本文說明如何將 IPv4 中樞和輪輻網路拓撲轉換為 IPv6。 本文會以中樞和輪輻網路拓撲做為討論起點,並說明實作 IPv6 支援的步驟。
在中樞和輪輻網路中,中樞虛擬網路是輪輻虛擬網路的連線中心點。 輪輻虛擬網路會連線至中樞,並能為應用程式資源提供隔離。 如需詳細資訊,請參閱轉換為 IPv6。
架構
下載此架構的 Visio 檔案。
工作流程
公用網際網路和跨單位網路:使用者或服務可以透過公用網際網路存取 Azure 資源。 跨單位網路具有內部部署虛擬機器,可透過 VPN 閘道安全地連線至 Azure 網路。
Azure Virtual Network Manager:此元件是負責監視 Azure 內部完整網路基礎結構的管理層。 它會處理虛擬網路的路由、原則和整體健全狀況。
中樞虛擬網路:中樞是指網路拓撲的中心點。 此網路組態支援 IPv4 和 IPv6 (雙重堆疊)。
- Azure Bastion 直接透過傳輸層安全性 (TLS),提供從 Azure 入口網站到虛擬機器的安全無縫遠端桌面協定/安全外殼協議 (RDP/SSH) 連線。
- Azure 防火牆會檢查並過濾中樞與公用網際網路之間的流量。
- ExpressRoute 會將跨單位網路連線至中樞。
- VPN 閘道也會將跨單位網路連線到中樞,並提供備援。
- 中樞虛擬網路內部的服務會將記錄和計量 (診斷) 資料傳送給 Azure 監視器進行監視。
輪輻虛擬網路:有四個輪輻連線至中樞。 每個輪輻都是雙重堆疊網路,同時支援 IPv4 和 IPv6。
元件
- Azure 虛擬網路是私人網路在 Azure 中的基本建置組塊。 虛擬網路可讓多種 Azure 資源 (如 Azure 虛擬機器) 安全地彼此通訊,並與跨單位網路及網際網路通訊。
- 虛擬機器通訊需要虛擬網路介面。 您可以將虛擬機器和其他資源設定為擁有多個網路介面,這樣就可以建立雙重堆疊 (IPv4 和 IPv6) 組態。
- 公用 IP 位址可供 Azure 資源的輸入 IPv4 和 IPv6 連線使用。
- Virtual Network Manager 用於建立和管理網路群組及其連線。
- Azure 防火牆是一項受控雲端網路安全性服務。 它可以保護 Azure 虛擬網路資源。 由 Azure 防火牆管理的一個防火牆執行個體位於其專屬子網路中。
- Azure VPN 閘道或 Azure ExpressRoute 可用於建立虛擬網路閘道,將虛擬網路連線至虛擬私人網路 (VPN) 裝置或 ExpressRoute 線路。 該閘道提供跨單位網路連線能力。
- Azure Load Balancer 可用來讓多個相同用途的機器共用流量。 在此架構中,負載平衡器會將流量分配給支援 IPv6 的多個子網路。
- Azure 中的路由表是一組 UDR,可為網路流量提供自訂路徑定義。
- Azure 虛擬機器是一種支援 IPv6 的基礎結構即服務 (IaaS) 計算解決方案。
- Azure Bastion 是一種完全受控的平台即服務 (PaaS) 產品,由 Microsoft 提供和維護。 它可讓您安全順暢地經由遠端桌面協定和 SSH 存取虛擬機器,而不會透過公用 IP 位址曝光。
- 監視器是全方位的監視解決方案,可讓您從雲端和內部部署環境中收集、分析及回應監視資料。 您可以使用監視器來最大化應用程式和服務的可用性及效能。
將中樞虛擬網路轉換為 IPv6
如要轉換中樞虛擬網路以支援 IPv6,需要更新網路基礎結構以容納 IPv6 位址範圍,讓網路的中央控制部分可以處理 IPv6 流量。 這種方法可確保中央中樞可以使用 IPv6,有效率地路由和管理各網路區段 (輪輻) 之間的流量。 若要在中樞虛擬網路中實作 IPv6,請遵循下列步驟:
為中樞虛擬網路及其中樞子網路新增 IPv6 位址空間
您需要先將 IPv6 位址範圍新增至中樞虛擬網路,再新增至其子網路。 針對虛擬網路使用 /56 位址區塊,並針對每個子網路使用 /64 位址區塊。 以下資料表顯示一個範例設定。
| 中樞虛擬網路位址範圍 | 中樞子網路位址範圍 |
|---|---|
中樞虛擬網路:2001:db8:1234:0000::/56 |
Azure Bastion 子網路:2001:db8:1234:0000::/64Azure 防火牆子網路: 2001:db8:1234:0001::/64VPN 閘道子網路: 2001:db8:1234:0002::/64ExpressRoute 子網路: 2001:db8:1234:0003::/64 |
這些 IPv6 位址僅為範例。 您應該將 2001:db8:1234:: 取代為貴組織的 IPv6 位址區塊。 請仔細規劃並記錄 IPv6 位址配置,以避免重疊並確保有效率地使用位址空間。 如要為中樞虛擬網路新增 IPv6 位址空間,您可以使用 Azure 入口網站、PowerShell 或 Azure CLI。
為每個中樞子網路設定使用者定義的路由 (UDR)
UDR 是您手動設定的路由,可用於覆寫 Azure 的預設系統路由。 在 Azure 中,UDR 對於控制虛擬網路中的網路流量流動至關重要。 您可以使用 UDR,將流量從一個子網路導向 Azure 內部的特定設備、閘道或目標,或導向內部部署網路。 為中樞虛擬網路新增 IPv6 支援時,您需要:
- 新增 IPv6 路由。 如果有已建立的路由表,請新增用來指定 IPv6 位址首碼的新路由。
- 修改現有路由。 如果已經有 IPv4 路由,您可能需要修改它們,以確保它們也適用於 IPv6 流量,或建立個別的 IPv6 專用路由。
- 將路由表關聯至子網路。 定義路由之後,請將路由表關聯至虛擬網路中的相關子網路。 此關聯決定了哪些子網路會使用您所定義的路由。
您不需要為每個資源新增路由,但每個子網路都需要一個路由。 每個子網路可以有多個資源,這些資源都會遵循其子網路相關聯路由表中定義的規則。 如需詳細資訊,請參閱使用者定義的路由概觀。
在範例架構中,中樞虛擬網路有四個子網路:Azure Bastion、Azure 防火牆、VPN 閘道和 ExpressRoute。 下表顯示每個子網路的範例 UDR。
| 中樞子網路 | 描述 | IPv6 位址範圍 | 路由名稱 | Destination | 下一個躍點 |
|---|---|---|---|---|---|
| Azure Bastion | 路由至防火牆 | 2001:db8:1234:0000::/64 |
網際網路路由 | ::/0 |
2001:db8:1234:0001::/64 (Azure 防火牆) |
| Azure 防火牆 | 預設路由 | 2001:db8:1234:0001::/64 |
網際網路路由 | ::/0 |
網際網路閘道 |
| VPN 閘道 | 內部部署路由 | 2001:db8:1234:0002::/64 |
內部部署路由 | 2001:db8:abcd::/56 |
VPN 閘道 |
| ExpressRoute | 內部部署路由 | 2001:db8:1234:0003::/64 |
內部部署路由 | 2001:db8:efgh::/56 |
ExpressRoute |
設定 UDR 時,請確保它們符合您的組織網路原則和 Azure 部署架構。
修改 ExpressRoute 線路 (如適用)
若要為 ExpressRoute 線路提供 IPv6 支援,您需要:
- 啟用 IPv6 私人對等互連。 為 ExpressRoute 線路啟用 IPv6 私人對等互連。 此組態可啟用內部部署網路和中樞虛擬網路之間的 IPv6 流量。
- 配置 IPv6 位址空間。 為主要和次要 ExpressRoute 連結提供 IPv6 子網路。
- 更新路由表。 確保您已透過 ExpressRoute 線路適當地引導 IPv6 流量。
這些組態會透過 ExpressRoute 線路,將 IPv6 連線能力延伸至 Azure 服務,讓您可以同時路由雙重堆疊功能。 若要修改 ExpressRoute,可以使用 Azure 入口網站、PowerShell 或 Azure CLI。
將輪輻虛擬網路轉換為 IPv6
輪輻虛擬網路會連線至中央中樞。 為輪輻虛擬網路提供 IPv6 支援,可讓每個輪輻網路透過更進階的 IPv6 通訊協定進行通訊,並擴展整個網路的一致性。 若要為輪輻虛擬網路提供 IPv6 支援,請遵循下列步驟:
為輪輻虛擬網路和輪輻子網路新增 IPv6 位址空間
如同中樞虛擬網路,您需要先將 IPv6 位址範圍新增至每個輪輻虛擬網路,再新增至其子網路。 針對虛擬網路使用 /56 位址區塊,並針對子網路使用 /64 位址區塊。 下表提供輪輻虛擬網路及其子網路的 IPv6 位址範圍範例。
| 輪輻虛擬網路位址範圍 | 輪輻子網路位址範圍 |
|---|---|
輪輻虛擬網路 1:2001:db8:1234:0100::/56 |
子網路 1:2001:db8:1234:0100::/64子網路 2: 2001:db8:1234:0101::/64子網路 3: 2001:db8:1234:0102::/64 |
輪輻虛擬網路 2:2001:db8:1234:0200::/56 |
子網路 1:2001:db8:1234:0200::/64子網路 2: 2001:db8:1234:0201::/64子網路 3: 2001:db8:1234:0202::/64 |
輪輻虛擬網路 3:2001:db8:1234:0300::/56 |
子網路 1:2001:db8:1234:0300::/64子網路 2: 2001:db8:1234:0301::/64子網路 3: 2001:db8:1234:0302::/64 |
輪輻虛擬網路 4:2001:db8:1234:0400::/56 |
子網路 1:2001:db8:1234:0400::/64子網路 2: 2001:db8:1234:0401::/64子網路 3: 2001:db8:1234:0402::/64 |
請在設定時,根據您的組織配置和需求調整 IPv6 位址。
修改輪輻虛擬網路資源
每個輪輻虛擬網路包含多部虛擬機器和一個內部負載平衡器。 內部負載平衡器可讓您將 IPv4 和 IPv6 流量路由至虛擬機器。 您需要修改虛擬機器和內部負載平衡器,才能支援 IPv6。
您必須為每部虛擬機器建立一個 IPv6 網路介面,並將其關聯至該虛擬機器,以新增 IPv6 支援。 如需詳細資訊,請參閱為虛擬機器新增 IPv6 組態。
當任何一個輪輻虛擬網路缺少內部負載平衡器時,您應該建立一個雙重堆疊內部負載平衡器。 如需詳細資訊,請參閱建立雙重堆疊內部負載平衡器。 如果有內部負載平衡器,您可以使用 PowerShell 或 Azure CLI 新增 IPv6 支援。
為每個輪輻子網路設定使用者定義的路由 (UDR)
若要設定 UDR,輪輻虛擬網路使用的組態需與中樞虛擬網路相同。為輪輻虛擬網路新增 IPv6 支援時,您需要:
新增 IPv6 路由。 如果有已建立的路由表,請新增用來指定 IPv6 位址首碼的新路由。
修改現有路由。 如果已經有 IPv4 路由,您可能需要修改它們,以確保它們也適用於 IPv6 流量,或建立個別的 IPv6 專用路由。
將路由表關聯至子網路。 定義路由之後,請將路由表關聯至虛擬網路中的相關子網路。 此關聯決定了哪些子網路會使用您所定義的路由。
下表顯示輪輻虛擬網路中每個子網路的 UDR 範例。
| 輪輻子網路 | 描述 | IPv6 位址範圍 | 路由名稱 | Destination | 下一個躍點 |
|---|---|---|---|---|---|
| 子網路 1 | 路由至防火牆 | 2001:db8:1234:0100::/64 |
網際網路路由 | ::/0 |
2001:db8:1234:0001::/64 (Azure 防火牆) |
| 子網路 2 | 路由至 VPN 閘道 | 2001:db8:1234:0101::/64 |
VPN 路由 | 2001:db8:abcd::/64 |
2001:db8:1234:0002::/64 (VPN 閘道) |
| 子網路 3 | 路由至 ExpressRoute | 2001:db8:1234:0102::/64 |
ExpressRoute 路由 | 2001:db8:5678::/64 |
2001:db8:1234:0003::/64 (ExpressRoute) |
進行設定時,請確保 UDR 符合您的組織網路原則和 Azure 部署架構。
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主要作者:
- Werner Rall | 資深雲端解決方案架構工程師
其他投稿人:
- Sherri Babylon | 資深技術計劃經理
- Dawn Bedard | 首席技術計劃經理
- Brandon Stephenson | 資深客戶工程師
若要查看非公開的 LinkedIn 個人檔案,請登入 LinkedIn。
下一步
- 建立具有 IPv6 雙重堆疊網絡的虛擬機器
- 管理 IP 位址範圍
- 雲端採用架構:規劃 IP 位址
- 適用於 Azure 虛擬網路的 IPv6
- 透過 ExpressRoute 新增 IPv6 支援
- Azure DNS IPv6 支援
- 適用於 Azure Load Balancer 的 IPv6
- 使用 Azure 入口網站為私人對等互連新增 IPv6 支援