你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

定义 Azure 网络拓扑

  • 项目

网络拓扑是登陆区域体系结构的关键元素,因为它定义了应用程序如何相互通信。 本部分探讨 Azure 部署的技术和拓扑方法。 它重点介绍两种核心方法:基于 Azure 虚拟 WAN的拓扑和传统拓扑。

使用虚拟 WAN 满足大规模的互连需求。 它是一项 Microsoft 托管的服务,因此它还可降低网络整体复杂性,并有助于实现组织网络的现代化。 如果以下任一要求适用于组织,则虚拟 WAN拓扑可能最合适:

  • 组织打算跨多个 Azure 区域部署资源,并且需要在这些 Azure 区域中的虚拟网络与多个本地位置之间建立全局连接。
  • 你的组织打算通过软件定义的 WAN(SD-WAN)部署将大规模分支网络直接集成到 Azure,或者需要 30 多个分支站点来终止本机 IPSec。
  • 需要在虚拟专用网络(VPN)和 Azure ExpressRoute 之间传递路由。 例如,通过站点到站点 VPN 连接的远程分支或通过点到站点 VPN 连接的远程用户需要通过 Azure 连接到 ExpressRoute 连接的 DC。

传统的中心辐射型网络拓扑 可帮助你在 Azure 中构建自定义的增强安全性大型网络。 使用此拓扑,可以管理路由和安全性。 如果以下任一要求适用于组织,则传统拓扑可能最合适:

  • 你的组织打算跨一个或多个 Azure 区域部署资源,而预计 Azure 区域中的某些流量(例如,跨两个不同 Azure 区域的两个虚拟网络之间的流量),则不需要跨所有 Azure 区域的完整网格网络。
  • 每个区域的远程或分支位置数量很少。 也就是说,需要少于 30 个 IPSec 站点到站点隧道。
  • 需要完全控制和粒度才能手动配置 Azure 网络路由策略。

虚拟 WAN 网络拓扑(Microsoft 托管)

Diagram that illustrates a Virtual WAN network topology.

传统 Azure 网络拓扑

Diagram that illustrates a traditional Azure network topology.

Azure 登陆区域中的 Azure 虚拟网络 管理器

Azure 登陆区域概念体系结构建议两种网络拓扑之一:基于虚拟 WAN的网络拓扑或基于传统中心辐射体系结构的网络拓扑。 随着业务需求随时间的变化(例如,将本地应用程序迁移到需要混合连接的 Azure),可以使用 虚拟网络 Manager 来扩展和实施网络更改。 在许多情况下,无需中断 Azure 中已部署的内容即可执行此操作。

可以使用 虚拟网络 Manager 跨订阅为现有虚拟网络和新虚拟网络创建三种类型的拓扑

  • 中心和辐射拓扑
  • 具有辐射之间直接连接的中心辐射型拓扑
  • 网格拓扑(预览版)

Diagram that shows Azure virtual network topologies.

注意

虚拟网络管理器不支持将虚拟 WAN中心作为网络组的一部分或拓扑中的中心。 有关详细信息,请参阅 Azure 虚拟网络 管理器常见问题解答

在 虚拟网络 Manager 中创建具有直接连接的中心辐射型拓扑时,通过连接组功能自动启用一网络组中的辐射虚拟网络之间的直接连接。

可以使用 虚拟网络 Manager 以静态方式或动态将虚拟网络添加到特定网络组。 这样做基于 虚拟网络 Manager 中的连接配置定义和创建所需的拓扑。

可以创建多个网络组来隔离虚拟网络组与直接连接。 每个网络组都为分支到分支连接提供相同的区域和多区域支持。 请务必保持在为 虚拟网络 Manager 定义的限制范围内,如 Azure 虚拟网络 Manager 常见问题解答中所述

