移轉移至 Azure 虛擬 WAN
Azure 虛擬 WAN 可讓公司簡化其全域連線能力,並因 Microsoft 全域網路的規模而受益。 若公司想從現有的「客戶自控中樞與輪輻拓撲」,移轉至利用「由 Microsoft 管理的虛擬 WAN 中樞」設計,則本文可提供適用的技術詳細資料。
針對採用「以雲端為中心的新式企業全域網路」企業,如需 Azure 虛擬 WAN 為其提供的優點,請參閱全域傳輸網路結構和虛擬 WAN。
圖:Azure 虛擬 WAN
目前已有上千位客戶採用 Azure 中樞與輪輻連線模型,利用 Azure 網路的預設轉移路由行為,來建置簡單且可調整的雲端網路。 Azure 虛擬 WAN 建置於這些概念之上並引進新功能,這些功能不僅會在內部部署位置和 Azure 之間提供全域連線能力拓撲,還能讓客戶利用 Microsoft 網路的規模來加強其現有的全域網路。
本文會說明如何將現有的「客戶自控中樞與輪輻環境」,移轉至以 Azure 虛擬 WAN 為基礎的拓撲。
案例
Contoso 是一家全球金融組織,在歐洲和亞洲均設有分公司。 他們計劃將現有的應用程式從內部部署數據中心移至 Azure,並根據客戶管理的中樞和輪輻架構建置基礎設計,包括用於混合式連線的區域中樞虛擬網路。 在移至雲端式技術的過程中,分派給網路小組的任務可確保將其連線能力最佳化,以便讓業務能夠持續進展。
下列圖表顯示現有全域網路的概略檢視,包括對多個 Azure 區域的連線能力。
圖:Contoso 現有的網路拓撲
您可以從現有的網路拓撲了解下列幾點:
中樞和輪輻拓撲會用於多個區域,包括連線回一般私人廣域網路 (WAN) 的 ExpressRoute 線路。
這其中一些網站也具有直接通往 Azure 的 VPN 通道,以觸達裝載於雲端內的應用程式。
需求
分派給網路小組的任務是提供可支援 Contoso 移轉至雲端的全球網路模型,而且必須在成本、規模和效能方面進行最佳化。 總而言之,必須符合下列需求:
- 為總公司 (HQ) 和分公司提供已最佳化的雲端裝載應用程式路徑。
- 移除對現有內部部署資料中心 (DC) 的依賴以終止 VPN,同時保留下列連線路徑:
- 分支對 VNet:VPN 連線的分公司,必須能夠存取已在本地 Azure 區域中,移轉至雲端的應用程式。
- 分支對中樞到中樞對 VNet:VPN 連線的分公司,必須能夠存取已在遠端 Azure 區域中,移轉至雲端的應用程式。
- 分支對分支:區域 VPN 連線的分公司必須能夠彼此通訊,以及與 ExpressRoute 連線的 HQ/DC 網站通訊。
- 分支對中樞到中樞對分支:遍佈全域 VPN 連線的分公司必須能夠彼此通訊,以及與任何 ExpressRoute 連線的 HQ/DC 網站通訊。
- 分支對網際網路:已連線的站台必須能夠與網際網路通訊。 此流量必須經過篩選和記錄。
- VNet 對 VNet:相同區域中的輪輻虛擬網路必須能夠彼此通訊。
- VNet 對中樞到中樞對 VNet:不同區域中的輪輻虛擬網路必須能夠彼此通訊。
- 讓 Contoso 漫遊使用者 (膝上型電腦和電話) 不需位於公司網路,就能夠存取公司資源。
Azure 虛擬 WAN 架構
下列圖表顯示已更新目標拓撲的概略檢視,此拓撲使用 Azure 虛擬 WAN 以符合上一節詳述的需求。
圖:Azure 虛擬 WAN 架構
摘要:
- 歐洲的 HQ 會維持與 ExpressRoute 連線,而歐洲的內部部署 DC 則會完全移轉至 Azure 並立即解除委任。
- 亞洲的 DC 和 HQ 仍會連線到私人 WAN。 Azure 虛擬 WAN 現在可用來加強本地電訊廠商的網路,並提供全域連線能力。
- Azure 虛擬 WAN 中樞部署於西歐和東南亞 Azure 區域,以便為 ExpressRoute 和 VPN 連線的裝置提供連線中樞。
- 中樞也會為使用全球網狀網路的 OpenVPN 連線能力,針對跨多個用戶端類型的漫遊使用者提供 VPN 終止點,讓您不僅可以存取移轉至 Azure 的應用程式,也能存取內部部署中剩餘的任何資源。
- Azure 虛擬 WAN 會提供虛擬網路內資源的網際網路連線能力。
Azure 虛擬 WAN 也會提供遠端網站的網際網路連線能力。 透過合作夥伴整合支援本地網際網路分組,以將 SaaS 服務 (例如 Microsoft 365) 的存取權最佳化。
遷移至虛擬 WAN
此節說明移轉至 Azure 虛擬 WAN 的各種步驟。
步驟 1:單一區域客戶自控的中樞和輪輻
下圖顯示在推出 Azure 虛擬 WAN 之前,適用於 Contoso 的單一區域拓撲:
圖 1:單一區域手動中樞和輪輻
與中樞和輪輻方法維持一致,客戶自控的中樞虛擬網路包含數個功能區塊:
- 共用服務 (多個輪輻所需的常見功能)。 範例:Contoso 會在基礎結構即服務 (IaaS) 虛擬機器上,使用 Windows Server 網域控制站。
- IP/路由防火牆服務會透過協力廠商網路虛擬設備提供,可啟用輪輻對輪輻第 3 層 IP 路由。
- 網際網路輸入/輸出服務 (包括適用於輸入 HTTPS 要求的 Azure 應用程式閘道),以及在虛擬機器上執行的協力廠商 Proxy 服務 (用以篩選對網際網路資源的輸出存取)。
- ExpressRoute 和 VPN 虛擬網路閘道,可連線到內部部署網路。
步驟 2:部署虛擬 WAN 中樞
在每個區域中部署虛擬 WAN 中樞。 使用 VPN 和 ExpressRoute 功能來設定虛擬 WAN 中樞,如下列文章所述:
注意
Azure 虛擬 WAN 必須使用標準 SKU,來啟用本文所述的部分流量路徑。
圖 2:移轉到虛擬 WAN 的客戶自控中樞和輪輻
步驟 3:將遠端站台 (ExpressRoute 和 VPN) 連線到虛擬 WAN
將虛擬 WAN 中樞連線到現有 ExpressRoute 線路,並透過網際網路來將站對站 VPN 設定為任何遠端分支。
圖 3:移轉到虛擬 WAN 的客戶自控中樞和輪輻
此時,內部部署網路設備將開始接收路由,以反映虛擬 WAN 管理的中樞 VNet 獲派哪一個 IP 位址空間。 在此階段中,遠端 VPN 連線的分支將會看到兩個連至輪輻虛擬網路中任何現有應用程式的路徑。 這些裝置應設定為繼續使用通往客戶自控中樞的通道,以確保會在轉換階段進行對稱式路由傳送。
步驟 4:透過虛擬 WAN 測試混合式連線能力
使用受控虛擬 WAN 中樞來連線實際執行環境之前,建議您先設定測試輪輻虛擬網路和虛擬 WAN VNet 連線。 驗證此測試環境的連線會透過 ExpressRoute 和站對站 VPN 來運作,然後繼續進行後續步驟。
圖 4:移轉到虛擬 WAN 的客戶自控中樞和輪輻
在此階段,請務必了解原始的客戶自控中樞虛擬網路,與新的虛擬 WAN 中樞都會連線到相同的 ExpressRoute 線路。 因此,您可以使用流量路徑,讓兩個環境中的輪輻進行通訊。 例如,附加於客戶自控中樞虛擬網路的輪輻流量,會周遊用於 ExpressRoute 線路的 MSSE 裝置,觸達任何透過 VNet 連線至新虛擬 WAN 中樞的輪輻。 這可讓您在步驟 5 中分段移轉輪輻。
步驟 5:轉換虛擬 WAN 中樞的連線能力
圖 5:移轉到虛擬 WAN 的客戶自控中樞和輪輻
a. 刪除從輪輻虛擬網路到舊有客戶自控中樞的現有對等互連連線。 完成步驟 a-c 之前,無法存取輪輻虛擬網路中的應用程式。
b. 透過 VNet 連線,將輪輻虛擬網路連線到虛擬 WAN 中樞。
c. 移除任何先前在輪輻虛擬網路內用來進行輪輻對輪輻通訊的使用者定義路由 (UDR)。 這個路徑現在會透過虛擬 WAN 中樞內可用的動態路由來啟用。
d. 為進行後續步驟 (e),客戶自控中樞現有的 ExpressRoute 和 VPN 閘道現已解除委任。
e. 透過新的 VNet 連線,將舊有客戶自控中樞 (中樞虛擬網路) 連線到虛擬 WAN 中樞。
步驟 6:舊有中樞會成為共用服務輪輻
我們現在已重新設計 Azure 網路,讓虛擬 WAN 中樞成為新拓撲的中心點。
圖 6:移轉到虛擬 WAN 的客戶自控中樞和輪輻
由於虛擬 WAN 中樞是受控實體,且不允許部署自訂資源 (例如虛擬機器),因此共用服務區塊現在會以輪輻虛擬網路的形式存在,並透過 Azure 應用程式閘道或網路虛擬化設備,來裝載網際網路輸入等功能。 共用服務環境與後端虛擬機器之間的流量現在會通過虛擬 WAN 管理的中樞。
步驟 7:將內部部署連線能力最佳化以充分利用虛擬 WAN
在此階段中,Contoso 幾乎已完成將商務應用程式移轉至 Microsoft Cloud 的過程,而內部部署 DC 中只剩下一些舊版應用程式。
圖 7:移轉到虛擬 WAN 的客戶自控中樞和輪輻
