通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

传统 Azure 网络拓扑

  • 项目

重要

试用拓扑(预览版)体验,该体验提供 Azure 资源的可视化效果,以便大规模简化库存管理和监视网络。 使用预览版中的拓扑功能可视化资源及其跨订阅、区域和位置的依赖项。 有关如何导航到体验的详细信息,请参阅 Azure Monitor

本文介绍 Microsoft Azure 中网络拓扑的关键设计注意事项和建议。 下图显示了传统的 Azure 网络拓扑:

展示传统 Azure 网络拓扑的示意图。

设计注意事项

  • 各种网络拓扑可以连接多个登陆区域虚拟网络。 网络拓扑的示例包括中心辐射型拓扑、全网格拓扑和混合拓扑。 还可以有多个虚拟网络,这些虚拟网络通过多个 Azure ExpressRoute 线路或连接进行连接。

  • 虚拟网络无法遍历订阅边界。 但是,可以使用虚拟网络对等互连、ExpressRoute 线路或 VPN 网关来实现跨不同订阅的虚拟网络之间的连接。

  • 虚拟网络对等互连是连接 Azure 中的虚拟网络的首选方法。 可以使用虚拟网络对等互连来连接同一区域中的虚拟网络、不同 Azure 区域以及不同 Microsoft Entra 租户。

  • 虚拟网络对等互连和全局虚拟网络对等互连均不可传递。 若要启用传输网络,需要用户定义的路由(UDR)和网络虚拟设备(NVA)。 有关详细信息,请参阅 Azure 中的中心辐射型网络拓扑

  • 可以在单个 Microsoft Entra 租户中的所有虚拟网络之间共享 Azure DDoS 防护计划,以保护具有公共 IP 地址的资源。 有关详细信息,请参阅 DDoS 防护

    • DDoS 防护计划仅涵盖具有公共 IP 地址的资源。

    • DDoS 防护计划的成本包括 100 个与 DDoS 防护计划关联的受保护虚拟网络中的 100 个公共 IP 地址。 为更多资源提供保护,成本更高。 有关详细信息,请参阅 DDoS 保护定价常见问题解答

    • 查看 DDoS 防护计划支持的资源。

  • 可以使用 ExpressRoute 线路在同一地缘政治区域中的虚拟网络之间建立连接,或使用高级加载项跨地缘政治区域建立连接。 请记住以下几点:

    • 网络到网络流量可能会遇到更多的延迟,因为流量必须在 Microsoft Enterprise edge (M标准版E) 路由器上发型。

    • ExpressRoute 网关 SKU 限制带宽。

    • 如果需要检查或记录跨虚拟网络的流量的 UDR,请部署和管理 UDR。

  • 具有边界网关协议(BGP)的 VPN 网关在 Azure 和本地网络中是可传递的,但默认情况下,它们不提供对通过 ExpressRoute 连接的网络的可传递访问。 如果需要对通过 ExpressRoute 连接的网络的可传递访问,请考虑 使用 Azure 路由服务器

  • 将多个 ExpressRoute 线路连接到同一虚拟网络时,请使用连接权重和 BGP 技术来确保本地网络与 Azure 之间的流量的最佳路径。 有关详细信息,请参阅优化 ExpressRoute 路由

如果使用 BGP 指标影响 ExpressRoute 路由,则需要在 Azure 平台之外更改配置。 你的组织或连接提供商必须相应地配置本地路由器。

  • 具有高级加载项的 ExpressRoute 线路提供全球连接。

  • ExpressRoute 具有某些限制,包括每个 ExpressRoute 网关的最大 ExpressRoute 连接数。 ExpressRoute 专用对等互连的最大限制是它可以从 Azure 到本地识别的路由数。 有关详细信息,请参阅 ExpressRoute 限制

  • VPN 网关的最大聚合吞吐量为每秒 10 Gb。 VPN 网关最多支持 100 个站点到站点或网络到网络隧道。

  • 如果 NVA 是体系结构的一部分,请考虑路由服务器来简化 NVA 和虚拟网络之间的动态路由。 使用路由服务器在支持 BGP 的任何 NVA 与 Azure 虚拟网络中的 Azure 软件定义网络(SDN)之间直接通过 BGP 交换路由信息。 无需使用此方法手动配置或维护路由表。

设计建议

  • 对于以下情况,请考虑基于传统中心辐射型网络拓扑的网络设计:

    • 单个 Azure 区域中部署的网络体系结构。

    • 跨多个 Azure 区域的网络体系结构,无需跨区域登陆区域的虚拟网络之间的可传递连接。

    • 跨多个 Azure 区域的网络体系结构,以及可跨 Azure 区域连接虚拟网络的全局虚拟网络对等互连。

    • 无需 VPN 与 ExpressRoute 连接之间的可传递连接。

    • 就地的主要混合连接方法是 ExpressRoute,每个 VPN 网关的 VPN 连接数小于 100。

    • 这依赖于集中式 NVA 和精细路由。

  • 对于区域部署,主要将中心辐射型拓扑与每个分支 Azure 区域的区域中心配合使用。 对于以下情况,请使用使用虚拟网络对等互连的应用程序登陆区域虚拟网络连接到区域中心虚拟网络:

    • 通过在两个不同的对等互连位置中启用的 ExpressRoute 的跨界连接。 有关详细信息,请参阅 设计和构建 ExpressRoute 以实现复原能力

    • 用于分支连接的 VPN。

    • 通过 NVA 和 UDR 进行辐射到辐射的连接。

    • 通过Azure 防火墙或其他非 Microsoft NVA 进行 Internet 出站保护。

  • 下图显示了中心辐射型拓扑。 使用此配置来确保适当的流量控制,并满足分段和检查的大多数要求。

    示意图展示了中心辐射型网络拓扑。

  • 如果以下情况,请使用具有多个虚拟网络的拓扑,这些虚拟网络通过不同对等互连位置的多个 ExpressRoute 线路进行连接:

  • 下图显示了此拓扑。

    展示与多个 ExpressRoute 线路连接的多个虚拟网络的示意图。

  • 在中心中心虚拟网络中部署Azure 防火墙或合作伙伴 NVA,以便进行东/西或南/北流量保护和筛选。

  • 在连接订阅中部署单个 DDoS 防护标准计划。 将此计划用于所有登陆区域和平台虚拟网络。

  • 使用现有的网络、多协议标签切换(MPLS)和 SD-WAN 将分支位置连接到公司总部。 如果不使用路由服务器,则不支持在 ExpressRoute 连接和 VPN 网关之间传输 Azure。

  • 在中心虚拟网络中部署 Azure 防火墙或合作伙伴 NVA,以进行东/西或南/北流量保护和筛选。

  • 部署合作伙伴网络技术或 NVA 时,请按照合作伙伴供应商的指导确保:

    • 供应商支持部署。

    • 本指南支持高可用性和最佳性能。

    • Azure 网络不存在冲突配置。

  • 不要将第 7 层入站 NVA(如 Azure 应用程序网关)部署为中心虚拟网络中的共享服务, 而应将其与应用程序一起部署在各自的登陆区域中。

  • 在连接订阅中部署单个 DDoS 标准保护计划。

    • 所有登陆区域和平台虚拟网络都应使用此计划。

  • 使用现有网络、多协议标签切换和 SD-WAN 将分支机构与公司总部连接起来。 如果不使用路由服务器,则不支持在 ExpressRoute 和 VPN 网关之间传输 Azure。

  • 如果需要中心辐射方案中 ExpressRoute 和 VPN 网关之间的可传递性,请使用路由服务器。 有关详细信息,请参阅 ExpressRoute 和 Azure VPN 的路由服务器支持。

    此图显示了使用路由服务器在 ER 和 VPN 网关之间的可传递性。

  • 如果多个 Azure 区域中有中心辐射型网络,并且需要跨区域连接几个登陆区域,请使用全局虚拟网络对等互连。 可以直接连接需要将流量路由到彼此的登陆区域虚拟网络。 根据通信虚拟机的 SKU,全局虚拟网络对等互连可以提供较高的网络吞吐量。 直接对等登陆区域虚拟网络之间的流量会绕过中心虚拟网络中的 NVA。 全局虚拟网络对等互连的限制适用于流量。

  • 如果多个 Azure 区域中有中心辐射型网络,并且需要跨区域连接大多数登陆区域,请使用中心 NVA 将每个区域中的中心虚拟网络相互连接,并跨区域路由流量。 如果由于与安全要求不兼容,无法使用直接对等互连绕过中心 NVA,也可以使用此方法。 全局虚拟网络对等互连或 ExpressRoute 线路可通过以下方式帮助连接中心虚拟网络:

    • 全局虚拟网络对等互连提供低延迟和高吞吐量的连接,但会产生流量费用

    • 如果通过 ExpressRoute 进行路由,可能会由于 M标准版E 发夹而增加延迟。 所选 的 ExpressRoute 网关 SKU 会限制吞吐量。

下图显示了中心到中心连接的选项:

说明中心到中心连接选项的示意图。

  • 需要连接两个 Azure 区域时,请使用全局虚拟网络对等互连来连接每个区域中的中心虚拟网络。

  • 使用基于 Azure 虚拟 WAN的托管全局传输网络体系结构(如果组织):

    • 需要跨两个以上的 Azure 区域的中心辐射型网络体系结构。

    • 需要跨 Azure 区域的登陆区域虚拟网络之间的全局传输连接。

    • 希望最大程度地减少网络管理开销。

  • 如果需要连接两个以上的 Azure 区域,我们建议每个区域中的中心虚拟网络连接到同一 ExpressRoute 线路。 全局虚拟网络对等互连要求跨多个虚拟网络管理大量的对等互连关系和一组复杂的 UDR。 下图显示了如何在三个区域中连接中心辐射型网络:

    展示 ExpressRoute 在多个区域之间提供中心到中心连接的示意图。

  • 使用 ExpressRoute 线路进行跨区域连接时,不同区域中的辐射会直接通信并绕过防火墙,因为它们通过 BGP 路由了解到远程中心的分支。 如果需要中心虚拟网络中的防火墙 NVA 来检查辐射之间的流量,则必须实现以下选项之一:

    • 在分支 UDR 中为本地中心虚拟网络中的防火墙创建更具体的路由条目,以跨中心重定向流量。

    • 若要简化路由配置,请在分支路由表上禁用 BGP 传播

  • 如果组织需要跨两个以上的 Azure 区域进行中心辐射型网络体系结构,以及跨 Azure 区域的登陆区域虚拟网络之间的全局传输连接,并且想要最大程度地降低网络管理开销,我们建议使用基于虚拟 WAN的托管全局传输网络体系结构。

  • 将每个区域的中心网络资源部署到单独的资源组中,并将它们分类到每个已部署的区域中。

  • 使用 Azure 虚拟网络管理器跨订阅管理全局虚拟网络的连接和安全配置。

  • 使用 Azure Monitor 网络见解 监视 Azure 上网络的端到端状态。

  • 将分支虚拟网络连接到中心虚拟网络时,必须考虑以下两 个限制

    • 每个虚拟网络的最大虚拟网络对等互连连接数。

    • 具有专用对等互连的 ExpressRoute 从 Azure 播发到本地的最大前缀数。

    • 请确保连接到中心虚拟网络的分支虚拟网络的数量不超过这些限制。

下一步

虚拟 WAN 网络拓扑