Architektura globalnej sieci tranzytowej i usługa Virtual WAN

Artykuł
2025-04-02

Nowoczesne przedsiębiorstwa wymagają wszechobecnej łączności między aplikacjami, danymi i użytkownikami w chmurze i lokalnie. Globalna architektura sieci tranzytowej jest wdrażana przez przedsiębiorstwa w celu konsolidacji, łączenia i kontrolowania chmurowo-centrycznego, nowoczesnego, globalnego profilu IT przedsiębiorstwa.

Globalna architektura sieci tranzytowej jest oparta na klasycznym modelu łączności piasty i szprych, w którym sieć hostowana w chmurze "hub" umożliwia przechodnią łączność między punktami końcowymi, które mogą być dystrybuowane między różnymi typami "szprych".

W tym modelu szprycha może być następująca:

Sieć wirtualna (Sieci VN)
Lokacja gałęzi fizycznej
Użytkownik zdalny
Internet

#B0 #A1 #A2 #A3 Diagram piasty i szprychy. #A4 #A5 #A6 #C7

#B0 Rysunek 1: Globalna sieć tranzytowa typu hub-and-spoke #C1

Rysunek 1 przedstawia logiczny widok globalnej sieci tranzytowej, w której geograficznie dystrybuowani użytkownicy, lokacje fizyczne i sieci wirtualne są połączone za pośrednictwem koncentratora sieciowego hostowanego w chmurze. Ta architektura umożliwia logiczną łączność tranzytową z jednym przeskoku między punktami końcowymi sieci.

Globalna sieć tranzytowa z usługą Virtual WAN

Azure Virtual WAN to zarządzana przez firmę Microsoft usługa sieciowa w chmurze. Wszystkie składniki sieciowe, z których składa się ta usługa, są hostowane i zarządzane przez firmę Microsoft. Aby uzyskać więcej informacji na temat usługi Virtual WAN, zobacz artykuł Przegląd Virtual WAN.

Usługa Azure Virtual WAN umożliwia globalną architekturę sieci tranzytowej, umożliwiając wszechobecną łączność między globalnie rozproszonymi zestawami obciążeń w chmurze w sieciach wirtualnych, lokacjach oddziałów, aplikacjach SaaS i PaaS oraz użytkownikach.

#B0 #A1 #A2 #A3 Diagram globalnego przesyłania sieci za pomocą usługi Virtual WAN. #A4 #A5 #A6 #C7

Rysunek 2: Globalna sieć tranzytowa i Virtual WAN

W architekturze Azure Virtual WAN, koncentratory wirtualnej sieci WAN są wdrażane w regionach Azure, do których można podłączyć oddziały, sieci wirtualne oraz użytkowników zdalnych. Fizyczne oddziały są połączone z centrum za pomocą usługi Premium lub Standard ExpressRoute albo sieci VPN typu site-to-site, VNets są połączone z centrum przez połączenia VNet, a użytkownicy zdalni mogą bezpośrednio łączyć się z centrum przy użyciu VPN użytkownika (VPN typu point-to-site). Usługa Virtual WAN obsługuje również połączenie między regionami sieci wirtualnej, w których sieć wirtualna w jednym regionie może być połączona z koncentratorem wirtualnej sieci WAN w innym regionie.

Wirtualną sieć WAN można ustanowić, tworząc pojedyncze wirtualne centrum sieci WAN w regionie o największej liczbie gałęzi (oddziałów, sieci wirtualnych, użytkowników), a następnie łącząc gałęzie, które znajdują się w innych regionach z centrum. Jest to dobra opcja, gdy działalność przedsiębiorstwa jest skoncentrowana głównie w jednym regionie z kilkoma zdalnymi jednostkami.

Łączność między koncentratorami

Ślad chmury przedsiębiorstwa może obejmować wiele regionów chmury i jest optymalne pod względem opóźnienia, aby uzyskiwać dostęp do chmury z regionu położonego najbliżej ich lokalizacji fizycznej i użytkowników. Jedną z kluczowych zasad globalnej architektury sieci tranzytowej jest umożliwienie łączności między wszystkimi punktami końcowymi sieci w chmurze i lokalnymi. Oznacza to, że ruch z oddziału połączonego z chmurą w jednym regionie może dotrzeć do innego oddziału lub sieci wirtualnej w innym regionie przy użyciu łączności koncentrator-do-koncentratora, umożliwionej przez Azure Global Network.

