编辑

通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

IPv6中心辐射型网络拓扑

Azure 防火墙
Azure 虚拟网络
Azure 虚拟 WAN
Azure VPN 网关

本文介绍如何将 IPv4 中心辐射型网络拓扑转换为 IPv6。 它以中心辐射型网络拓扑为起点,并介绍了实现 IPv6 支持可以采取的步骤。

在中心辐射型网络中,中心虚拟网络是分支虚拟网络的中心连接点。 分支虚拟网络连接到中心,可以为应用程序资源提供隔离。 有关详细信息,请参阅转换到 IPv6

体系结构

此图显示了一个中心辐射型体系结构,其中包含 IPv6 支持所需的组件。

下载此体系结构的 Visio 文件

工作流

  1. 公共 Internet 和跨界网络:用户或服务可以通过公共 Internet 访问 Azure 资源。 跨界网络具有通过 VPN 网关安全连接到 Azure 网络的本地虚拟机。

  2. Azure Virtual Network Manager:此组件是监督 Azure 中整个网络基础结构的管理层。 它处理虚拟网络的路由、策略和整体运行状况。

  3. 中心虚拟网络:中心是网络拓扑的中心点。 网络配置同时支持 IPv4 和 IPv6(双堆栈)。

    • Azure Bastion 通过传输层安全 (TLS) 直接提供从 Azure 门户到虚拟机的安全无缝的远程桌面协议/安全外壳 (RDP/SSH) 连接。
    • Azure 防火墙检查并筛选中心和公共 Internet 之间的流量。
    • ExpressRoute 将跨界网络连接到中心。
    • VPN 网关还将跨界网络连接到中心并提供冗余。
    • 中心虚拟网络中的服务将日志和指标(诊断)发送到 Azure Monitor 进行监视。

  4. 辐射型虚拟网络:有四个分支连接到中心。 每个分支都是一个双堆栈网络,同时支持 IPv4 和 IPv6。

    • IPv6 用户定义路由(UDR)为分支中的 IPv6 流量定义自定义路由。
    • 分支虚拟网络通过 对等互连连接连接组进行连接。 对等互连连接和连接组是虚拟网络之间的非传递性、低延迟连接。 对等互连或连接的虚拟网络可以通过 Azure 主干网络交换流量。
    • 来自分支虚拟网络的所有出站流量都流经中心,使用 Azure 防火墙中称为强制隧道的配置。
    • 在每个分支中,有三个子网指定为资源子网,每个子网托管一个虚拟机。
    • 每个虚拟机都连接到一个内部负载均衡器,该负载均衡器配置为同时支持 IPv4 和 IPv6 地址范围。 负载均衡器在虚拟机之间分配传入的网络流量。

组件

  • Azure 虚拟网络是 Azure 中专用网络的基本构建块。 Azure 虚拟网络使许多类型的 Azure 资源(例如 Azure 虚拟机)能够安全地彼此通信、与本地网络通信以及与 Internet 通信。
  • 虚拟机通信需要虚拟网络接口。 可以将虚拟机和其他资源设置为具有多个网络接口,以便创建双堆栈(IPv4 和 IPv6)配置。
  • 公共 IP 地址用于与 Azure 资源的入站 IPv4 和 IPv6 连接。
  • Azure Virtual Network Manager 用于创建和管理网络组及其连接。
  • Azure 防火墙是一种托管的、基于云的网络安全服务。 可以保护 Azure 虚拟网络资源。 Azure 防火墙托管防火墙实例位于其自己的子网中。
  • Azure VPN 网关Azure ExpressRoute 可用于创建虚拟网络网关,以将虚拟网络连接到虚拟专用网络(VPN)设备或 ExpressRoute 线路。 网关提供跨界网络连接。
  • Azure 负载均衡器用于使具有相同用途的多台计算机来共享流量。 在此体系结构中,负载均衡器在支持 IPv6 的多个子网之间分配流量。
  • Azure 中的路由表是一组 UDR,为网络流量提供自定义路径定义。
  • Azure 虚拟机是支持 IPv6 的基础结构即服务(IaaS)计算解决方案。
  • Azure Bastion 是 Microsoft 提供并维护的完全托管平台即服务(PaaS)产品。 它提供安全、无缝的远程桌面协议和对虚拟机的 SSH 访问,无需公开公共 IP 地址。
  • Monitor 是一个全面监视解决方案,用于收集、分析和响应来自云和本地环境的监视数据。 可以使用 Monitor 最大程度地提高应用程序和服务的可用性和性能。

