模組化數據中心（MDC）網路簡介

2025-01-17

套件內容

Azure Modular Datacenter （MDC）解決方案隨附本文所參考的其他網路設備。此設備可用來將容器連線到您的網路。

確認符合您環境的交換器光學。

數量	類型	型號
12	12x QSFP-40G	“SR”
12	12x SFP+ 10 GB	“SR”
12	12x SFP 1G	“SR”
12	12x QSFP-40G	“LR”
12	12x SFP+ 10 GB	“LR”
12	12x SFP 1G	“LR”

網路設計概觀

實體網路設計

MDC 解決方案需要復原且高可用性的實體基礎結構，以支援其作業和服務。從機架頂端（TOR）到邊界交換器的上行連結僅限於 SFP+ 或 SFP28 媒體和 1-GB、10 GB 或 40 GB 的速度。

下圖呈現我們建議的 MDC 設計。

顯示建議實體網路設計的圖表。

邏輯網路設計

邏輯網路設計代表實體網路基礎結構的抽象概念。它們可用來組織和簡化主機、虛擬機（VM）和服務的網路指派。在邏輯網路建立中，會建立網站以定義：

虛擬局域網路（VLAN）。
IP 子網。
IP 子網/VLAN 配對。

所有這些 VLAN 和子網都會與每個實體位置中的邏輯網路相關聯。

下表顯示您必須規劃的邏輯網路和相關聯的 IPv4 子網範圍。

邏輯網路	說明	大小
公用虛擬IP（VIP）	MDC 會從此網路使用總共 31 個位址。八個公用IP位址用於一組小型MDC服務，其餘則由租使用者VM使用。如果您打算使用 Azure App 服務和 SQL 資源提供者，則會再使用七個位址。其餘15個IP會保留給未來的 Azure 服務。	/26 （62 個主機） - /22 （1022 主機）建議 = /24 （254 主機）
交換器基礎結構	路由用途的點對點IP位址、專用交換器管理介面，以及指派給交換器的回送位址。	/26
基礎結構	用於 MDC 內部元件進行通訊。	/24
私用	用於記憶體網路、私人VIP、基礎結構容器和其他內部功能。	/20
基礎板管理控制器（BMC）	用來與實體主機上的 BMC 通訊。	/26
伊西隆	用來與Isilon記憶體通訊。	1x /25 TOR 1x /25 BMC （管理）

網路基礎結構

MDC 的網路基礎結構包含數個在交換器上設定的邏輯網路。下圖顯示這些邏輯網路，以及它們如何與機架頂端（TOR）、BMC 和邊界（客戶網路）交換器整合。

顯示邏輯網路設計的圖表。

BMC 網路

此網路專門用來將所有 BMC（也稱為服務處理器）連線到管理網路。範例包括 iDRAC、iLO 和 iBMC。只有一個 BMC 帳戶可用來與任何 BMC 節點通訊。如果有的話，硬體生命週期主機（HLH）位於此網路上，而且可能會提供 OEM 特定軟體進行硬體維護或監視。

HLH 也會裝載部署 VM（DVM）。 DVM 會在 MDC 部署期間使用，並在部署完成時移除。 DVM 需要連線部署案例中的因特網存取，才能測試、驗證及存取多個元件。這些元件可以位於公司網路內外。範例包括 NTP、功能變數名稱系統（DNS）和 Azure。如需連線需求的詳細資訊，請參閱 MDC 防火牆整合中的網路位址轉換（NAT）一節。

私人網路

/20 （4096 主機 IP）網路是 MDC 區域的私人網路。它不會擴充到 MDC 區域的邊界交換器裝置之外。此網路分成多個子網，例如：

記憶體網路：用來支援使用儲存空間直接存取和伺服器消息塊（SMB）記憶體流量和 VM 實時移轉的 /25 （128 IP）網路。
內部虛擬網路：軟體負載平衡器專用內部VIP的 /25網路。
容器網路：執行基礎結構服務之容器之間專用的 /23 （512 IP）網路。

