Traditionell Azure-nätverkstopologi
Viktigt!
Prova topologiupplevelsen, som erbjuder en visualisering av Azure-resurser för enkel lagerhantering och övervakning av nätverket i stor skala. Använd topologifunktionen för att visualisera resurser och deras beroenden mellan prenumerationer, regioner och platser.
I den här artikeln beskrivs viktiga designöverväganden och rekommendationer för nätverkstopologier i Microsoft Azure. Följande diagram visar en traditionell Azure-nätverkstopologi:
Utformningsbeaktanden
Olika nätverkstopologier kan ansluta flera virtuella nätverk i landningszonen. Exempel på nätverkstopologier är hub-and-spoke, full mesh och hybridtopologier. Du kan också ha flera virtuella nätverk som är anslutna via flera Azure ExpressRoute-kretsar eller anslutningar.
Virtuella nätverk kan inte passera prenumerationsgränser. Du kan dock använda peering för virtuella nätverk, en ExpressRoute-krets eller VPN-gatewayer för att uppnå anslutning mellan virtuella nätverk i olika prenumerationer.
Peering för virtuella nätverk är den bästa metoden för att ansluta virtuella nätverk i Azure. Du kan använda peering för virtuella nätverk för att ansluta virtuella nätverk i samma region, i olika Azure-regioner och mellan olika Microsoft Entra-klienter.
Peering för virtuella nätverk och global peering för virtuella nätverk är inte transitiva. För att aktivera ett överföringsnätverk behöver du användardefinierade vägar (UDR) och virtuella nätverksinstallationer (NVA). Mer information finns i Nätverkstopologi för hub-spoke i Azure.
Du kan dela en Azure DDoS Protection-plan i alla virtuella nätverk i en enda Microsoft Entra-klientorganisation för att skydda resurser med offentliga IP-adresser. Mer information finns i DDoS Protection.
DDoS Protection-planer omfattar endast resurser med offentliga IP-adresser.
Kostnaden för en DDoS Protection-plan innehåller 100 offentliga IP-adresser i skyddade virtuella nätverk som är associerade med DDoS Protection-planen. Skydd för fler resurser kostar mer. Mer information finns i priser för DDoS Protection eller vanliga frågor och svar.
Granska de resurser som stöds i DDoS Protection-planer.
Du kan använda ExpressRoute-kretsar för att upprätta anslutningar mellan virtuella nätverk inom samma geopolitiska region eller använda premiumtillägget för anslutning mellan geopolitiska regioner. Ha dessa punkter i åtanke:
Nätverks-till-nätverk-trafik kan uppleva mer svarstid, eftersom trafiken måste hårfästa vid Microsoft Enterprise Edge-routrarna (MSEE).
ExpressRoute-gatewayens SKU begränsar bandbredden.
Distribuera och hantera UDR:er om du behöver inspektera eller logga UDR för trafik över virtuella nätverk.
VPN-gatewayer med Border Gateway Protocol (BGP) är transitiva i Azure och lokala nätverk, men de ger inte transitiv åtkomst till nätverk som är anslutna via ExpressRoute som standard. Om du behöver transitiv åtkomst till nätverk som är anslutna via ExpressRoute kan du överväga Azure Route Server.
När du ansluter flera ExpressRoute-kretsar till samma virtuella nätverk använder du anslutningsvikter och BGP-tekniker för att säkerställa en optimal väg för trafik mellan lokala nätverk och Azure. Mer information finns i Optimera ExpressRoute-routning.
Om du använder BGP-mått för att påverka ExpressRoute-routning måste du ändra konfigurationen utanför Azure-plattformen. Din organisation eller din anslutningsleverantör måste konfigurera de lokala routrarna i enlighet med detta.
ExpressRoute-kretsar med premiumtillägg ger global anslutning.
ExpressRoute har vissa gränser, inklusive ett maximalt antal ExpressRoute-anslutningar för varje ExpressRoute-gateway. Och privat ExpressRoute-peering har en maximal gräns för hur många vägar som kan identifieras från Azure till lokalt. Mer information finns i ExpressRoute-gränser.
En VPN-gateways maximala aggregerade dataflöde är 10 gigabit per sekund. En VPN-gateway stöder upp till 100 tunnlar från plats till plats eller nätverk till nätverk.
Om en NVA är en del av arkitekturen bör du överväga Route Server för att förenkla dynamisk routning mellan din NVA och ditt virtuella nätverk. Använd Route Server för att utbyta routningsinformation direkt via BGP mellan alla NVA som stöder BGP och det Programvarudefinierade Azure-nätverket (SDN) i det virtuella Azure-nätverket. Du behöver inte konfigurera eller underhålla routningstabeller manuellt med den här metoden.