#B0 #A1 #A2 #A3 Diagram przekroju regionów. #A4 #A5 #A6 #C7

Rysunek 3: Łączność między regionami Virtual WAN

Po włączeniu wielu koncentratorów w jednej wirtualnej sieci WAN, koncentratory są automatycznie połączone za pomocą łączy między koncentratorami, co umożliwia globalną łączność między oddziałami i sieciami wirtualnymi, które są rozproszone w różnych regionach.

Ponadto koncentratory, które są częścią tej samej wirtualnej sieci WAN, mogą być skojarzone z różnymi regionalnymi zasadami dostępu i zabezpieczeń. Aby uzyskać więcej informacji, zobacz Zabezpieczenia i kontrola zasad w dalszej części tego artykułu.

Łączność typu dowolna-dowolna

Globalna architektura sieci tranzytowej umożliwia łączność typu dowolna-dowolna za pośrednictwem wirtualnych węzłów sieci WAN. Ta architektura eliminuje lub zmniejsza potrzebę pełnej lub częściowej łączności typu 'mesh' między węzłami, które są bardziej złożone do budowania i utrzymywania. Ponadto sterowanie routingiem w sieciach piasty i szprych i siatki jest łatwiejsze do konfigurowania i konserwacji.

Łączność dowolna-dowolna (w kontekście architektury globalnej) umożliwia przedsiębiorstwu z globalnie rozproszonymi użytkownikami, oddziałami, centrami danych, sieciami wirtualnymi i aplikacjami łączenie się ze sobą za pośrednictwem koncentratorów tranzytowych. Usługa Azure Virtual WAN działa jako globalny system tranzytowy.

#B0 #A1 #A2 #A3 Diagram dowolny do dowolnego. #A4 #A5 #A6 #C7

Rysunek 4: Ścieżki ruchu wirtualnej sieci WAN

Usługa Azure Virtual WAN obsługuje następujące globalne ścieżki łączności tranzytowej. Litery w nawiasach mapują do Rysunku 4.

Odgałęzienie do VNet (a)
Z oddziału do oddziału (b)
Usługa ExpressRoute Global Reach i wirtualna sieć WAN
Połączenie zdalnego użytkownika z siecią wirtualną (c)
Zdalny użytkownik do oddziału (d)
Połączenie VNet do VNet (e)
Odgałęzienie do centrum-koncentratora do gałęzi (f)
Odgałęzienie do huba, hub do sieci VNet
Sieć wirtualna do koncentratora do sieci wirtualnej (h)

Połączenie oddziału z siecią wirtualną (a) i połączenie oddziału z siecią wirtualną między regionami (g)

Połączenie typu Branch-to-VNet jest podstawową trasą obsługiwaną przez Azure Virtual WAN. Ta ścieżka umożliwia łączenie gałęzi z obciążeniami przedsiębiorstwa Azure IaaS wdrożonymi w Azure VNets. Gałęzie można połączyć z wirtualną siecią WAN za pośrednictwem usługi ExpressRoute lub sieci VPN typu lokacja-lokacja. Ruch przechodzi do sieci wirtualnych połączonych z węzłami wirtualnej sieci WAN za pośrednictwem połączeń VNet. Jawny tranzyt bramy nie jest wymagany dla usługi Virtual WAN, ponieważ usługa Virtual WAN automatycznie włącza tranzyt bramy do lokalizacji oddziału. Zobacz artykuł Virtual WAN Partners (Partnerzy usługi Virtual WAN ) dotyczący łączenia SD-WAN CPE z wirtualną siecią WAN.

Usługa ExpressRoute Global Reach i wirtualna sieć WAN

Usługa ExpressRoute to prywatny i odporny sposób łączenia sieci lokalnych z chmurą firmy Microsoft. Usługa Virtual WAN obsługuje połączenia za pomocą obwodów ExpressRoute. Następujące typy SKU obwodu ExpressRoute można połączyć z siecią Virtual WAN: Lokalny, Standardowy i Premium.

Istnieją dwie opcje włączania łączności tranzytowej usługi ExpressRoute z usługą ExpressRoute podczas korzystania z usługi Azure Virtual WAN:

Możesz włączyć łączność tranzytową między obwodami ExpressRoute, aktywując usługę ExpressRoute Global Reach w swoich obwodach ExpressRoute. Global Reach to funkcja dodatku ExpressRoute, która umożliwia łączenie obwodów usługi ExpressRoute w różnych węzłach wymiany danych w celu utworzenia sieci prywatnej. Łącze tranzytowe ExpressRoute do ExpressRoute między obwodami z dodatkiem Global Reach nie będzie przebiegać przez koncentrator usługi Virtual WAN, ponieważ usługa Global Reach umożliwia bardziej optymalną trasę w globalnej sieci szkieletowej.
Możesz użyć funkcjonalności Routing Intent z zasadami routingu ruchu prywatnego, aby włączyć łączność tranzytową usługi ExpressRoute za pośrednictwem aparatu bezpieczeństwa wdrożonego w usłudze Virtual WAN Hub. Ta opcja nie wymaga dostępu globalnego. Aby uzyskać więcej informacji, zobacz sekcję ExpressRoute w dokumentacji dotyczącej zamiaru routingu.

