包内容
Azure Modular Datacenter (MDC) 解决方案随附本文中引用的额外网络设备。 此设备用于将容器连接到你的网络。
确认与你的环境匹配的交换机光模块。
| 数量 | 类型 | 型号 |
|---|---|---|
| 12 | 12x QSFP-40G | "SR" |
| 12 | 12x SFP+ 10 GB | "SR" |
| 12 | 12x SFP 1G | "SR" |
| 12 | 12x QSFP-40G | "LR" |
| 12 | 12x SFP+ 10 GB | "LR" |
| 12 | 12x SFP 1G | "LR" |
网络设计概述
物理网络设计
MDC 解决方案需要弹性且高可用的物理基础结构来支持其操作和服务。 从架顶式 (TOR) 到边界交换机的上行链路仅限于 SFP+或 SFP28 介质以及 1-GB、10-GB 或 40-GB 速度。
以下图表展示了我们为 MDC 推荐的设计。
逻辑网络设计
逻辑网络设计表示物理网络基础结构的抽象。 它们用于组织和简化主机、虚拟机 (VM) 和服务的网络分配。 作为逻辑网络创建的一部分,创建网络站点以定义:
- 虚拟局域网 (VLAN)。
- IP 子网。
- IP 子网/VLAN 对。
所有这些 VLAN 和子网都与每个物理位置的逻辑网络相关联。
下表显示了你必须规划的逻辑网络和关联的 IPv4 子网范围。
| 逻辑网络 | 描述 | 大小 |
|---|---|---|
| 公共虚拟 IP (VIP) | MDC 从此网络总共使用 31 个地址。 八个公共 IP 地址用于一小组 MDC 服务,其余地址由租户 VM 使用。 如果计划使用 Azure 应用程序服务和 SQL 资源提供程序,还会多使用七个地址。 其余 15 个 IP 保留用于将来的 Azure 服务。 | /26(62 台主机)- /22(1022 台主机) 建议使用 /24(254 台主机) |
| 交换机基础结构 | 用于路由的专用交换机管理接口的点到点 IP 地址,以及分配给交换机的环回地址。 | /26 |
| 基础结构 | 用于 MDC 内部组件通信。 | /24 |
| 专用 | 用于存储网络、专用 VIP、基础结构容器和其他内部功能。 | /20 |
| 基板管理控制器 (BMC) | 用于与物理主机上的 BMC 通信。 | /26 |
| Isilon | 用于与 Isilon 存储通信。 | 1x /25 TOR 1x /25 BMC(管理) |
网络基础结构
MDC 的网络基础结构由在交换机上配置的多个逻辑网络组成。 以下图表显示了这些逻辑网络以及它们如何与架顶式 (TOR)、BMC 和边界(客户网络)交换机集成。
BMC 网络
此网络专用于将所有 BMC(也称为服务处理器)连接到管理网络。 示例包括 iDRAC、iLO 和 iBMC。 仅一个 BMC 帐户用于与任何 BMC 节点通信。 如果存在,硬件生命周期主机 (HLH) 位于此网络上,并可能提供用于硬件维护或监控的 OEM 特定软件。
HLH 还托管部署 VM (DVM)。 DVM 在 MDC 部署期间使用,并在部署完成后移除。 此 DVM 在联网部署场景中需要进行 Internet 访问,以便测试、验证和访问多个组件。 这些组件可以在企业网络内部和外部。 示例包括 NTP、域名系统 (DNS) 和 Azure。 有关连接要求的更多信息,请参阅 MDC 防火墙集成中的网络地址转换 (NAT) 部分。
专用网络
/20(4096 个主机 IP)网络是 MDC 区域专用的。 它不会扩展到 MDC 区域的边界交换设备之外。 此网络分为多个子网,例如:
- 存储网络:一个 /25(128 个 IP)网络,用于支持存储空间直通和服务器消息块 (SMB) 存储流量以及 VM 实时迁移。
- 内部虚拟 IP 网络:一个 /25 网络,专用于软件负载均衡器的仅限内部的 VIP。
- 容器网络:一个 /23(512 个 IP)网络,专用于运行基础结构服务的容器之间的仅内部流量。
