什么是 Azure 虚拟 WAN?
Azure 虚拟 WAN 是用于网络、安全性和路由的统一框架。
你将调查 Contoso 如何从典型的中心辐射型网络迁移。 跨 Azure 区域使用的 Azure 虚拟 WAN 和虚拟 WAN 中心,似乎是一个有希望的解决方案。
可以将虚拟 WAN 中心连接到你的分支、虚拟网络和远程用户。 中心通过当前 Contoso 网络提供缩放能力和增强的性能。
什么是中心辐射型拓扑?
这种网络拓扑称为星型拓扑或中心辐射,通常用作经典的站点到站点的 WAN 服务。
Contoso 正在考虑使用 Azure 异地扩展其 WAN。 Azure 的网络遍布全球,其中许多数据中心使用 Azure 全球高速主干网相互连接。
最初,将服务移动到 Azure 时,会创建一个虚拟网络来连接到虚拟机 (VM)。 Azure VPN 网关连接到本地网络。
使用 Azure 门户创建虚拟 WAN 时,会创建虚拟中心、虚拟网络和网关(可选)作为其组件。
此虚拟中心充当连接到本地网络和其他虚拟网络的焦点。 分支是与中心对等互连的虚拟网络。
支持区域和全球虚拟网络对等互连。 虚拟网络对等互连是指虚拟网络相互之间的相互连接。 出于连接目的,虚拟网络将显示为一个。 将使用 VPN 网关或 ExpressRoute 连接中心和分支。
通过此对等互连,可以连接多个位置。 添加更多的位置和 WAN 后,网络的复杂性会增长。 跟踪所有网络连接、客户管理的虚拟中心和对等互连进程可能会变得很困难。
Azure 虚拟 WAN 提供单一界面来管理所有这些要点,从而解决此问题。 还将添加软件定义的高性能虚拟 WAN 中心。
Azure 虚拟 WAN
Azure 虚拟 WAN 是一种中心辐射型体系结构。 虚拟 WAN 是 Microsoft 管理的、基于 Azure 的网络服务。
Microsoft 托管和管理构成此服务的所有组件。 它易于部署和使用,同时提供以下服务:
- 实现对虚拟网络中全球分布的工作负载的任意连接性
- 连接:
- 使用点到站点 VPN 的在家办公的用户和移动用户
- 使用站点到站点 VPN 的分支机构
- 使用 ExpressRoute 进行专用连接的主要园区和数据中心
在 Azure 区域中启用的虚拟 WAN 中心充当网络中心。 这些中心在全网状集成中进行连接。 该集成支持对全球分布的工作负载的任意连接性访问。
若要开始使用虚拟 WAN:
- 在当前支持许多辐射的 Azure 区域中创建单个虚拟 WAN。
- 将区域辐射连接到中心,然后将其他区域连接到中心。 中心将成为区域连接的连接点。
Azure 虚拟 WAN 中心
经典的硬件中心允许接入的所有网络设备直接相互通信。 虚拟 WAN 中心是一种复杂的软件定义中心。
可以在任何 Azure 区域中部署 Azure 虚拟 WAN 中心。 可以连接每个中心以使用标准 Azure 连接服务。
例如,位于英国 Azure 区域的分支机构可以连接到美国的区域。 它们通过 Azure 全球网络使用中心到中心连接进行连接。
在跨多个区域的单个虚拟 WAN 中,部署了多个中心,这些中心会自动通过中心到中心链接进行互连。 这些互连实现了到分支和虚拟网络的全球连接。
下图描述了一个 Azure 虚拟 WAN 部署,其中有两个虚拟中心位于不同的 Azure 区域,还有网络流量流。
安全虚拟中心
若要将虚拟中心转换为安全虚拟中心,请使用 Azure 防火墙管理器。
防火墙规则由防火墙管理器创建,允许为网络流量创建安全性和路由策略。 可以筛选来自 Internet、专用 IP 地址或 Azure 平台服务的数据。
备注
用户定义的路由不需要通过防火墙路由流量。
安全虚拟中心支持预配两个安全提供程序:
- 用于专用流量的 Azure 防火墙
- 与防火墙管理器集成的第三方安全提供程序
虚拟中心或安全虚拟中心是虚拟 WAN 的区域连接点。 这些中心支持多个服务终结点。 终结点提供网络和服务之间的连接。 它们是每个区域的网络核心。