全域傳輸網路架構和虛擬 WAN
現代企業需要跨雲端和內部部署的超分散式應用程式、數據和用戶之間無處不在的連線。 企業正採用全球傳輸網路架構,以合併、連線和控制以雲端為中心的現代化全球企業 IT 使用量。
全域傳輸網路架構是以傳統中樞和輪輻連線模型為基礎,其中雲端裝載的網路「中樞」可在可分散於不同「輪輻」類型的端點之間進行可轉移的連線。
在此模型中,輪輻可以是:
- 虛擬網路 (VNet)
- 實體分支網站
- 遠端使用者
- 網際網路
圖 1:全域傳輸中樞和輪輻網路
圖 1 顯示全域傳輸網路的邏輯檢視,其中地理位置分散的使用者、實體網站和 VNet 會透過裝載於雲端的網路中樞進行互連。 此架構可啟用網路端點之間的邏輯單躍點傳輸連線。
具有虛擬 WAN 的全域傳輸網路
Azure 虛擬 WAN 是 Microsoft 管理的雲端網路服務。 此服務所組成的所有網路元件都是由 Microsoft 裝載和管理。 如需虛擬 WAN 的詳細資訊,請參閱 虛擬 WAN 概觀 一文。
Azure 虛擬 WAN 允許全域傳輸網路架構,方法是在 VNet、分支月臺、SaaS 和 PaaS 應用程式和使用者中,啟用全球分散式雲端工作負載集之間的任意對任意連線。
圖 2:全域傳輸網路和虛擬 WAN
在 Azure 虛擬 WAN 架構中,虛擬 WAN 中樞會布建在 Azure 區域中,您可以選擇連線分支、VNet 和遠端使用者。 實體分支網站會透過 進階版 或標準 ExpressRoute 或站對站 VPN 連線至中樞、VNet 連線至中樞的 VNet 連線,而遠端使用者可以使用使用者 VPN 直接連線到中樞(點對站 VPN)。 虛擬 WAN 也支援跨區域 VNet 連線,其中一個區域中的 VNet 可以連線到不同區域中的虛擬 WAN 中樞。
您可以在區域中建立具有最大輪輻數目的單一虛擬 WAN 中樞來建立虛擬 WAN,然後將位於其他地區的支點連線到中樞。 當企業使用量大多位於一個具有一些遠端輪輻的區域時,這是一個不錯的選擇。
中樞對中樞連線能力
企業雲端使用量可以跨越多個雲端區域,而且從最接近其實體網站和用戶的區域存取雲端是最佳(延遲的)。 全域傳輸網路架構的主要原則之一是在所有雲端與內部部署網路端點之間啟用跨區域連線。 這表示,從聯機到某個區域中雲端之分支的流量,可以使用 Azure 全域網路所啟用的中樞對中樞連線能力,連線到不同區域中的另一個分支或 VNet。
圖 3:虛擬 WAN 跨區域連線
在單一虛擬 WAN 中啟用多個中樞時,中樞會自動透過中樞對中樞鏈接進行互連,從而在分散於多個區域的分支與 Vnet 之間啟用全域連線。
此外,屬於相同虛擬 WAN 一部分的中樞可以與不同的區域存取和安全策略相關聯。 如需詳細資訊,請參閱 本文稍後的安全性和原則控制 。
任意對任意連線
全域傳輸網路架構可透過虛擬 WAN 中樞啟用任意對任意連線。 此架構可消除或減少輪輻之間完整網格或部分網格連線的需求,這些輪輻建置和維護更為複雜。 此外,中樞與輪輻與網格網路中的路由控制更容易設定和維護。
任何對任意連線能力(在全域架構的內容中)可讓具有全域散發使用者、分支、數據中心、VNet 和應用程式的企業透過「傳輸」中樞彼此連線。 Azure 虛擬 WAN 可作為全域傳輸系統。
圖 4:虛擬 WAN 流量路徑
Azure 虛擬 WAN 支援下列全域傳輸連線路徑。 括弧中的字母會對應至圖 4。
- 分支對 VNet (a)
- 分支對分支 (b)
- ExpressRoute Global Reach 和 Virtual WAN
