你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 中的中心辐射型网络拓扑

网络观察程序
防火墙
虚拟网络
Bastion
VPN 网关

此参考体系结构详细介绍了 Azure 中的中心辐射型拓扑。 中心虚拟网络可充当与许多辐射虚拟网络的连接的中心点。 中心还可以是到本地数据中心的连接点。 分支虚拟网络与中心对等互连,可用于隔离工作负载。

体系结构

Azure 中的中心辐射型拓扑

下载此体系结构的 Visio 文件

工作流

该体系结构包括以下几个方面:

  • 中心虚拟网络:中心虚拟网络是连接到本地网络的中心点。 其中托管可供分支虚拟网络中托管的不同工作负载使用的服务。

  • 虚拟网络:分支虚拟网络用于隔离自己虚拟网络中的负载,与其他分支分开管理。 每个工作负荷可以包括多个层,并具有通过 Azure 负载均衡器连接的多个子网。

  • 虚拟网络对等互连:可以使用对等互连连接连接两个虚拟网络。 对等连接是虚拟网络之间的非传递性、低延迟连接。 建立对等互连后,虚拟网络将使用 Azure 主干网络交换流量,而无需路由器。

  • Bastion 主机:借助 Azure Bastion,可使用浏览器和 Azure 门户安全连接到虚拟机。 Azure Bastion 主机部署在 Azure 虚拟网络中,可以访问虚拟网络 (VNet) 中的虚拟机或对等互连 VNet 中的虚拟机。

  • Azure 防火墙:Azure 防火墙是一种托管防火墙即服务。 防火墙实例位于其自己的子网中。

  • VPN 虚拟网络网关或 ExpressRoute 网关。 虚拟网络网关使虚拟网络能够连接到 VPN 设备或 ExpressRoute 线路,用于与本地网络建立连接。 有关详细信息,请参阅将本地网络连接到 Microsoft Azure 虚拟网络

  • VPN 设备。 用于与本地网络建立外部连接的设备或服务。 VPN 设备可以是硬件设备或软件解决方案,例如 Windows Server 2012 中的路由和远程访问服务 (RRAS)。 有关详细信息,请参阅关于用于建立站点到站点 VPN 网关连接的 VPN 设备

组件

  • Azure 虚拟网络。 Azure 虚拟网络 (VNet) 是 Azure 中专用网络的基本构建块。 VNet 允许许多类型的 Azure 资源(例如 Azure 虚拟机 (VM))以安全方式彼此通信、与 Internet 通信,以及与本地网络通信。

  • Azure Bastion。 Azure Bastion 是一项完全托管服务,可针对虚拟机 (VM) 提供更安全且无缝的远程桌面协议 (RDP) 和安全外壳协议 (SSH) 访问权限,且完全不会通过公共 IP 地址曝光。

  • Azure 防火墙。 Azure 防火墙是托管的基于云的网络安全服务,可保护 Azure 虚拟网络资源。 有状态防火墙服务具有内置的高可用性和不受限制的云可伸缩性,可帮助你跨订阅和虚拟网络创建、强制实施和记录应用程序和网络连接策略。

  • VPN 网关。 VPN 网关通过公共 Internet 在 Azure 虚拟网络与本地位置之间发送加密流量。 也可使用 VPN 网关在基于 Microsoft 网络的 Azure 虚拟网络之间发送加密流量。 VPN 网关是特定类型的虚拟网络网关。

  • Azure Monitor。 从 Azure 和本地环境收集、分析和处理遥测数据。 Azure Monitor 可帮助你最大限度地提高应用程序的性能和可用性,帮助你在数秒内主动识别问题。

方案详细信息

使用中心辐射型配置的好处包括节约成本、克服订阅限制和工作负载隔离

可能的用例

此体系结构的典型用途包括:

  • 在各种环境(例如开发、测试和生产)中部署的需要使用共享服务(例如 DNS、IDS、NTP 或 AD DS)的工作负荷。 共享服务放置在中心虚拟网络中,而每个环境部署到支路以保持隔离。
  • 不需要相互连接但需要访问共享服务的工作负载。
  • 需要对安全方面进行集中控制(例如作为外围网络的中心内的防火墙),并且需要在每个辐射中对工作负荷进行隔离管理的企业。

建议

以下建议适用于大多数场景。 除非有优先于这些建议的特定要求,否则请遵循这些建议。

资源组

本文档中包含的示例解决方案使用单个 Azure 资源组。 在实践中,中心和每个分支可以在不同的资源组甚至不同的订阅中实现。 对等互连不同订阅中的虚拟网络时,两个订阅都可以与相同或不同的 Azure Active Directory 租户相关联。 这种灵活性允许分散管理每个工作负载,同时共享中心内维护的服务。 请参阅创建虚拟网络对等互连 - 资源管理器、不同订阅和 Azure Active Directory 租户

虚拟网络和 GatewaySubnet

创建一个名为 GatewaySubnet 的子网,使其地址范围为 /27。 虚拟网络网关需要此子网。 为此子网提供 32 个地址将有助于防止将来达到网关大小限制。

有关设置网关的详细信息,请根据你的连接类型参阅以下参考体系结构:

要实现更高的可用性,可以将 ExpressRoute 外加 VPN 用于故障转移。 请参阅将本地网络连接到 Azure 并将 ExpressRoute 和 VPN 用于故障转移

如果不需要与本地网络的连接,还可以在不使用网关的情况下使用中心辐射型拓扑。

虚拟网络对等互连

虚拟网络对等互连是两个虚拟网络之间的非传递关系。 如果需要将各个辐射彼此连接,请考虑在这些辐射之间添加一个单独的对等互连连接。

假设有多个分支需要彼此连接。 在这种情况下,你将很快用完可能的对等互连连接,因为每个虚拟网络的虚拟网络对等互连的数量是有限的。 有关详细信息,请参阅网络限制。 在这种情况下,请考虑使用用户定义的路由 (UDR) 强制将发往分支的流量发送到 Azure 防火墙或在中心充当路由器的网络虚拟设备。 这将允许各个分支彼此连接。

还可以将分支配置为使用中心网关与远程网络进行通信。 若要允许网关流量从分支流动到中心,以及允许连接到远程网络,必须:

  • 在中心内配置对等互连连接以允许网关传输。
  • 在每个分支配置对等互连连接以使用远程网关。
  • 配置所有对等互连连接以允许转发流量。

有关详细信息,请参阅创建 VNet 对等互连

辐射连接

如果分支之间需要连接,请考虑部署 Azure 防火墙或其他网络虚拟设备。 然后创建路由以将分支中的流量转发到防火墙或网络虚拟设备,然后再路由到第二个分支。 在这种情况下,必须配置对等互连连接以允许转发的流量

使用 Azure 防火墙在支路之间路由

下载此体系结构的 Visio 文件

还可以使用 VPN 网关在分支之间路由流量,尽管此选项会影响延迟和吞吐量。 有关配置详细信息,请参阅为虚拟网络对等互连配置 VPN 网关传输

请考虑要在中心内共享哪些服务,以确保中心能够针对大量分支进行缩放。 例如,如果中心提供防火墙服务,则在添加多个分支时请考虑防火墙解决方案的带宽限制。 你可能希望将这些共享服务中的某一些移动到二级中心内。

注意事项

这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改善工作负载质量的指导原则。 有关详细信息,请参阅 Microsoft Azure 架构良好的框架

管理

使用 Azure Virtual Network Manager (AVNM) 创建新的(和载入现有的)中心辐射型虚拟网络拓扑,以集中管理连接和安全控制。

AVNM 可确保中心辐射型网络拓扑为跨多个订阅、管理组和地区的大规模未来增长做好准备。 请参阅以下示例场景:

  • 虚拟网络管理到组织各组的民主化,例如业务部门或应用程序团队,这导致大量的 VNet 到 VNet 连接和网络安全规则要求。
  • 多个 Azure 地区中的多个副本中心和分支体系结构的标准化,以确保应用程序的全球足迹。

可以使用范围功能定义通过 AVNM 管理的所需虚拟网络的可发现性。 此功能可灵活处理所需数量的 AVNM 资源实例,从而进一步实现 VNet 组的管理民主化。

同一 Azure AD 租户下的任何订阅、管理组或地区中的 VNet 都可以分组到网络组中,以确保预期连接和网络规则的一致性。 虚拟网络可以通过动态成员身份或静态成员身份自动或手动载入到网络组。

同一网络组中的分支 VNet 可以通过 AVNM 的直接连接功能启用 VNet 对等互连来相互连接。 要扩展不同区域的分支的功能以实现直接连接,请使用全局网格功能,该功能有助于创建全局 VNet 对等互连。 请参见下面的示例图:

显示支路直接连接的示意图。

此外,为确保安全规则的基准集,同一网络组中的 VNet 可以与安全管理规则相关联。 安全管理规则在 NSG 规则之前进行评估,具有与 NSG 相同的性质,支持优先级、服务标记和 L3-L4 协议。

最后,为了促进网络组、连接和安全规则更改的可控推出,AVNM 的部署功能允许你安全地将这些配置的重大更改发布到中心辐射型环境。

有关如何开始使用的详细信息,请参阅使用 Azure Virtual Network Manager 创建中心辐射型拓扑

运行考虑事项

部署和管理中心辐射型网络时,请考虑以下信息。

网络监视

使用 Azure 网络观察程序监视和排查网络组件问题。 流量分析等工具会显示虚拟网络中生成最多流量的系统。 然后,你可以直观地识别瓶颈,然后再将其分解成问题。 网络性能管理器是监视 Microsoft ExpressRoute 线路相关信息的正确工具。 VPN 诊断是另一种工具,可以帮助解决将应用程序连接到本地用户的站点到站点 VPN 连接问题。

有关详细信息,请参阅 Azure 网络观察程序

成本优化

成本优化是关于寻找减少不必要的费用和提高运营效率的方法。 有关详细信息,请参阅成本优化支柱概述

部署和管理中心辐射型网络时,请考虑以下成本相关项。

Azure 防火墙

Azure 防火墙部署在此体系结构的中心网络中。 当用作共享解决方案并被多个工作负载使用时,Azure 防火墙可以比其他网络虚拟设备节省高达 30-50% 的成本。 有关详细信息,请参阅Azure 防火墙与网络虚拟设备

虚拟网络对等互连

可以使用虚拟网络对等互连通过专用 IP 地址在虚拟网络之间路由流量。 这里有几个要点:

  • 入口和出口流量在对等互连网络的两端收费。
  • 不同的区域的传输费率不同。

例如,从区域 1 中的虚拟网络到区域 2 中的另一个虚拟网络的数据传输将产生区域 1 的出站传输费率和区域 2 的入站费率。 有关详细信息,请参阅虚拟网络定价

部署此方案

此部署包括一个中心虚拟网络和两个对等互连分支。 还会部署 Azure 防火墙和 Azure Bastion 主机。 或者,部署可以包括第一个分支网络中的虚拟机和 VPN 网关。

使用以下命令为部署创建资源组。 单击“试用”按钮,使用嵌入式 shell。

az group create --name hub-spoke --location eastus

运行以下命令以部署中心和分支网络配置、中心和分支之间的 VNet 对等互连以及堡垒主机主机。 出现提示时,输入用户名和密码。 这些值可用于访问分支网络中的虚拟机。

az deployment group create --resource-group hub-spoke \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/main/solutions/azure-hub-spoke/azuredeploy.json

有关详细信息和其他部署选项,请参阅用于部署此解决方案的 Azure 资源管理器 (ARM) 模板。

后续步骤

了解有关组件技术的详细信息:

请参阅以下相关体系结构: