培训
认证
Microsoft Certified: Azure Virtual Desktop Specialty - Certifications
在 Microsoft Azure 上为任何设备计划、交付、管理和监视虚拟桌面体验和远程应用。
你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
什么是 Azure 虚拟 WAN?
Azure 虚拟 WAN 是一个网络服务,其中整合了多种网络、安全和路由功能,提供单一操作界面。 一些主要功能包括:
- 分支连接性(使用来自 SD-WAN 或 VPN CPE 等虚拟 WAN 合作伙伴设备的连接性自动化)。
- 站点到站点 VPN 连接性。
- 远程用户 VPN 连接性(点到站点)。
- 专用连接性 (ExpressRoute)。
- 云间连接性(虚拟网络的可传递连接性)。
- VPN ExpressRoute 互连性。
- 专用连接性的路由、Azure 防火墙和加密。
无需所有这些用例即可开始使用虚拟 WAN。 可从一个用例开始,然后随着情况的变化对网络进行调整。
虚拟 WAN 体系结构是一种内置了规模和性能的中心辐射型体系结构,适用于分支(VPN/SD-WAN 设备)、用户(Azure VPN/OpenVPN/IKEv2 客户端)、ExpressRoute 线路和虚拟网络。 它支持全球传输网络体系结构,其中的云托管网络“中心”支持可能分布在不同“辐射”类型上的终结点之间的传输连接。
Azure 区域充当可供连接的中心。 所有中心均在标准虚拟 WAN 中以完整网格的形式进行连接,使得用户能够轻松地使用 Microsoft 主干进行任意分支到任意分支的连接。
对于包含 SD-WAN/VPN 设备的辐射连接,用户可以在 Azure 虚拟 WAN 中手动设置该连接,或者使用虚拟 WAN CPE (SD-WAN/VPN) 合作伙伴解决方案来设置与 Azure 的连接。 我们提供了一个列表,其中的合作伙伴支持使用 Azure 虚拟 WAN 实现连接自动化(能够将设备信息导出到 Azure、下载 Azure 配置和建立连接)。 有关详细信息,请参阅虚拟 WAN 合作伙伴和位置一文。
虚拟 WAN 提供以下优势:
- 中心和辐射中的集成式连接解决方案:在本地站点与 Azure 中心之间自动建立站点到站点配置和连接。
- 自动化的辐射设置和配置:将虚拟网络和工作负载无缝连接到 Azure 中心。
- 直观的疑难解答:可以查看 Azure 中的端到端流,并使用此信息来执行所需的操作。
有关虚拟 WAN 体系结构以及如何迁移到虚拟 WAN 的信息,请参阅以下文章:
有关可用的区域和位置,请参阅虚拟 WAN 合作伙伴、区域和位置。
若要配置端到端虚拟 WAN,请创建以下资源:
虚拟 WAN:virtualWAN 资源代表了你的 Azure 网络的一个虚拟叠加层,它是多个资源的集合。 它包含要部署到虚拟 WAN 中的所有虚拟中心的链接。 虚拟 WAN 相互隔离,不能包含公用中心。 不同虚拟 WAN 中的虚拟中心不会相互通信。
中心:虚拟中心是 Microsoft 托管的虚拟网络。 中心包含用于建立连接的不同服务终结点。 从本地网络 (vpnsite),你可以连接到虚拟中心内的 VPN 网关,将 ExpressRoute 线路连接到虚拟中心,甚至可以将移动用户连接到虚拟中心中的点到站点网关。 中心是区域中网络的核心。 可以在同一个区域中创建多个虚拟中心。
中心网关与用于 ExpressRoute 和 VPN 网关的虚拟网络网关不同。 例如,使用虚拟 WAN 时,不要直接从本地站点创建与 VNet 的站点到站点连接。 而应与中心建立站点到站点连接。 流量始终通过中心网关。 这意味着,VNet 不需要自身的虚拟网络网关。 虚拟 WAN 可让 VNet 通过虚拟中心和虚拟中心网关轻松利用缩放功能。
中心虚拟网络连接:中心虚拟网络连接资源用于将中心无缝连接到虚拟网络。 一个虚拟网络只能连接到一个虚拟中心。
中心到中心连接:中心都在虚拟 WAN 中彼此连接。 这意味着连接到本地中心的分支、用户或 VNet 可以使用连接中心的完整网格体系结构与另一个分支或 VNet 通信。 还可以使用中心到中心连接框架连接通过虚拟中心传输的中心内的 VNet,以及跨中心的 VNet。
中心路由表:可以创建一个虚拟中心路由,并将该路由应用于虚拟中心路由表。 可以将多个路由应用于虚拟中心路由表。
其他虚拟 WAN 资源
- 站点:此资源仅用于站点到站点连接。 站点资源为 vpnsite。 它表示本地 VPN 设备及其设置。 可以通过与虚拟 WAN 合作伙伴合作,使用一个内置的解决方案自动将此信息导出到 Azure。
虚拟 WAN 分为两种类型:“基本”和“标准”。 下表显示了每种类型的可用配置。
| “虚拟 WAN 类型” | “中心类型” | “可用配置” |
|---|---|---|
| 基本 | 基本 | 仅限站点到站点 VPN |
| Standard | Standard | ExpressRoute 用户 VPN (P2S) VPN(站点到站点) 通过虚拟中心进行的中心之间和虚拟网络到虚拟网络的传输 Azure 防火墙 虚拟 WAN 中的 NVA |
备注
可以从基本升级到标准,但无法从标准还原为基本。
有关升级虚拟 WAN 的步骤,请参阅从基本虚拟 WAN 升级到标准虚拟 WAN。
