使用 Azure 上的混合网络

  • 10 分钟

你的组织很想继续迁移到云。 你已了解使用 Azure ExpressRoute 在本地网络与 Azure 之间提供专用高速连接的优势。

出于尽职尽责的目的,你认为有必要了解可用于将本地网络连接到 Azure 的其他混合体系结构选项。

在本单元中,你将学习以下内容:

  • 了解虚拟专用网络连接。
  • 研究一个用于 ExpressRoute 的复原选项。
  • 考虑中心辐射型网络拓扑的优点。

什么是混合网络体系结构?

混合网络指将两个不同的网络拓扑合并后形成的单个融合网络。 Azure 上的混合网络表示将本地网络与 Azure 虚拟网络进行合并或融合。 混合网络允许继续使用现有基础结构,同时获得基于云的计算和访问带来的所有好处。

有多种情况适合采用混合网络解决方案。 两种最常见的情况是:

  • 从纯本地网络迁移到纯基于云的纯网络。
  • 扩展本地网络和资源,以支持云服务。

无论出于什么原因需要向基础结构添加云服务,都要考虑多个体系结构。 我们在上一单元中介绍了 ExpressRoute。 其他体系结构包括:

  • Azure VPN 网关
  • 具有 VPN 故障转移功能的 ExpressRoute
  • 中心辐射型网络拓扑

Azure VPN 网关

使用 Azure VPN 网关(虚拟网络网关服务),可以在本地网络与 Azure 之间建立站点到站点和点到站点 VPN 连接。

VPN 或虚拟专用网络是一种常见且性能完善的网络体系结构。

VPN 网关使用现有的 Internet 连接。 但是,其中的所有通信都使用 Internet 密钥交换 (IKE) 和 Internet 协议安全性 (IPsec) 协议进行了加密。 每个虚拟网络只能有一个虚拟网络网关。

设置虚拟网络网关时,必须指定它是 VPN 网关还是 ExpressRoute 网关。

VPN 类型取决于所需的连接拓扑的类型。 例如,如果要创建点到站点 (P2S) 或点到点 (P2P) 网关,应使用 RouteBased 类型。 VPN 类型分为两种:

  • PolicyBased:使用 IPsec 隧道加密数据包。 策略配置使用从 Azure 虚拟网络和本地网络中提取的地址前缀。
  • RouteBased:使用路由或 IP 转发表将数据包路由到恰当的隧道。 每个隧道都对所有数据包进行加密和解密。

为虚拟网络网关指定 VPN 类型后,无法对其进行更改。 如果必须要更改,可删除虚拟网络网关,然后重新创建它。

站点到站点

所有站点到站点网关连接都使用 IPsec/IKE VPN 隧道在 Azure 与本地网络之间创建连接。 站点到站点连接需要一台具有可公开访问的 IP 地址的本地 VPN 设备。

Diagram of a VPN Site-to-Site connection between the on-premises network and the Azure virtual network.

点到站点

“点到站点网关连接”在单个设备和 Azure 虚拟网络之间创建安全连接。 此网关类型适合远程工作人员(例如参加会议或在家办公的用户)。 点到站点连接不需要专用的本地 VPN 设备。

Diagram of a VPN point-to-site connection between the on-premises network and the Azure virtual network.

好处

下面是使用 VPN 连接的一些优点:

  • 这是一种常用技术,易于配置和维护。
  • 所有数据流量均已加密。
  • 它更适合处理较小的数据流量负载。

注意事项

在评估是否要使用此混合体系结构时,请考虑以下几点:

  • VPN 连接使用 Internet。
  • 可能会发生延迟问题,具体取决于带宽大小和使用情况。
  • Azure 支持的最大带宽是 1.25 Gbps。
  • 站点到站点连接需要本地 VPN 设备。

具有 VPN 故障转移功能的 ExpressRoute

使用 ExpressRoute 可获得的保障之一是高级别的可用性。 每个 ExpressRoute 线路都随附双重 ExpressRoute 网关。 但是,即使网络的 Azure 端内置了此级别的复原能力,连接也可能会中断。 应对这种情况并保持连接性的一种方法是提供 VPN 故障转移服务。

将 VPN 连接与 ExpressRoute 融合可提高网络连接的复原能力。 在正常条件下运行时,ExpressRoute 的行为与常规 ExpressRoute 体系结构完全相同,VPN 连接保持休眠状态。 如果 ExpressRoute 线路发生故障或脱机,VPN 连接将接管。 此操作可确保所有情况下网络均可用。 ExpressRoute 线路复原后,所有流量都将恢复为使用 ExpressRoute 连接。

具有 VPN 故障转移功能的 ExpressRoute 的参考体系结构

下图演示了如何使用具有 VPN 故障转移功能的 ExpressRoute 将本地网络连接到 Azure。 此解决方案中选择的拓扑是一个具有高流量的基于 VPN 的站点到站点连接。

Diagram of ExpressRoute reference architecture.

在此模型中,所有网络流量都通过 ExpressRoute 专用连接进行路由。 ExpressRoute 线路上的连接断开时,网关子网自动故障转移到站点到站点 VPN 网关线路。 Azure 虚拟网络中网关到 VPN 网关的虚线显示了这种情况。

ExpressRoute 线路复原后,流量自动从 VPN 网关切回。

好处

实现具有 VPN 故障转移功能的 ExpressRoute 可获得以下好处:

  • 它创建了一个可复原、高可用性的网络。

注意事项

实现具有 VPN 故障转移功能的 ExpressRoute 体系结构时,请注意以下几点:

  • 发生故障转移时,带宽会降低到 VPN 连接速度。

  • ExpressRoute 和 VPN 网关资源必须位于同一虚拟网络中。

  • 此配置非常复杂。

  • 实现同时需要 ExpressRoute 连接和 VPN 连接。

  • 实现需要冗余 VPN 网关和本地 VPN 硬件。

    注意

    冗余 VPN 网关即使不使用也会产生付费。

中心辐射型网络拓扑

使用中心辐射型网络拓扑,可以构造由服务器执行的工作负载。它使用单个虚拟网络作为中心,通过 VPN 或 ExpressRoute 连接到本地网络。 分支是与中心对等互连的其他虚拟网络。 可以将特定工作负载分配给每个分支,并将中心用于共享服务。

Diagram of hub-spoke architecture.

可以在单独的订阅或资源组中实现中心和每个分支,然后将其对等互连。

此模型使用前述三种方法之一:VPN、ExpressRoute 和具有 VPN 故障转移功能的 ExpressRoute。 以下各节将讨论相关的好处和挑战。

好处

实现中心辐射型体系结构具有以下好处:

  • 在中心上集中使用和共享服务有可能减少分支上的重复需求,从而降低成本。
  • 对等互连虚拟网络可以消除有关订阅限制的问题。
  • 使用中心辐射型模型,你可以将组织的工作区域分为专用分支,如 SecOps、InfraOps 和 DevOps。

注意事项

在评估是否要使用此混合体系结构时,请考虑以下内容:

  • 查看中心上共享的服务以及分支上的其余内容。

知识检查

1.

为什么要在 Azure 虚拟网络中实现 VPN 网关?

2.

如何路由 VPN 网关与本地网络之间的连接?

3.

实现中心辐射型体系结构的根本原因是什么?