将中心虚拟网络转换到 IPv6

若要将中心虚拟网络转换为支持 IPv6,必须更新网络基础结构以适应 IPv6 地址范围,以便网络的中央控制部分可以处理 IPv6 流量。 此方法可确保中心枢纽通过使用 IPv6 在各种网段(分支)之间有效地路由和管理流量。 若要在中心虚拟网络中实现 IPv6,请执行以下步骤:

将 IPv6 地址空间添加到中心虚拟网络和中心子网

需要先将 IPv6 地址范围添加到中心虚拟网络,然后再添加到其子网。 对虚拟网络使用 /56 地址块,对每个子网使用 /64 地址块。 下表所示为示例设置。

中心虚拟网络地址范围 中心子网地址范围
中心虚拟网络:2001:db8:1234:0000::/56 Azure Bastion 子网:2001:db8:1234:0000::/64
Azure 防火墙子网:2001:db8:1234:0001::/64
VPN 网关子网:2001:db8:1234:0002::/64
ExpressRoute 子网:2001:db8:1234:0003::/64

这些 IPv6 地址是示例。 应替换 2001:db8:1234:: 为组织的 IPv6 地址块。 仔细规划和记录 IPv6 地址分配,以避免重叠并确保有效使用地址空间。 若要将 IPv6 地址空间添加到中心虚拟网络,可以使用 Azure 门户PowerShellAzure CLI

为每个中心子网配置用户定义的路由 (UDR)

UDR 是手动设置的路由,用于替代 Azure 的默认系统路由。 在 Azure 中,UDR 对于控制虚拟网络中的网络流量流至关重要。 可以使用 UDR 将流量从一个子网定向到 Azure 中的特定设备、网关或目标,或定向到本地网络。 将 IPv6 支持添加到中心虚拟网络时,需要:

  • 添加 IPv6 路由。 如果有已建立的路由表,请添加指定 IPv6 地址前缀的新路由。
  • 修改现有路由。 如果已有 IPv4 路由,可能需要对其进行修改,以确保它们也适用于 IPv6 流量,或创建单独的 IPv6 特定路由。
  • 将路由表与子网相关联。 定义路由后,将路由表与虚拟网络中的相关子网相关联。 此关联确定哪些子网使用定义的路由。

无需为每个资源添加路由,但需要为每个子网添加路由。 每个子网可以有多个资源,它们都遵循与其子网关联的路由表中定义的规则。 有关详细信息,请参阅 用户定义的路由概述

对于示例体系结构,中心虚拟网络有四个子网:Azure Bastion、Azure 防火墙、VPN 网关和 ExpressRoute。 下表显示了每个子网的示例 UDR。

中心子网 说明 IPv6 地址范围 路由名称 目标 下一跃点
Azure Bastion 路由到防火墙 2001:db8:1234:0000::/64 Internet 路由 ::/0 2001:db8:1234:0001::/64(Azure 防火墙)
Azure 防火墙 默认路由 2001:db8:1234:0001::/64 Internet 路由 ::/0 Internet 网关
VPN 网关 本地路由 2001:db8:1234:0002::/64 本地路由 2001:db8:abcd::/56 VPN 网关
ExpressRoute 本地路由 2001:db8:1234:0003::/64 本地路由 2001:db8:efgh::/56 ExpressRoute

设置 UDR 时,必须使其与组织网络策略和 Azure 部署的体系结构保持一致。

修改 ExpressRoute 线路(如果适用)

若要为 ExpressRoute 线路提供 IPv6 支持,需要:

  • 启用 IPv6 专用对等互连。 为 ExpressRoute 线路启用 IPv6 专用对等互连。 此配置允许本地网络与中心虚拟网络之间的 IPv6 流量。
  • 分配 IPv6 地址空间。 为主要和辅助 ExpressRoute 链接提供 IPv6 子网。
  • 更新路由表。 确保通过 ExpressRoute 线路正确定向 IPv6 流量。