專用網變更的大小是私人IP空間的 /20（4096 IP）。此網路是 MDC 系統的私人網路。它不會路由傳送到 MDC 系統的邊界交換器裝置之外，而且可以在多個 MDC 系統上重複使用。雖然網路是 MDC 的私人網路，但不得與數據中心中的其他網路重疊。如需私人IP空間的指引，建議您遵循 RFC 1918。

/20 私人IP空間分成多個網路，讓 MDC 系統基礎結構在未來版本中在容器上執行。此私人IP空間可持續努力減少部署前所需的可路由IP空間。

MDC 基礎結構網路

/24 網路專用於內部 MDC 元件，以便它們彼此通訊和交換數據。此子網可以在 MDC 解決方案的外部路由傳送至您的資料中心。我們 不建議 在此子網上使用公用或因特網路由傳送的IP位址。此網路會公告到邊界，但其大部分IP都會受到訪問控制清單的保護。允許存取的IP範圍很小，相當於 /27 網路的大小。 IP 裝載服務，例如具特殊許可權的端點（PEP）和 MDC 備份。

公用VIP網路

公用VIP網路會指派給 MDC 中的網路控制站。這不是交換器上的邏輯網路。 SLB 會使用位址池，併為租使用者工作負載指派 /32 網路。在交換器路由表上，這些 /32 IP 會透過邊界閘道通訊協定（BGP）公告為可用的路由。此網路包含外部可存取的公用位址。 MDC 基礎結構會從此公用VIP網路保留前31個位址，而其餘位址則由租使用者 VM 使用。此子網上的網路大小範圍從至少 /26 （64 部主機）到最多 /22 （1,022 部主機）。建議您規劃 /24 網路。

交換器基礎結構網路

/26 網路是包含可路由點對點 IP /30 （兩個主機 IP）子網和回送的子網。這些子網是專用的 /32 子網，用於頻內交換器管理和 BGP 路由器標識碼。此IP位址範圍必須在 MDC 解決方案外部路由傳送至您的資料中心。 IP 位址可能是私人或公用位址。

交換器管理網路

/29 （六個主機 IP）網路專用於連接交換器的管理埠。此網路允許頻外存取，以進行部署、管理和疑難解答。其會從上一節所述的交換器基礎結構網路進行計算。

Isilon 網路

有兩個 /25 網路。其中一個位於 TOR 交換器上，而 BMC 交換器上使用一個 /25 來管理。

DNS 設計概觀

若要從 MDC 外部存取 MDC 端點（入口網站、系統管理、管理及管理管理），您必須將 MDC DNS 服務與載入要在 MDC 中使用的 DNS 區域的 DNS 伺服器整合。

MDC DNS 命名空間

部署 MDC 解決方案時，您必須提供一些與 DNS 相關的重要資訊。

欄位	說明	範例
區域	MDC 部署的地理位置。	東
外部網域名稱	您要用於 MDC 部署的區域名稱。	cloud.fabrikam.com
內部功能變數名稱	MDC 中用於基礎結構服務的內部區域名稱。它是目錄服務整合和私用的（無法從 MDC 部署外部連線）。	azurestack.local
DNS 轉寄站	用來轉送公司內部網路或公用因特網上 MDC 外部之 DNS 查詢、DNS 區域和記錄的 DNS 伺服器。您可以在部署之後，使用 Set-AzSDnsForwarder Cmdlet 編輯 DNS 轉寄站值。
命名前置詞（選擇性）	您想要讓 MDC 基礎結構角色實例電腦名稱擁有的命名前置詞。如果未提供，則預設值為 azs。	azs

MDC 部署和端點的完整功能變數名稱（FQDN）是區域參數和外部功能變數名稱參數的組合。使用上表範例中的值，此 MDC 部署的 FQDN 將會 east.cloud.fabrikam.com。

此部署的一些端點範例看起來會像下列URL：

https://portal.east.cloud.fabrikam.com
https://adminportal.east.cloud.fabrikam.com

若要針對 MDC 部署使用此範例 DNS 命名空間，需要下列條件：

區域 fabrikam.com 會向網域註冊機構、內部公司 DNS 伺服器或兩者註冊。註冊取決於您的名稱解析需求。
子網域 cloud.fabrikam.com 存在於區域 fabrikam.com 下。
您可以從 MDC 部署連線到載入區域 fabrikam.com 和 cloud.fabrikam.com 的 DNS 伺服器。

