定義 Azure 網路拓撲

  • 發行項

網路拓撲是登陸區域架構的重要元素,因為它會定義應用程式如何彼此通訊。 本節會探索 Azure 部署的技術與拓撲方法。 其著重於兩個核心方法:以 Azure 虛擬 WAN 為基礎的拓撲,以及傳統拓撲。

虛擬 WAN 可用來符合大規模的互連需求。 因為它是 Microsoft 管理的服務,因此也會降低整體網路複雜性,並協助將組織的網路現代化。 如果下列任何需求適用於貴組織,虛擬 WAN 拓撲可能最合適:

  • 您的組織想要跨數個 Azure 區域部署資源,而且需要這些 Azure 區域中的虛擬網路與多個內部部署位置之間的全域連線。
  • 您的組織想要透過軟體定義的 WAN (SD-WAN) 部署,將大規模分支網路直接整合到 Azure,或需要超過 30 個分支月臺才能終止原生 IPSec。
  • 您需要虛擬專用網 (VPN) 與 Azure ExpressRoute 之間的可轉移路由。 例如,透過站對站 VPN 連線的遠端分支,或透過點對站 VPN 連線的遠端使用者,需要透過 Azure 連線到 ExpressRoute 的 DC 連線。

傳統中樞和輪輻網路拓撲 可協助您在 Azure 中建置自定義且增強的安全性大型網路。 使用此拓撲,您可以管理路由和安全性。 如果下列任何需求適用於貴組織,傳統拓撲可能最合適:

  • 您的組織想要跨一或多個 Azure 區域部署資源,而預期跨 Azure 區域的一些流量(例如,跨兩個不同 Azure 區域的兩個虛擬網路之間的流量),則不需要跨所有 Azure 區域的完整網狀網路。
  • 每個區域都有少量的遠端或分支位置。 也就是說,您需要少於 30 個 IPSec 站對站通道。
  • 您需要完整控制和粒度,才能手動設定 Azure 網路路由原則。

虛擬 WAN 網路拓撲 (Microsoft 管理)

Diagram that illustrates a Virtual WAN network topology.

傳統 Azure 網路拓撲

Diagram that illustrates a traditional Azure network topology.

Azure 登陸區域中的 Azure 虛擬網絡 管理員

Azure 登陸區域概念架構建議兩個網路拓撲之一:以虛擬 WAN 為基礎的網路拓撲,或以傳統中樞和輪輻架構為基礎的網路拓撲。 隨著業務需求隨著時間變更(例如,將內部部署應用程式移轉至需要混合式連線的 Azure),您可以使用 虛擬網絡 Manager 來擴充及實作網路變更。 在許多情況下,您可以這麼做,而不會中斷已在 Azure 中部署的內容。

您可以使用 虛擬網絡 Manager,針對現有和新的虛擬網路,跨訂用帳戶建立三種類型的拓撲

  • 中樞和輪輻拓撲
  • 輪輻與輪輻之間具有直接連線功能的中樞與輪輻拓撲
  • 格格拓撲(預覽版)

Diagram that shows Azure virtual network topologies.

注意

虛擬網絡 管理員不支援虛擬 WAN 中樞作為網路群組的一部分或拓撲中的中樞。 如需詳細資訊,請參閱 Azure 虛擬網絡 管理員常見問題

當您在 虛擬網絡 Manager 中建立具有直接連線功能的中樞與輪輻拓撲時,輪輻 會透過 連線 群組功能自動啟用相同網路群組中的輪輻虛擬網路之間的直接連線。

您可以使用 虛擬網絡 管理員,以靜態或動態方式將虛擬網路新增至特定網路群組。 這樣做會根據 虛擬網絡 Manager 中的連線設定,定義並建立所需的拓撲。

您可以建立多個網路群組,以隔離虛擬網路群組與直接連線。 每個網路群組都提供輪輻對輪輻連線的相同區域和多重區域支援。 請務必保持在針對 虛擬網絡 Manager 定義的限制內,如 Azure 虛擬網絡 Manager 常見問題中所述

從安全性觀點來看,無論 NSG 中定義的內容為何,虛擬網絡 Manager 提供有效的方式來套用安全性管理規則,以集中拒絕或允許流量流動。 這項功能可讓網路安全系統管理員強制執行訪問控制,並讓應用程式擁有者在 NSG 中管理自己的較低層級規則。

