介绍 Azure 网络拓扑

  • 10 分钟

Contoso 有一个广泛的本地网络,作为部署在不同数据中心和办公室中的资源之间通信的基础。 IT 员工可以在 Azure 中部署网络组件来实现 Azure 资源之间以及 Azure 资源与本地资源之间的通信,这一点很重要。

作为首席系统工程师,你确定 Microsoft Azure 网络提供对 Azure 中资源、Azure 中的两个服务之间,以及 Azure 与本地环境之间的连接。 这样做有一个额外的好处:有多个 Azure 网络组件可以提供应用程序保护和帮助保护应用程序,并增强网络的安全性。

什么是虚拟网络?

在本地环境中部署计算机时,通常将计算机连接到网络,从而使它们能够直接相互通信。 Azure 虚拟网络 (VNet) 具有这样的基本用途。

将 VM 放置在其他 VM 所在的 VNet 上,实际上就是在同一个专用 IP 地址空间内提供它们之间的直接 IP 连接。 你也可以将不同的 VNet 连接在一起。 此外,还可以将 Azure 中的 VNet 连接到本地网络,从而使 Azure 实际上成为自己的数据中心的扩展。

Azure VNet 构成由所选专用 IP 地址空间定义的逻辑边界。 你将此 IP 地址空间划分为一个或多个子网,就像在本地网络中那样。 但是,在 Azure 中,任何额外网络管理任务都更简单。

例如,某些网络功能(如同一个 VNet 中的子网之间的路由)是自动提供的。 同样,默认每个 VM 都可以访问 Internet,其中包括对出站连接和 DNS 名称解析的支持。

什么是网络接口?

网络接口是指 VM 与 VNet 之间互相连接的桥梁。 VM 必须至少有一个网络接口(连接到 VNet),但它可以有多个网络接口,具体取决于你创建的 VM 的大小。 你可以创建具有多个网络接口的 VM,并在 VM 的整个生命周期中添加或删除网络接口。 多个网络接口使 VM 能连接到同一 VNet 中的不同子网,并通过最合适的接口发送或接收流量。

名为 ContosoVM1VNET 的 VNet 接口的概述页面屏幕截图。其中列出了 3 个已连接的设备:ContosoVM1VMNIC、ContosoVM2VMNIC 和 ContosoVM3VMNIC。

附加到 VM 的每个网络接口必须:

  • 位于与 VM 相同的位置和订阅中。
  • 连接到与 VM 位于相同 Azure 位置和订阅中的 VNet。

什么是网络安全组?

网络安全组 (NSG) 筛选入站和出站网络流量,并且包含用于允许或拒绝已筛选的网络流量的安全规则。 配置这些 NSG 安全规则后,你可以通过允许或拒绝特定的流量类型来控制网络流量。

可以将 NSG 分配给:

  • 网络接口,以便仅筛选该接口上的网络流量。
  • 子网,以筛选该子网中所有已连接的网络接口上的流量。

还可以将 NSG 既分配给网络接口又分配给子网。 然后,单独评估每个 NSG。

子网对象包含两个虚拟机:VM1 和 VM2。VM1 通过分配名为 NSG1 的 NSG 进行保护。整个子网由名为 NSG2 的网络安全组保护。

什么是 Azure 防火墙?

Azure 防火墙是一项基于云的网络安全服务,它帮助保护 VNet 资源。 使用 Azure 防火墙可以集中创建和管理整个组织内的网络连接配置文件。

Azure 防火墙解决方案包含许多分支 VNet,这些分支 VNet 连接到含防火墙的中心 VNet。而此中心 VNet 连接到本地网络和 Internet。根据这两种不同环境之间的不同规则进行流量筛选。

Azure 防火墙对 VNet 资源使用静态公共 IP 地址。 因此,外部防火墙可识别源自你的组织的 VNet 的流量。 Azure 防火墙还与 Azure Monitor 完全集成,从而支持日志记录和分析。

什么是 Azure VPN 网关?

VPN 网关是一类特有的 VNet 网关,可用于在两个位置之间发送加密流量。 例如,你可以使用 Azure VPN 网关在下面两个位置之间发送加密流量:

  • Azure VNet 和本地位置之间(通过 Internet 发送)。
  • Azure VNet 和其他 Azure VNet 之间(通过 Microsoft 网络发送)。

每个 VNet 只能有一个 VPN 网关,但你可以创建与同一个 VPN 网关的多个连接。

什么是 Azure ExpressRoute?

通过 ExpressRoute,可以将本地网络扩展到 Microsoft 云。 与 VPN 连接不同,ExpressRoute 使用电信提供商提供的专用连接。 使用 ExpressRoute 可与 Microsoft 云服务(包括 Azure 和 Microsoft Office 365)建立连接。

什么是 Azure 虚拟 WAN?

Azure 虚拟 WAN 是一种网络服务,提供网络、安全性和路由功能。 虚拟 WAN 使用具有内置的缩放和性能的中心辐射型体系结构。 Azure 区域充当可供连接的中心。 在标准虚拟 WAN 中所有中心以全网状连接,这使用户可以更轻松地使用 Microsoft 主干网来实现任意位置(任何分支)之间的连接。

Azure 虚拟 WAN 包含以下功能:

  • 分支机构连接
  • 站点到站点 (S2S) VPN 连接
  • 点到站点 (P2S) VPN(远程用户)连接
  • ExpressRoute 连接
  • 云内连接
  • VPN ExpressRoute 互连
  • 路由
  • Azure 防火墙
  • 加密

要开始使用虚拟 WAN,不需要你启用和使用上述所有功能。 而是可以选择你现在需要的功能,并根据组织的需要添加。

Azure 子网扩展

Contoso 员工在考虑将工作负载扩展到云时,调查了 Azure 提供的许多解决方案,包括 Azure 子网扩展。 通过扩展子网,可将 Azure 资源作为自己本地子网的一部分,这实际上是将这些单独的位置作为同一个 IP 广播域的一部分。 子网扩展的一个特别有吸引力的功能是 Contoso 的基础结构人员不一定需要重构本地网络拓扑架构。

注意

应避免使用子网扩展,除非将它作为解决特定问题的临时方法。

你可以使用基于第 3 层叠加网络的解决方案将本地子网扩展到 Azure。 你通常会通过第 3 层叠加网络来使用 VXLAN 解决方案扩展第 2 层网络。

下图展示一个通用的方案。 在此方案中,子网 10.0.1.0/24 同时在两边存在,也就是既在 Azure 中又在本地。 这两个子网都有虚拟化工作负载。 子网扩展连接同一子网的这两个部分。 基础结构团队已将子网中的 IP 地址分配给位于 Azure 和本地的 VM。

本地环境内,在基础结构中的其他位置,网络虚拟设备 (NVA) 通过 ExpressRoute 连接到位于 Azure 中另一个子网中的 NVA。 当本地网络中的 VM 尝试与 Azure VM 通信时,本地 NVA 捕获数据包,封装它,再通过 VPN/ExpressRoute 连接发送到 Azure 网络。 Azure NVA 接收数据包,进行解封装,然后将其转发到所在网络中的目标接收端。 返回流量逻辑相同,但方向相反。

通过 ExpressRoute 连接和子网扩展连接本地 VNet 和 Azure VNet(如上文所述)的示意图。