若要從 MDC 外部解析 MDC 端點和實例的 DNS 名稱，您必須整合 DNS 伺服器。包含裝載 MDC 外部 DNS 區域的伺服器，以及載入您想要使用之父區域的 DNS 伺服器。

DNS 名稱標籤

MDC 支援將 DNS 名稱標籤新增至公用 IP 位址，以允許公用 IP 位址的名稱解析。 DNS 標籤是使用者依名稱連線到裝載在 MDC 中的應用程式和服務的便利方式。 DNS 名稱標籤使用的命名空間與基礎結構端點的命名空間有些許不同。在上述範例命名空間之後，DNS 名稱標籤的命名空間會是 *.east.cloudapp.cloud.fabrikam.com。

如果租使用者在公用IP位址資源的 DNS 名稱標籤欄位中指定 MyApp，則會在 MDC 外部 DNS 伺服器上 east.cloudapp.cloud.fabrikam.com 區域中建立 myapp 的 A 記錄。產生的 FQDN 將會 myapp.east.cloudapp.cloud.fabrikam.com。

如果您想要利用這項功能並使用這個命名空間，您必須整合 DNS 伺服器。包含裝載 MDC 外部 DNS 區域的伺服器，以及載入您想要使用之父區域的 DNS 伺服器。此命名空間與 MDC 服務端點所使用的命名空間不同，因此您必須建立額外的委派或條件式轉送規則。

如需 DNS 名稱標籤運作方式的詳細資訊，請參閱 MDC 檔中的<使用 DNS>。

解析和委派

有兩種類型的 DNS 伺服器：

權威 DNS 伺服器會裝載 DNS 區域。它只會回答這些區域中的 DNS 記錄查詢。
遞迴 DNS 伺服器不會裝載 DNS 區域。它會呼叫權威 DNS 伺服器來收集所需的資料，以回答所有 DNS 查詢。

MDC 同時包含授權和遞迴 DNS 伺服器。遞歸伺服器可用來解析該 MDC 部署的內部私人區域和外部公用 DNS 區域以外的所有項目名稱。

從 MDC 解析外部 DNS 名稱

若要解析 MDC 外部端點的 DNS 名稱（例如，www.bing.com），您必須提供 MDC 的 DNS 伺服器，才能轉送 MDC 不具權威的 DNS 要求。 MDC 轉送要求的 DNS 伺服器在 [部署工作表] 中（在 [DNS 轉寄站] 字段中是必要的。至少在此欄位中提供兩個伺服器以供容錯使用。如果沒有這些值，MDC 部署就會失敗。您可以在部署之後，使用 Set-AzSDnsForwarder Cmdlet 來編輯 DNS 轉寄站 值。

防火牆設計概觀

建議您使用防火牆裝置來協助保護 MDC。防火牆可協助防禦分散式阻斷服務（DDoS）攻擊、入侵檢測和內容檢查等專案。它們也可以成為 Azure 記憶體服務的輸送量瓶頸，例如 Blob、數據表和佇列。

如果使用中斷連線的部署模式，您必須發佈 Active Directory 同盟服務端點。如需詳細資訊，請參閱數據中心整合身分識別一文。

Azure Resource Manager（系統管理員）、系統管理員入口網站和 Azure 金鑰保存庫（系統管理員）端點不一定需要外部發佈。例如，身為服務提供者，您可以只從網路內部管理 MDC，而不是從因特網管理受攻擊面。

就企業組織而言，外部網路可能是現有的公司網路。在此案例中，您必須發佈端點以從公司網路操作 MDC。

網路地址轉譯

我們建議 NAT 方法允許 DVM 在部署期間存取外部資源。我們也建議在註冊和疑難解答期間，針對緊急復原控制台（ERCS） VM 或 PEP 使用 NAT。

NAT 也可以替代外部網路上的公用IP位址或公用VIP。不建議使用此選項，因為它會限制租用戶用戶體驗並增加複雜度。其中一個選項是一對一 NAT，該 NAT 仍然需要集區上的每個使用者 IP 一個公用 IP。另一個選項是多對一 NAT，針對使用者可能使用的所有埠，每個使用者 VIP 都需要 NAT 規則。