為了利用 Azure 虛擬 WAN 的完整功能,Contoso 決定解除委任其舊版內部部署 VPN 連線。 任何繼續存取 HQ 或 DC 網路的分支,均能使用 Azure 虛擬 WAN 內建的傳輸路由來傳輸 Microsoft 全球網路。
注意
若客戶想利用 Microsoft 骨幹,將 ExpressRoute 提供到 ExpressRoute 傳輸,則需要使用 ExpressRoute Global Reach (未顯示於圖 7)。
結束狀態的結構和流量路徑
圖:雙重區域虛擬 WAN
此節透過查看一些範例流量流程,來提供此拓撲如何符合原始需求的摘要。
路徑 1
路徑 1 顯示從 S2S VPN 連線的亞洲區,分支到東南亞區域中 Azure VNet 的流量流程。
流量的路由如下所示:
亞洲分支透過可復原且啟用 S2S BGP 的通道,來連線到東南亞虛擬 WAN 中樞。
亞洲虛擬 WAN 中樞會在本地將流量路由傳送到連線的 VNet。
路徑 2
路徑 2 顯示從 ExpressRoute 連線的歐洲 HQ,到東南亞區域中 Azure VNet 的流量流程。
流量的路由如下所示:
歐洲 HQ 透過 ExpressRoute 線路,連線到西歐虛擬 WAN 中樞。
虛擬 WAN 中樞對中樞全球連線能力,可讓您將流量傳輸到遠端區域中連線的 VNet。
路徑 3
路徑 3 顯示從連線到私人 WAN 的亞洲內部部署 DC,到歐洲 S2S 連線分支的流量流程。
流量的路由如下所示:
亞洲 DC 會連線到本地私人 WAN 電訊廠商。
ExpressRoute 線路會在連線到東南亞虛擬 WAN 中樞的私人 WAN 本地終止。
虛擬 WAN 的中樞對中樞全域連線能力會啟用流量傳輸。
路徑 4
路徑 4 顯示從東南亞區域中的 Azure VNet,到西歐區域中 Azure VNet 的流量流程。
流量的路由如下所示:
- 虛擬 WAN 中樞對中樞全域連線能力讓您能夠在沒有進階使用者設定的情況下,原生傳輸所有連線的 Azure VNet。
路徑 5
路徑 5 顯示從漫遊 VPN (P2S) 使用者,到西歐區域中 Azure VNet 的流量流程。
流量的路由如下所示:
膝上型電腦和行動裝置使用者均會利用 OpenVPN 用戶端,在西歐的 P2S VPN 閘道中進行透明連線。
西歐虛擬 WAN 中樞會在本地將流量路由傳送到連線的 VNet。
透過 Azure 防火牆的安全性與原則控制
Contoso 現已驗證所有分支和 VNet 之間的連線能力,皆符合本文稍早所討論的需求。 為符合針對安全性控制和網路隔離的需求,其需要繼續透過中樞網路來分隔和記錄流量。 此功能先前是由網路虛擬設備 (NVA) 所執行。 Contoso 也想要解除委任現有的 Proxy 服務,並利用原生 Azure 服務進行輸出網際網路篩選。
圖:虛擬 WAN 中的 Azure 防火牆 (安全虛擬中樞)
以下是將 Azure 防火牆引進虛擬 WAN 中樞,以啟用統一原則控制點所需的概略步驟。 如需此流程及安全虛擬中樞概念的詳細資訊,請參閱 Azure 防火牆管理員。
- 建立 Azure 防火牆原則。
- 將防火牆原則連結到 Azure 虛擬 WAN 中樞。 此步驟可讓現有的虛擬 WAN 中樞作為安全虛擬中樞來運作,並部署所需的 Azure 防火牆資源。
注意
使用安全的虛擬中樞時有幾個相關條件約束,包括區域間流量。 如需詳細資訊,請參閱防火牆管理員 - 已知問題。
下列路徑顯示使用 Azure 安全虛擬中樞所啟用的連線路徑:
路徑 6
路徑 6 顯示相同區域中 VNet 之間的安全流量流程。
流量的路由如下所示:
連線到相同安全虛擬中樞的虛擬網路,現在會透過 Azure 防火牆路由傳送流量。
Azure 防火牆可以將原則套用到這些流程。
路徑 7
路徑 7 顯示從 Azure VNet,到網際網路或協力廠商安全性服務的流量流程。
流量的路由如下所示:
連線到安全虛擬中樞的虛擬網路可以使用安全中樞作為網際網路存取的中心點,將流量傳送到網際網路上的公用目的地。
您可以使用 Azure 防火牆 FQDN 規則,在本地篩選此流量,或將其傳送給協力廠商安全性服務來進行檢查。
路徑 8
路徑 8 顯示來自分支對網際網路,或協力廠商安全性服務的流量流程。
流量的路由如下所示:
連線到安全虛擬中樞的分支,可以使用安全中樞作為網際網路存取的中心點,將流量傳送到網際網路上的公用目的地。
您可以使用 Azure 防火牆 FQDN 規則,在本地篩選此流量,或將其傳送給協力廠商安全性服務來進行檢查。
