共用方式為

傳統 Azure 網路拓撲

  • 發行項

重要

嘗試可提供 Azure 資源視覺化的拓樸體驗,方便庫存管理和大規模監控網路。 使用拓樸功能以視覺化資源及其跨訂閱、區域和位置的依賴關係。

本文說明 Microsoft Azure 網路拓樸的主要設計考量和建議。 下圖顯示傳統的 Azure 網路拓樸:

說明傳統 Azure 網路拓樸的圖表。

設計考量

  • 各種網路拓樸結構可以連線多個登陸區域虛擬網路。 網路拓樸的範例包括中樞和輪輻、完整網格及混合拓樸。 您也可以擁有透過多個 Azure ExpressRoute 路由或連線以連接的多個虛擬網路。

  • 這些虛擬網路無法穿越訂用帳戶邊界。 但是,您可以使用虛擬網路對等互連、ExpressRoute 線路或 VPN 閘道來達成跨不同訂閱的虛擬網路之間的連線。

  • 虛擬網路對等互連是連接 Azure 虛擬網路的首選方法。 您可以使用虛擬網路對等互連來連接同一區域、不同 Azure 區域以及不同 Microsoft Entra 租用戶中的虛擬網路。

  • 虛擬網路對等互連和全域虛擬網路對等互連不具轉移性。 若要啟用傳輸網路,您需要使用者定義的路由 (UDR) 和網路虛擬裝置 (NVA)。 有關詳細資訊,請參閱 Azure 中的中心輻射網路拓撲

  • 您可以在單一 Microsoft Entra 租用戶的所有虛擬網路中分享 Azure DDoS 保護計劃,以保護具有公用 IP 位址的資源。 如需相關資訊,請參閱 DDoS 保護

    • DDoS 保護計劃僅涵蓋具有公用 IP 位址的資源。

    • DDoS 保護計劃的費用包括受保護虛擬網路中與 DDoS 保護計劃相關的 100 個公用 IP 位址。 保護更多資源的成本更高。 如需更多資訊,請參閱 DDoS 保護定價常見問題

    • 檢閱 DDoS 保護計劃的支援資源

  • 您可以使用 ExpressRoute 線路在同一地緣政治區域內的虛擬網路之間建立連線,或使用進階附加元件來建立跨地緣政治區域的連線。 請記住以下幾點:

    • 網路對網路的流量可能會經歷更多的延遲,因為流量必須在 Microsoft Enterprise Edge (MSEE) 路由器上 Hairpin。

    • ExpressRoute 閘道 SKU 會限制頻寬。

    • 如果您需要檢查或記錄虛擬網路流量的 UDR,請部署和管理 UDR。

  • 具備邊界閘道通訊協定 (BGP) 的 VPN 閘道在 Azure 和內部部署網路內是互易的,但預設不提供透過 ExpressRoute 連線的網路的轉移存取。 如果您需要對透過 ExpressRoute 連線的網路轉移存取,請考慮使用 Azure 路由伺服器

  • 當您連線多個 ExpressRoute 線路到相同的虛擬網路時,需使用連線權數和 BGP 技術,來確保內部部署網路與 Azure 之間流量的最佳路徑。 如需更多資訊,請參閱最佳化 ExpressRoute 路由

如果使用 BGP 計量來影響 ExpressRoute 路由,則需要在 Azure 平台外變更設定。 您的組織或連線提供者必須相應地設定內部路由器。

  • ExpressRoute 線路與進階附加元件可提供全域連線。

  • ExpressRoute 有一定的限制,包括每個 ExpressRoute 閘道的最大 ExpressRoute 連線數。 而 ExpressRoute 私人對等互連對於它可以從 Azure 識別到內部部署的路由數量有最大限制。 如需詳細資訊,請參閱 ExpressRoute 限制

  • VPN 閘道的最大彙總輸送量為每秒 10 GB。 VPN 閘道可支援 100 個站對站或網路對網路通道。

  • 如果 NVA 是架構的一部分,請考慮使用路由伺服器來簡化 NVA 與虛擬網路之間的動態路由。 使用路由伺服器在任何支援 BGP 的 NVA 與 Azure 虛擬網路中的 Azure 軟體定義網路 (SDN) 之間直接透過 BGP 交換路由資訊。 使用這種方法,您不需要手動設定或維護路由表。

設計建議

  • 針對下列情況,考慮基於傳統中樞和輪輻網路拓樸的網路設計:

    • 在單一 Azure 區域內部署的網路架構。

    • 橫跨多個 Azure 區域的網路架構,不需要跨區域登陸區域的虛擬網路之間的可轉移連線能力。

    • 橫跨多個 Azure 區域的網路架構,以及可跨 Azure 區域連接虛擬網路的全域虛擬網路對等互連。

    • VPN 和 ExpressRoute 連線之間不需要可轉移連線能力。

    • 目前主要採用的混合連線方式是 ExpressRoute,每個 VPN 閘道的 VPN 連線數量少於 100 個。

    • 這有賴於集中式 NVA 和細微路由。

  • 對於區域部署,主要使用中樞和輪輻拓樸,每個 Azure 區域都有一個區域中樞。 使用虛擬網路對等互連的應用程式登陸區域虛擬網路連接至區域中樞虛擬網路,適用於下列情況:

    • 透過兩個不同對等位置啟用的 ExpressRoute 進行跨企業內部連線。 如需更多資訊,請參閱為復原能力設計和建構 ExpressRoute

    • 用於分支連線的 VPN。

    • 透過 NVA 和 UDR 進行輪輻對輪輻連線。

    • 透過 Azure Firewall 或其他非 Microsoft NVA 提供網際網路輸出保護。

  • 下圖顯示了中樞和輪輻拓樸結構。 使用此設定可確保適當的流量控制,並滿足大部分的分割和檢查需求。

    說明中樞與輪輻網路拓撲的圖表。

  • 在下列情況下,使用具有多個虛擬網路的拓樸結構,這些虛擬網路透過不同對等位置的多個 ExpressRoute 線路連線:

  • 以下圖表顯示此拓撲。

    說明使用多個 ExpressRoute 路由連線多個虛擬網路的圖表。

  • 若要在同一城市內進行雙主機對等互連,請考慮 ExpressRoute Metro

  • 在中央樞紐虛擬網路中部署 Azure 防火牆或合作夥伴的 NVA,以提供東/西或南/北流量保護和篩選。

  • 在中央樞紐虛擬網路中部署一套最低限度的共用服務,包括 ExpressRoute 閘道、VPN 閘道 (視需要而定) 以及 Azure 防火牆或合作夥伴 NVA (視需要而定)。 如有必要,還需部署 Active Directory 網域控制器和 DNS 伺服器。

  • 在連線訂用帳戶中部署單一 DDoS 保護標準方案。 對所有登陸區域和平台虛擬網路使用此計劃。

  • 使用您現有的網路、多重通訊協定標籤交換 (MPLS) 和 SD-WAN 來連線分公司與公司總部。 如果您不使用路由伺服器,那麼在 Azure 中就不支援 ExpressRoute 連線與 VPN 閘道之間的傳輸。

  • 在中央樞紐虛擬網路中部署 Azure 防火牆或合作夥伴的 NVA,以提供東/西或南/北流量保護和篩選。

  • 當您部署合作夥伴網路技術或 NVA 時,請遵循合作夥伴廠商的指引,以確保:

    • 廠商支援部署。

    • 本指南支援高可用性和最大效能。

    • Azure 網路沒有衝突的組態。

  • 不要在中央樞紐虛擬網路中部署第 7 層傳入 NVA,例如 Azure 應用程式閘道,作為共用服務。 反之,請將它們與應用程式一起部署在各自的登陸區域。

  • 在連線訂用帳戶中部署單一 DDoS 保護標準方案。

    • 所有的登陸區域和平台虛擬網路都應使用此方案。

  • 使用您現有的網路、多重通訊協定標籤交換和 SD-WAN 來連線分公司與公司總部。 如果您不使用路由伺服器,則 Azure 不支援 ExpressRoute 與 VPN 閘道之間的傳輸。

  • 如果您需要 ExpressRoute 與 VPN 閘道之間在中樞和輪輻情境中的轉換性,請使用路由伺服器。 如需更多資訊,請參閱路由伺服器對 ExpressRoute 和 Azure VPN 的支援

    圖表說明使用路由伺服器的 ER 和 VPN 閘道之間的可轉移性。

  • 當您在多個 Azure 區域擁有中樞和輪輻網路,且需要跨區域連線幾個登陸區域時,請使用全域虛擬網路對等互連。 您可以直接連線需要互相路由流量的登陸區域虛擬網路。 根據通訊虛擬機器的 SKU,全域虛擬網路對等互連可提供高網路輸送量。 在直接登陸區域虛擬網路之間傳輸的流量會繞過中樞虛擬網路內的 NVA。 全域虛擬網路對等互連的限制適用於流量。

  • 當您在多個 Azure 區域擁有中樞和輪輻網路,且需要跨區域連線大部分登陸區域時,請使用中樞 NVA 將各區域的中樞虛擬網路彼此連線,並跨區域路由流量。 如果因為與您的安全需求不相容而無法使用直接對等互連來繞過中樞 NVA,您也可以使用此方法。 全域虛擬網路對等互連或 ExpressRoute 線路可透過下列方式協助連線中樞虛擬網路:

    • 全域虛擬網路對等互連提供低延遲、高輸送量的連線,但會產生流量費用

    • 如果您透過 ExpressRoute 路由,可能會因為 MSEE Hairpin 而增加延遲。 所選的 ExpressRoute 閘道 SKU 限制了輸送量。

下圖顯示中樞對中樞連線的選項:

說明中樞對中樞連線選項的圖表。

  • 需要連接兩個 Azure 區域時,請使用全域虛擬網路對等互連來連線各區域的中樞虛擬網路。

  • 如果您的組織使用基於 Azure 虛擬 WAN 的受管理全域傳輸網路架構:

    • 需要橫跨兩個以上 Azure 區域的中樞和輪輻網路架構。

    • 需要跨 Azure 區域的登陸區域虛擬網路之間的全域傳輸連線。

    • 希望將網路管理開銷降至最低。

  • 當您需要連接兩個以上的 Azure 區域時,那麼我們建議每個區域的中樞虛擬網路連接到相同的 ExpressRoute 線路。 全域虛擬網路對等互連需要您在多個虛擬網路中管理大量的對等互連關係和一組複雜的 UDR。 下圖顯示如何在三個區域中連線中樞和輪輻網路:

    說明 ExpressRoute 在多個區域之間提供中樞到中樞連線的圖表。

  • 當您使用 ExpressRoute 線路進行跨區域連線時,不同區域的輪輻會直接通訊並繞過防火牆,因為它們是透過 BGP 路由來學習遠端中樞的輪輻。 如果需要中樞虛擬網路中的防火牆 NVA 檢查跨中樞和輪輻的流量,則必須實施其中一個選項:

  • 當您的組織需要橫跨兩個以上 Azure 區域的中樞和輪輻網路架構,以及跨 Azure 區域的登陸區域虛擬網路之間的全域傳輸連線,並且希望將網路管理開銷降至最低時,我們建議您採用以虛擬 WAN 為基礎的管理式全域傳輸網路架構。

  • 將每個區域的中樞網路資源分別部署到不同的資源群組,並將它們分類到每個已部署的區域。

  • 使用 Azure 虛擬網路管理員跨訂用帳戶在全域管理虛擬網路的連線和安全性設定。

  • 使用 Azure 監視器網路深入解析來監控 Azure 上網路的端對端狀態。

  • 將輪輻虛擬網路連線到中樞虛擬網路時,必須考慮以下兩項限制

    • 每個虛擬網路的最大虛擬網路對等互連連線數。

    • 具有私人對等互連的 ExpressRoute 從 Azure 向內部部署廣告的最大前綴數量。

    • 確保連線到中樞虛擬網路的輪輻虛擬網路數量不超過這些限制。

後續步驟

虛擬 WAN 網路拓撲