Designrekommendationer
Överväg en nätverksdesign baserad på den traditionella nätverkstopologin hub-and-spoke för följande scenarier:
En nätverksarkitektur som distribueras i en enda Azure-region.
En nätverksarkitektur som sträcker sig över flera Azure-regioner, utan behov av transitiv anslutning mellan virtuella nätverk för landningszoner mellan regioner.
En nätverksarkitektur som omfattar flera Azure-regioner och global peering för virtuella nätverk som kan ansluta virtuella nätverk i Azure-regioner.
Det finns inget behov av transitiv anslutning mellan VPN- och ExpressRoute-anslutningar.
Den huvudsakliga hybridanslutningsmetoden på plats är ExpressRoute och antalet VPN-anslutningar är mindre än 100 per VPN-gateway.
Det finns ett beroende av centraliserade NVA:er och detaljerad routning.
För regionala distributioner använder du främst topologin hub-and-spoke med en regional hubb för varje Eker-Azure-region. Använd virtuella nätverk i programlandningszonen som använder peering för virtuella nätverk för att ansluta till ett regionalt virtuellt navnätverk för följande scenarier:
Anslutning mellan platser via ExpressRoute som är aktiverad på två olika peeringplatser. Mer information finns i Design och arkitekt ExpressRoute för återhämtning.
Ett VPN för grenanslutning.
Eker-till-eker-anslutning via NVA och UDR.
Internetutgående skydd via Azure Firewall eller en annan nva som inte kommer från Microsoft.
Följande diagram visar topologin hub-and-spoke. Använd den här konfigurationen för att säkerställa lämplig trafikkontroll och för att uppfylla de flesta krav för segmentering och inspektion.
Använd topologin som har flera virtuella nätverk som är anslutna via flera ExpressRoute-kretsar på olika peeringplatser om:
Du behöver en hög isoleringsnivå. Mer information finns i Design och arkitekt ExpressRoute för återhämtning.
Du behöver dedikerad ExpressRoute-bandbredd för specifika affärsenheter.
Du når det maximala antalet anslutningar för varje ExpressRoute-gateway. Information om hur du fastställer det maximala antalet finns i ExpressRoute-gränser.
Följande diagram visar den här topologin.
För peering med dubbla hem i samma stad bör du överväga ExpressRoute Metro.
Distribuera Azure Firewall eller partner-NVA:er i det centrala hubbnätverket för trafikskydd och filtrering i öst/väst eller syd/norr.
Distribuera en uppsättning med minimala delade tjänster, inklusive ExpressRoute-gatewayer, VPN-gatewayer (efter behov) och Azure Firewall eller partner-NVA:er (efter behov) i det centrala virtuella nätverket. Om det behövs kan du även distribuera Active Directory-domänkontrollanter och DNS-servrar.
Distribuera en enda DDoS Protection-standardplan i anslutningsprenumerationen. Använd den här planen för alla virtuella nätverk för landningszoner och plattformar.
Använd ditt befintliga nätverk, mpls (multiprotocol label switching) och SD-WAN för att ansluta filialplatser till företagets huvudkontor. Om du inte använder Route Server har du inte stöd för överföring i Azure mellan ExpressRoute-anslutningar och VPN-gatewayer.
Distribuera Azure Firewall eller partner-NVA:er för trafikskydd och filtrering i östra/västra eller södra/norra i det virtuella nätverket för central hubb.
När du distribuerar partnernätverkstekniker eller NVA:er följer du partnerleverantörens vägledning för att se till att:
Leverantören stöder distribution.
Vägledningen stöder hög tillgänglighet och högsta prestanda.
Det finns inga konfigurationer i konflikt med Azure-nätverk.
Distribuera inte inkommande NVA:er för Layer 7, till exempel Azure Application Gateway, som en delad tjänst i det centrala hubbnätverket. Distribuera dem i stället tillsammans med programmet i respektive landningszoner.
Distribuera en enda DDoS-standardskyddsplan i anslutningsprenumerationen.
- Alla virtuella landningszoner och plattformsnätverk bör använda den här planen.
Använd ditt befintliga nätverk, växling av flerprotokoletiketter och SD-WAN för att ansluta filialplatser till företagets huvudkontor. Om du inte använder Route Server finns det inget stöd för överföring i Azure mellan ExpressRoute- och VPN-gatewayer.