更改的专用网络大小为 /20(4096 个 IP)的专用 IP 空间。 此网络是 MDC 系统专用的。 它不会路由到 MDC 系统的边界交换设备之外,并且可以在多个 MDC 系统上重用。 虽然该网络是 MDC 专用的,但它不得与数据中心中的其他网络重叠。 关于专用 IP 空间的指导,我们建议遵循 RFC 1918。
/20 专用 IP 空间分为多个网络,使 MDC 系统基础结构能够在未来版本中在容器上运行。 此专用 IP 空间支持在部署前减少所需可路由 IP 空间的持续工作。
MDC 基础结构网络
/24 网络专用于内部 MDC 组件,以便它们可以相互通信和交换数据。 此子网可以从 MDC 解决方案外部路由到你的数据中心。 我们不建议在此子网上使用公共或 Internet 可路由 IP 地址。 此网络会播发到边界,但其大多数 IP 受访问控制列表保护。 允许访问的 IP 位于较小范围内,大小相当于 /27 网络。 这些 IP 承载特权终结点 (PEP) 和 MDC 备份等服务。
公共 VIP 网络
公共 VIP 网络分配给 MDC 中的网络控制器。 它不是交换机上的逻辑网络。 SLB 针对租户工作负荷使用地址池并分配 /32 网络。 在交换机路由表上,这些 /32 IP 通过边界网关协议 (BGP) 作为可用路由播发。 此网络包含可从外部访问的公共地址。 MDC 基础结构从该公共 VIP 网络保留前 31 个地址,其余地址由租户 VM 使用。 此子网中的网络大小范围为最小 /26(64 台主机)到最大 /22(1022 台主机)。 我们建议规划 /24 网络。
交换机基础结构网络
/26 网络是包含可路由点对点 IP /30(两个主机 IP)子网和环回的子网。 这些子网是用于带内交换机管理和 BGP 路由器 ID 的专用/32 子网。 此 IP 地址范围必须可从 MDC 解决方案外部路由到你的数据中心。 这些 IP 地址可以是专用或公共的。
交换机管理网络
/29(六个主机 IP)网络专用于连接交换机的管理端口。 此网络允许用于部署、管理和故障排除的带外访问。 它由前一部分中提到的交换机基础结构网络计算得出。
Isilon 网络
有两个 /25 网络。 一个位于 TOR 交换机上,一个 /25 用于 BMC 交换机的管理。
DNS 设计概述
要从 MDC 外部访问 MDC 终结点(portal、adminportal、management 和 adminmanagement),则必须将 MDC DNS 服务与托管你想在 MDC 中使用的 DNS 区域的 DNS 服务器集成。
MDC DNS 命名空间
部署 MDC 解决方案时,你需要提供一些与 DNS 相关的重要信息。
| 字段 | 描述 | 示例 |
|---|---|---|
| 区域 | 你的 MDC 部署的地理位置。 | 东 |
| 外部域名 | 你想用于 MDC 部署的区域名称。 | cloud.fabrikam.com |
| 内部域名 | MDC 中用于基础结构服务的内部区域的名称。 它是目录服务集成的和专用的(无法从 MDC 部署外部访问)。 | azurestack.local |
| DNS 转发器 | 一种用于转发托管在 MDC 外部(无论是在企业 Intranet 还是公共 Internet 上)的 DNS 查询、DNS 区域和记录的 DNS 服务器。 在部署后,可以使用 Set-AzSDnsForwarder cmdlet 编辑 DNS 转发器值。 | |
| 命名前缀(可选) | 你希望 MDC 基础结构角色实例计算机名称具有的命名前缀。 如果未提供,默认值为 azs。 | azs |
你的 MDC 部署和终结点的完全限定域名 (FQDN) 是区域参数和外部域名参数的组合。 使用前表中的示例值,此 MDC 部署的 FQDN 为 east.cloud.fabrikam.com。
此部署的部分终结点示例如以下 URL 所示:
https://portal.east.cloud.fabrikam.comhttps://adminportal.east.cloud.fabrikam.com
要将此示例 DNS 命名空间用于 MDC 部署,需要满足以下条件:
- 区域 fabrikam.com 已在域名注册机构、公司内部 DNS 服务器或两者上注册。 注册取决于名称解析要求。
- 子域 cloud.fabrikam.com 位于区域 fabrikam.com 下。
- 可从 MDC 部署访问托管区域 fabrikam.com 和 cloud.fabrikam.com 的 DNS 服务器。
要从 MDC 外部解析 MDC 终结点和实例的 DNS 名称,必须集成 DNS 服务器。 将托管 MDC 外部 DNS 区域的服务器与托管要使用的父区域的 DNS 服务器集成。
DNS 名称标签
MDC 支持向公共 IP 地址添加 DNS 名称标签,以允许对公共 IP 地址进行名称解析。 DNS 标签是用户通过名称访问 MDC 中托管的应用和服务的便捷方式。 DNS 名称标签使用的命名空间与基础结构终结点略有不同。 按照前面的示例命名空间,DNS 名称标签的命名空间为 *.east.cloudapp.cloud.fabrikam.com。
如果租户在公共 IP 地址资源的 DNS 名称标签字段中指定 MyApp,它会在 MDC 外部 DNS 服务器上的 east.cloudapp.cloud.fabrikam.com 区域中为 myapp 创建一条 A 记录。 生成的 FQDN 为 myapp.east.cloudapp.cloud.fabrikam.com。
如果想利用此功能并使用此命名空间,则必须集成 DNS 服务器。 还需包括托管 MDC 外部 DNS 区域的服务器和托管要使用的父区域的 DNS 服务器。 此命名空间与 MDC 服务终结点使用的命名空间不同,因此必须创建额外的委托或条件转发规则。
有关 DNS 名称标签的工作原理的详细信息,请参阅 MDC 文档中的“使用 DNS”。
解析和委托
有两种类型的 DNS 服务器:
- 权威 DNS 服务器托管 DNS 区域。 它只应答这些区域中的 DNS 记录查询。
- 递归 DNS 服务器不托管 DNS 区域。 它调用权威 DNS 服务器来收集所需的数据,以应答所有 DNS 查询。
MDC 同时包括权威 DNS 服务器和递归 DNS 服务器。 递归服务器用于解析除该 MDC 部署的内部专用区域和外部公共 DNS 区域之外的所有名称。
从 MDC 解析外部 DNS 名称
要解析 MDC 外部终结点的 DNS 名称(例如 www.bing.com),必须为 MDC 提供 DNS 服务器以转发 DNS 请求,MDC 不对这些请求具有权威性。 部署工作表中(DNS 转发器字段)需要 MDC 转发请求的 DNS 服务器。 请在此字段中提供至少两个服务器,目的是容错。 没有这些值,MDC 部署将失败。 部署后可以使用 Set-AzSDnsForwarder cmdlet 编辑 DNS 转发器值。
防火墙设计概述
我们建议使用防火墙设备来帮助保护 MDC 的安全。 防火墙可帮助防御分布式拒绝服务 (DDoS) 攻击、入侵检测和内容检查等。 它们也可能成为 Blob、表和队列等 Azure 存储服务的吞吐量瓶颈。
如果使用断开连接的部署模式,必须发布 Active Directory 联合身份验证服务终结点。 有关详细信息,请参阅数据中心集成标识一文。
Azure 资源管理器(管理员)、管理员门户和 Azure 密钥保管库(管理员)终结点不一定需要外部发布。 例如,作为服务提供商,可以通过仅从网络内部而非 Internet 管理 MDC 来限制攻击面。
对于企业组织,外部网络可能是现有的公司网络。 在此方案中,必须发布终结点才能从企业网络操作 MDC。
网络地址转换
我们建议使用 NAT 方法,以允许部署期间 DVM 访问外部资源。 我们还建议在注册和故障排除期间为紧急恢复控制台 (ERCS) VM 或 PEP 使用 NAT。
NAT 也可以替代外部网络上的公共 IP 地址或公共 VIP。 我们不推荐此选项,因为它会限制租户用户体验并增加复杂性。 一种选择是一对一 NAT,这仍需要池中的每个用户 IP 对应一个公共 IP。 另一种选择是多对一 NAT,这需要为用户可能使用的所有端口为每个用户 VIP 设置 NAT 规则。
