你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
设计体系结构时,请平衡连接要求与财务约束,同时保持安全、高性能的网络基础结构。 有关虚拟网络功能的概述,请参阅什么是 Azure 虚拟网络? 主要注意事项包括:
- 分配的预算是否使你能够达到连接和性能目标?
- 跨工作负荷的网络服务的支出模式是什么?
- 如何通过更好的资源选择和利用率来最大化网络投资?
成本优化的虚拟网络策略并不总是最低的成本选项。 通过财务效率平衡性能和连接要求。 战术成本削减可能会造成性能瓶颈或安全漏洞。 若要实现长期效率和财务责任,请创建一个策略,其中包含 基于风险的优先顺序、持续监视和可重复的过程。
从建议的方法开始,并证明连接要求的好处是正当的。 设置策略后,通过定期评估和优化周期使用这些原则。 有关成本管理的综合指南,请参阅 Microsoft成本管理文档 和 Azure 定价计算器。
了解虚拟网络计费组件
Azure 虚拟网络成本包括多个直接影响每月支出的组件:
| 成本组件 | Description | 计费模型 |
|---|---|---|
| 虚拟网络 | 基本虚拟网络基础结构 | 免费(每个订阅最多 1,000 个 VNet) |
| VNet 对等互连(同一区域) | 同一区域内对等互连 VNet 之间的数据传输 | 按 GB(入站和出站)定价 |
| 全局 VNet 对等互连 | 不同区域中对等互连的 VNet 之间的数据传输 | 基于区域的定价(每 GB) |
| 加速连接 | 增强网络密集型工作负荷的连接性能 | 每个网络接口(NIC)每小时费率(按 SKU 而异) |
| 虚拟网络 TAP | 用于监控的流量镜像 | 按网络接口 (NIC) 每小时定价 |
| VPN 网关 | 与本地环境的混合连接 | 每小时计算 + 数据传输 |
| NAT 网关 | 出站互联网连接性 | 每小时 + 数据处理费用 |
| IP 地址 | 公共 IP 地址 | 每个 IP 的每小时费用 |
了解这些计费组件有助于就网络体系结构和流量路由模式做出明智的决策。
制定网络规划规则
虚拟网络的成本优化需要了解连接模式,并将基础结构投资与业务优先级保持一致。 为网络决策设置明确的治理和责任。 有关治理框架的详细信息,请参阅 Azure 治理文档。
| 建议 | 益处 |
|---|---|
| 开发一个全面的网络清单 ,用于编录所有虚拟网络、对等互连连接、网关及其业务关键级别。 | 完整的清单可实现有关网络拓扑的数据驱动决策,并帮助防止过度预配昂贵的连接和创建低效的流量模式。 根据实际工作负荷通信需求确定网络投资的优先级。 |
| 为网络体系结构决策建立明确的责任,并为网络、运营和财务团队定义角色。 | 明确责任可确保网络决策同时考虑性能要求和预算约束。 协作决策可防止孤立的选择,这些选择可能会产生不必要的成本或性能问题。 |
| 创建实际预算 ,考虑到即时连接需求和工作负荷和数据传输量的计划增长。 | 适当的预算可实现可预测的网络成本,并在工作负荷缩放时防止反应性决策。 随着 Azure 占用空间的增长,规划网络扩展。 |
| 实施 网络规划最佳做法 ,以定义不同工作负荷类型的连接模式和标准化策略。 | 结构化网络规划提供一致的方法来评估连接需求,同时确保高效的流量流。 这有助于识别最佳对等互连策略并防止过度复杂的网络拓扑。 |
选择正确的连接模型
Azure 虚拟网络提供具有独特成本结构和性能特征的不同连接模式。 选择与工作负荷分发和通信要求相符的模型。 有关虚拟网络功能的详细信息,请参阅 虚拟网络概念和最佳做法。
