共用方式為

虛擬 WAN 網路拓撲

探索 Microsoft Azure 中虛擬廣域網路(Virtual WAN)的主要設計考量和建議。

Diagram that illustrates a Virtual WAN network topology.說明虛擬 WAN 網路拓撲的圖表。

圖 1:虛擬 WAN 網路拓撲。 下載此架構的 Visio 檔案PDF 檔案

虛擬 WAN 網路設計考量

Azure 虛擬 WAN 是 Microsoft 受控的解決方案,預設會提供端對端、全域和動態轉送連線。 虛擬 WAN 中樞可免除手動設定網路連線的必要性。 例如,您不需要管理使用者定義的路由(UDR)或網路虛擬設備(NVA),即可啟用全域傳輸連線。

  • Azure 虛擬 WAN 藉由建立中樞和輪輻網路架構,簡化了 Azure 內端對端的網路連線以及從內部部署到 Azure 的連線。 此架構可輕鬆調整以支援多個 Azure 區域和內部部署位置(任何對任意連線),如下圖所示:

    Diagram that illustrates a global transit network with Virtual WAN.此圖說明具有虛擬 WAN 的全域傳輸網路。

圖 2:具有虛擬 WAN 的全球傳輸網絡。

  • Azure 虛擬 WAN 任意對任意可轉移連線支援下列路徑(在相同區域內和跨區域):

    • 虛擬網路至虛擬網路
    • 虛擬網路連接至分支機構
    • 分支至虛擬網路
    • 分支對分支

  • Azure 虛擬 WAN 中樞僅限於部署Microsoft受控資源。 您可以在 WAN 中樞內部署的唯一資源包括:

    • 虛擬網路網關(點對站 VPN、站對站 VPN 和 Azure ExpressRoute)
    • 使用防火牆管理員之 Azure 防火牆
    • 路由表
    • 廠商特定 SD-WAN 功能的一些網路虛擬裝置 (NVA)

  • 虛擬 WAN 受限於 Azure 訂用帳戶的虛擬 WAN 限制。

  • 網路到網路的遞移性連接(區域內和跨區域透過中樞到中樞)現已全面提供(GA)。

  • 每個虛擬中樞中的 Microsoft 管理路由功能使虛擬網路之間在標準虛擬 WAN 中的轉送連線成為可能。 每個中樞針對 VNet 對 VNet 流量支援最多 50 Gbps 的匯總輸送量。

  • 單一 Azure 虛擬 WAN 中樞支援跨所有直接連結 VNet 的特定 VM 工作負載數目上限。 如需更多的詳細資訊,請參閱 Azure 虛擬 WAN 限制

  • 您可以在相同區域中部署多個 Azure 虛擬 WAN 中樞,以調整超過單一中樞限制。

  • 虛擬 WAN 與各種 SD-WAN 提供者整合。

  • 許多托管服務提供者都為虛擬 WAN 提供 管理服務

  • 在虛擬 WAN 中,使用者 VPN(點對站)閘道可以擴展到每個虛擬中樞的 20 Gbps 匯總吞吐量及 100,000 個用戶端連線。 如需更多的詳細資訊,請參閱 Azure 虛擬 WAN 限制

  • 虛擬 WAN 中的站對站 VPN 閘道可擴展至 20 Gbps 的總體輸送量。

  • 您可以使用本機、標準或進階 SKU,將 ExpressRoute 線路連線到虛擬 WAN 中樞。

  • 針對同一城市的部署,請考慮 ExpressRoute Metro

  • ExpressRoute Standard 或 Premium 線路位於 Azure ExpressRoute Global Reach 支援的位置,可以連線到虛擬 WAN ExpressRoute 閘道。 而且它們具有所有虛擬 WAN 傳輸功能(VPN 對 VPN、VPN 和 ExpressRoute 傳輸)。 Global Reach 不支援之位置的 ExpressRoute 標準或進階線路可以連線到 Azure 資源,但無法使用虛擬 WAN 傳輸功能。

  • Azure 防火牆 管理員支援在虛擬 WAN 中樞部署 Azure 防火牆,稱為安全虛擬中樞。 如需詳細資訊,請參閱安全虛擬中樞的 Azure 防火牆管理員總覽和最新的限制因素

  • 當您啟用路由意圖和原則時,支援虛擬 WAN 中樞對中樞流量,該流量會透過 Azure 防火牆在來源中樞和目標中樞(安全虛擬中樞)中進行處理。 如需詳細資訊,請參閱 虛擬 WAN 中樞路由意圖和路由原則的使用案例。