对公共 VIP 使用 NAT 的一些缺点包括:
- 管理防火墙规则时的开销,因为用户控制软件定义网络堆栈中的自己的终结点和发布规则。 用户必须联系 MDC 操作员来发布其 VIP 并更新端口列表。
- 虽然使用 NAT 会限制用户体验,但它使得操作员能够完全控制发布请求。
- 对于采用 Azure 的混合云方案,请注意 Azure 不支持使用 NAT 设置到终结点的 VPN 隧道。
SSL 拦截
当前,我们建议禁用所有 MDC 流量的任何 SSL 拦截(例如解密卸载)。 如果未来更新中支持,将提供有关如何为 MDC 启用 SSL 拦截的指导。
边缘部署防火墙方案
在边缘部署中,MDC 直接部署在边缘路由器或防火墙后面。 在这些方案中,支持防火墙位于边界上方(方案 1),其中支持主动-主动和主动-被动防火墙配置。 它也可以充当边界设备(方案 2),其中仅支持主动-主动防火墙配置。 方案 2 依赖于使用 BGP 或静态路由进行故障转移的等价多路径。
在部署时会为外部网络中的公共 VIP 池指定公共的可路由 IP 地址。 出于安全目的,边缘方案中不建议在任何其他网络上使用公共可路由 IP。 与在 Azure 之类的公有云中一样,此方案使得用户能够获得完全的自控云体验。
企业 Intranet 或外围网络防火墙方案
在企业 Intranet 或外围部署中,MDC 部署在多区域防火墙上或边缘防火墙与企业内部网络防火墙之间。 然后,其流量在安全外围网络(或 DMZ)和不安全区域之间分配,如下所述:
- 安全区域:使用内部或企业可路由 IP 地址的内部网络。 安全网络可以划分。 它可以通过防火墙 NAT 具有 Internet 出站访问权限。 通常可通过内部网络从数据中心内部访问它。 除外部网络的公共 VIP 池外,所有 MDC 网络都应位于安全区域。
- 外围区域:外围网络通常是部署面向外部或 Internet 的应用(如 Web 服务器)的地方。 它通常由防火墙监控,以避免 DDoS 和入侵(黑客攻击)等攻击,同时仍允许来自 Internet 的指定入站流量。 MDC 的外部网络公共 VIP 池应仅位于 DMZ 区域。
- 不安全的区域:外部网络,即 Internet。 我们不建议在不安全区域部署 MDC。
VPN 设计概述
尽管 VPN 是用户概念,但解决方案所有者和操作员需要了解一些重要注意事项。
必须先为虚拟网络创建虚拟网络 (VPN) 网关,然后才能发送 Azure 虚拟网络和本地站点之间的网络流量。
VPN 网关是一种虚拟网络网关,可以通过公共连接发送加密的流量。 可以使用 VPN 网关在 MDC 中的虚拟网络与 Azure 中的虚拟网络之间安全地发送流量。 还可以在虚拟网络与连接到 VPN 设备的另一个网络之间安全地发送流量。
创建虚拟网络网关时,需指定要创建的网关类型。 MDC 支持一种类型的虚拟网络网关:VPN 类型。
每个虚拟网络可以使用两个虚拟网络网关,但每种类型的网关只能有一个网关。 根据选择的设置,可与一个 VPN 网关建立多个连接。 这种设置的一个示例是多站点连接配置。
在为 MDC 创建和配置 VPN 网关之前,请查看 MDC 网络的注意事项。 将了解 MDC 的配置与 Azure 的不同之处。
在 Azure 中,所选 VPN 网关 SKU 的带宽吞吐量必须分配给连接到网关的所有连接。 但在 MDC 中,VPN 网关 SKU 的带宽值应用于连接到网关的每个连接资源。 例如:
- 在 Azure 中,基本 VPN 网关 SKU 可以容纳大约 100 Mbps 的聚合吞吐量。 如果对该 VPN 网关创建两个连接,而且其中一个连接使用 50 Mbps 的带宽,则 50 Mbps 可供另一个连接使用。
- 在 MDC 中,到基本 VPN 网关 SKU 的每个连接分配 100 Mbps 的吞吐量。
VPN 类型
为 VPN 网关配置创建虚拟网络网关时,必须指定 VPN 类型。 选择的 VPN 类型取决于要创建的连接拓扑。 VPN 类型还取决于使用的硬件。 站点到站点配置需要 VPN 设备。 有些 VPN 设备仅支持特定的 VPN 类型。
