分享方式:

傳統 Azure 網路拓撲

  • 文章

重要

嘗試拓撲 (預覽) 體驗,其提供 Azure 資源的視覺效果,以方便大規模庫存管理和監視網路。 使用預覽版中的拓撲功能,將訂用帳戶、區域和位置的資源及其相依性可視化。 如需如何流覽至體驗的詳細資訊,請參閱 Azure 監視器

本文說明 Microsoft Azure 中網路拓撲的主要設計考慮和建議。 下圖顯示傳統的 Azure 網路拓撲:

說明傳統 Azure 網路拓撲的圖表。

設計考量

  • 各種網路拓撲可以連線多個登陸區域虛擬網路。 網路拓撲的範例包括中樞和輪輻、全網格和混合式拓撲。 您也可以有多個虛擬網路透過多個 Azure ExpressRoute 線路或連線進行連線。

  • 虛擬網路無法周遊訂用帳戶界限。 不過,您可以使用虛擬網路對等互連、ExpressRoute 線路或 VPN 閘道,在不同的訂用帳戶之間實現虛擬網路之間的連線。

  • 虛擬網路對等互連是連線 Azure 中虛擬網路的慣用方法。 您可以使用虛擬網路對等互連,將相同區域中的虛擬網路、不同 Azure 區域,以及跨不同Microsoft Entra 租用戶連線。

  • 虛擬網路對等互連和全域虛擬網路對等互連無法轉移。 若要啟用傳輸網路,您需要使用者定義的路由(UDR)和網路虛擬設備(NVA)。 如需詳細資訊,請參閱 Azure 中的中樞輪輻網路拓撲。

  • 您可以在單一Microsoft Entra 租使用者中,跨所有虛擬網路共用 Azure DDoS 保護方案,以保護具有公用 IP 位址的資源。 如需詳細資訊,請參閱 DDoS 保護

    • DDoS 保護方案只涵蓋具有公用IP位址的資源。

    • DDoS 保護方案的成本包括 100 個與 DDoS 保護計劃相關聯的受保護虛擬網路上的 100 個公用 IP 位址。 為更多資源提供保護,成本更高。 如需詳細資訊,請參閱 DDoS 保護定價常見問題

    • 檢閱 DDoS 保護方案支援的資源。

  • 您可以使用 ExpressRoute 線路來建立相同地緣政治區域內虛擬網路之間的連線,或使用進階附加元件跨地緣政治區域連線。 請記住以下幾點:

    • 網路對網路流量可能會遇到更多的延遲,因為流量必須在Microsoft Enterprise Edge (MSEE) 路由器上釘選。

    • ExpressRoute 閘道 SKU 會限制頻寬。

    • 如果您需要檢查或記錄虛擬網路間流量的 UDR,請部署和管理 UDR。

  • 具有邊界閘道協定 (BGP) 的 VPN 閘道在 Azure 和內部部署網路內可轉移,但預設不會提供透過 ExpressRoute 連線網路的可轉移存取。 如果您需要可轉移存取透過 ExpressRoute 連線的網路,請考慮 使用 Azure 路由伺服器

  • 當您將多個 ExpressRoute 線路連線到相同的虛擬網路時,請使用連線權數和 BGP 技術來確保內部部署網路與 Azure 之間的流量最佳路徑。 如需詳細資訊,請參閱 優化 ExpressRoute 路由

如果您使用 BGP 計量來影響 ExpressRoute 路由,則必須變更 Azure 平臺外部的設定。 您的組織或連線提供者必須據以設定內部部署路由器。

  • 具有進階附加元件之 ExpressRoute 線路可提供全域連線能力。

  • ExpressRoute 有特定限制,包括每個 ExpressRoute 閘道的 ExpressRoute 連線數目上限。 ExpressRoute 私人對等互連對於可從 Azure 到內部部署的路由數目有最大限制。 如需詳細資訊,請參閱 ExpressRoute 限制