- 遠端使用者對 VNet (c)
- 遠端使用者對分支 (d)
- VNet 對 VNet (e)
- Branch-to-hub-to-Branch (f)
- Branch-to-hub-hub-to-VNet (g)
- VNet 對 hub-hub-to-VNet (h)
分支對 VNet (a) 和分支對 VNet 跨區域 (g)
分支對 VNet 是 Azure 虛擬 WAN 支援的主要路徑。 此路徑可讓您將分支連線到部署在 Azure VNet 中的 Azure IAAS 企業工作負載。 分支可以透過 ExpressRoute 或站對站 VPN 連線到虛擬 WAN。 流量會透過 VNet 連線 連線到虛擬 WAN 中樞的 VNet 傳輸。 虛擬 WAN 不需要明確 閘道傳輸 ,因為虛擬 WAN 會自動啟用閘道傳輸至分支月臺。 請參閱 虛擬 WAN 合作夥伴 文章,瞭解如何將 SD-WAN CPE 連線至虛擬 WAN。
ExpressRoute Global Reach 和 Virtual WAN
ExpressRoute 是私人且富彈性的方式,可將內部部署網路連線至 Microsoft 雲端。 虛擬 WAN 支援 Express Route 線路連線。 下列 ExpressRoute 線路 SKU 可以連線至虛擬 WAN:本機、標準和 進階版。
使用 Azure 虛擬 WAN 時,有兩個選項可啟用 ExpressRoute 到 ExpressRoute 傳輸連線:
您可以在 ExpressRoute 線路上啟用 ExpressRoute Global Reach,以啟用 ExpressRoute 到 ExpressRoute 傳輸連線。 Global Reach 是 ExpressRoute 附加元件功能,可讓您將不同對等互連位置中的 ExpressRoute 線路連結在一起,以建立專用網。 ExpressRoute 到 ExpressRoute 與 Global Reach 附加元件之間的線路之間的傳輸連線,將不會傳輸虛擬 WAN 中樞,因為 Global Reach 可透過全域骨幹啟用更理想的路徑。
您可以使用路由意圖功能搭配私人流量路由原則,透過部署在虛擬WAN 中樞的安全性設備啟用 ExpressRoute 傳輸連線。 此選項不需要 Global Reach。 如需詳細資訊,請參閱路由意圖檔中的 ExpressRoute 一節 。
分支對分支 (b) 和分支對分支跨區域 (f)
分支可以使用 ExpressRoute 線路和/或站對站 VPN 連線來連線到 Azure 虛擬 WAN 中樞。 您可以將分支連線到位於最接近分支之區域中的虛擬 WAN 中樞。
此選項可讓企業利用 Azure 骨幹來連線分支。 不過,即使這項功能可供使用,您也應該權衡透過 Azure 虛擬 WAN 連線分支與使用私人 WAN 的優點。
注意
在虛擬 WAN 中停用分支對分支 連線 性 - 虛擬 WAN 可以設定為停用分支對分支連線。 此設定會封鎖 VPN (S2S 和 P2S) 與 Express Route 連線網站之間的路由傳播。 此設定不會影響分支對 Vnet 和 Vnet 對 Vnet 路由傳播和連線。 若要使用 Azure 入口網站設定此設定:在 [虛擬 WAN 組態] 選單下,選擇 [設定:分支對分支 - 已停用]。
遠端使用者對 VNet (c)
您可以使用從遠端使用者用戶端到虛擬 WAN 的點對站連線,啟用對 Azure 的直接、安全的遠端存取。 企業遠端使用者不再需要使用公司 VPN 將釘選到雲端。