  • 虛擬 WAN 入口網站體驗會要求所有虛擬 WAN 資源都會一起部署到相同的資源群組。

  • 您可以在單一Microsoft Entra 租使用者中,跨所有 VNet 共用 Azure DDoS 保護方案,以保護具有公用 IP 位址的資源。 如需詳細資訊,請參閱 Azure DDoS 保護

    • 虛擬 WAN 安全虛擬中樞不支援 Azure DDoS 標準保護方案。 如需詳細資訊,請參閱 Azure 防火牆管理已知問題中樞虛擬網路和安全虛擬中樞比較

    • Azure DDoS 保護方案只涵蓋具有公用IP地址的資源。

      • Azure DDoS 保護方案包含 100 個公用 IP 位址。 這些公用IP位址跨越所有與 DDoS 保護計劃相關聯的受保護 VNet。 除了方案隨附的 100 個以外,任何其他公用 IP 位址會另外收費。 如需了解有關 Azure DDoS 保護定價的更多資訊,請造訪定價頁面或常見問題。

    • 查看 Azure DDoS 保護方案支援的資源。

虛擬網路設計建議

針對在 Azure 中需要跨 Azure 區域與內部部署位置進行全域傳輸連線的新大型或全域網路部署,建議使用虛擬 WAN。 如此一來,您就不需要手動設定 Azure 網路的過渡路由。

下圖顯示全球企業部署範例,數據中心分散到歐洲和 美國。 部署包含這兩個區域內的多個分公司。 環境透過 Azure Virtual WAN 和 ExpressRoute Global Reach 全域連接。

範例網路拓撲的圖表。

圖 3:範例網路拓撲。

  • 使用每個 Azure 區域的虛擬 WAN 中樞,透過一般全域 Azure 虛擬 WAN,跨 Azure 區域將多個登陸區域連線在一起。

  • 將所有虛擬 WAN 資源部署到連線訂用帳戶中的單一資源群組,包括當您跨多個區域部署時。

  • 使用虛擬中樞路由功能進一步區隔虛擬網路與分支之間的流量。

  • 使用 ExpressRoute 將虛擬 WAN 中樞連線到內部部署資料中心。

  • 在專用輪輻虛擬網路中部署必要的共用服務,例如 DNS 伺服器。 客戶部署的共用資源無法部署在虛擬 WAN 中樞本身內。

  • 透過站對站 VPN 將分支和遠端位置連線到最接近的虛擬 WAN 中樞,或透過 SD-WAN 合作夥伴解決方案啟用虛擬 WAN 的分支連線。

  • 透過點對站 VPN 將用戶連線到虛擬 WAN 中樞。

  • 遵循「Azure 中的流量會留在 Azure」的原則,讓 Azure 中的資源之間的通訊會透過Microsoft骨幹網路進行,即使資源位於不同區域也一樣。

  • 針對因特網輸出保護和篩選,請考慮在虛擬中樞中部署 Azure 防火牆。

  • NVA 防火牆所提供的安全性。 客戶也可以將 NVA 部署至執行 SD-WAN 連線能力和新一代防火牆功能的虛擬 WAN 中樞。 客戶可以將內部部署設備連線至中樞內的 NVA,並使用相同的設備來檢查全部北-南、東-西和網際網路繫結流量。

  • 當您部署合作夥伴網路技術和 NVA 時,請遵循合作夥伴廠商的指引,以確保 Azure 網路沒有衝突的設定。

  • 如需從中樞和輪輻網路拓撲移轉的布朗菲爾德案例,而不是以虛擬WAN 為基礎,請參閱 移轉至 Azure 虛擬 WAN

  • 在連線訂用帳戶內建立 Azure 虛擬 WAN 並 Azure 防火牆 資源。

  • 使用 虛擬 WAN 中樞路由意圖和路由原則 來支援在安全中樞之間傳送的流量。

  • 不要為每個虛擬 WAN 虛擬中樞建立超過 500 個虛擬網路連線。

    • 如果您在單個虛擬 WAN 中樞中需要超過 500 個虛擬網路連線,您可以部署另一個虛擬 WAN 中樞。 將其部署在相同虛擬 WAN 和資源群組的相同區域中。

  • 請仔細規劃您的部署,並確定您的網路架構位於 Azure 虛擬 WAN 限制

  • 使用 Azure Monitor 中的洞察功能(預覽),監視虛擬 WAN 的端到端拓撲、狀態,以及 主要指標

  • 在連線訂用帳戶中部署單一 Azure DDoS 標準保護方案。

    • 所有登陸區域和平臺 VNet 都應該使用此方案。