使用 NAT 進行公用 VIP 的一些缺點如下：

管理防火牆規則時的額外負荷，因為使用者在軟體定義網路堆疊中控制自己的端點和發佈規則。用戶必須連絡 MDC 操作員，以發佈其 VIP 並更新埠清單。
雖然 NAT 的使用會限制使用者體驗，但它可讓操作員完全控制發佈要求。
針對使用 Azure 的混合式雲端情節，請考量 Azure 不支援使用 NAT 設定端點的 VPN 通道。

SSL 攔截

目前，建議您在所有 MDC 流量上停用任何 SSL 攔截（例如解密卸除）。如果未來更新支援，將會提供如何啟用 MDC SSL 攔截的相關指引。

Edge 部署防火牆案例

在邊緣部署中，MDC 會直接部署在邊緣路由器或防火牆後方。在這些案例中，支援防火牆位於框線上方（案例 1），其中支持主動-主動和主動-被動防火牆設定。它也可作為邊界裝置（案例 2），其中僅支持主動-主動防火牆設定。案例 2 依賴使用 BGP 或靜態路由進行故障轉移的成本相等的多路徑。

在部署期間，會從外部網路針對公用 VIP 集區指定可路由傳送的公用 IP 位址。基於安全性考慮，在邊緣案例中，不建議在任何其他網路上使用公用可路由IP。此情節能讓使用者得到完全自主控制的雲端體驗，就像在 Azure 這類公用雲端中一樣。

顯示 MDC 邊緣防火牆案例的圖表。

企業內部網路或周邊網路防火牆情節

在企業內部網路或周邊部署中，MDC 會部署在多區域防火牆或邊緣防火牆與內部公司網路防火牆之間。其流量接著會分散在安全、周邊網路（或 DMZ）與不安全的區域之間，如下所述：

安全區域：使用內部或公司可路由IP位址的內部網路。安全網路可以分割。它可以透過防火牆 NAT 進行因特網輸出存取。它通常可透過內部網路從資料中心內部存取。所有 MDC 網路都應該位於安全區域中，但外部網路的公用 VIP 集區除外。
周邊區域：周邊網路是通常部署 Web 伺服器等外部或因特網面向應用程式的位置。防火牆通常會受到防火牆監視，以避免 DDoS 和入侵（駭客攻擊）等攻擊，同時仍允許來自因特網的指定輸入流量。只有 MDC 的外部網路公用 VIP 集區應該位於 DMZ 區域中。
不安全的區域：外部網路、因特網。 我們不建議您在不安全區域中部署 MDC。

顯示周邊網路防火牆案例的圖表。

VPN 設計概觀

雖然 VPN 是使用者概念，但解決方案擁有者和操作員需要知道的一些重要考慮。

您必須先為您的虛擬網路建立虛擬網路（VPN）網關，才能在 Azure 虛擬網路與內部部署網站之間傳送網路流量。

VPN 閘道是一種虛擬網路閘道，可透過公用連接傳送加密的流量。您可以使用 VPN 閘道，安全地在 MDC 中的虛擬網路與 Azure 中的虛擬網路之間傳送流量。您也可以在虛擬網路與連線至 VPN 裝置的另一個網路之間安全地傳送流量。

當您建立虛擬網路閘道時，您可以指定您想要建立的閘道類型。 MDC 支援一種類型的虛擬網路閘道：VPN 類型。

每個虛擬網路可以有兩個虛擬網路閘道，但每個類型只能有一個。視您選擇的設定而定，您可以建立單一 VPN 閘道的多個連線。這種設定的範例是多月台聯機組態。

建立及設定 MDC 的 VPN 閘道之前，請先檢閱 MDC 網路功能考慮。您將瞭解 MDC 的設定與 Azure 有何不同。

在 Azure 中，您選擇的 VPN 閘道 SKU 頻寬輸送量必須分成連線至閘道的所有連線。但在 MDC 中，VPN 閘道 SKU 的頻寬值會套用至連線至閘道的每個連線資源。例如：