Om du behöver transitivitet mellan ExpressRoute och VPN-gatewayer i ett hub-and-spoke-scenario använder du Route Server. Mer information finns i Route Server-stöd för ExpressRoute och Azure VPN.
När du har nav-och-ekernätverk i flera Azure-regioner och du behöver ansluta några landningszoner mellan regioner använder du global peering för virtuella nätverk. Du kan ansluta virtuella nätverk i landningszonen direkt som behöver dirigera trafik till varandra. Beroende på den kommunicerande virtuella datorns SKU kan global peering för virtuella nätverk ge högt nätverksdataflöde. Trafik som går mellan direkt peer-kopplade virtuella nätverk i landningszonen kringgår NVA:er i virtuella hubbnätverk. Begränsningar för global peering för virtuella nätverk gäller för trafiken.
När du har nav-och-ekernätverk i flera Azure-regioner och du behöver ansluta de flesta landningszoner mellan regioner använder du hubb-NVA:er för att ansluta virtuella hubbnätverk i varje region till varandra och dirigera trafik mellan regioner. Du kan också använda den här metoden om du inte kan använda direkt peering för att kringgå hubb-NVA:er på grund av inkompatibilitet med dina säkerhetskrav. Global peering för virtuella nätverk eller ExpressRoute-kretsar kan hjälpa dig att ansluta virtuella hubbnätverk på följande sätt:
Global peering för virtuella nätverk ger en låg svarstid och hög dataflödesanslutning men genererar trafikavgifter.
Om du dirigerar via ExpressRoute kan du öka svarstiden på grund av MSEE-hårnålen. Den valda ExpressRoute-gatewayens SKU begränsar dataflödet.
Följande diagram visar alternativ för hubb-till-hubb-anslutning:
När du behöver ansluta två Azure-regioner använder du global peering för virtuella nätverk för att ansluta de virtuella hubbnätverken i varje region.
Använd en hanterad global transitnätverksarkitektur som baseras på Azure Virtual WAN om din organisation:
Kräver nav- och ekernätverksarkitekturer i mer än två Azure-regioner.
Kräver global överföringsanslutning mellan virtuella nätverk i landningszoner i Azure-regioner.
Vill minimera nätverkshanteringskostnaderna.
När du behöver ansluta fler än två Azure-regioner rekommenderar vi att de virtuella hubbnätverken i varje region ansluter till samma ExpressRoute-kretsar. Global peering för virtuella nätverk kräver att du hanterar ett stort antal peering-relationer och en komplex uppsättning UDR:er i flera virtuella nätverk. Följande diagram visar hur du ansluter hub-and-spoke-nätverk i tre regioner:
När du använder ExpressRoute-kretsar för anslutningar mellan regioner kommunicerar ekrar i olika regioner direkt och kringgår brandväggen eftersom de lär sig via BGP-vägar till ekrarna i fjärrhubben. Om du behöver brandväggs-NVA:erna i de virtuella hubbnätverken för att inspektera trafik mellan ekrar måste du implementera något av följande alternativ:
Skapa mer specifika routningsposter i eker-UDR:erna för brandväggen i det lokala virtuella hubbnätverket för att omdirigera trafik mellan hubbar.
För att förenkla routningskonfigurationen inaktiverar du BGP-spridning i ekervägstabellerna.
När din organisation kräver nav-och-eker-nätverksarkitekturer i mer än två Azure-regioner och global överföringsanslutning mellan virtuella nätverk i landningszoner i Azure-regioner, och du vill minimera nätverkshanteringskostnaderna, rekommenderar vi en hanterad global transitnätverksarkitektur som baseras på Virtual WAN.
Distribuera varje regions hubbnätverksresurser i separata resursgrupper och sortera dem i varje distribuerad region.
Använd Azure Virtual Network Manager för att hantera anslutning och säkerhetskonfiguration av virtuella nätverk globalt i prenumerationer.
Använd Azure Monitor-nätverksinsikter för att övervaka tillståndet från slutpunkt till slutpunkt för dina nätverk i Azure.
Du måste tänka på följande två gränser när du ansluter virtuella ekernätverk till det centrala virtuella hubbnätverket:
Det maximala antalet peering-anslutningar för virtuella nätverk per virtuellt nätverk.
Det maximala antalet prefix som ExpressRoute med privat peering annonserar från Azure till lokalt.
Se till att antalet virtuella ekernätverk som är anslutna till det virtuella hubbnätverket inte överskrider dessa gränser.