你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何在 Azure 登陆区域中设计和实现 Azure 虚拟 WAN 网络拓扑。 Azure 虚拟 WAN 是一种Microsoft托管的网络服务,可在 Azure 区域和本地环境中提供全局、动态和可传递的连接。 本指南非常重要,因为它简化了连接,减少了作复杂性,并为企业级部署启用可缩放的体系结构。
图1:虚拟 WAN 网络拓扑。 下载此体系结构的 Visio 文件 或 PDF 文件 。
创建中心辐射型网络体系结构
Azure 虚拟 WAN通过创建中心辐射型网络体系结构,简化了 Azure 中的端到端网络连接,以及从本地到 Azure 的连接。 体系结构可以轻松缩放以支持多个 Azure 区域和本地位置(任意到任意连接),如下图所示:
关系图显示使用虚拟 WAN 的全局传输网络。
使用 Azure 虚拟 WAN 的全局传输网络示意图。 它显示了两个区域:区域 1 和区域 2,每个区域包含连接到虚拟 WAN 中心的多个 VNet。 中心通过中心到中心连接进行链接,以便进行区域间通信。 在每个中心下方,图标表示分支机构和连接终结点,包括 ExpressRoute 和用户设备。 布局强调区域内 VNet 的集中式中心连接,以及区域之间的全局传输。
图 2:使用虚拟 WAN 的全局传输网络。
Azure 虚拟 WAN 任意到任何可传递连接支持同一区域和跨区域以下路径:
- 虚拟网络到虚拟网络
- 虚拟网络到分支
- 分支到虚拟网络
- 分支到分支
约束: 虚拟 WAN 中心仅支持Microsoft托管的资源,例如:
- 虚拟网络网关(点到站点 VPN、站点到站点 VPN 和 Azure ExpressRoute)
- 通过防火墙管理器Azure 防火墙
- 路由表
- 某些特定于供应商的 SD-WAN 功能的网络虚拟设备 (NVA)
规划虚拟 WAN 部署
每个 Azure 区域使用一个或多个虚拟 WAN 中心。 每个 Azure 区域使用虚拟 WAN 中心。 目标是通过通用的全球 Azure 虚拟 WAN 跨 Azure 区域将多个应用程序登陆区域连接在一起。 虚拟 WAN 受 Azure 订阅限制的约束。 可以在同一区域中部署多个 Azure 虚拟 WAN中心,以超出单个中心限制。
使用连接订阅。 将所有虚拟 WAN 资源、Azure 防火墙和 Azure DDoS 标准保护计划放在 Azure 登陆区域的连接订阅中。
使用 Azure DDoS 防护。 在连接订阅中创建单个 Azure DDoS 网络保护计划。 所有应用程序登陆区域虚拟网络和平台虚拟网络都应使用此计划。 可以在单个Microsoft Entra 租户中跨所有虚拟网络共享 Azure DDoS 网络保护计划,以保护具有公共 IP 地址的资源。 请参阅 Azure DDoS 防护。 Azure DDoS 网络保护计划包括 100 个公共 IP 地址的保护。 这些公共 IP 地址跨越与 DDoS 保护计划关联的所有受保护虚拟网络。 除初始 100 之外的任何其他公共 IP 地址单独收费。 有关 Azure DDoS 网络保护计划定价的详细信息,请参阅 Azure DDoS 防护定价页 或 常见问题解答。 查看 Azure DDoS 防护计划支持的资源。 Azure DDoS 防护计划可抵御第 3 层和第 4 层(网络层和传输层)的攻击。 对于第 7 层(应用程序层)(例如基于 HTTP 的威胁)的保护,请考虑部署 Azure Web 应用程序防火墙(WAF)。
使用单个资源组。 虚拟 WAN门户体验要求所有虚拟 WAN资源一起部署到同一资源组中。 在连接订阅中的同一资源组中部署所有虚拟 WAN 资源。 此结构简化了部署和生命周期管理。
部署所需的共享服务。 在专用分支虚拟网络中部署所需的共享服务,例如 DNS 服务器。 客户部署的共享资源不能部署在虚拟 WAN 中心本身内。
