傳統 Azure 網路拓撲

  • 發行項

重要

嘗試新的 拓撲 (預覽) 體驗,其提供 Azure 資源的視覺效果,以方便大規模庫存管理和監視網路。 使用拓撲預覽,將資源及其相依性可視化,跨訂用帳戶、區域和位置。 選取此連結 以瀏覽至體驗。

探索 Microsoft Azure 中圍繞網路拓撲的主要設計考慮和建議。

Diagram that illustrates a traditional Azure network topology.

圖 1:傳統 Azure 網路拓撲。

設計考量:

  • 各種網路拓撲可以連線多個登陸區域虛擬網路。 網路拓撲的範例包括一個大型一般虛擬網路、多個與多個 Azure ExpressRoute 線路或連線的虛擬網路、中樞和輪輻、完整網狀架構和混合式。

  • 虛擬網路無法周遊訂用帳戶界限。 不過,您可以使用虛擬網路對等互連、ExpressRoute 線路或 VPN 閘道,在不同訂用帳戶之間實現虛擬網路之間的連線。

  • 虛擬網路對等互連是連線 Azure 中虛擬網路的慣用方法。 您可以使用虛擬網路對等互連,將相同區域中的虛擬網路、跨不同的 Azure 區域,以及跨不同的 Microsoft Entra 租用戶連線。

  • 虛擬網路對等互連和全域虛擬網路對等互連無法轉移。 若要啟用傳輸網路,您需要使用者定義的路由(UDR)和網路虛擬設備(NVA)。 如需詳細資訊,請參閱 Azure 中的中樞輪輻網路拓撲。

  • 您可以在單一 Microsoft Entra 租使用者中的所有虛擬網路之間共用 Azure DDoS 保護方案,以保護具有公用 IP 位址的資源。 如需詳細資訊,請參閱 Azure DDoS 保護

    • Azure DDoS 保護方案只涵蓋具有公用IP地址的資源。

    • Azure DDoS 保護方案的成本包括 100 個與 DDoS 保護方案相關聯之所有受保護虛擬網路的 100 個公用 IP 位址。 針對更多資源的保護會以個別成本提供。 如需 Azure DDoS 保護方案定價的詳細資訊,請參閱 Azure DDoS 保護定價頁面常見問題

    • 檢閱 Azure DDoS 保護方案支援的資源。

  • 您可以使用 ExpressRoute 線路來建立相同地緣政治區域內虛擬網路之間的連線,或使用進階附加元件跨地緣政治區域連線。 請記住以下幾點:

    • 網路對網路流量可能會遇到更多的延遲,因為流量必須在 Microsoft Enterprise Edge (MSEE) 路由器上釘選。

    • ExpressRoute 閘道 SKU 會限制頻寬。

    • 如果您需要檢查或記錄虛擬網路間流量的 UDR,請部署和管理 UDR。

  • 具有邊界閘道通訊協定 (BGP) 的 VPN 閘道在 Azure 和內部部署網路內可轉移,但預設不會提供透過 ExpressRoute 連線網路的可轉移存取。 如果您需要可轉移存取透過 ExpressRoute 連線的網路,請考慮 使用 Azure Route Server

  • 當您將多個 ExpressRoute 線路連線到相同的虛擬網路時,請使用連線權數和 BGP 技術來確保內部部署網路與 Azure 之間的流量最佳路徑。 如需詳細資訊,請參閱 優化 ExpressRoute 路由

  • 使用 BGP 計量來影響 ExpressRoute 路由是在 Azure 平臺外部進行的設定變更。 您的組織或連線提供者必須據以設定內部部署路由器。

  • 具有進階附加元件之 ExpressRoute 線路可提供全域連線能力。

  • ExpressRoute 有特定限制;每個 ExpressRoute 閘道的 ExpressRoute 連線數目上限,而 ExpressRoute 私人對等互連可以識別從 Azure 到內部部署的路由數目上限。 如需 ExpressRoute 限制的詳細資訊,請參閱 ExpressRoute 限制