遠端使用者對分支 (d)
遠端使用者對分支路徑可讓使用點對站連線至 Azure 的遠端使用者透過雲端傳輸來存取內部部署工作負載和應用程式。 此路徑可讓遠端用戶彈性地存取部署在 Azure 和內部部署中的工作負載。 企業可以在 Azure 虛擬 WAN 中啟用中央雲端式安全遠端訪問服務。
VNet 對 VNet 傳輸 (e) 和 VNet 對 VNet 跨區域 (h)
VNet 對 VNet 傳輸可讓 VNet 彼此連線,以便互連跨多個 VNet 實作的多層式應用程式。 您可以選擇性地透過 VNet 對等互連將 VNet 彼此連線,這可能適用於不需要透過 VWAN 中樞傳輸的一些案例。
強制通道和預設路由
在虛擬 WAN 中設定啟用預設路由、ExpressRoute 或 虛擬網絡 連線,即可啟用強制通道。
如果連線上已啟用預設旗標,虛擬中樞會將學習的預設路由傳播至虛擬網路/站對站 VPN/ExpressRoute 連線。
當使用者編輯虛擬網路連線、VPN 連線或 ExpressRoute 連線時,會顯示此旗標。 根據預設,當月臺或 ExpressRoute 線路連線到中樞時,會停用此旗標。 新增虛擬網路連線以將 VNet 連線至虛擬中樞時,預設會啟用它。 默認路由不是源自虛擬 WAN 中樞;如果虛擬 WAN 中樞因為在中樞部署防火牆而學習到預設路由,或另一個連線的網站已啟用強制通道,則會傳播預設路由。
安全性和原則控制
Azure 虛擬 WAN 中樞會將混合式網路的所有網路端點互連,並可能會看到所有傳輸網路流量。 虛擬 WAN 中樞可以藉由在中樞內部署連線安全性解決方案,以轉換為安全虛擬中樞。 您可以部署 Azure 防火牆,選取虛擬 WAN 中樞內的新一代防火牆網路虛擬設備或安全性軟體即服務 (SaaS),以啟用雲端式安全性、存取和原則控制。 您可以使用虛擬中樞路由意圖,設定虛擬 WAN 將流量路由傳送至中樞的安全性解決方案。
虛擬 WAN 中樞中的 Azure 防火牆 協調流程可由 Azure 防火牆 管理員執行。 Azure 防火牆 管理員提供管理及調整全球傳輸網路安全性的功能。 Azure 防火牆 管理員提供透過第三方以及 Azure 防火牆 集中管理路由、全域原則管理、進階因特網安全性服務的能力。
如需在虛擬 WAN 中樞中部署及協調新一代防火牆網路虛擬設備的詳細資訊,請參閱 虛擬中樞中的整合式網路虛擬設備。 如需可在虛擬 WAN 中樞部署之 SaaS 安全性解決方案的詳細資訊,請參閱 軟體即服務。
圖 5:具有 Azure 防火牆 的安全虛擬中樞
虛擬 WAN 支援下列全域安全傳輸連線路徑。 雖然本節中的圖表和流量模式描述 Azure 防火牆 使用案例,但中樞部署的網路虛擬設備和 SaaS 安全性解決方案也支援相同的流量模式。 括弧中的字母會對應至圖 5。
- 分支對 VNet 安全傳輸 (c)
- 路由意圖支援 跨虛擬中樞的分支對 VNet 安全傳輸
- VNet 對 VNet 安全傳輸 (e)
- 路由意圖支援 跨虛擬中樞的 VNet 對 VNet 安全傳輸
- 路由意圖支援的 分支對分支安全傳輸 (b)
- 路由意圖支援 跨虛擬中樞的分支對分支安全傳輸
- VNet 對因特網或第三方安全性服務 (i)
- 分支對因特網或第三方安全性服務 (j)
VNet 對 VNet 安全傳輸 (e), VNet 對 VNet 安全傳輸跨區域(h)
VNet 對 VNet 安全傳輸可讓 VNet 透過部署在虛擬 WAN 中樞的安全性設備(Azure 防火牆,選取 NVA 和 SaaS)彼此連線。
