Azure 上的本地网络集成
你的公司计划将大多数本地资源迁移到 Azure。 但是,小型数据中心必须保留在本地,以便集成到 Azure 网络中。 体系结构模型需要考虑使用多个附属机构的 Azure 网络连接。 你想使用混合网络体系结构,同时提供对本地资源和基于云的资源的访问权限。
为了处理迁移,你将制定一个 Azure 网络集成计划,其中包含了一系列 Azure 中可用的最佳混合网络选项。 这些选项必须符合组织对混合连接的要求。
在本单元中,了解 Azure 平台中的本地连接。 还可大致了解 Azure 虚拟网络,并了解如何使用 Azure VPN 网关保护到本地网络的流量。
关于 Azure 虚拟网络
Azure 虚拟网络服务包含一组特定的工具和资源,用于为你的组织构建基于云的网络体系结构。 Azure 虚拟网络为订阅中所有允许的 Azure 资源提供安全的虚拟信道。
使用 Azure 虚拟网络,你可以:
- 将虚拟机连接到 Internet。
- 提供不同数据中心和区域中托管的 Azure 资源之间的安全通信。
- 隔离和管理 Azure 资源。
- 连接本地计算机。
- 管理网络流量。
默认情况下,虚拟网络中的所有 Azure 资源都建立了与 Internet 之间的出站连接。 外部入站通信流必须经由面向公众的终结点进入。 所有内部资源都使用专用终结点访问虚拟网络。
虚拟网络由许多元素组成。 包括但不限于网络接口、负载均衡器、子网、网络安全组和公共 IP 地址。 这些元素协同工作,在 Azure 资源、Internet 和本地网络之间实现既安全又可靠的网络通信。
在 Azure 虚拟网络上路由流量
来自子网的出站流量根据目标 IP 地址进行路由。 流量的路由方式和下一步操作在一个路由表中进行了定义。 目标 IP 地址可存在于多个路由表前缀定义中(例如 10.0.0.0/16 和 10.0.0.0/24)。 路由器使用复杂的算法来查找最长的前缀匹配项。 10.0.0.6 地址的流量将解析为 10.0.0.0/24 前缀并相应地进行路由。
提供两个原则路由表:系统和自定义。
系统路由表
Azure 自动为虚拟网络和虚拟网络中的每个子网掩码创建一组默认路由表。 这些系统路由是固定的,不能编辑或删除。 但是,可以使用自定义路由表覆盖默认设置。
典型的默认路由表可能如下所示:
| 源 | 地址前缀 | 下一跃点类型 |
|---|---|---|
| 默认 | 对虚拟网络唯一 | 虚拟网络 |
| 默认 | 0.0.0.0/0 | Internet |
| 默认 | 10.0.0.0/8 | 无 |
| 默认 | 172.16.0.0/12 | 无 |
| 默认 | 192.168.0.0/16 | 无 |
| 默认 | 100.64.0.0/10 | 无 |
路由表由源、地址前缀和下一个跃点类型组成。 离开子网的所有流量都会使用路由表来确定接下来要路由到的位置。 实际上,流量会在该过程中寻找下一个跃点。
下一个跃点根据前缀来定义通信流下一步会发生的情况。 下一个跃点的类型分为三种:
- 虚拟网络:流量根据虚拟网络中的 IP 地址进行路由。
- Internet:路由流量到 Internet。
- 无:放弃流量。
自定义路由表
除了系统定义的路由表之外,你也可以创建自定义路由表。 这些由用户定义的路由表将覆盖默认系统表。 自定义表中的路由项数存在限制。
下表列出了虚拟网络适用的众多限制中的一些限制:
| 资源 | 默认值或最大值 |
|---|---|
| 虚拟网络 | 1,000 |
| 每个虚拟网络的子网数 | 3,000 |
| 每个虚拟网络的虚拟网络对等互连数 | 500 |
| 每个虚拟网络的专用 IP 地址 | 65,536 |
自定义路由表与系统路由表非常类似,它也具有下一个跃点类型。 但自定义路由表还提供了其他几个选项:
- 虚拟设备:通常是运行特定网络应用程序的虚拟机,如防火墙。
- 虚拟网络网关:在要将流量发送到虚拟网络网关时使用。 虚拟网络网关必须是 VPN 类型。 类型不能是需要设置边界网关协议 (BGP) 路由进程的 Azure ExpressRoute。
- 无:放弃流量,而不是转发流量。
- 虚拟网络:允许替代默认系统路由。
- Internet:可指定任何前缀将流量转发到 Internet。
连接 Azure 虚拟网络