  • VPN 閘道的匯總輸送量上限為每秒 10 GB。 VPN 閘道可支援 100 個站對站或網路對網路通道。

  • 如果 NVA 是架構的一部分,請考慮 Azure 路由伺服器,以簡化網路虛擬設備 (NVA) 與虛擬網路之間的動態路由。 Azure 路由伺服器可讓您直接透過邊界閘道通訊協定 (BGP) 路由協定交換路由資訊,這些 NVA 支援 BGP 路由通訊協定和 Azure 虛擬網路 (VNet) 中的 Azure 軟體定義網路 (SDN),而不需要手動設定或維護路由表。

設計建議:

  • 針對下列案例,請考慮以傳統中樞和輪輻網路拓撲為基礎的網路設計:

    • 部署在單一 Azure 區域內的網路架構。

    • 跨多個 Azure 區域的網路架構,不需要在跨區域登陸區域的虛擬網路之間轉移連線。

    • 跨多個 Azure 區域的網路架構,以及可跨 Azure 區域聯機虛擬網路的全域虛擬網路對等互連。

    • VPN 與 ExpressRoute 連線之間不需要轉移連線。

    • 就地的主要混合式連線方法是 ExpressRoute,且每個 VPN 閘道 的 VPN 連線數目小於 100。

    • 集中式 NVA 和細微路由有相依性。

  • 針對區域部署,主要使用中樞和輪輻拓撲。 針對下列案例,請使用與虛擬網路對等互連連線到中央中樞虛擬網路的登陸區域虛擬網路:

    • 透過 ExpressRoute 的跨單位連線。

    • 分支連線的 VPN。

    • 透過 NVA 和 UDR 進行輪輻對支點連線。

    • 透過 Azure 防火牆 或其他第三方 NVA 的因特網輸出保護。

下圖顯示中樞和輪輻拓撲。 此設定可讓適當的流量控制符合分割和檢查的大部分需求。

Diagram that illustrates a hub-and-spoke network topology.

圖 2:中樞和輪輻網路拓撲。

  • 當下列其中一個條件成立時,請使用與多個 ExpressRoute 線路連線的多個虛擬網路拓撲:

    • 您需要高度隔離。

    • 您需要特定業務單位的專用 ExpressRoute 頻寬。

    • 您已達到每個 ExpressRoute 閘道的連線數目上限(請參閱 ExpressRoute 限制 一文以取得最大數目)。

下圖顯示此拓撲。

Diagram that illustrates multiple virtual networks connected with multiple ExpressRoute circuits.

圖 3:多個與多個 ExpressRoute 線路連線的虛擬網路。

  • 部署一組最少的共享服務,包括 ExpressRoute 閘道、VPN 閘道(視需要),以及中央中樞虛擬網路中的 Azure 防火牆 或合作夥伴 NVA(視需要)。 如有必要,也請部署 Active Directory 域控制器和 DNS 伺服器。

  • 在中央中樞虛擬網路中,部署 Azure 防火牆 或合作夥伴 NVA,以進行東/西或南/北流量保護和篩選。

  • 當您部署合作夥伴網路技術或 NVA 時,請遵循合作夥伴廠商的指引,以確保:

    • 廠商支援部署。

    • 本指南支援高可用性和最大效能。

    • Azure 網路沒有衝突的組態。

  • 請勿將第 7 層輸入 NVA 部署為中央中樞虛擬網路中的共用服務,例如 Azure 應用程式閘道。 相反地,將它們與應用程式一起部署在各自的登陸區域中。

  • 在連線訂用帳戶中部署單一 Azure DDoS 標準保護方案。

    • 所有登陸區域和平臺虛擬網路都應該使用此方案。

  • 使用您現有的網路、多通訊協定標籤切換和 SD-WAN,將分支位置與公司總部連線。 如果您未使用 Azure 路由伺服器,則 ExpressRoute 與 VPN 閘道之間不支援在 Azure 中傳輸。

  • 如果您需要中樞和輪輻案例中 ExpressRoute 與 VPN 閘道之間的可轉移性,請使用 Azure 路由伺服器,如此參考案例中所述

    Diagram that illustrates transitivity between ER and VPN gateways with Azure Route Server.