| 建议 | 益处 |
|---|---|
| 使用中心辐射型拓扑,在中心虚拟网络中提供集中式共享服务,并通过对等互连连接的特定于工作负荷的分支网络。 | "中心辐射型减少了复杂程度,并将防火墙、VPN 网关和监控等常见服务集中化。" 只需在中心和分支之间支付对等互连费用,从而避免了网格对等互连费用。 随着添加新工作负载,此拓扑可高效缩放。 若要实现中心辐射型,请参阅 Azure 中的中心辐射型网络拓扑。 |
| 当工作负荷可以在同一个 Azure 区域中托管时,实施区域 VNet 对等连接,而不是全球对等互连。 | 区域对等互连成本低于全球对等互连。 可以降低延迟,同时最大程度地减少数据传输费用。 设计工作负荷放置,以在性能要求允许时最大化同区域通信。 |
| 使用 Azure 专用链接连接到 Azure PaaS 服务,而不是通过公共终结点路由流量。 | 专用链接消除了用于 PaaS 访问的虚拟网络对等互连费用,并提高了安全性。 需要支付专用链接终结点费用,但避免了不必要的对等互连成本和通过公共网络的数据传输。 此方法可优化成本和安全性。 有关详细信息,请参阅什么是 Azure 专用链接?。 |
| 当只有特定子网需要虚拟网络之间的连接时,实施子网对等互连。 | 子网对等互连通过将对等互连范围限制在必要的子网而不是整个虚拟网络地址空间来降低成本。 只需在所需的通信路径上支付数据传输费用。 这种精细化方法可防止为未使用的互连容量付费。 若要配置子网 对等互连,请参阅如何配置子网对等互连。 |
网络效率设计
优化网络体系结构,以最大程度地减少不必要的数据传输和对等互连连接,同时保持所需的连接和性能。 体系结构决策直接影响网络成本。 有关体系结构指南,请参阅 Azure Well-Architected Framework 和 Azure 体系结构中心。
| 建议 | 益处 |
|---|---|
| 延迟和数据驻留要求允许时,在同一区域中部署工作负荷组件,最大程度地减少跨区域流量。 | 同区域通信消除了昂贵的全球对等互连费用。 通过降低延迟,可以显著降低数据传输成本,同时通常提高应用程序性能。 |
| 合并 安全性和管理要求允许的虚拟网络,减少所需的对等互连连接总数。 | 虚拟网络的减少意味着需要维护和支付的对等连接更少。 可以简化网络管理,同时减少每个连接开销。 确保合并不会损害安全边界或管理分离要求。 |
| 高效地使用网络安全组 (NSG) 和 Azure 防火墙,以防止产生对等互连费用的不必要流量。 | 在源阻止不必要的流量可防止为没有业务价值的数据传输付费。 通过实现靠近流量源的流量筛选来优化成本和安全性。 |
| 设计应用程序体系结构 ,以最大程度地减少区域之间的聊天通信模式,并尽可能优化批处理作。 | 减少网络调用的数量和大小会降低数据传输成本。 通常可以优化应用程序设计,将请求捆绑在一起,在本地缓存数据,或者处理离其源更近的数据。 |
优化网关和连接成本
网关和专用网络服务可带来巨大的成本。 根据实际流量模式,谨慎使用并适当调整它们的规模。
| 建议 | 益处 |
|---|---|
| 使用中心辐射型拓扑中的网关传输在多个虚拟网络之间共享 VPN 网关,而不是在每个虚拟网络中部署网关。 | 网关整合消除了重复的网关成本,同时保持混合连接。 通过启用网关传输的对等互连,单个网关可以为多个分支 VNet 提供服务。 只需支付一次网关小时费,而不是多次。 若要配置网关传输,请参阅 在虚拟网络对等互连中配置 VPN 网关传输。 |
| 根据实际吞吐量要求调整 VPN 网关的大小,而不是针对峰值容量进行过度预配。 | 网关库存单位(SKU)具有显著的价格差异。 可以从较低的 SKU 开始,并根据需要纵向扩展,从而避免未使用的容量产生不必要的成本。 为了确保足够的性能,请监视网关指标。 |
| 如果有多个出站连接,请使用 NAT 网关进行出站 Internet 连接,而不是单个虚拟机(VM)上的公共 IP。 | NAT 网关提供经济高效的可缩放出站连接,性能优于单个公共 IP。 按小时支付数据处理费,这通常比许多公共 IP 地址更经济。 有关详细信息,请参阅什么是 Azure NAT 网关? |
| 根据网络密集型工作负荷的实际性能要求评估加速连接。 | 加速连接(SKU A1-A8)提高了连接性能,但增加了按 SKU 而异的每小时费用。 仅对真正需要增强连接性能的工作负荷启用。 在升级之前先使用标准网络测试性能。 |
随着时间的推移进行监视和优化
随着工作负荷的发展,网络使用模式会发生变化。 设置持续监视和定期优化周期,以保持成本效益。
| 建议 | 益处 |
|---|---|
| 使用Microsoft成本管理在虚拟网络支出接近预定义预算阈值时配置成本警报。 | 主动通知可防止预算溢出,并及时调整网络体系结构。 可以在成本增加对其他项目产生重大影响之前做出响应,从而维护可预测的网络支出。 |
| 使用 Azure Monitor 和网络观察程序监视数据传输模式,以识别昂贵的跨区域或跨 VNet 流量。 | 了解实际的流量流可实现数据驱动的优化决策。 可以识别重新定位工作负载、实现缓存或优化应用程序通信模式的机会。 若要监视流量,请参阅什么是 Azure 网络观察程序? |
| 进行季度网络拓扑评审 ,以确定未使用的对等互连连接、超大网关或不必要的网络服务。 | 定期评审可确保网络投资与业务需求保持一致。 可以退役未使用的连接、根据实际使用情况调整网关的规模,并确定合并的机会。 |
| 跟踪每个工作负荷或业务部门的网络成本分配,以推动责任并识别优化机会。 | 工作负荷的成本可见性使团队能够了解其网络效果并做出明智的决策。 你可以实施退款或回发,以推动注重成本的行为,并证明网络优化举措的合理性。 |
| 为网络资源实施生命周期管理,自动标记和查看资源,以防止蔓延和停用过时的基础结构。 | 自动化生命周期过程可防止网络资源积累,而网络资源不会为活动工作负荷提供服务。 可以将预算从僵尸资源中解放出来,并保持干净、高效的网络拓扑。 |
最佳做法清单
使用此清单验证虚拟网络成本优化策略:
- ☑ 免费 VNet 基础:虚拟网络本身是免费的。 重点优化数据传输、对等互连和网关成本。
- ☑ 中心辐射型拓扑:实现集中式体系结构,以最大程度地降低对等互连复杂性并共享昂贵的资源。
- ☑ 区域整合:为了避免昂贵的全球对等互连费用,请保持在同一区域传输工作负荷。
- ☑ 网关共享:使用网关中继在多个虚拟网络中共享 VPN/ExpressRoute 网关。
- ☑ 用于 PaaS 的专用连接:尽可能通过专用链接连接到 Azure 服务,而不是对等互连。
- ☑ 大小正确的网关:将网关 SKU 与实际吞吐量需求相匹配,而不是理论上的最大值。
- ☑ 子网对等互连:仅当特定子网需要连接时,请使用子网级别对等互连。
- ☑ 流量筛选:实现 NSG 和防火墙规则以防止不必要的数据传输。
- ☑ 成本监控:通过 Microsoft 成本管理的警报和定期审查来跟踪 VNet 相关的成本。
- ☑ NAT 网关:通过 NAT 网关(而不是多个公共 IP)合并出站 Internet 连接。
- ☑ 网络观察程序:使用流量分析来识别昂贵的通信模式和优化机会。
- ☑ 生命周期管理:定期查看和解除未使用的对等互连连接和网络资源。