重要
当前,MDC 仅支持基于路由的 VPN 类型。 如果设备仅支持基于策略的 VPN,则不支持从 MDC 到这些设备的连接。 MDC 目前也不支持对基于路由的网关使用基于策略的流量选择器,因为不支持自定义 IPsec/IKE 策略配置。
- PolicyBased:基于策略的 VPN 根据 IPsec 策略加密数据包并通过 IPsec 隧道引导数据包。 策略通过本地网络与 MDC 虚拟网络之间的地址前缀组合进行配置。 策略或流量选择器通常是 VPN 设备配置中的访问列表。 Azure 支持 PolicyBased,但 MDC 不支持。
- RouteBased:基于路由的 VPN 使用 IP 转发或路由表中配置的路由。 路由将数据包引导到其对应的隧道接口。 然后,隧道接口会加密或解密出入隧道的数据包。 RouteBased 的 VPN 的策略或流量选择器配置为任意到任意(或使用通配符)。 默认情况下,它们无法更改。 RouteBased VPN 类型的值为 RouteBased。
配置 VPN 网关
VPN 网关连接需依赖于多个具有特定设置的资源。 大多数资源可单独进行配置,但在某些情况下,必须按特定的顺序配置这些资源。
设置
为每个资源选择的设置对于创建成功的连接至关重要。
本文可帮助你了解:
- 网关类型、VPN 类型和连接类型。
- 网关子网、本地网络网关和可能需要考虑的其他资源设置。
连接拓扑图
VPN 网关连接可以使用不同的配置。 确定哪种配置最适合自己的需要。 在以下部分,可以查看有关以下 VPN 网关连接的信息和拓扑图示:
- 可用的部署模型
- 可用的配置工具
- 直接转到某篇文章的链接(如果适用)
以下部分中的图示和说明可帮助你选择符合要求的连接拓扑。 示意图显示了主要基线拓扑,但可以通过将示意图作为指南来构建更复杂的配置。
站点到站点和多站点(IPsec/IKE VPN 隧道)
站点到站点
站点到站点 VPN 网关连接是通过 IPsec/IKE (IKEv2) VPN 隧道的连接。 这种类型的连接需要位于本地并分配有公共 IP 地址的 VPN 设备。 此设备不能位于 NAT 后面。 站点到站点连接可以用于跨界和混合配置。
多站点
多站点连接是站点到站点连接的变体。 从虚拟网络网关创建多个 VPN 连接,通常连接到多个本地站点。 使用多个连接时,必须使用基于路由的 VPN 类型(使用经典虚拟网络时称为动态网关)。 因为每个虚拟网络只能有一个 VPN 网关,所以通过网关的所有连接共享可用带宽。
网关 SKU
为 MDC 创建虚拟网络网关时,指定要使用的网关 SKU。 支持以下 VPN 网关 SKU:
- 基本
- 标准
- 高性能
选择更高的网关 SKU 会为网关分配更多 CPU 和网络带宽。 如此一来,网关可以对虚拟网络支持更高的网络吞吐量。
MDC 不支持仅与 Azure ExpressRoute 一起使用的超高性能网关 SKU。 选择 SKU 时考虑以下几点:
- MDC 不支持基于策略的网关。
- 基本 SKU 不支持 BGP。
- MDC 不支持 ExpressRoute-VPN 网关共存配置。
网关可用性
高可用性方案只能在高性能网关连接 SKU 上配置。 与 Azure 通过主动/主动和主动/被动配置提供可用性不同,MDC 仅支持主动/被动配置。
故障转移
MDC 中有三个多租户网关基础结构 VM。 其中两个 VM 处于主动模式。 第三个 VM 处于冗余模式。 主动 VM 允许在其上创建 VPN 连接。 冗余 VM 仅在发生故障转移时接受 VPN 连接。 如果活动网关 VM 变得不可用,则 VPN 连接在短时间(几秒)的连接丢失之后就会故障转移到冗余 VM。
按 SKU 列出的估计聚合吞吐量
下表按网关 SKU 显示了网关类型和估计的聚合吞吐量。
| 网关类型 | VPN 网关吞吐量 (1) | VPN 网关最大 IPsec 隧道数 (2) |
|---|---|---|
| 基本 SKU (3) | 100 Mbps | 20 |
| 标准 SKU | 100 Mbps | 20 |