VNet 對因特網或第三方安全性服務 (i)
VNet 對因特網可讓 VNet 透過虛擬 WAN 中樞的安全性設備(Azure 防火牆,選取 NVA 和 SaaS)連線到因特網。 透過支援的第三方安全性服務的流量不會流經安全性設備,且會直接路由傳送至第三方安全性服務。 您可以使用 Azure 防火牆 Manager,透過支援的第三方安全性服務設定 Vnet 對因特網路徑。
分支對因特網或第三方安全性服務 (j)
分支對因特網可讓分支透過虛擬 WAN 中樞中的 Azure 防火牆 連線到因特網。 透過支援的第三方安全性服務的流量不會流經安全性設備,且會直接路由傳送至第三方安全性服務。 您可以使用 Azure 防火牆 Manager,透過支援的第三方安全性服務設定分支對因特網路徑。
分支對分支安全傳輸、分支對分支安全傳輸跨區域 (b), (f)
分支可以使用 ExpressRoute 線路和/或站對站 VPN 連線,連線到具有 Azure 防火牆 的安全虛擬中樞。 您可以將分支連線到位於最接近分支之區域中的虛擬 WAN 中樞。 在虛擬 WAN 中樞上設定路由意圖,可讓安全性設備 (Azure 防火牆,選取部署在虛擬 WAN 中樞的 NVA 和 SaaS)進行分支對分支對分支之間的中樞/區域間檢查。
此選項可讓企業利用 Azure 骨幹來連線分支。 不過,即使這項功能可供使用,您也應該權衡透過 Azure 虛擬 WAN 連線分支與使用私人 WAN 的優點。
分支對 VNet 安全傳輸 (c), 分支對 VNet 安全傳輸跨區域 (g)
分支對 VNet 安全傳輸可讓分支與虛擬 WAN 中樞位於相同區域中的虛擬網路以及另一個虛擬網路連線至另一個區域中的另一個虛擬 WAN 中樞進行通訊(僅支援 路由意圖的中樞間流量檢查)。
如何? 在安全的虛擬中樞中啟用預設路由 (0.0.0.0.0/0)
Azure 防火牆 部署在虛擬 WAN 中樞(安全虛擬中樞)中,可以針對所有分支(透過 VPN 或 Express Route 連線)、輪輻 Vnet 和使用者(透過 P2S VPN 連線)設定為因特網或受信任的安全性提供者的預設路由器。 此設定必須使用 Azure 防火牆 Manager 來完成。 請參閱將流量路由傳送至中樞,以設定從分支(包括使用者)以及 Vnet 到因特網的所有流量,透過 Azure 防火牆。
這是兩個步驟組態:
使用 [安全虛擬中樞路由設定] 功能表設定因特網流量路由。 設定可透過防火牆將流量傳送至因特網的 Vnet 和分支。
設定哪些 連線(Vnet 和 Branch)可以透過中樞或受信任安全性提供者中的 Azure FW,將流量路由傳送至因特網(0.0.0.0/0)。 此步驟可確保預設路由會透過 連線 傳播至連結至虛擬 WAN 中樞的選取分支和 Vnet。
強制將流量傳送至安全虛擬中樞的內部部署防火牆
如果虛擬中樞已從其中一個分支(VPN 或 ER 網站)學習到預設路由(透過 BGP),則會由從 Azure 防火牆 Manager 設定學習的預設路由覆寫此預設路由。 在此情況下,所有從 Vnet 和目的地為因特網的分支進入中樞的流量,都會路由傳送至 Azure 防火牆 或受信任的安全性提供者。
注意
目前沒有選項可針對源自 Vnet、分支或使用者的因特網系結流量選取內部部署防火牆或 Azure 防火牆(和信任的安全性提供者)。 從 Azure 防火牆 Manager 設定學習的預設路由一律優先於從其中一個分支學習的預設路由。
下一步
使用虛擬 WAN 建立連線,並在 VWAN 中樞中部署 Azure 防火牆。