在 Azure 中，基本 VPN 閘道 SKU 可以容納大約 100 Mbps 的匯總輸送量。如果您建立與該 VPN 閘道的兩個連線，而一個連線使用 50 Mbps 的頻寬，則另一個連線可以使用 50 Mbps。
在 MDC 中，每個與基本 VPN 閘道 SKU 的連線都會配置 100 Mbps 的輸送量。

VPN 類型

當您為 VPN 閘道組態建立虛擬網路閘道時，必須指定 VPN 類型。您所選擇的 VPN 類型取決於您想要建立的連線拓撲。 VPN 類型也可以取決於您所使用的硬體。站對站組態需要 VPN 裝置。有些 VPN 裝置僅支援特定 VPN 類型。

重要

目前，MDC 僅支援路由式 VPN 類型。如果您的裝置只支援以原則為基礎的 VPN，則不支援從 MDC 連線到這些裝置。 MDC 目前也不支持針對路由型網關使用原則型流量選取器，因為不支援自定義 IPsec/IKE 原則設定。

PolicyBased：以原則為基礎的 VPN 會根據 IPsec 原則，透過 IPsec 信道加密和直接封包。原則會使用內部部署網路與 MDC 虛擬網路之間的位址前置詞組合來設定。原則或流量選取器通常是 VPN 裝置組態中的存取清單。 Azure 支援 PolicyBased ，但在 MDC 中則不支援。
RouteBased：路由型 VPN 使用 IP 轉送或路由表中設定的路由。會將封包導向至其對應的通道介面。然後，通道介面會加密或解密輸入和輸出通道的封包。路由式 VPN 的原則或流量選取器會設定為任意對任意（或使用通配符）。根據預設，它們無法變更。 RouteBased VPN 類型的值為 RouteBased。

設定 VPN 閘道

VPN 網關聯機依賴使用特定設定所設定的數個資源。大部分的資源都可以個別設定，但在某些情況下，它們必須依特定順序進行設定。

設定

您為每個資源選擇的設定對於建立成功的連線至關重要。

本文可協助您瞭解：

閘道類型、VPN 類型和連線類型。
您可能想要考慮的閘道子網、局域網路閘道和其他資源設定。

線上拓撲圖表

VPN 網關聯機有不同的組態。判斷哪一個設定最符合您的需求。在下列各節中，您可以檢視下列 VPN 網關聯機的相關信息和拓撲圖表：

可用的部署模型
可用的組態工具
如果有的話，直接帶您前往文章的連結

下列各節中的圖表和描述可協助您選取連線拓撲以符合您的需求。圖表顯示主要基準拓撲，但可以使用圖表作為指南來建置更複雜的組態。

站對站和多月臺（IPsec/IKE VPN 信道）

站對站

站對站 VPN 網關聯機是透過 IPsec/IKE （IKEv2） VPN 通道的連線。這種類型的連線需要位於內部部署且指派公用IP位址的VPN裝置。此裝置無法位於NAT後方。站對站連線可以用於跨部署與混合式組態。

多站台

多站台聯機是站對站連線的變化。您可以從虛擬網路閘道建立多個 VPN 連線，且通常會連線到多個內部部署網站。當您使用多個連線時，必須使用路由型 VPN 類型（當您使用傳統虛擬網路時稱為動態閘道）。因為每個虛擬網路只能有一個 VPN 閘道，因此所有透過閘道的連線都會共用可用的頻寬。

閘道 SKU

當您建立 MDC 的虛擬網路閘道時，您可以指定要使用的閘道 SKU。支援下列 VPN 閘道 SKU：

基本
標準
高效能

選取較高的閘道 SKU 會將更多 CPU 和網路頻寬配置給閘道。因此，閘道可以支援虛擬網路的更高網路輸送量。

MDC 不支援專用於 Azure ExpressRoute 的 Ultra 效能閘道 SKU。當您選取 SKU 時，請考慮下列幾點：

MDC 不支援以原則為基礎的閘道。
基本 SKU 不支援 BGP。
MDC 不支援 ExpressRoute-VPN 閘道並存設定。

閘道可用性

高可用性案例只能在高效能網關聯機 SKU 上設定。不同於透過主動/主動和主動/被動組態提供可用性的 Azure，MDC 僅支持主動/被動設定。

容錯移轉

MDC 中有三個多租用戶閘道基礎結構 VM。這兩個 VM 處於作用中模式。第三個 VM 處於備援模式。作用中的 VM 可讓您在它們上建立 VPN 連線。備援 VM 只會在發生故障轉移時接受 VPN 連線。如果作用中的閘道 VM 變得無法使用，VPN 聯機會在連線遺失短暫（幾秒鐘）之後故障轉移至備援 VM。

