressRoute 連線。
請遵循使用 Azure 和內部部署 VPN 設定混合式網路架構中的指示,以建立 VPN 虛擬網路網關聯機。
建立虛擬網路網關聯機之後,請測試環境,如下所示:
- 請確定您可以從內部部署網路連線到 Azure 虛擬網路。
- 請連絡您的提供者,以停止 ExpressRoute 連線以進行測試。
- 確認您仍然可以使用 VPN 虛擬網路網關聯機,從內部部署網路連線到 Azure 虛擬網路。
- 請連絡您的提供者以重新建立 ExpressRoute 連線。
考量
這些考慮會實作 Azure Well-Architected Framework 的支柱,這是一組指導原則,可用來改善工作負載的品質。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework。
安全性
安全性可提供針對蓄意攻擊和濫用寶貴數據和系統的保證。 如需詳細資訊,請參閱 安全性要素概觀。
如需一般 Azure 安全性考慮,請參閱 Microsoft 雲端服務和網路安全性。
成本最佳化
成本優化是考慮如何減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱 成本優化要素概觀。
如需 ExpressRoute 成本考慮,請參閱下列文章:
- 使用 Azure ExpressRoute 設定混合式網路架構的成本考慮。
卓越營運
卓越營運涵蓋部署應用程式的作業程式,並讓它在生產環境中執行。 如需詳細資訊,請參閱 營運卓越支柱概觀。
如需 ExpressRoute DevOps 考慮,請參閱 使用 Azure ExpressRoute 設定混合式網路架構指引。
如需站對站 VPN DevOps 考慮,請參閱 使用 Azure 和內部部署 VPN 設定混合式網路架構指引。
部署此案例
必要條件。 您必須已使用適當的網路設備設定現有的內部部署基礎結構。
若要部署解決方案,請執行下列步驟。
選取下方的連結。
等候連結在 Azure 入口網站 中開啟,然後選取您要將這些資源部署到或建立新的資源群組的資源群組。 區域和位置會自動變更以符合資源群組。
如果您想要變更您環境的資源名稱、提供者、SKU 或網路IP位址,請更新其餘欄位。
選取 [ 檢閱 + 建立 ],然後 選取 [建立] 以部署這些資源。
等待部署完成。
注意
此樣本部署只會部署下列資源:
- 資源群組(如果您建立新資源群組)
- ExpressRoute 線路
- Azure 虛擬網路
- ExpressRoute 虛擬網路閘道
若要成功建立從內部部署到 ExpressRoute 線路的私人對等互連連線,您必須將服務提供者與線路服務密鑰互動。 您可以在 ExpressRoute 線路資源的概觀頁面上找到服務密鑰。 如需設定 ExpressRoute 線路的詳細資訊,請參閱 建立或修改對等互連設定。 成功設定私人對等互連之後,您就可以將ExpressRoute虛擬網路閘道連結至線路。 如需詳細資訊,請參閱教學課程:使用 Azure 入口網站 將虛擬網路 連線 至 ExpressRoute 線路。
若要完成將站對站 VPN 部署為 ExpressRoute 的備份,請參閱 建立站對站 VPN 連線。
成功設定 VPN 連線到您已設定 ExpressRoute 的相同內部部署網路之後,如果對等互連位置發生完全失敗,您就會完成設定以備份 ExpressRoute 連線。
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主體作者:
- 莎拉·帕克斯 |資深雲端解決方案架構師
若要查看非公用LinkedIn配置檔,請登入LinkedIn。
下一步
- ExpressRoute 文件
- ExpressRoute 的 Azure 安全性基準
- 如何建立 ExpressRoute 線路
- Azure 網路部落格
- 使用 PowerShell 設定 ExpressRoute 和站對站並存連線