可以通过多种方式连接虚拟网络。 可以使用 Azure VPN 网关、ExpressRoute,也可以直接使用对等互连方法。
Azure VPN 网关
在要将本地网络与 Azure 集成时,需要在二者之间建立桥接。 VPN 网关是一种提供此功能的 Azure 服务。 VPN 网关可以在两个网络之间发送加密的流量。 VPN 网关支持多个连接,这些连接使其能够使用任何可用带宽来路由 VPN 隧道。 一个虚拟网络只能分配一个网关。 VPN 网关还可用于在 Azure 中的虚拟网络之间建立连接。
当你实现 VPN 网关时,需要将两个或多个虚拟机部署到设置虚拟网络时创建的子网。 在此实例中,子网也称为网关子网。 以对预配的网关而言为显式的分配方式,为每个虚拟机分配路由和网关服务的默认配置。 不能直接配置这些虚拟机。
创建网关时,可以使用几种拓扑。 这些拓扑(也称为网关类型)决定了配置的元素以及所需的连接类型。
站点到站点
使用站点到站点连接进行跨界和混合网络配置。 此连接拓扑要求本地 VPN 设备具有可公开访问的 IP 地址,并且不得位于网络地址转换 (NAT) 后面。 连接使用最多 128 个字符的 ASCII 机密字符串在网关和 VPN 设备之间进行身份验证。
多站点
多站点连接与站点到站点连接类似,但略有不同。 多站点支持与本地 VPN 设备建立多个 VPN 连接。 此连接拓扑需要动态网关 RouteBased VPN。 需要注意的是,如果是多站点配置,所有连接均会利用所有可用带宽进行路由并共用所有可用带宽。
点到站点
点到站点连接适用于连接到网络的远程单独客户端设备。 客户端设备必须通过 Microsoft Entra ID 或使用 Azure 证书身份验证方式进行身份验证。 此模型适用于家庭办公方案。
网络到网络
网络到网络连接用于在多个 Azure 虚拟网络之间创建连接。 与其他拓扑不同,此连接拓扑不需要公共 IP 或 VPN 设备。 也可以在多站点配置中使用网络到网络连接,通过虚拟网络之间的连接来建立合并的跨界连接。
ExpressRoute
ExpressRoute 在本地网络与不使用 Internet 的 Azure 虚拟网络之间创建直接连接。 可以使用 ExpressRoute 将本地网络无缝扩展到 Azure 虚拟网络空间。 许多非 Microsoft 连接提供商提供 ExpressRoute 服务。 ExpressRoute 连接分为三种不同的类型:
- CloudExchange 并置
- 点到点以太网连接
- 任意位置之间的 (IPVPN) 连接
对等互连
虚拟网络可以跨订阅和 Azure 区域对等互连。 虚拟网络对等互连后,这些网络中的资源就会像在同一个网络中一样相互通信。 流量仅使用专用 IP 地址在资源之间路由。 对等互连的虚拟网络通过 Azure 网络路由流量,并将连接保持为 Azure 主干网络的一部分。 主干网网络提供了低延迟和高带宽网络连接。
站点到站点 VPN 网关参考体系结构
尽管在设计混合网络时有多种参考体系结构可以使用,但最常用的体系结构是站点到站点配置。 下图显示的经过简化的参考体系结构演示了如何将本地网络连接到 Azure 平台。 Internet 连接使用 IPsec VPN 隧道。
体系结构包含多个组件:
- 本地网络用于表示本地 Active Directory 和任何数据或资源。
- 使用公用连接时,网关负责将加密的流量发送到虚拟 IP 地址。
- Azure 虚拟网络用于容纳所有云应用程序和任何 Azure VPN 网关组件。
- Azure VPN 网关提供 Azure 虚拟网络与本地网络之间的加密链接。 Azure VPN 网关由以下元素组成。
- 虚拟网络网关
- 本地网络网关
- 连接
- 网关子网
- 云应用程序是通过 Azure 提供的应用程序。
- 内部负载均衡器,位于前端,用于将云流量路由到正确的基于云的应用程序或资源。
此体系结构具有若干优点,其中包括:
- 易于配置和维护。
- 使用 VPN 网关可确保本地网关与 Azure 网关之间的所有数据和流量均进行了加密。
- 可以缩放和扩展此体系结构,以满足组织的网络需求。
此体系结构也不是任何方案都适用,因为它使用现有 Internet 连接作为两个网关点之间的链接。 带宽限制可能会因现有基础结构的重复使用而导致延迟问题。