依 SKU 列出的估計彙總輸送量

下表依照閘道 SKU 顯示閘道類型和預估的彙總輸送量。

閘道類型	VPN 閘道輸送量（1）	VPN 閘道最大 IPsec 通道（2）
基本 SKU （3）	100 Mbps	20
標準 SKU	100 Mbps	20
高效能 SKU	200 Mbps	10

表格附註：

（1） VPN 輸送量不是因特網間跨單位連線的保證輸送量。這是可能的輸送量測量上限。

（2）通道上限是所有訂用帳戶的每個 MDC 部署總計。

（3）基本 SKU 不支援 BGP 路由。

重要

兩個 MDC 部署之間只能建立一個站對站 VPN 連線。此限制是因為平臺中的限制只允許對相同IP位址的單一 VPN 連線。由於 MDC 使用多租使用者閘道，因此 MDC 系統中所有 VPN 閘道都會使用單一公用 IP，因此兩個 MDC 系統之間只能有一個 VPN 連線。

這項限制也適用於將多個站對站 VPN 連線至任何使用單一 IP 位址的 VPN 閘道。 MDC 不允許使用相同的IP位址建立多個區域網路閘道資源。

IPsec/IKE 參數

當您在 MDC 中設定 VPN 連線時，必須在兩端設定連線。如果您要設定 MDC 與硬體裝置之間的 VPN 連線，該裝置可能會要求您進行其他設定。例如，裝置可能會要求作為 VPN 閘道的交換器或路由器。

與支援多個供應專案做為啟動器和回應程式的 Azure 不同，MDC 預設僅支援一個供應專案。如果您需要使用不同的 IPsec/IKE 設定來搭配 VPN 裝置使用，您可以手動設定連線。

IKE 階段 1 (主要模式) 參數

房產	價值觀
IKE 版本	IKEv2
Diffie-Hellman 群組	ECP384
驗證方法	預先共用金鑰
加密和哈希演算法	AES256、SHA384
SA 存留期（時間）	28,800 秒

IKE 階段 2 (快速模式) 參數

房產	價值觀
IKE 版本	IKEv2
加密與哈希演算法（加密）	GCMAES256
加密與哈希演演算法（驗證）	GCMAES256
SA 存留期（時間）	27,000 秒
SA 存留期（KB）	33,553,408
完美向前保密（PFS）	ECP384
無效的對等偵測	支援

設定自訂的 IPsec/IKE 連線原則

IPsec 和 IKE 通訊協定標準支援廣泛而多樣化的密碼編譯演算法組合。若要查看 MDC 中支援哪些參數以滿足合規性或安全性需求，請參閱 IPsec/IKE 參數。

本文提供如何建立和設定 IPsec/IKE 原則，並套用至新的或現有的連線的指示。

考量

當您使用這些原則時，請注意下列重要考慮：

IPsec/IKE 原則僅適用於標準和高效能（路由型）網關 SKU。
您只能針對指定的連線指定「一個」原則組合。
對於 IKE (主要模式) 和 IPsec (快速模式)，您都必須指定所有演算法和參數。系統不允許只指定一部分原則。
請確認 VPN 裝置廠商規格，確保內部部署 VPN 裝置支援原則。如果原則不相容，則無法建立站對站連線。

建立和設定 IPsec/IKE 原則的工作流程

本節概述在站對站 VPN 連線上建立和更新 IPsec/IKE 原則所需的工作流程。

建立虛擬網路和 VPN 閘道。
建立跨單位連線的局域網路網關。
使用選取的演算法和參數建立 IPsec/IKE 原則。
使用 IPsec/IKE 原則建立 IPsec 連線。
新增、更新或移除現有連線的 IPsec/IKE 原則。