Oddział do oddziału (b) i międzyregionalne połączenie między oddziałami (f)

Gałęzie można połączyć z węzłem wirtualnego WAN Azure przy użyciu obwodów usługi ExpressRoute i/lub połączeń sieci VPN typu lokacja-lokacja. Możesz połączyć gałęzie z koncentratorem wirtualnej sieci WAN znajdującym się w regionie znajdującym się najbliżej gałęzi.

Ta opcja umożliwia przedsiębiorstwom wykorzystanie sieci szkieletowej platformy Azure do łączenia gałęzi. Jednak mimo że ta funkcja jest dostępna, należy rozważyć korzyści wynikające z łączenia gałęzi za pośrednictwem usługi Azure Virtual WAN w porównaniu z użyciem prywatnej sieci WAN.

Uwaga

Wyłączenie łączności między oddziałami w usłudze Virtual WAN — wirtualna sieć WAN można skonfigurować tak, aby wyłączyć łączność między oddziałami. Ta konfiguracja zablokuje propagację tras między sieciami VPN (S2S i P2S) i połączonymi lokacjami usługi Express Route. Ta konfiguracja nie będzie mieć wpływu na propagację tras i łączność między oddziałem a siecią wirtualną oraz między sieciami wirtualnymi. Aby skonfigurować to ustawienie przy użyciu witryny Azure Portal: w menu Konfiguracja usługi Virtual WAN wybierz ustawienie: Gałąź do gałęzi — Wyłączone.

Zdalny użytkownik-sieć wirtualna (c)

Bezpośredni, bezpieczny dostęp zdalny do platformy Azure można włączyć przy użyciu połączenia punkt-lokacja z klienta użytkownika zdalnego do wirtualnej sieci WAN. Użytkownicy zdalni przedsiębiorstwa nie muszą już przypinać włosów do chmury przy użyciu firmowej sieci VPN.

Zdalny dostęp użytkownika do oddziału (d)

Ścieżka użytkownika zdalnego do gałęzi umożliwia zdalnym użytkownikom korzystającym z połączenia punkt-do-sieci z platformą Azure dostęp do lokalnych obciążeń i aplikacji poprzez tranzyt przez chmurę. Ta ścieżka zapewnia użytkownikom zdalnym elastyczność dostępu do obciążeń wdrożonych zarówno na platformie Azure, jak i w środowisku lokalnym. Przedsiębiorstwa mogą włączyć centralną usługę bezpiecznego dostępu zdalnego opartą na chmurze w usłudze Azure Virtual WAN.

Tranzyt między sieciami wirtualnymi (e) i łączenie między regionami sieci wirtualnych (h)

Tranzyt między sieciami wirtualnymi umożliwia sieciom wirtualnym łączenie się ze sobą w celu połączenia aplikacji wielowarstwowych wdrożonych w wielu sieciach wirtualnych. Opcjonalnie, możesz połączyć sieci wirtualne za pomocą peeringu sieci wirtualnych (VNet Peering), co może być odpowiednie w niektórych scenariuszach, w których tranzyt przez koncentrator VWAN nie jest konieczny.

Wymuszone tunelowanie i trasa domyślna

Wymuszone tunelowanie można włączyć, konfigurując włączenie trasy domyślnej na połączeniu sieci VPN, w usłudze ExpressRoute lub połączeniu sieci wirtualnej w usłudze Virtual WAN.

Koncentrator wirtualny propaguje wyuczoną trasę domyślną do sieci wirtualnej/sieci VPN typu lokacja-lokacja/połączenia usługi ExpressRoute, jeśli na połączeniu jest ustawiona flaga "włączona".

Ta flaga jest widoczna, gdy użytkownik edytuje połączenie sieci wirtualnej, połączenie sieci VPN lub połączenie usługi ExpressRoute. Domyślnie ta flaga jest wyłączona, gdy lokacja lub obwód usługi ExpressRoute jest połączony z koncentratorem. Jest ona domyślnie włączona po dodaniu połączenia sieci wirtualnej w celu połączenia sieci wirtualnej z koncentratorem wirtualnym. Trasa domyślna nie wywodzi się z koncentratora usługi Virtual WAN; trasa domyślna jest propagowana, jeśli jest już poznana przez koncentrator usługi Virtual WAN w wyniku wdrożenia zapory w koncentratorze, lub jeśli włączono tunelowanie wymuszone przez inną połączoną lokalizację.

