分支到分支网络

Azure 中最常见的网络设计模式涉及在一个或多个 Azure 区域中创建中心辐射型虚拟网络拓扑，可以选择通过 Azure ExpressRoute 或站点到站点虚拟专用网 (VPN) 隧道通过公共 Internet 连接到本地网络。

大多数设计指南侧重于从内部、本地网络或 Internet 中的用户到这些虚拟网络的应用程序流量（行业通常将其称为南北流量，因为在网络图中它通常由垂直线表示）。 本文重点介绍可用于东西流量的各种模式。 也就是说，通信在 Azure 虚拟网络（位于一个区域或不同区域中）中部署的工作负载之间流动。

确保网络设计满足东西流量的要求对于为 Azure 中运行的应用程序提供性能、可伸缩性和复原能力至关重要。

可能的用例

分支到分支流量在以下几种情况下可能很重要：

• 单个应用程序的不同层位于单独的虚拟网络中。 例如，外围虚拟网络中的外围网络服务器（也称为 DMZ 服务器）与内部虚拟网络中的应用程序服务通信。
• 不同环境中的应用程序工作负载（开发、暂存、生产）必须相互复制数据。
• 不同的应用程序或微服务需要相互通信。
• 在发生灾难时，数据库需要跨区域复制数据，以保证业务连续性。
• 用户位于 Azure 虚拟网络内。 例如，他们使用 Azure 虚拟桌面。

分支间通信的模式和拓扑

在跨多个虚拟网络的 Azure 设计中可以使用两个主要拓扑：传统中心辐射型拓扑和 Azure 虚拟 WAN 拓扑。 在虚拟 WAN 环境中，Microsoft 管理中心虚拟网络及其内部的所有内容。 在传统的中心辐射型环境中，你管理中心虚拟网络。

虚拟 WAN 和中心辐射型拓扑都是以下类型的体系结构：其中的工作负载在分支虚拟网络中运行，而与本地的连接集中在中心虚拟网络中。 因此，本文中介绍的许多概念同时适用于中心辐射型设计和虚拟 WAN 设计。

有两种主要模式用于将分支虚拟网络相互连接：

• 分支直接相互连接。 虚拟网络对等互连或 VPN 隧道是在分支虚拟网络之间创建的，无需遍历中心虚拟网络即可提供直接连接。
• 分支通过网络设备进行通信。 每个分支虚拟网络都有与虚拟 WAN 或中心虚拟网络的对等互连。 设备将流量从分支路由到分支。 设备可以由 Microsoft 管理（与虚拟 WAN 一样），也可由你管理。

模式 1：分支直接相互连接

与跨越中心通过网络虚拟设备 (NVA) 的连接相比，分支间的直接连接提供更好的吞吐量、延迟和可伸缩性。 如果 NVA 位于不同的可用性区域中，并且通过中心发送流量时至少需要跨越两个虚拟网络对等互连，则通过 NVA 发送流量可能会增加流量的延迟。 有几个选项可用于将两个分支虚拟网络直接相互连接：虚拟网络对等互连、Azure Virtual Network Manager 和 VPN 隧道。

• 虚拟网络对等互连。直接虚拟网络对等互连相较于分支的优点包括：

  • 成本较低，因为需要的虚拟网络对等互连跃点更少。
  • 性能更好，因为流量不需要遍历任何会引入延迟或潜在瓶颈的网络设备。

  其他方案包括跨租户连接。 但是，可能需要检查分支虚拟网络之间的流量，这可能需要通过中心虚拟网络中的集中式网络设备发送流量。

• Azure Virtual Network Manager。除了虚拟网络对等互连提供的优势外，Azure Virtual Network Manager 还提供一项管理服务，使你能够管理虚拟网络环境并大规模创建连接。 通过使用 Azure Virtual Network Manager，可以为现有虚拟网络和新虚拟网络跨订阅创建三种类型的拓扑：

  • 分支未相互连接的中心辐射型拓扑。

  • 分支直接相互连接，中心没有任何跃点的中心辐射型拓扑。

  • 由互连的虚拟网络组成的网格化组。

    

    下载本文中的所有 Visio 图。

    使用 Azure Virtual Network Manager 创建分支相互连接的中心辐射型拓扑时，会自动双向创建同一网络组中分支虚拟网络之间的直接连接。 通过使用 Azure Virtual Network Manager，可以静态或动态地使分支虚拟网络成为特定网络组的成员，从而自动为任何虚拟网络创建连接。

    可以创建多个网络组，以隔离分支虚拟网络群集，避免直接连接。 每个网络组都为分支到分支连接提供相同的区域和多区域支持。 请务必保持低于 Azure Virtual Network Manager 常见问题解答中所述的 Azure Virtual Network Manager 最大限制。

