混合云网络

  • 10 分钟

传统的多站点本地网络可能需要将多个分支机构连接到总部。 同样,混合云网络也涉及使用相应的技术将本地用户、应用程序和数据与云中托管的应用程序和数据无缝互连。

在我们的场景中,Tailwind Traders 必须能够以安全的方式将其本地位置连接到其在 Azure 中运行的资源。 Tailwind Traders 需要做到这一点,因此对于其公司员工而言,访问在 Tailwind Traders 本地数据中心中运行的工作负载与访问在 Azure 中运行的工作负载之间没有真正的区别。

在本单元中,你将了解网络技术,这些技术可将本地资源和云资源一起连接到单个混合云中。

什么是 Azure VPN?

借助 Azure VPN 网关,可以使用安全的 VPN 隧道通过公共 Internet 将本地网络连接到 Azure。 Azure VPN 连接类似于在分支机构和总部位置之间可能存在的传统 VPN 连接。 每个虚拟网络只能有一个 VPN 网关,但每个 VPN 网关都支持多个连接。

下图显示本地网络的外围网关设备和 Azure 虚拟网络上的 VPN 网关之间的连接。 它描述了 Azure Stack 设备和 VPN 网关之间的连接。

Diagram of a hybrid network that spans on-premises and Azure infrastructures.

在 Tailwind Traders 示例中,该公司可能会使用 Azure VPN 网关来允许来自较小分支站点的连接,这些分支站点不需要 Azure ExpressRoute 连接提供的专用链接类型。 Azure VPN 网关的主要缺点是,它们依赖 Internet 服务提供商 (ISP) 的 Internet 连接。 如果 ISP 出现故障,则无法建立 VPN 连接。 同样,如果 ISP 遭受严重的拥塞,则本地位置和 Azure 之间的 VPN 连接速度可能会降低。

在分支站点之间使用现有 VPN 连接的组织已面临专用 VPN 连接带来的挑战。

什么是 Azure ExpressRoute?

通过 Microsoft Azure ExpressRoute,组织可以建立从其本地网络到 Azure 的专用高速连接。 此连接并不跨越公共 Internet。 在功能上,它充当从本地位置直接连接到最近的 Azure 数据中心的专用光纤线。

与 VPN 网关不同,提供此连接的设备由 ExpressRoute 提供商管理。 由于 ExpressRoute 提供商管理所有设备,因此它可以提供可靠性和带宽方面的服务级别协议 (SLA),而 Azure VPN 网关连接用户无法办到这一点。

下图显示了本地环境与 Azure 中运行的工作负载之间的 ExpressRoute 连接。 ExpressRoute 提供商管理 ExpressRoute 线路和本地边缘路由器。

Diagram of a hybrid network architecture using Azure ExpressRoute.

ExpressRoute 除了可以在本地环境和 Azure 之间提供专用的带宽连接,还使组织能够确保敏感流量不会通过公共 Internet 传递。 这在管辖区很重要,在这些管辖区,治理要求禁止通过 Internet 传输某些类型的信息。

在示例案例研究中,Tailwind Traders 可能会从员工较多的大公司(例如墨尔本、悉尼和奥克兰公司)实现 ExpressRoute 连接。 如果由于合规性要求,公司处理的某些类型的数据无法通过 Internet 传输,则该公司可能也需要使用 ExpressRoute。

什么是混合 DNS?

实现混合云时,必须确保本地工作负载可以解析云工作负载的地址,并且确保相应云工作负载可以解析本地工作负载的地址。 混合云中的域名系统 (DNS) 部署通常需要本地和 Azure 中的 DNS 服务器。 此外,必须在本地和云之间配置 DNS 区域传送。 替代方法是,如果本地 DNS 区域与 Azure 中运行的工作负载关联的 DNS 区域分开,则配置 DNS 转发器。

下图演示 DNS 服务器在本地将 DNS 信息复制到 Azure 中运行的 DNS 服务器。 在此场景中,虚拟机 (VM) 部署为 Azure 中的 DNS 服务器。 在该图中,本地 DNS 通过 VM 中的 DNS 服务器连接到中心订阅。 其他 Azure 订阅连接到中心订阅。

Diagram that shows a hybrid DNS architecture.

或者,Azure DNS 专用解析程序是一项服务,借助这项服务,无需部署基于 VM 的 DNS 服务器即可从本地环境查询 Azure DNS 专用区域,反之亦然。 专用解析程序服务是完全托管的,具有内置的高可用性功能。

Tailwind Traders 可以使用 Azure DNS 专用解析程序确保它在 Azure 中运行的所有工作负载都可以解析 Tailwind Traders 内部网络上主机的 DNS 名称。 它还将确保所有 Tailwind Traders 内部网络主机都能够解析在云中运行的工作负载的 DNS 名称。

什么是 Azure 虚拟 WAN?

Azure 虚拟 WAN 允许组织在中心辐射型体系结构中使用 Azure 的网络。 Azure 的网络充当作为分支的终结点之间的传递连接的中心。

通常你可能具有网络拓扑,其中每个分支机构都具有到总部站点的 VPN 连接。 如果流量要从一个分支机构传递到另一个分支机构,它将通过中心站点到达相应分支机构。 如果总部和分支机构站点都通过 VPN 或 ExpressRoute 连接到 Azure,这些连接可以形成分支。 Azure 虚拟 WAN 可以作为本地位置之间的流量的路由中心。

下图显示 Azure 虚拟 WAN 拓扑。

Diagram that shows Azure Virtual WAN topology with multiple sites connected to each other in a hub and spoke topology through Azure.

借助 Azure 虚拟 WAN,Tailwind Traders 不再使用 VPN 连接来连接分支机构和位于悉尼、墨尔本和奥克兰的数据中心位置。 它提供一种拓扑,每个分支机构和数据中心都有一个 VPN 或 ExpressRoute 连接到 Azure。 Azure 虚拟 WAN 服务管理各位置之间流量的路由。

知识检查

1.

Tailwind Traders 必须确保从堪培拉公司传输到 Azure 中运行的工作负载的数据即使在加密隧道中也不会通过公共 Internet 传递。 Tailwind Traders 可以使用以下哪种技术将该gong是连接到 Azure 中运行的工作负载?

2.

目前,所有 Tailwind Traders 分支机构位置都使用 VPN 连接链接到悉尼公司。 分支机构的内部网络流量均以中心辐射型体系结构的形式通过悉尼进行路由。 Tailwind Traders 不想将悉尼公司用作分支机构之间用于路由流量的中心,而更偏好使用 Azure。 Tailwind Traders 可以使用以下哪种技术来实现这一目标?