Azure 上的內部部署網路整合
您的公司計劃將大部分的內部部署資源移轉到 Azure。 不過,小型資料中心必須保留於內部部署,才能整合到 Azure 網路。 此架構模型需要考量針對數個衛星辦公室使用 Azure 網路連線。 您想要使用混合式網路架構,來授與對您內部部署與雲端式資源的存取權。
若要處理移轉,您會針對 Azure 產生一個網路整合方案,其中包含可在 Azure 中使用的最佳混合式網路選項。 這些選項必須滿足組織對混合式連線的需求。
在此單元中,您會探索 Azure 平台上的內部部署連線。 您也會取得 Azure 虛擬網路的概觀,以及了解如何使用 Azure VPN 閘道來保護對內部部署網路的流量。
關於 Azure 虛擬網路
Azure 虛擬網路服務具有一組特定的工具與資源,可用來為您的組織建置雲端式網路架構。 Azure 虛擬網路可為您訂用帳戶內所有允許的 Azure 資源提供一個安全的虛擬通訊通道。
使用 Azure 虛擬網路,您可以:
- 將虛擬機器連線至網際網路。
- 在裝載於各種資料中心與區域的 Azure 資源之間提供安全通訊。
- 隔離及管理 Azure 資源。
- 連線至內部部署電腦。
- 管理網路流量。
根據預設,虛擬網路內的所有 Azure 資源都具有對網際網路的連出連線能力。 外部連入通訊必須通過公開端點連入。 所有內部資源都會使用私人端點來存取虛擬網路。
虛擬網路由許多元素所組成。 包括但不限於網路介面、負載平衡器、子網路、網路安全性群組,以及公用 IP 位址。 這些元素會共同運作,並在您的 Azure 資源、網際網路與內部部署網路之間建立安全、可靠的網路通訊。
Azure 虛擬網路上的流量路由傳送
來自子網路的連出流量會根據目的地 IP 位址進行路由傳送。 路由表會定義流量的路由傳送方式,以及後續會發生的情況。 目的地 IP 位址可以跨多個路由表首碼定義存在 (例如 10.0.0.0/16 與 10.0.0.0/24)。 路由器會使用複雜的演算法來尋找最長的首碼相符項目。 流向 10.0.0.6 位址的流量會解析為 10.0.0.0/24 首碼,並據以進行路由傳送。
有兩個主體路由表:系統與自訂。
系統路由表
Azure 會自動為虛擬網路及虛擬網路內的每個子網路遮罩建立一組預設路由表。 這些系統路由是固定,且無法編輯或刪除。 不過,您可以使用自訂路由表來覆寫預設設定。
典型的預設路由表看起來可能會像這樣:
Source | 位址首碼 | 下一個躍點類型 |
---|---|---|
預設 | 虛擬網路獨有 | 虛擬網路 |
預設 | 0.0.0.0/0 | 網際網路 |
預設 | 10.0.0.0/8 | 無 |
預設 | 172.16.0.0/12 | 無 |
預設 | 192.168.0.0/16 | 無 |
預設 | 100.64.0.0/10 | 無 |
路由表由來源、位址首碼與 下一個躍點 類型組成。 離開子網路的所有流量都會使用路由表來找出接下來應前往的位置。 實際上,流量會尋找其旅程中的下一個躍點。
下一個躍點會根據首碼定義流量流程接下來會發生什麼情況。 下一個躍點有三種類型:
- 虛擬網路:流量會根據虛擬網路內的 IP 位址進行路由傳送。
- 網際網路:流量會路由傳送到網際網路。
- 無:會捨棄流量。
自訂路由表
除了系統定義的路由表之外,您也可以建立自訂路由表。 這些使用者定義的路由表會覆寫預設的系統資料表。 您在自訂資料表中可以擁有的路由項目數會有所限制。
下表列出要套用到虛擬網路之許多限制的其中幾個:
資源 | 預設值或最大數目 |
---|---|
虛擬網路 | 1,000 |
每個虛擬網路的子網路數目 | 3,000 |
每個虛擬網路的虛擬網路對等互連 | 500 |
每個虛擬網路的私人 IP 位址 | 65,536 |
自訂路由表與系統路由表很類似,同樣也有下一個躍點類型。 但是自訂路由表提供了另外幾個選項:
- 虛擬設備:此選項通常是執行特定網路應用程式 (例如防火牆) 的虛擬機器。
- 虛擬網路閘道:當您想要將流量傳送到虛擬網路閘道時使用此選項。 虛擬網路閘道類型必須是 VPN。 此類型不能是需要設定邊界閘道協定 (BGP) 路由傳送程序的 Azure ExpressRoute。
- 無:此選項會捨棄流量,而不會轉送流量。
- 虛擬網路:此選項可讓您覆寫預設的系統路由。
- 網際網路:此選項可讓您指定所有首碼都會將流量轉送到網際網路。
連線 Azure 虛擬網路
您可以透過數種方式來連線虛擬網路。 您可以使用 Azure VPN 閘道或 ExpressRoute,或者可以直接使用對等互連方法。
Azure VPN 閘道
當您致力於將內部部署網路與 Azure 整合時,您需要這兩者間的橋接器。 VPN 閘道是提供此功能的 Azure 服務。 VPN 閘道可以在兩個網路之間傳送加密流量。 VPN 閘道支援多個連線,讓其能夠路由傳送使用任何可用頻寬的 VPN 通道。 您只能為虛擬網路指派一個閘道。 VPN 閘道也可以用於 Azure 中虛擬網路之間的連線。
當您實作 VPN 閘道時,您必須將兩部以上的虛擬機部署到您在設定虛擬網路時所建立的子網路。 在此範例中,該子網路也稱為 閘道子網路。 針對佈建的閘道,每部虛擬機器都會被明確指派預設的路由與閘道服務設定。 您無法直接設定這些虛擬機器。
當您建立閘道時,有幾個拓撲可用。 這些拓撲 (也稱為閘道類型) 會決定將設定的元素與預期的連線類型。
站對站
您可以針對跨內部部署與混合式網路設定使用站對站連線。 此連線拓撲要求內部部署 VPN 裝置必須具有可公開存取的 IP 位址,而且不得位於網路位址轉譯 (NAT) 後方。 連線會使用最多 128 個字元的祕密 ASCII 字串在閘道與 VPN 裝置之間進行驗證。
多站台
多站台連線類似於站對站連線,但有些許差異。 多站台支援多個 VPN 連線到您的內部部署 VPN 裝置。 此連線拓撲需要稱為動態閘道的 RouteBased VPN。 請注意,使用多站台設定時,所有連線都會路由傳送並共用所有可用頻寬。
點對站
點對站連線適合用於連線到您網路的遠端個別用戶端裝置。 您必須透過 Microsoft Entra ID 或使用 Azure 憑證驗證來驗證用戶端裝置。 此模型適合家庭工作案例。
網路對網路
您可以使用網路對網路連線,在多個 Azure 虛擬網路之間建立連線。 與其他連線拓撲不同,此連線拓撲不需要公用 IP 或 VPN 裝置。 您也可以在多站台設定中使用網路到網路連線,來建立具備內部虛擬網路連線能力的合併式跨單位連線。
ExpressRoute
ExpressRoute 會在您的內部部署網路與不使用網際網路的 Azure 虛擬網路之間建立直接連線。 您可以使用 ExpressRoute,順暢地將區域網路擴展到 Azure 虛擬網路空間。 許多非 Microsoft 連線提供者提供 ExpressRoute 服務。 共有三種不同的 ExpressRoute 連線類型:
- CloudExchange 共置
- 點對點乙太網路連線
- 任意對任意 (IPVPN) 連線
對等互連
虛擬網路可跨多個訂用帳戶與 Azure 區域進行對等互連。 將虛擬網路對等互連之後,這些網路中的資源就能彼此通訊,就好像它們位於相同網路一樣。 流量只會使用私人 IP 位址在資源之間路由傳送。 對等互連的虛擬網路會透過 Azure 網路路由傳送流量,並將連線保持為 Azure 骨幹網路中的私人連線。 骨幹網路提供低延遲且高頻寬的網路連線。
站對站 VPN 閘道參考架構
雖然在設計混合式網路時有許多參考架構可用,但其中一個熱門架構是站對站設定。 下圖顯示的簡化參考架構說明如何將內部部署網路連線到 Azure 平台。 網際網路連線會使用 IPsec VPN 通道。
此架構具備數個元件:
- 內部部署網路代表您的內部部署的 Active Directory 與任何資料或資源。
- 閘道負責在使用公用連線時,將加密的流量傳送到虛擬 IP 位址。
- Azure 虛擬網路會保存您的所有雲端應用程式與任何 Azure VPN 閘道元件。
- Azure VPN 閘道,會提供 Azure 虛擬網路與內部部署網路之間的加密連結。 Azure VPN 閘道由下列元素組成。
- 虛擬網路閘道
- 區域網路閘道
- 連線
- 閘道子網路
- 雲端應用程式是您透過 Azure 提供的應用程式。
- 內部負載平衡器位於前端,且可將雲端流量路由傳送至正確的雲端應用程式或資源。
使用此架構可提供幾個優點,包括:
- 簡化設定與維護。
- 使用 VPN 閘道,有助於確保內部部署閘道與 Azure 閘道之間的所有資料與流量都會加密。
- 您可以調整並擴充此架構,以符合組織的網路需求。
此架構不適用於所有情況,因為它會使用現有的網際網路連線,作為這兩個閘道點之間的連結。 頻寬限制可能會導致因重複使用現有基礎結構所造成的延遲問題。