子網路延伸模組
將工作負載遷移至公用雲端需要進行仔細的規劃和協調。 其中一個重要考慮可以是保留您 IP 位址的能力。 尤其是當您的應用程式具有 IP 位址相依性,或您的合規性需求使用特定的 IP 位址時,這可能相當重要。 Azure 虛擬網路可讓您使用您選擇的 IP 位址範圍來建立虛擬網路和子網路,以解決此問題。
當同時考量上述需求與其他需要在內部部署環境中保留應用程式的額外需求時,移轉可能會有些困難。 在這種情況下,您必須在 Azure 與內部部署之間分割應用程式,而不應在任一端重新為 IP 位址重新編號。 此外,您還必須允許應用程式如位於相同網路中的方式進行通訊。
上述問題的一個解決方案是子網路擴充。 擴充網路可讓應用程式在不同的實體位置上時,透過相同的廣播網域來交談,而不需要重新架構您的網路拓撲。
雖然擴充您的網路並不是理想做法,但是在下列使用案例中可能有其必要。
階段式移轉:最常見的案例是您想要進行階段式移轉。 您想要在一段時間後,將應用程式的其餘部分移轉至 Azure,以引入某些應用程式。
延遲:低延遲需求可能是您將某些應用程式保留在內部部署的另一個原因,以確保其盡可能靠近您的資料中心。
合規性:另一個使用案例是您可能會有合規性需求,以將部分應用程式保留在內部部署環境。
注意
除非必要,否則您不應擴充子網路。 在擴充子網路的情況下,您應該嘗試使其成為中繼步驟。 使用時間時,您應該嘗試在內部部署網路中重新編號應用程式,並將其遷移至 Azure。
在下一節中,我們將討論如何將您的子網路擴充至 Azure。
將您的子網路延伸至 Azure
您可以使用第 3 層以網路為基礎的解決方案,將您的內部部署子網路延伸至 Azure。 大部分的解決方案都使用重疊的技術 (例如 VXLAN),利用第 3 層重疊網路來擴充第 2 層網路。 下圖顯示一般化的解決方案。 在此解決方案中,位於 Azure 和內部部署的雙方都有相同的子網路。
子網路中的 IP 位址會指派給 Azure 和內部部署的 VM。 Azure 和內部部署都在其網路中插入 NVA。 當 Azure 中的 VM 嘗試與內部部署網路中的 VM 通訊時,Azure NVA 會捕捉封包、將其封裝,然後透過 VPN/Express 路由傳送至內部部署網路。 內部部署 NVA 會接收封包,解除該封包,並將其轉送到其網路中的預定收件者。 傳回流量會使用類似的路徑和邏輯。
在上述範例中,Azure NVA 和內部部署 NVA 會進行通訊,並瞭解彼此背後的 IP 位址。 更複雜的網路也可以有對應服務,這會維護 NVA 與其背後 IP 位址之間的對應。 當 NVA 接收到封包時,會查詢對應服務,以找出其後面有目的地 IP 位址的 NVA 位址。
在下一節中,您會找到我們在 Azure 上測試的子網路擴充解決方案詳細資料。