  • VPN 閘道的匯總輸送量上限為每秒 10 GB。 VPN 閘道可支援 100 個站對站或網路對網路通道。

  • 如果 NVA 是架構的一部分,請考慮路由伺服器,以簡化 NVA 與虛擬網路之間的動態路由。 使用路由伺服器,在支援 BGP 的任何 NVA 與 Azure 虛擬網路中的 Azure 軟體定義網路 (SDN) 之間,直接透過 BGP 交換路由資訊。 您不需要使用此方法手動設定或維護路由表。

設計建議

  • 針對下列案例,請考慮以傳統中樞和輪輻網路拓撲為基礎的網路設計:

    • 部署在單一 Azure 區域內的網路架構。

    • 跨多個 Azure 區域的網路架構,不需要在跨區域登陸區域的虛擬網路之間轉移連線。

    • 跨多個 Azure 區域的網路架構,以及可跨 Azure 區域聯機虛擬網路的全域虛擬網路對等互連。

    • VPN 與 ExpressRoute 連線之間不需要轉移連線。

    • 就地的主要混合式連線方法是 ExpressRoute,且每個 VPN 閘道的 VPN 連線數目小於 100。

    • 集中式 NVA 和細微路由有相依性。

  • 針對區域部署,主要使用中樞與輪輻拓撲搭配每個輪輻 Azure 區域的區域中樞。 針對下列案例,請使用使用虛擬網路對等互連的應用程式登陸區域虛擬網路連線到區域中央中樞虛擬網路:

    • 透過在兩個不同的對等互連位置中啟用的 ExpressRoute 跨單位連線。 如需詳細資訊,請參閱 設計和架構 ExpressRoute 以進行復原

    • 分支連線的 VPN。

    • 透過 NVA 和 UDR 進行輪輻對輪輻連線。

    • 透過 Azure 防火牆 或其他非Microsoft NVA 的因特網輸出保護。

  • 下圖顯示中樞和輪輻拓撲。 使用此組態來確保適當的流量控制,並符合分割和檢查的大部分需求。

    說明中樞與輪輻網路拓撲的圖表。

  • 在下列情況下,請使用具有多個虛擬網路的拓撲,這些虛擬網路會透過多個 ExpressRoute 線路在不同的對等互連位置連線:

  • 下圖顯示此拓撲。

    此圖說明多個與多個 ExpressRoute 線路連線的虛擬網路。

  • 針對同一個城市內的雙家庭對等互連,請考慮 ExpressRoute Metro

  • 在中央中樞虛擬網路中部署 Azure 防火牆 或合作夥伴 NVA,以進行東/西或南/北流量保護和篩選。

  • 部署一組最少的共享服務,包括 ExpressRoute 閘道、VPN 閘道(視需要),以及中央中樞虛擬網路中的 Azure 防火牆 或合作夥伴 NVA(視需要)。 如有必要,也請部署 Active Directory 域控制器和 DNS 伺服器。

  • 在連線訂用帳戶中部署單一 DDoS 保護標準方案。 將此方案用於所有登陸區域和平臺虛擬網路。

  • 使用您現有的網路、多協定標籤切換 (MPLS) 和 SD-WAN,將分支位置與公司總部連線。 如果您未使用路由伺服器,則不支援在 ExpressRoute 連線與 VPN 閘道之間傳輸 Azure。

  • 在中央中樞虛擬網路中部署 Azure 防火牆 或合作夥伴 NVA,以進行東西方或南/北流量保護和篩選。

  • 當您部署合作夥伴網路技術或 NVA 時,請遵循合作夥伴廠商的指引,以確保:

    • 廠商支援部署。

    • 本指南支援高可用性和最大效能。

    • Azure 網路沒有衝突的組態。

  • 請勿將第 7 層輸入 NVA 部署為中央中樞虛擬網路中的共用服務,例如 Azure 應用程式閘道。 相反地,將它們與應用程式一起部署在各自的登陸區域中。

  • 在連線訂用帳戶中部署單一 DDoS 標準保護方案。

    • 所有登陸區域和平臺虛擬網路都應該使用此方案。

  • 使用您現有的網路、多通訊協定標籤切換和 SD-WAN,將分支位置與公司總部連線。 如果您未使用路由伺服器,則 ExpressRoute 與 VPN 閘道之間不支援在 Azure 中傳輸。

