此参考体系结构演示如何通过使用 Azure ExpressRoute 以及用作故障转移连接的站点到站点虚拟专用网络 (VPN),将本地网络连接到 Azure 虚拟网络。
体系结构
下载此体系结构的 Visio 文件。
工作流
该体系结构包括以下组件。
- 本地网络。 组织中运行的专用局域网。
- VPN 设备。 用于与本地网络建立外部连接的设备或服务。 该 VPN 设备可以是硬件设备,也可以是软件解决方案,例如 Windows Server 2012 中的路由和远程访问服务 (RRAS)。 有关受支持 VPN 设备的列表和有关为连接到 Azure 而配置所选 VPN 设备的信息,请参阅关于用于建立站点到站点 VPN 网关连接的 VPN 设备。
- ExpressRoute 线路。 连接提供商提供的第 2 层或第 3 层线路,用于通过边缘路由器将本地网络与 Azure 相连接。 该线路使用连接提供商管理的硬件基础结构。
- ExpressRoute 虚拟网络网关。 使用 ExpressRoute 虚拟网络网关,可将 Azure 虚拟网络连接到用于与本地网络建立连接的 ExpressRoute 线路。
- VPN 虚拟网络网关。 VPN 虚拟网络网关可让 Azure 虚拟网络连接到本地网络中 VPN 设备。 VPN 虚拟网络网关配置为仅通过 VPN 设备接受来自本地网络的请求。 有关详细信息,请参阅将本地网络连接到 Microsoft Azure 虚拟网络。
- VPN 连接。 该连接包含一些属性,这些属性指定连接类型 (IPSec),以及与本地 VPN 设备共享的、用于加密流量的密钥。
- Azure 虚拟网络。 每个虚拟网络都驻留在单个 Azure 区域中,可以托管多个应用层。 可以使用每个虚拟网络中的子网将应用层分段。
- 网关子网。 虚拟网络网关保留在同一子网中。
组件
方案详细信息
此参考体系结构演示如何使用 ExpressRoute 以及用作故障转移连接的站点到站点虚拟专用网络 (VPN),将本地网络连接到 Azure 虚拟网络。 本地网络与 Azure 虚拟网络之间的流量通过 ExpressRoute 连接传送。 如果 ExpressRoute 线路的连接断开,则通过 IPSec VPN 隧道路由流量。 部署此解决方案。
请注意,如果 ExpressRoute 线路不可用,VPN 路由只会处理专用对等互连。 公共对等互连和 Microsoft 对等互连连接通过 Internet 传递。
建议
以下建议适用于大多数方案。 除非有优先于这些建议的特定要求,否则请遵循这些建议。
虚拟网络和 GatewaySubnet
使用已存在的网关对象在同一虚拟网络中创建 ExpressRoute 虚拟网络网关连接和 VPN 虚拟网络网关连接。 它们将共享同一个名为 GatewaySubnet 的子网。
如果虚拟网络已包含名为 GatewaySubnet 的子网,请确保它具有 /27 或更大的地址空间。 如果现有子网太小,请使用以下 PowerShell 命令删除该子网:
$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet
如果虚拟网络不包含名为 GatewaySubnet 的子网,请使用以下 PowerShell 命令新建一个子网:
$vnet = Get-AzVirtualNetwork -Name <your-vnet-name> -ResourceGroupName <your-resource-group>
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.224/27"
$vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
VPN 和 ExpressRoute 网关
验证组织是否符合有关连接 Azure 的 ExpressRoute 先决条件要求。
如果已在 Azure 虚拟网络中创建 VPN 虚拟网络网关,请使用以下 PowerShell 命令将其删除:
Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName <your-resource-group>
遵照使用 Azure ExpressRoute 配置混合网络体系结构中的说明建立 ExpressRoute 连接。
遵照使用 Azure 和本地 VPN 配置混合网络体系结构中的说明建立 VPN 虚拟网络网关连接。
建立虚拟网络网关连接后,请按如下所示测试环境:
- 确保可从本地网络连接到 Azure 虚拟网络。
- 联系提供商停止 ExpressRoute 连接,以进行测试。
- 验证是否仍可使用 VPN 虚拟网络网关连接从本地网络连接到 Azure 虚拟网络。
- 联系提供商重新建立 ExpressRoute 连接。
注意事项
这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改善工作负荷质量的指导原则。 有关详细信息,请参阅 Microsoft Azure 架构良好的框架。
安全性
安全性针对蓄意攻击及滥用宝贵数据和系统提供保障措施。 有关详细信息,请参阅安全性支柱概述。
有关一般性 Azure 安全注意事项,请参阅 Microsoft 云服务和网络安全。
成本优化
成本优化是关于寻找减少不必要的费用和提高运营效率的方法。 有关详细信息,请参阅成本优化支柱概述。
有关 ExpressRoute 成本注意事项,请参阅以下文章:
卓越运营
卓越运营涵盖了部署应用程序并使其在生产环境中保持运行的运营流程。 有关详细信息,请参阅卓越运营支柱概述。
有关 ExpressRoute DevOps 注意事项,请参阅使用 Azure ExpressRoute 配置混合网络体系结构指南。
有关站点到站点 VPN DevOps 注意事项,请参阅使用 Azure 和本地 VPN 配置混合网络体系结构指南。
部署此方案
先决条件。 必须提供一个已配置适当网络设备的现有本地基础结构。
若要部署该解决方案,请执行以下步骤。
选择下面的链接。
等待链接在 Azure 门户中打开,然后选择要将这些资源部署到其中的“资源组”,或创建新的资源组。 “区域”和“位置”将自动更改以匹配资源组。
如果要更改环境的资源名称、提供程序、SKU 或网络 IP 地址,请更新其余字段。
选择“查看 + 创建”,然后选择“创建”以部署这些资源。
等待部署完成。
注意
此模板部署仅部署以下资源:
- 资源组(如果创建了新的资源组)
- ExpressRoute 线路
- Azure 虚拟网络
- ExpressRoute 虚拟网络网关
若要成功建立从本地到 ExpressRoute 线路的专用对等互连连接,需要使用线路服务密钥与服务提供商联系。 可以在 ExpressRoute 线路资源的概述页上找到服务密钥。 有关配置 ExpressRoute 线路的详细信息,请参阅创建或修改对等互连配置。 成功配置专用对等互连后,可以将 ExpressRoute 虚拟网络网关链接到线路。 有关详细信息,请参阅教程:使用 Azure 门户将虚拟网络连接到 ExpressRoute 线路。
若要部署站点到站点 VPN 作为 ExpressRoute 的备份,请参阅创建站点到站点 VPN 连接。
成功配置到同一本地网络(在其中配置 ExpressRoute)的 VPN 连接后,如果对等互连位置完全失败,你将完成备份 ExpressRoute 连接的设置。
作者
本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。
主要作者:
- Sarah Parkes | 高级云解决方案架构师
若要查看非公开领英个人资料,请登录领英。
后续步骤
- ExpressRoute 文档
- ExpressRoute 的 Azure 安全基线
- 如何创建 ExpressRoute 线路
- Azure 网络博客
- 使用 PowerShell 配置 ExpressRoute 和站点到站点共存连接