规划订阅限制和可伸缩性。 仔细规划部署,并确保网络体系结构在 Azure 虚拟 WAN 限制范围内。 如果需要比单个虚拟 WAN 限制更多的虚拟网络连接,请部署另一个虚拟 WAN 虚拟中心。 将其部署在同一区域,作为同一虚拟 WAN和资源组的一部分。
连接内部场所和分支机构
使用 ExpressRoute。 可以使用本地、标准或高级 SKU 将 ExpressRoute 线路连接到虚拟 WAN中心。 对于同一城市的部署,请考虑 ExpressRoute Metro。 ExpressRoute Standard 或高级线路(在 ExpressRoute Global Reach 支持的位置)可以连接到虚拟 WAN ExpressRoute 网关。 它们具有所有虚拟 WAN 传输功能(VPN 到 VPN、VPN 和 ExpressRoute 传输)。 Global Reach 不支持的位置的 ExpressRoute 标准版或高级线路可以连接到 Azure 资源,但无法使用虚拟 WAN 传输功能。
示例网络拓扑的示意图
连接两个区域的 Azure 虚拟 WAN 拓扑示意图:美国和 EMEA。 每个区域都有一个通过 ExpressRoute 连接到虚拟 WAN 中心的总部。 中心枢纽通过 ExpressRoute Global Reach 链接。 在每个中心下,将显示多个 VNet 和分支机构。 美国方面包括两个 WAN 中心、VNet 和分支机构,而 EMEA 端则通过自己的中心、VNet 和分支机构镜像此结构。
图 3:示例网络拓扑。
连接分支和远程站点。 通过站点到站点 VPN 将分支和远程位置连接到最近的虚拟 WAN 中心,或通过 SD-WAN 合作伙伴解决方案启用与虚拟 WAN 的分支连接。 虚拟 WAN 与各种 SD-WAN 提供商集成。 许多托管服务提供商为虚拟 WAN 提供托管服务。
连接各个用户。 通过点到站点 VPN 将用户连接到虚拟 WAN 中心。 点到站点 VPN 为需要从各种位置连接的用户提供安全的远程访问。
配置路由和流量分段
配置 虚拟中心路由 以分段 VNet 和分支之间的流量。 使用虚拟 WAN 中心路由功能来控制 VNet 和分支之间的流量流。 创建自定义路由表以强制实施安全性和符合性要求。 确保所有 Azure 流量都保留在Microsoft主干网络上,以获得最佳性能。 对于 Internet 绑定流量,请通过 Azure 防火墙配置出站筛选。
实现安全控制
考虑网络虚拟设备(NVA)。 可以将 NVA 防火墙 部署到执行 SD-WAN 连接和下一代防火墙功能的虚拟 WAN 中心。 可以将本地设备连接到中心内的 NVA,并使用同一设备检查所有南北向、东西向和 Internet 出站流量。 在部署合作伙伴网络技术和 NVA 时,请遵循合作伙伴供应商的指导,以确保没有与 Azure 网络冲突的配置。
请考虑安全的虚拟中心。 安全虚拟中心是一个 Azure 虚拟 WAN 中心,其中包含由 Azure 防火墙管理器配置的关联安全性和路由策略。 在部署之前查看最新 约束 。 启用路由意向和策略时,支持在源中心和目标中心(安全虚拟中心)中Azure 防火墙虚拟 WAN中心到中心流量。 使用虚拟 WAN中心路由意向和路由策略来支持安全中心之间的流量。 虚拟 WAN 保护的虚拟中心不支持 Azure DDoS 标准保护计划。 有关详细信息,请参阅 Azure DDoS 防护、Azure 防火墙管理器已知问题和中心虚拟网络和安全虚拟中心比较。
管理和监视部署
配置 Azure Monitor 分析以监视 Virtual WAN 的端到端拓扑。 Azure Monitor for Virtual WAN 中的见解 提供网络状态、连接运行状况和 关键指标 的可见性,以便进行主动管理。 配置关键阈值的警报,以便在影响用户之前检测和响应问题。
迁移现有的中心辐射型拓扑
对于从不基于虚拟 WAN 的中心分支型网络拓扑迁移的棕地方案,请参阅迁移到 Azure 虚拟 WAN。