这些配置通过 ExpressRoute 线路将 IPv6 连接扩展到 Azure 服务,以便可以同时路由双堆栈功能。 若要修改 ExpressRoute,可以使用 Azure 门户PowerShellAzure CLI

将分支虚拟网络转换为 IPv6

分支虚拟网络连接到中央中心。 向分支虚拟网络提供 IPv6 支持时,每个分支网络都可以通过更高级的 IPv6 协议进行通信,并在整个网络中扩展统一性。 若要为辐射型虚拟网络提供 IPv6 支持,请执行以下步骤:

将 IPv6 地址空间添加到辐射型虚拟网络和辐射型子网

与中心虚拟网络一样,必须将 IPv6 地址范围添加到每个分支虚拟网络及其子网。 对虚拟网络使用 /56 地址块,对子网使用 /64 地址块。 下表提供了分支虚拟网络及其子网的 IPv6 地址范围示例。

辐射型虚拟网络地址范围 辐射型子网地址范围
分支虚拟网络1:2001:db8:1234:0100::/56 子网1:2001:db8:1234:0100::/64
子网2:2001:db8:1234:0101::/64
子网3:2001:db8:1234:0102::/64
分支虚拟网络2:2001:db8:1234:0200::/56 子网1:2001:db8:1234:0200::/64
子网2:2001:db8:1234:0201::/64
子网3:2001:db8:1234:0202::/64
分支虚拟网络3:2001:db8:1234:0300::/56 子网1:2001:db8:1234:0300::/64
子网2:2001:db8:1234:0301::/64
子网3:2001:db8:1234:0302::/64
分支虚拟网络4:2001:db8:1234:0400::/56 子网1:2001:db8:1234:0400::/64
子网2:2001:db8:1234:0401::/64
子网3:2001:db8:1234:0402::/64

对于设置,请根据组织的分配和需求调整 IPv6 地址。

修改辐射型虚拟网络资源

每个辐射型虚拟网络都包含多个虚拟机和一个内部负载均衡器。 内部负载均衡器可将 IPv4 和 IPv6 流量路由到虚拟机。 必须修改虚拟机和内部负载均衡器,使其支持 IPv6。

必须为每个虚拟机创建一个 IPv6 网络接口,并将其与虚拟机相关联,以添加 IPv6 支持。 有关详细信息,请参阅将 IPv6 配置添加到虚拟机

如果每个分支虚拟网络中没有内部负载均衡器,则应创建双堆栈内部负载均衡器。 有关详细信息,请参阅创建双栈内部负载均衡器。 如果有内部负载均衡器,可以使用 PowerShellAzure CLI 添加 IPv6 支持。

为每个辐射型子网配置用户定义的路由 (UDR)

若要配置 UDR,辐射型虚拟网络使用与中心虚拟网络相同的配置将 IPv6 支持添加到辐射型虚拟网络时,你需要:

  • 添加 IPv6 路由。 如果有已建立的路由表,请添加指定 IPv6 地址前缀的新路由。

  • 修改现有路由。 如果已有 IPv4 路由,可能需要对其进行修改,以确保它们也适用于 IPv6 流量,或创建单独的 IPv6 特定路由。

  • 将路由表与子网相关联。 定义路由后,将路由表与虚拟网络中的相关子网相关联。 此关联确定哪些子网使用定义的路由。

下表显示了分支虚拟网络中每个子网的示例 UDR。

辐射型子网 说明 IPv6 地址范围 路由名称 目标 下一跃点
子网 1 路由到防火墙 2001:db8:1234:0100::/64 Internet 路由 ::/0 2001:db8:1234:0001::/64(Azure 防火墙)
子网 2 路由到 VPN 网关 2001:db8:1234:0101::/64 VPN 路由 2001:db8:abcd::/64 2001:db8:1234:0002::/64(VPN 网关)
子网 3 路由到 ExpressRoute 2001:db8:1234:0102::/64 ExpressRoute 路由 2001:db8:5678::/64 2001:db8:1234:0003::/64(ExpressRoute)

设置时,必须使 UDR 与组织网络策略和 Azure 部署的体系结构保持一致。

供稿人

Microsoft 会维护本文。 本文为以下参与者的原创作品。

主要作者:

其他参与者:

要查看非公开的 LinkedIn 个人资料,请登录到 LinkedIn。

后续步骤