定義 Azure 網路拓撲
網路拓撲是登陸區域架構的重要元素,因為它會定義應用程式如何彼此通訊。 本節會探索 Azure 部署的技術與拓撲方法。 其著重於兩個核心方法:以 Azure 虛擬 WAN 和傳統拓撲為基礎的拓撲。
您可以使用 虛擬 WAN 來滿足大規模的互連需求。 虛擬 WAN 是 Microsoft 管理的一項服務,可降低整體網路複雜性,並協助將組織的網路現代化。 如果下列任何需求適用於您的組織,請使用虛擬 WAN 拓撲:
您的組織想要跨數個 Azure 區域部署資源,而且需要這些 Azure 區域中的虛擬網路與多個內部部署位置之間的全域連線。
您的組織想要使用軟體定義的 WAN (SD-WAN) 部署,將大規模分支網路直接整合到 Azure,或需要超過 30 個分支月臺才能終止原生 IPSec。
您需要虛擬專用網 (VPN) 與 Azure ExpressRoute 之間的可轉移路由。 例如,如果您使用站對站 VPN 來連線遠端分支或點對站 VPN 來連線遠端使用者,您可能需要透過 Azure 將 VPN 連線到 ExpressRoute 連線的 DC。
下圖顯示 Microsoft 管理的虛擬 WAN 網路拓撲:
傳統中樞和輪輻網路拓撲 可協助您在 Azure 中建置自定義且增強的安全性大型網路。 使用此拓撲,您可以管理路由和安全性。 如果下列任何需求適用於您的組織,請使用傳統拓撲:
您的組織想要跨一或多個 Azure 區域部署資源。 您預期 Azure 區域有一些流量,例如跨兩個不同 Azure 區域的兩個虛擬網路之間的流量,但您不需要跨所有 Azure 區域的完整網狀網路。
每個區域的遠端或分支位置數目較低,且需要少於 30 個 IPSec 站對站通道。
您需要完整控制和粒度,才能手動設定 Azure 網路路由原則。
下圖顯示傳統的 Azure 網路拓撲:
