在 Azure 中规划虚拟网络
你根据自己的研究选择实现中心辐射型网络体系结构,方便公司迁移到 Azure。 作为项目的首席架构师,你不仅要使用 Azure ExpressRoute 来管理虚拟网络设计的生产以确保总部的连接性, 还必须决定如何将公司的分支办事处连接到新的中心辐射型网络。
此单元介绍 Azure 平台中的虚拟网络、设计注意事项,以及如何实现 ExpressRoute 以连接到本地网络。
Azure 虚拟网络简介
虚拟网络在 Azure 中提供网络服务,并能扩展现有的本地基础结构。 Azure 虚拟网络可以表示云中的专用 IT 基础结构,按照逻辑对订阅中的专用资源进行隔离。 虚拟网络支持:
- 外部连接到 Internet。
- 在不同内部 Azure 资源之间通信。
- 隔离这些资源。
- 连接本地计算机。
- 管理流量。
虚拟网络的两个重要元素是“子网”和“网络安全组”。
- 子网:每个虚拟网络可以包含多个子网。 每个子网都具有自己的唯一属性。
- 网络安全组:可使用网络安全组 (NSG) 筛选通过虚拟网络或子网的入站和出站流量。 还可使用 NSG 按源和目标 IP 地址、端口或协议筛选流量。
虚拟网络的计划和设计注意事项
无论是在本地还是在云中,任何网络都需要使用某种方法来管理经过的流量的流、方向和类型。 对于虚拟网络,需要注意以下几点:
- 分段:请务必考虑到可能将流量隔离到不同的子网或虚拟网络,或单独的订阅中。
- 安全性:使用 NSG 和网络虚拟设备可筛选虚拟网络中往返于资源间的流量。
- 连接性:可使用虚拟网络对等互联将一个虚拟网络连接到其他虚拟网络,可使用 ExpressRoute 或 Azure VPN 网关将一个虚拟网络连接到本地网络。
- 路由:Azure 虚拟网络在每个子网中自动创建路由表,并向表中添加默认的系统路由。 使用自定义路由,可以替代这些默认系统路由。 使用自定义路由,可通过网络虚拟设备定向流量,从而提供更强的安全性和筛选功能。
连接本地网络
在将本地网络与 Azure 集成时,需要在两个网络之间进行桥接。 Azure VPN 网关可提供此功能。 VPN 网关通过 Internet 在两个网络之间发送加密流量。 虽然一个虚拟网络只能分配到一个网关,但网关支持通过可用带宽路由 VPN 隧道的多个连接。 在 Azure 中还可以使用 VPN 网关实现网络之间的连接。
Azure ExpressRoute 是用于桥接的另一个选择。 使用 ExpressRoute,可以通过专用连接将本地网络扩展到 Azure。 此连接借助连接或云交换提供程序完成。 ExpressRoute 的扩展范围不限于 Azure 资源,且支持与其他 Microsoft 云服务(如 Office 365)建立连接。
实现 ExpressRoute 需要一些时间。 完成此工作必须使用连接提供程序,并且可能需要进行物理网络设备实现。 若要在此实现正在进行时提供连接,可以使用站点到站点 VPN 在本地资源与 Azure 虚拟网络之间添加连接。 然后在服务提供商确认设置已完成后,迁移到新的 ExpressRoute 连接。
在中心辐射型拓扑中使用 ExpressRoute
在中心辐射型网络拓扑中使用 ExpressRoute 与其他体系结构模式没有什么不同。 ExpressRoute 能对中心与本地网络之间的连接提供支持,最适合传入和传出数据吞吐量较高的情况。
使用线路管理和路由流量,将 ExpressRoute 链接到 Azure 中的虚拟网络。 要连接到虚拟网络的线路可能位于不同的区域或订阅中。 每个 ExpressRoute 线路的虚拟网络数有限制。 对于标准层,此限制目前为 10 个网络。 如果使用高级外接程序,将根据线路大小提高限制。 最小数量为 50-Mbps 线路上的 20 个虚拟网络,最大数量是 10-Gbps 或更大线路上的 100 个虚拟网络。