  • 當您在多個 Azure 區域中有中樞和輪輻網路,且幾個登陸區域需要跨區域連線時,請使用全域虛擬網路對等互連,直接連線需要將流量路由傳送至彼此的登陸區域虛擬網路。 根據通訊 VM 的 SKU,全域虛擬網路對等互連可以提供高網路輸送量。 直接對等互連登陸區域虛擬網路之間的流量會略過中樞虛擬網路內的 NVA。 全域虛擬網路對等互連 的限制適用於流量。

  • 當您在多個 Azure 區域中有中樞和輪輻網路,而且大部分登陸區域都需要跨區域連線(或使用直接對等互連來略過中樞 NVA 時,不符合您的安全性需求),請使用中樞 NVA 將每個區域中的中樞虛擬網路彼此連線,並路由傳送跨區域的流量。 全域虛擬網路對等互連或 ExpressRoute 線路可透過下列方式協助連線中樞虛擬網路:

    • 全域虛擬網路對等互連提供低延遲和高輸送量連線,但會產生 流量費用

    • 透過 ExpressRoute 路由傳送可能會導致延遲增加(因為 MSEE 髮夾),而選取 的 ExpressRoute 閘道 SKU 會限制輸送量。

下圖顯示這兩個選項:

Diagram that illustrates options for hub-to-hub connectivity.

圖 4:中樞對中樞連線的選項。

  • 當兩個 Azure 區域需要連線時,請使用全域虛擬網路對等互連來連線這兩個中樞虛擬網路。

  • 當兩個以上的 Azure 區域需要連線時,建議每個區域中的中樞虛擬網路連線到相同的 ExpressRoute 線路。 全域虛擬網路對等互連需要跨多個虛擬網路管理大量的對等互連關聯性,以及一組複雜的使用者定義路由(UDR)。 下圖顯示如何在三個區域中連接中樞和輪輻網路:

Diagram that illustrates ExpressRoute providing hub-to-hub connectivity between multiple regions.

圖 5:ExpressRoute 提供多個區域之間的中樞對中樞連線。

  • 當您使用 ExpressRoute 線路進行跨區域連線時,不同區域中的輪輻會直接通訊並略過防火牆,因為它們會透過 BGP 路由學習到遠端中樞的輪輻。 如果您需要中樞虛擬網路中的防火牆 NVA 來檢查輪輻之間的流量,您必須實作下列其中一個選項:

  • 當您的組織需要跨兩個以上的 Azure 區域進行中樞和輪輻網路架構,以及跨 Azure 區域登陸區域虛擬網路之間的全域傳輸連線,而您想要將網路管理額外負荷降到最低時,我們建議以虛擬 WAN 為基礎的受控全域傳輸網路架構。

  • 將每個區域的中樞網路資源部署到不同的資源群組,並將其排序至每個已部署的區域。

  • 使用 Azure 虛擬網絡 Manager 來管理跨訂用帳戶全局虛擬網路的連線和安全性設定。

  • 使用 適用於網路的 Azure 監視器來監視 Azure 上網路的端對端狀態。

  • 當您將輪輻虛擬網路連線到中央中樞虛擬網路時,必須考慮下列兩 個限制

    • 每個虛擬網路的虛擬網路對等互連連線數目上限。
    • ExpressRoute 與私人對等互連從 Azure 公告到內部部署的前置詞數目上限。

    請確定連線到中樞虛擬網路的輪輻虛擬網路數目未超過這些限制。