Kontrola zabezpieczeń i zasad

Koncentratory Azure Virtual WAN łączą wszystkie punkty końcowe w sieci hybrydowej i mogą obserwować cały ruch tranzytowy sieci. Koncentratory Virtual WAN można konwertować na bezpieczne wirtualne koncentratory, wdrażając w nich rozwiązanie zabezpieczeń typu bump-in-the-wire. W koncentratorach usługi Virtual WAN można wdrożyć Azure Firewall, wybrać opcję Wirtualne Urządzenia Sieciowe Nowej Generacji lub zabezpieczenia oprogramowania jako usługi (SaaS), aby zapewnić bezpieczeństwo, dostęp i kontrolę nad polityką w chmurze. Można skonfigurować Virtual WAN tak, aby kierował ruch do rozwiązań z zakresu zabezpieczeń w centrum przy użyciu Intencji routingu wirtualnego koncentratora.

Orkiestracja usługi Azure Firewalls w wirtualnych centrach sieci WAN może być wykonywana przez usługę Azure Firewall Manager. Azure Firewall Manager zapewnia możliwości zarządzania i skalowania zabezpieczeń dla globalnych sieci tranzytowych. Usługa Azure Firewall Manager umożliwia centralne zarządzanie routingiem, globalne zarządzanie zasadami, zaawansowane usługi zabezpieczeń internetowych za pośrednictwem innych firm wraz z usługą Azure Firewall.

Aby uzyskać więcej informacji na temat wdrażania i organizowania wirtualnych urządzeń sieciowych zapory następnej generacji w koncentratorze Virtual WAN, zobacz Zintegrowane wirtualne urządzenia sieciowe w koncentratorze wirtualnym. Aby uzyskać więcej informacji na temat rozwiązań zabezpieczeń SaaS, które można wdrożyć w koncentratorze Virtual WAN, zobacz oprogramowanie jako usługa.

#B0 #A1 #A2 #A3 diagram bezpiecznego koncentratora wirtualnego za pomocą usługi Azure Firewall. #A4 #A5 #A6 #C7

#B0 Rysunek 5. Zabezpieczanie koncentratora wirtualnego za pomocą usługi Azure Firewall #C1

Usługa Virtual WAN obsługuje następujące globalne ścieżki łączności tranzytowej zabezpieczonej. Chociaż diagram i wzorce ruchu w tej sekcji opisują przypadki użycia usługi Azure Firewall, te same wzorce ruchu są obsługiwane w przypadku wirtualnych urządzeń sieciowych i rozwiązań zabezpieczeń SaaS wdrożonych w centrum. Litery w nawiasach odwołują się do Rysunku 5.

Bezpieczny tranzyt między oddziałem a siecią VNet (c)
Bezpieczny tranzyt od oddziału do sieci VNet przez koncentratory wirtualne (g), wspierany przez intencję routingu
Bezpieczny tranzyt między sieciami wirtualnymi VNet (e)
Bezpieczny tranzyt między sieciami wirtualnymi w koncentratorach wirtualnych (h), obsługiwany przy użyciu intencji routingu
Bezpieczny tranzyt od gałęzi do gałęzi (b), obsługiwany przy użyciu intencji trasowania
Bezpieczny tranzyt między oddziałami przez wirtualne koncentratory (f), wspierany przy użyciu intencji routingu.
Usługa zabezpieczeń VNet-do-Internetu lub usługodawcy zewnętrznego (i)
Odgałęzienie do Internetu lub usługa zabezpieczeń innej firmy (j)

Tranzyt zabezpieczony VNet-do-VNet (e), bezpieczny tranzyt międzyregionowy VNet-do-VNet (h)

Bezpieczny tranzyt między sieciami wirtualnymi umożliwia sieciom wirtualnym łączenie się ze sobą za pośrednictwem urządzeń zabezpieczeń (Azure Firewall, wybieranie urządzeń WUS i SaaS) wdrożonych w koncentratorze usługi Virtual WAN.

Usługa zabezpieczeń VNet-do-Internetu lub usługa zabezpieczeń zewnętrznej firmy (i)

VNet-to-Internet umożliwia sieciom wirtualnym łączenie się z internetem za pośrednictwem urządzeń zabezpieczeń (Azure Firewall, wybrane NVA i SaaS) w wirtualnym koncentratorze WAN. Ruch do Internetu za pośrednictwem obsługiwanych usług zabezpieczeń innych firm nie przepływa przez urządzenie zabezpieczające i jest kierowany prosto do usługi zabezpieczeń innej firmy. Ścieżkę z VNet do Internetu można skonfigurować za pośrednictwem obsługiwanej usługi zabezpieczeń innej firmy, używając Azure Firewall Manager.

Odgałęzienie do Internetu lub usługa zabezpieczeń innej firmy (j)

Usługa Branch-to-Internet umożliwia gałęziom łączenie się z Internetem za pośrednictwem usługi Azure Firewall w koncentratorze wirtualnej sieci WAN. Ruch do Internetu za pośrednictwem obsługiwanych usług zabezpieczeń innych firm nie przepływa przez urządzenie zabezpieczające i jest kierowany prosto do usługi zabezpieczeń innej firmy. Ścieżkę odgałęzienia do Internetu można skonfigurować za pośrednictwem obsługiwanej usługi zabezpieczeń innej firmy przy użyciu usługi Azure Firewall Manager.

Tranzyt zabezpieczony od gałęzi do gałęzi, bezpieczny tranzyt między oddziałami (b), (f)

Oddziały mogą być połączone z zabezpieczonym koncentratorem wirtualnym za pomocą Azure Firewall, przy użyciu łącz ExpressRoute i/lub połączeń VPN site-to-site. Możesz połączyć gałęzie z koncentratorem wirtualnej sieci WAN znajdującym się w regionie znajdującym się najbliżej gałęzi. Konfigurowanie Routing Intent w koncentratorach usługi Virtual WAN umożliwia inspekcję komunikacji między oddziałami przez to samo centrum lub międzykoncentratorowo/międzyregionalnie za pomocą urządzeń zabezpieczeń (Azure Firewall, wybrane NVA i SaaS) wdrożonych w koncentratorze usługi Virtual WAN.

Zabezpieczony tranzyt oddziału do sieci wirtualnej (c), zabezpieczony tranzyt oddziału do sieci wirtualnej między regionami (g).

Bezpieczny tranzyt od oddziału do sieci wirtualnej (Branch-to-VNet) umożliwia oddziałom komunikację z sieciami wirtualnymi w tym samym regionie co koncentrator wirtualnej sieci WAN, a także z inną siecią wirtualną połączoną z innym koncentratorem wirtualnej sieci WAN w innym regionie (inspekcja ruchu między centrami jest obsługiwana tylko z intencją routingu).

Jak włączyć trasę domyślną (0.0.0.0/0) w zabezpieczonym koncentratorze wirtualnym

Usługę Azure Firewall wdrożoną w koncentratorze usługi Virtual WAN (Secure Virtual Hub) można skonfigurować jako domyślny router do Internetu lub zaufane rozwiązanie bezpieczeństwa dla wszystkich oddziałów (połączonych za pomocą sieci VPN lub usługi ExpressRoute), sieci wirtualnych typu spoke i użytkowników (połączonych za pośrednictwem sieci VPN punkt-punkt). Tę konfigurację należy wykonać przy użyciu usługi Azure Firewall Manager. Aby skonfigurować całe kierowanie ruchu z gałęzi (w tym użytkowników) oraz sieci wirtualnych do Internetu przez usługę Azure Firewall, odwiedź sekcję "Kierowanie ruchu do centrum".

Jest to konfiguracja dwuetapowa:

Skonfiguruj routing ruchu internetowego przy użyciu menu Ustawienia tras bezpiecznego koncentratora wirtualnego. Skonfiguruj sieci wirtualne i oddziały, które mogą wysyłać ruch do Internetu przez zaporę.
Skonfiguruj, które połączenia (sieć wirtualna i gałąź) mogą kierować ruch do Internetu (0.0.0.0/0) za pośrednictwem zapory sieciowej Azure w centrum sieciowym lub zaufanego dostawcy zabezpieczeń. Ten krok gwarantuje, że trasa domyślna jest propagowana do wybranych gałęzi i sieci wirtualnych, które są dołączone do koncentratora sieci Virtual WAN za pośrednictwem połączeń.

Wymuszanie tunelowania ruchu do zapory lokalnej w zabezpieczonym koncentratonie wirtualnym

Jeśli istnieje już trasa domyślna nauczona (za pośrednictwem protokołu BGP) przez wirtualny hub z jednej z odgałęzień (sieci VPN lub lokacji ER), ta trasa domyślna jest zastępowana przez trasę domyślną nauczoną z ustawień Azure Firewall Manager. W takim przypadku cały ruch, który wchodzi do centrum z sieci wirtualnych i gałęzi przeznaczonych do Internetu, będzie kierowany do usługi Azure Firewall lub zaufanego dostawcy zabezpieczeń.