| 高性能 SKU | 200 Mbps | 10 |
表格注释:
(1) VPN 吞吐量不是跨 Internet 的跨本地连接的保证吞吐量。 这是可能的最大吞吐量度量。
(2) 最大隧道数是每个 MDC 部署对所有订阅的总数。
(3) 基本 SKU 不支持 BGP 路由。
重要
两个 MDC 部署之间只能创建一个站点到站点 VPN 连接。 此限制是因为平台限制仅允许到同一 IP 地址的单个 VPN 连接。 因为 MDC 使用多租户网关,该网关为 MDC 系统中的所有 VPN 网关使用单个公共 IP,所以两个 MDC 系统之间只能有一个 VPN 连接。
此限制也适用于将多个站点到站点 VPN 连接连接到使用单一 IP 地址的任何 VPN 网关。 MDC 不允许使用相同 IP 地址创建多个本地网络网关资源。
IPsec/IKE 参数
在 MDC 中设置 VPN 连接时,必须在两端配置连接。 如果在 MDC 和硬件设备之间配置 VPN 连接,该设备可能会要求其他设置。 例如,设备可能会要求充当 VPN 网关的交换机或路由器。
与 Azure 支持作为发起方和响应方的多个套餐不同,MDC 默认仅支持一个套餐。 如果需要使用不同的 IPsec/IKE 设置来使用 VPN 设备,有更多设置可用于手动配置连接。
IKE 阶段 1(主模式)参数
| 资产 | 价值 |
|---|---|
| IKE 版本 | IKEv2(互联网密钥交换协议版本2) |
| Diffie-Hellman 组 | ECP384 |
| 身份验证方法 | 预共享密钥 |
| 加密和哈希算法 | AES256、SHA384 |
| SA 生存期(时间) | 28,800 秒 |
IKE 阶段 2(快速模式)参数
| 资产 | 价值 |
|---|---|
| IKE 版本 | IKEv2(互联网密钥交换协议版本2) |
| 加密和哈希算法(加密) | GCMAES256 |
| 加密和哈希算法(身份验证) | GCMAES256 |
| SA 生存期(时间) | 27,000 秒 |
| SA 生存期(千字节) | 33,553,408 |
| 完全前向保密 (PFS) | ECP384 |
| 死对等方检测 | 支持 |
配置自定义 IPsec/IKE 连接策略
IPsec 和 IKE 协议标准支持采用各种组合的各种加密算法。 要查看 MDC 中支持哪些参数来满足合规性或安全要求,请参阅 IPsec/IKE 参数。
本文提供了有关如何创建和配置 IPsec/IKE 策略并将其应用于新的或现有连接的说明。
注意事项
使用这些策略时请注意以下重要事项:
- IPsec/IKE 策略仅适用于标准和高性能(基于路由)网关 SKU。
- 一个给定的连接只能指定一个策略组合。
- 必须指定 IKE(主模式)和 IPsec(快速模式)的所有算法和参数。 不允许指定部分策略。
- 请查阅 VPN 设备供应商规范,确保本地 VPN 设备支持该策略。 如果策略不兼容,则无法建立站点到站点连接。
创建和设置 IPsec/IKE 策略的工作流
本部分概述了在站点到站点 VPN 连接上创建和更新 IPsec/IKE 策略所需的工作流。
- 创建虚拟网络和 VPN 网关。
- 为跨界连接创建本地网络网关。
- 使用选定的算法和参数创建 IPsec/IKE 策略。
- 使用 IPsec/IKE 策略创建 IPsec 连接。
- 为现有连接添加、更新或删除 IPsec/IKE 策略。
支持的加密算法和密钥强度
下表列出了 MDC 客户可配置的支持的加密算法和密钥强度。
| IPsec/IKEv2 | 选项 |
|---|---|
| IKEv2 加密 | AES256、AES192、AES128、DES3、DES |
| IKEv2 完整性 | SHA384、SHA256、SHA1、MD5 |
| DH 组 | ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、无 |
| IPsec 加密 | GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、无 |
| IPsec 完整性 | GCMASE256、GCMAES192、GCMAES128、SHA256、SHA1、MD5 |
| PFS 组 | PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、无 |
| QM SA 生存期 | (可选:如果未指定,则使用默认值。) |
| 秒(整数,最小 300/默认 27,000 秒) | |
| 千字节(整数,最小 1024/默认 102,400,000 千字节) | |
| 流量选择器 | MDC 不支持基于策略的流量选择器。 |
本地 VPN 设备配置必须匹配,或者必须包含可在 Azure IPsec/IKE 策略中指定的以下算法和参数:
- IKE 加密算法(主模式/阶段 1)。
- IKE 完整性算法(主模式/阶段 1)。
- DH 组(主模式/阶段 1)。
- IPsec 加密算法(快速模式/阶段 2)。
- IPsec 完整性算法(快速模式/阶段 2)。
- PFS 组(快速模式/阶段 2)。
- SA 生存期仅是本地规范。 它们不需要匹配。
如果将 GCMAES 用作 IPsec 加密算法,则必须为 IPsec 完整性选择相同的 GCMAES 算法和密钥长度。 例如,对这两者使用 GCMAES128。
在上表中:
- IKEv2 对应于主模式或阶段 1。
- IPsec 对应于快速模式或阶段 2。
- DH 组指定在主模式或阶段 1 中使用的 Diffie-Hellman 组。
- PFS 组指定快速模式或阶段 2 中使用的 Diffie-Hellman 组。
- MDC VPN 网关上的 IKEv2 主模式 SA 生存期固定为 28,800 秒。
下表列出了自定义策略支持的相应 Diffie-Hellman 组。
| Diffie-Hellman 组 | DHGroup | PFSGroup | 密钥长度 |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768 位 MODP |
| 2 | DHGroup2 | PFS2 | 1024 位 MODP |
| 14 | DHGroup14 | PFS2048 | 2048 位 MODP |
| DHGroup2048 | |||
| 19 | ECP256 | ECP256 | 256 位 ECP |
| 20 | ECP384 | ECP384 | 384 位 ECP |
| 24 | DHGroup24 | PFS24 | 2048 位 MODP |
使用 Azure ExpressRoute 将 MDC 连接到 Azure
概述、假设和先决条件
通过 Azure ExpressRoute,可将本地网络扩展到 Microsoft 云。 使用连接提供商提供的专用连接。 ExpressRoute 不是通过公共 Internet 的 VPN 连接。
有关 Azure ExpressRoute 的详细信息,请参阅 ExpressRoute 概述。
假设
本文假定你具备:
- Azure 的实践知识。
- MDC 的基本了解。
- 网络的基本了解。
先决条件
要使用 ExpressRoute 连接 MDC 和 Azure,必须满足以下要求:
- 通过连接提供商预配 ExpressRoute 线路。
- 拥有 Azure 订阅以在 Azure 中创建 ExpressRoute 线路和虚拟网络。
- 拥有必须满足以下条件的路由器:
- 支持其 LAN 接口与 Azure Stack 多租户网关之间的站点到站点 VPN 连接。
- 如果 MDC 部署中有多个租户,支持创建多个虚拟路由和转发实例。
- 拥有具有以下组件的路由器:
- 已连接到 ExpressRoute 线路的 WAN 端口。
- 连接到 MDC 多租户网关的 LAN 端口。
ExpressRoute 网络体系结构
下图显示了使用本文中的示例完成 ExpressRoute 设置后的 MDC 和 Azure 环境。