  • 如果您需要中樞和輪輻案例中 ExpressRoute 與 VPN 閘道之間的可轉移性,請使用路由伺服器。 如需詳細資訊,請參閱 ExpressRoute 和 Azure VPN 的路由伺服器支援。

    此圖說明使用路由伺服器在 ER 與 VPN 閘道之間的可轉移性。

  • 當您在多個 Azure 區域中有中樞和輪輻網路,且您需要跨區域連線幾個登陸區域時,請使用全域虛擬網路對等互連。 您可以直接連線需要將流量路由傳送至彼此的登陸區域虛擬網路。 根據通訊虛擬機的 SKU,全域虛擬網路對等互連可以提供高網路輸送量。 直接對等互連登陸區域虛擬網路之間的流量會略過中樞虛擬網路內的 NVA。 全域虛擬網路對等互連的限制適用於流量。

  • 當您在多個 Azure 區域中有中樞和輪輻網路,而且您需要跨區域連接大部分登陸區域時,請使用中樞 NVA 將每個區域中的中樞虛擬網路彼此連線,以及跨區域路由傳送流量。 如果您無法使用直接對等互連來略過中樞 NVA,因為與安全性需求不相容,您也可以使用此方法。 全域虛擬網路對等互連或 ExpressRoute 線路可透過下列方式協助連線中樞虛擬網路:

    • 全域虛擬網路對等互連提供低延遲和高輸送量連線,但會產生 流量費用

    • 如果您透過 ExpressRoute 進行路由,可能會因為 MSEE 髮夾而增加延遲。 選取 的 ExpressRoute 閘道 SKU 會限制輸送量。

下圖顯示中樞對中樞連線的選項:

此圖說明中樞對中樞連線的選項。

  • 當您需要連線兩個 Azure 區域時,請使用全域虛擬網路對等互連來連線每個區域中的中樞虛擬網路。

  • 如果您的組織,請使用以 Azure 虛擬 WAN 為基礎的受控全域傳輸網路架構:

    • 需要跨兩個以上的 Azure 區域進行中樞和輪輻網路架構。

    • 需要跨 Azure 區域登陸區域虛擬網路之間的全域傳輸連線。

    • 想要將網路管理額外負荷降至最低。

  • 當您需要連線兩個以上的 Azure 區域時,建議每個區域中的中樞虛擬網路連線到相同的 ExpressRoute 線路。 全域虛擬網路對等互連需要您管理大量的對等互連關聯性,以及跨多個虛擬網路的複雜一組 UDR。 下圖顯示如何在三個區域中連接中樞和輪輻網路:

    此圖說明 ExpressRoute 提供多個區域之間的中樞對中樞連線能力。

  • 當您使用 ExpressRoute 線路進行跨區域連線時,不同區域中的輪輻會直接通訊並略過防火牆,因為它們會透過 BGP 路由學習到遠端中樞的輪輻。 如果您需要中樞虛擬網路中的防火牆 NVA 來檢查輪輻之間的流量,您必須實作下列其中一個選項:

  • 當您的組織需要跨兩個以上的 Azure 區域進行中樞和輪輻網路架構,以及跨 Azure 區域登陸區域虛擬網路之間的全域傳輸連線,而您想要將網路管理額外負荷降到最低時,我們建議以虛擬 WAN 為基礎的受控全域傳輸網路架構。

  • 將每個區域的中樞網路資源部署到不同的資源群組,並將其排序至每個已部署的區域。

  • 使用 Azure 虛擬網絡 Manager 來管理跨訂用帳戶全局虛擬網路的連線和安全性設定。

  • 使用 Azure 監視器網路深入解析 來監視 Azure 上網路的端對端狀態。

  • 當您將輪輻虛擬網路連線到中央中樞虛擬網路時,必須考慮下列兩 個限制

    • 每個虛擬網路的虛擬網路對等互連連線數目上限。

    • ExpressRoute 與私人對等互連從 Azure 公告到內部部署的前置詞數目上限。

    • 請確定連線到中樞虛擬網路的輪輻虛擬網路數目未超過這些限制。

後續步驟

虛擬網路拓撲