从安全的角度来看,虚拟网络管理器提供了一种有效的方法来应用安全管理规则来集中拒绝或允许流量流,而不管 NSG 中定义了什么。 此功能允许网络安全管理员强制实施访问控制,并使应用程序所有者能够在 NSG 中管理自己的较低级别规则。

可以使用虚拟网络管理器对虚拟网络进行分组。 然后,可以将配置应用于组,而不是将配置应用到单个虚拟网络。 此功能可以更有效地管理连接、配置和拓扑、安全规则以及同时部署到一个或多个区域,而不会失去精细的控制。

你可以按环境、团队、位置、业务线或满足你的需求的一些其他功能来细分网络。 可以通过创建一组管理组成员身份的条件来静态或动态定义网络组。

可以使用 虚拟网络 Manager 实施 Azure 登陆区域设计原则,以适应所有大规模应用程序迁移、现代化和创新。

设计注意事项

  • 在传统的中心辐射型部署中,手动创建和维护虚拟网络对等互连连接。 虚拟网络管理器引入了虚拟网络对等互连的自动化层,这使得大型和复杂的网络拓扑(如网格)更易于大规模管理。 有关详细信息,请参阅 网络组概述
  • 各种业务功能的安全要求决定了创建网络组的需求。 网络组是手动或通过条件语句选择的一组虚拟网络,如本文档前面所述。 创建网络组时,需要指定策略,或者虚拟网络管理器可以创建策略(如果显式允许)。 此策略使虚拟网络管理器能够收到有关更改的通知。 若要更新现有的 Azure 策略计划,需要将更改部署到 虚拟网络 Manager 资源中的网络组。
  • 若要设计适当的网络组,应评估网络的各个部分共享常见的安全特征。 例如,可以为企业和 Online 创建网络安全组,以大规模管理其连接和安全规则。
  • 当组织订阅中的多个虚拟网络共享相同的安全属性时,可以使用 虚拟网络 Manager 有效地应用它们。 例如,应将业务部门(如 HR 或 Finance)使用的所有系统放在单独的网络组中,因为需要向其应用不同的管理规则。
  • 虚拟网络管理器可以集中应用安全管理规则,这些规则的优先级高于子网级别的 NSG 规则。 (此功能为预览版)。此功能使网络安全团队能够有效地强制实施公司策略并大规模创建安全防护措施,但使产品团队能够同时控制其登陆区域订阅中的 NSG。
  • 可以使用 虚拟网络 管理器安全管理规则功能显式允许或拒绝特定网络流,而不考虑子网或网络接口级别的 NSG 配置。 例如,可以使用此功能允许管理服务网络流始终允许。 由应用程序团队控制的 NSG 无法替代这些规则。
  • 虚拟网络可以是多达两个连接的组的一部分。

设计建议

  • 定义虚拟网络管理器的范围。 应用在根管理组(租户)上强制实施组织级规则的安全管理规则。 这样做会自动将规则应用于现有和新资源以及所有关联的管理组。
  • 在具有中间根管理组范围(例如 Contoso)的连接ivity 订阅中创建虚拟网络管理器实例。 在此实例上启用安全管理功能。 此配置允许定义在 Azure 登陆区域层次结构中的所有虚拟网络和子网中应用的安全管理员规则,并帮助将 NSG 民主化为应用程序登陆区域所有者和团队。
  • 通过静态(手动)或动态(基于策略)对虚拟网络进行分组来分段网络。
  • 当所选辐射需要频繁通信时,除了访问中心内的常见服务或 NVA 外,还需在辐射之间实现直接连接,同时保持低延迟和高吞吐量。
  • 当跨区域的所有虚拟网络需要相互通信时启用全局网格。
  • 为规则集合中的每个安全管理规则分配优先级值。 值越低,规则优先级越高。
  • 无论应用程序团队控制的 NSG 配置如何,都使用 安全管理员规则 显式允许或拒绝网络流。 这样做还可以让你将 NSG 及其规则的控制完全委托给应用程序团队。