通过站点到站点 IPsec/IKE (IKEv2) 连接可以连接到 Azure 中的资源。 有关详细信息,请参阅使用虚拟 WAN 创建站点到站点连接。
此类型的连接需要 VPN 设备或虚拟 WAN 合作伙伴设备。 虚拟 WAN 合作伙伴提供自动进行连接的功能:将设备信息导出到 Azure 中,下载 Azure 配置,然后建立与 Azure 虚拟 WAN 中心的连接。 有关可用的合作伙伴和位置的列表,请参阅虚拟 WAN 合作伙伴、区域和位置一文。 如果 VPN/SD-WAN 设备提供程序未在提到的链接中列出,请使用使用虚拟 WAN 创建站点到站点连接一文中的分步说明来设置连接。
通过 IPsec/IKE (IKEv2) 或 OpenVPN 连接可以连接到 Azure 中的资源。 此类连接要求在客户端计算机上配置一个 VPN 客户端。 有关详细信息,请参阅创建点到站点连接。
ExpressRoute 允许通过专用连接将本地网络连接到 Azure。 要创建连接,请参阅使用虚拟 WAN 创建 ExpressRoute 连接。
Azure 虚拟 WAN 提供了加密 ExpressRoute 流量的功能。 此方法通过 ExpressRoute 在本地网络和 Azure 虚拟网络之间提供加密的传输,而无需通过公共 Internet 或使用公共 IP 地址。 有关详细信息,请参阅虚拟 WAN 的基于 ExpressRoute 的 IPsec。
可以将 Azure 虚拟网络连接到虚拟中心。 有关详细信息,请参阅将 VNet 连接到中心。
虚拟 WAN 允许 VNet 之间的传输连接。 VNet 通过虚拟网络连接连接到虚拟中心。 由于每个虚拟中心中都有路由器,因此启用了标准虚拟 WAN 中的 VNet 之间的传输连接。 首次创建虚拟中心时,将实例化此路由器。
中心路由器可以有四种路由状态:已预配、正在预配、失败或无。 在 Azure 门户中,通过导航到“虚拟中心”页面可以找到“路由状态”。
- “无”状态表示虚拟中心未预配路由器。 如果虚拟 WAN 为“基本”类型,或者虚拟中心是在提供服务之前部署的,则可能会出现此状态。
- “失败”状态表示在实例化过程中失败。 若要实例化或重置路由器,可以通过导航到 Azure 门户中的虚拟中心“概述”页面,找到“重置路由器”选项。
每个虚拟中心路由器支持的聚合吞吐量上限为 50 Gbps。
默认情况下,虚拟网络连接之间的连接假设连接到单个虚拟中心的 VNet 最多共有 2000 VM 工作负载。 可以调中心基础架构单元以支持额外的虚拟机。 有关中心基础结构单元的详细信息,请参阅中心设置。
虚拟 WAN 允许 VNet 和 ExpressRoute 之间的传输连接。 这意味着 VPN 连接的站点或远程用户可以与 ExpressRoute 连接的站点进行通信。 此外,还存在一个隐式假设,即启用“分支到分支标记”,并在 VPN 和 ExpressRoute 连接中支持 BGP。 在 Azure 门户中的“Azure 虚拟 WAN”设置中可找到此标记。 所有路由管理功能均由虚拟中心路由器提供,该路由器还启用了虚拟网络之间的传输连接。
虚拟 WAN 提供了高级路由增强功能。 能够设置自定义路由表,通过路由关联和传播优化虚拟网络路由,使用标签对路由表进行逻辑分组以及简化众多网络虚拟设备 (NVA) 或共享服务路由方案。
全局 VNet 对等互连提供了一种机制,用于连接不同区域中的两个 VNet。 在虚拟 WAN 中,虚拟网络连接将 VNet 连接到虚拟中心。 用户无需显式设置全局 VNet 对等互连。 连接到虚拟中心的 VNet 位于同一区域,因此会产生 VNet 对等互连费用。 连接到不同区域中的虚拟中心的 VNet 会产生全局 VNet 对等互连费用。
路由表现在具有关联和传播功能。 预先存在的路由表是不具有这些功能的路由表。 如果中心路由中有预先存在的路由,并且你希望使用新功能,请考虑以下事项:
在虚拟中心具有预先存在的路由的标准虚拟 WAN 客户:如果在 Azure 门户中的中心的“路由”部分有预先存在的路由,则需要先将其删除,然后尝试(在 Azure 门户中的中心的“路由表”部分)创建新的路由表。 最好对虚拟 WAN 中的所有中心执行删除步骤。
在虚拟中心具有预先存在的路由的基本虚拟 WAN 客户:如果在 Azure 门户中的中心的“路由”部分有预先存在的路由,则需要先将其删除,然后将虚拟 WAN 从基本版升级到标准版。 请参阅将虚拟 WAN 从基本版升级到标准版。 最好对虚拟 WAN 中的所有中心执行删除步骤。
对于常见问题,请参阅虚拟 WAN 常见问题解答。
- 有关最新版本、当下推出的预览、预览限制、已知问题和已弃用功能的信息,请参阅新增功能
- 订阅 RSS 源,并在 Azure 更新 - 虚拟 WAN 页上查看最新的虚拟 WAN 功能更新。
其他资源
文档
-
查看有关 Azure 虚拟 WAN 网络、客户端、网关、设备、合作伙伴和连接的常见问题解答。
-
了解如何从现有的客户管理型中心辐射拓扑迁移到利用 Microsoft 管理型虚拟 WAN 中心的设计。
-
体系结构:全局传输网络体系结构 - Azure Virtual WAN
了解 Azure 虚拟 WAN 如何通过支持在 VNet 中的全局分布式云工作负载集、分支站点、SaaS 和 PaaS 应用程序与用户之间随时建立任意点到任意点的连接,从而实现全局传输网络体系结构。