您可以使用 虛擬網絡 Manager 將虛擬網路分組。 接著,您可以將組態套用至群組,而不是套用至個別虛擬網路。 這項功能可讓您更有效率地管理連線、組態和拓撲、安全性規則,以及同時部署到一或多個區域,而不會失去精細的控制。

您可以依環境、小組、位置、企業營運,或符合您需求的一些其他功能來分割網路。 您可以建立一組管理群組成員資格的條件,以靜態或動態方式定義網路群組。

您可以使用 虛擬網絡 Manager 來實作 Azure 登陸區域設計原則,以大規模容納所有應用程式移轉、現代化及創新。

設計考量

  • 在傳統的中樞與輪輻部署中,會手動建立和維護虛擬網路對等互連連線。 虛擬網絡 Manager 引進虛擬網路對等互連的自動化層,讓大型且複雜的網路拓撲,例如網格更容易大規模管理。 如需詳細資訊,請參閱 網路群組概觀
  • 各種商務功能的安全性需求會決定建立網路群組的需求。 網路群組是一組以手動方式或透過條件語句選取的虛擬網路,如本檔稍早所述。 當您建立網路群組時,您必須指定原則,或 虛擬網絡 管理員可以建立原則,如果您明確允許該原則。 此原則可讓 虛擬網絡 管理員收到變更的通知。 若要更新現有的 Azure 原則計劃,您必須將變更部署至 虛擬網絡 Manager 資源內的網路群組。
  • 若要設計適當的網路群組,您應該評估網路的各個部分共用常見的安全性特性。 例如,您可以建立公司與在線的網路群組,以大規模管理其連線和安全性規則。
  • 當組織訂用帳戶中的多個虛擬網路共用相同的安全性屬性時,您可以使用 虛擬網絡 Manager 有效率地套用它們。 例如,您應該將業務單位使用的所有系統,例如 HR 或 Finance 放在不同的網路群組中,因為您需要將不同的系統管理規則套用至它們。
  • 虛擬網絡 管理員可以集中套用安全性管理規則,其優先順序高於子網層級所套用的 NSG 規則。 (這項功能處於預覽狀態。這項功能可讓網路和安全性小組有效地強制執行公司原則,並大規模建立安全性防護,但可讓產品小組同時在其登陸區域訂用帳戶內維護 NSG 的控制。
  • 您可以使用 虛擬網絡 Manager 安全性系統管理員規則功能,明確允許或拒絕特定網路流程,而不論子網或網路介面層級上的 NSG 設定為何。 例如,您可以使用這項功能來允許管理服務網路流程一律允許。 由應用程式小組控制的 NSG 無法覆寫這些規則。
  • 虛擬網路可以是多達兩個連線群組的一部分。

設計建議

  • 定義 虛擬網絡 Manager 的範圍。 套用安全性系統管理員規則,以在根管理群組 (租使用者) 上強制執行組織層級規則。 這樣做會以階層方式自動將規則套用至現有和新的資源,以及所有相關聯的管理群組。
  • 在 連線ivity訂用帳戶中建立 虛擬網絡 管理員實例,其中包含中繼根管理群組的範圍(例如 Contoso)。 在此實例上啟用安全性系統管理員功能。 此設定可讓您定義安全性系統管理員規則,以套用至 Azure 登陸區域階層中的所有虛擬網路和子網,並協助您將 NSG 大眾化為應用程式登陸區域擁有者和小組。
  • 將虛擬網路分組為靜態(手動)或動態(以原則為基礎)來分割網路。
  • 當選取的輪輻需要頻繁通訊時,除了存取中樞中的一般服務或 NVA 之外,還要啟用輪輻之間的直接連線,以及低延遲和高輸送量。
  • 當跨區域的所有虛擬網路需要彼此通訊時,啟用全域網格。
  • 將優先順序值指派給規則集合中的每個安全性管理規則。 值越低,規則的優先順序就越高。
  • 不論應用程式小組所控制的 NSG 組態為何,使用 安全性系統管理員規則 來明確允許或拒絕網路流程。 這樣做也可讓您將 NSG 及其規則的控制完全委派給應用程式小組。