• 连接虚拟网络的 VPN 隧道。 可以使用 Microsoft VPN 网关或第三方 VPN NVA 将 VPN 服务配置为直接连接分支虚拟网络。 此选项的优势在于，分支虚拟网络可跨同一云提供商或连接跨云提供商的商业云和主权云进行连接。 此外，如果每个分支虚拟网络中有软件定义的广域网 (SD-WAN) NVA，则此配置有助于使用第三方提供商的控制平面和功能集来管理虚拟网络连接。

  此选项还有助于满足在单个 Azure 数据中心内跨虚拟网络加密流量的合规性要求，MACsec 加密尚未提供该功能。 但是，由于 IPsec 隧道的带宽限制（每个隧道 1.25 Gbps）以及在中心和分支虚拟网络中都有虚拟网络网关的设计约束，此选项也有其自身的挑战：如果分支虚拟网络具有虚拟网络网关，则无法连接到虚拟 WAN 或使用中心的虚拟网络网关连接到本地网络。

模式 1：单个区域

无论使用哪种技术将分支虚拟网络相互连接，对于单个区域，网络拓扑都如下所示：

模式 1：多个区域

将所有分支虚拟网络相互连接的设计也可以扩展到多个区域。 在此拓扑中，Azure Virtual Network Manager 更为关键，可减少维护所需大量连接的管理开销。

在全网格式拓扑中直接将分支虚拟网络相互连接时，需要考虑可能需要大量虚拟网络对等互连。 下图演示了此问题。 在这种情况下，强烈建议使用 Azure Virtual Network Manager，以便自动创建虚拟网络连接。

模式 2：分支通过网络设备进行通信

可以使用网络设备在分支之间转发流量，而不是将分支虚拟网络直接相互连接。 网络设备提供深度数据包检查以及流量分段或监视等附加网络服务，但它们可能会引入延迟和性能瓶颈。 这些设备通常位于分支连接到的中心虚拟网络中。 有多个选项可用于使用网络设备在分支之间转发流量：

• 虚拟 WAN 中心路由器。 虚拟 WAN 完全由 Microsoft 管理，它包含一个虚拟路由器，会吸引来自分支的流量，并将其路由到与虚拟 WAN 相连的另一个虚拟网络，或通过 ExpressRoute 或站点到站点/点到站点 VPN 隧道路由到本地网络。 虚拟 WAN 路由器自动纵向扩展和缩减，因此只需确保分支之间的流量保持在虚拟 WAN 限制范围内。

• Azure 防火墙。Azure 防火墙是由 Microsoft 管理的网络设备，可以部署在你管理的中心虚拟网络中或部署在虚拟 WAN 中心内。 它可以转发 IP 数据包，还可以检查这些包并应用策略中定义的流量分段规则。 它在 Azure 防火墙限制内提供自动缩放，因此不会成为瓶颈。 请注意，仅当与虚拟 WAN 一起使用时，Azure 防火墙才提供现成的多区域功能。 在没有虚拟 WAN 的情况下，需要实现用户定义的路由来实现跨区域的分支到分支通信。

• 第三方网络虚拟设备。 如果希望使用 Microsoft 合作伙伴提供的网络虚拟设备来执行路由和网络分段，则可以在中心辐射型拓扑或虚拟 WAN 拓扑中部署网络虚拟设备。 有关详细信息，请参阅部署高可用性 NVA 或虚拟 WAN 中心内的 NVA。 需要确保网络虚拟设备支持分支间通信生成的带宽。

• Azure VPN 网关。 可以将 Azure VPN 网关用作用户定义的路由的下一个跃点类型，但 Microsoft 不建议使用 VPN 虚拟网络网关来路由分支到分支流量。 它们专为加密到本地站点或 VPN 用户的流量而设计。 例如，无法保证 VPN 网关可以路由的分支之间的带宽。

• 到达 ExpressRoute 虚拟网关。 在某些配置中，ExpressRoute 网关可以播发吸引分支到分支通信的路由，将流量发送到 Microsoft 边缘路由器，并在该路由器中将流量路由到目标分支。 Microsoft 强烈建议不要使用此方案，因为它通过向 Microsoft 主干边缘发送流量并返回引入了延迟。 Microsoft 不建议将此方法用于除此之外的目的，因为它会造成单一故障点和较大的影响范围。 此方案还存在由于对 ExpressRoute 基础结构（网关和物理路由器）施加额外压力而导致的多个问题。 这种额外的压力可能导致丢包。

在具有集中式 NVA 的中心辐射型网络设计中，设备通常放置在中心内。 需要使用 Azure Virtual Network Manager 手动或自动创建中心辐射型虚拟网络之间的虚拟网络对等互连：