支持的密碼編譯演算法和密鑰強度

下表列出 MDC 客戶可設定的支持密碼編譯演算法和金鑰強度。

IPsec/IKEv2	選項
IKEv2 加密	AES256、AES192、AES128、DES3、DES
IKEv2 完整性	SHA384、SHA256、SHA1、MD5
DH 群組	ECP384、ECP256、DHGroup14、DHGroup2048、DHGroup2、DHGroup1、None
IPsec 加密	GCMAES256、GCMAES192、GCMAES128、AES256、AES192、AES128、DES3、DES、無
IPsec 完整性	GCMASE256、GCMAES192、GCMAES128、SHA256、SHA1、MD5
PFS 群組	PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1、無
QM SA 存留期	（選擇性：如果未指定，則會使用預設值。
	秒（整數，最小值 300/預設值 27,000 秒）
	KBytes （integer， min. 1024/default 102,400,000 KBytes）
流量選取器	MDC 不支援以原則為基礎的流量選取器。

內部部署 VPN 裝置組態必須符合或包含您在 Azure IPsec/IKE 原則中指定的下列演算法和參數︰

IKE 加密演算法（主要模式/階段 1）。
IKE 完整性演算法（主要模式/階段 1）。
DH 群組（主要模式/階段 1）。
IPsec 加密演算法（快速模式/階段 2）。
IPsec 完整性演算法（快速模式/階段 2）。
PFS 群組（快速模式/階段 2）。
SA 存留期僅限本機規格。他們不需要比對。

如果 GCMAES 用於 IPsec 加密演算法，您必須針對 IPsec 完整性選取相同的 GCMAES 演演算法和金鑰長度。例如，針對這兩者使用 GCMAES128。

在上一個表格：

IKEv2 對應至主要模式或階段 1。
IPsec 會對應到快速模式或第 2 階段。
DH 群組會指定在主要模式或第 1 階段中使用的 Diffie-Hellman 群組。
PFS 群組會指定快速模式或階段 2 中使用的 Diffie-Hellman 群組。
MDC VPN 閘道上的 IKEv2 主要模式 SA 存留期固定為 28,800 秒。

下表列出自定義原則支持的對應 Diffie-Hellman 群組。

Diffie-Hellman 群組	DHGroup	PFSGroup	金鑰長度
1	DHGroup1	PFS1	768 位元 MODP
2	DHGroup2	PFS2	1024 位元 MODP
14	DHGroup14	PFS2048	2048 位元 MODP
	DHGroup2048
19	ECP256	ECP256	256 位元 ECP
20	ECP384	ECP384	384 位元 ECP
24	DHGroup24	PFS24	2048 位元 MODP

使用 Azure ExpressRoute 將 MDC 連線到 Azure

概觀、假設和必要條件

Azure ExpressRoute 可讓您將內部部署網路延伸至 Microsoft 雲端。您使用連線提供者所提供的私人連線。 ExpressRoute 不是透過公用因特網的 VPN 連線。

如需 Azure ExpressRoute 的詳細資訊，請參閱 ExpressRoute 概觀。

假設

本文假設您有：

Azure 的工作知識。
對 MDC 的基本瞭解。
對網路的基本瞭解。

必要條件

若要使用 ExpressRoute 連線 MDC 和 Azure，您必須符合下列需求：

透過連線提供者擁有布建的 ExpressRoute 線路。
擁有 Azure 訂用帳戶，以在 Azure 中建立 ExpressRoute 線路和虛擬網路。
具有必須：
- 支援其 LAN 介面與 Azure Stack 多租用戶閘道之間的站對站 VPN 連線。
- 如果您的 MDC 部署中有多個租用戶，支援建立多個虛擬路由和轉送實例。
具有具有：
- 聯機到 ExpressRoute 線路的 WAN 埠。
- 聯機到 MDC 多租用戶閘道的 LAN 埠。

ExpressRoute 網路架構

下圖顯示當您完成使用本文範例設定 ExpressRoute 之後的 MDC 和 Azure 環境。

顯示 ExpressRoute 網路架構的圖表。

共用方式為

模組化數據中心 （MDC） 網路簡介