• 手动虚拟网络对等互连。 当分支虚拟网络数量较少时，此方法就足够了，但它会产生大规模管理开销。

• Azure Virtual Network Manager。如前所述，Azure Virtual Network Manager 提供用于大规模管理虚拟网络环境和对等互连的功能。 会自动为网络组双向配置中心辐射型虚拟网络之间的对等互连配置。

  Azure Virtual Network Manager 能够静态或动态将分支虚拟网络成员身份添加到特定网络组，自动为新成员创建对等互连连接。 网络组中的分支虚拟网络可以使用中心 VPN 或 ExpressRoute 网关进行连接。 请务必保持低于 Azure Virtual Network Manager 最大限制。

模式 2：单个区域

下图显示了单区域中心辐射型拓扑，该拓扑通过中心虚拟网络中部署的 Azure 防火墙在分支之间发送流量。 流量通过应用于分支子网的用户定义路由转发到中心内的集中式设备。

在某些情况下，将处理分支到分支流量和 Internet 流量的网络虚拟设备分离以实现可伸缩性可能是有益的。 可以通过以下方式实现此分离：

• 优化分支中的路由表，以将专用地址（这些地址具有 RFC 1918 前缀的路由）发送到负责 Azure 到 Azure 和 Azure 到本地流量（也称为东西流量）的 NVA。
• 优化到第二个 NVA 的 Internet 流量（该流量具有 0.0.0.0/0 路由）。 此 NVA 负责 Azure 到 Internet 流量（也称为南北流量）。

下图显示了此配置：

模式 2：多个区域

可以将相同的配置扩展到多个区域。 例如，在使用 Azure 防火墙的中心辐射型设计中，应将其他路由表应用于远程区域中分支的每个中心的 Azure 防火墙子网。 此配置确保可在每个中心虚拟网络中的 Azure 防火墙之间转发区域间流量。 分支虚拟网络之间的区域间流量随后遍历这两个 Azure 防火墙。 有关详细信息，请参阅使用 Azure 防火墙路由中心辐射型多重拓扑：

在多区域中心辐射型拓扑中，也可以实现对南北和东西流量使用单独的 Azure 防火墙或网络虚拟设备的设计变体：

虚拟 WAN 创建类似的拓扑并接管路由复杂性。 它在中心（由 Microsoft 管理）和分支（可以在其中注入路由并且不需要在路由表中手动定义）中都这样做。 因此，网络管理员只需将分支虚拟网络连接到虚拟 WAN 中心，无需担心区域之间的流量转发。

混合模式

许多情况需要一种混合方法来结合前面描述的两种模式。 在此方法中，某些分支之间的流量需要通过直接连接，但其余分支通过中心网络设备进行通信。 例如，在虚拟 WAN 环境中，可以直接连接两个具有高带宽和低延迟要求的特定分支。 另一种方案涉及属于单个环境的分支虚拟网络。 例如，可以允许一个分支开发虚拟网络直接连接到另一个分支开发虚拟网络，但强制开发和生产工作负载通过中心设备进行通信。

另一种常见模式涉及通过直接虚拟网络对等互连或 Azure Virtual Network Manager 互连组在一个区域中连接分支，但允许区域间流量跨越 NVA。 此模型的主要动机通常是减少体系结构中的虚拟网络对等互连数。 但是，与第一个模型（分支之间直接连接）相比，此模型中引入的一个缺点是用于跨区域流量的虚拟网络对等互连跃点更多。 这些跃点的成本因为跨越多个虚拟网络对等互连而增加。 另一个缺点是，中心 NVA 需要额外的负载来处理所有跨区域流量。

相同的设计适用于虚拟 WAN。 但是，一个考虑因素是分支虚拟网络之间的直接连接需要在虚拟网络之间直接手动配置，而不是通过虚拟 WAN 资源配置。 Azure Virtual Network Manager 目前不支持基于虚拟 WAN 的体系结构。 例如：

作者

本文由 Microsoft 维护， 它最初是由以下贡献者撰写的。

主要作者：

• Jay Li | 高级产品经理
• Jose Moreno | 首席客户工程师
• Alejandra Palacios | 高级 Azure 基础结构客户工程师

其他参与者：

• Mick Alberts | 技术文档撰写人
• Mohamed Hassan | 首席项目经理
• Andrea Michael | 项目经理
• Yasukuni Morishima | 客户工程师 II
• Jithin PP| 客户工程师

若要查看非公开领英个人资料，请登录领英。

后续步骤

• 云采用框架：登陆区域网络拓扑和连接
• 虚拟网络对等
• Azure Virtual Network Manager
• 虚拟 WAN
• Azure 防火墙
• Azure 上的安全网络连接
• Azure 虚拟网络简介

相关资源

• Azure 中的中心辐射型网络拓扑
• 中心辐射型拓扑与 Azure 虚拟 WAN
• 传统 Azure 网络拓扑