在 Azure 上使用混合式網路

  • 10 分鐘

您的組織渴望能繼續移轉至雲端。 您已探索了使用 Azure ExpressRoute 在內部部署網路與 Azure 之間提供專用高速連線的優點。

盡職調查要求您探索可將內部部署網路連線到 Azure 的其他可用混合式架構選項。

在本單元中,您將會:

  • 了解虛擬私人網路連線。
  • 查看 ExpressRoute 的復原選項。
  • 考量中樞輪輻網路拓撲的優勢。

什麼是混合式網路架構?

「混合式網路」是合併兩個不同的網路拓撲以形成單一一致網路時使用的字詞。 使用 Azure 時,混合式網路代表內部部署網路與 Azure 虛擬網路的合併或組合。 其可讓您繼續使用現有的基礎結構,同時享受雲端式計算和存取的所有優點。

以下是您可能會想要採用混合式網路解決方案的幾個原因。 最常見的兩個是:

  • 從純內部部署網路移轉到純雲端式網路。
  • 擴充您的內部部署網路與資源以支援雲端服務。

無論您將雲端服務新增至基礎結構的動機為何,都有幾個架構可考量選用。 我們在之前的單元中提到了 ExpressRoute。 其他架構則包括:

  • Azure VPN 閘道
  • 具有 VPN 容錯移轉能力的 ExpressRoute
  • 中樞輪輻網路拓撲

Azure VPN 閘道

Azure VPN 閘道 (虛擬網路閘道服務) 可讓您建立內部部署網路與 Azure 之間的站對站與點對站 VPN 連線。

VPN (或稱虛擬私人網路) 是成熟且大眾已熟悉的網路架構。

VPN 閘道會使用您現有的網際網路連線。 不過,所有通訊都是使用網際網路金鑰交換 (IKE) 與網際網路通訊協定安全性 (IPsec) 通訊協定來加密。 每個虛擬網路都只能有一個虛擬網路閘道。

當您設定虛擬網路閘道時,必須指定它是 VPN 閘道或 ExpressRoute 閘道。

VPN 類型取決於您所需的連線拓撲類型。 例如,如果您想要建立點對站 (P2S) 或點對點 (P2P) 閘道,可使用 RouteBased 類型。 有兩種 VPN 類型:

  • PolicyBased:使用 IPsec 通道來將資料封包加密。 原則的設定會使用從您的 Azure 虛擬網路與內部部署網路所取得的位址首碼。
  • RouteBased:使用路由或 IP 轉送表,將資料封包路由傳送到正確的通道。 每個通道都會加密並解密所有封包。

在您針對虛擬網路閘道指定了「VPN 類型」之後,就無法再變更。 若需變更,請刪除虛擬網路閘道,然後重新建立。

站對站

所有站對站閘道連線都使用 IPsec/IKE VPN 通道,在 Azure 與內部部署網路之間建立連線。 站對站連線需要具有可公開存取之 IP 位址的內部部署 VPN 裝置。

Diagram of a VPN Site-to-Site connection between the on-premises network and the Azure virtual network.

點對站

點對站閘道連線會在個別裝置與您的 Azure 虛擬網路之間建立安全的連線。 此閘道類型適用於遠端工作者;例如,參與會議或在家工作的使用者。 點對站連線不需要專用的內部部署 VPN 裝置。

Diagram of a VPN point-to-site connection between the on-premises network and the Azure virtual network.

福利

以下是使用 VPN 連線的一些優點:

  • 這是廣為人知的技術,容易設定及維護。
  • 所有資料流量都經過加密。
  • 它更適合處理較輕量的資料流量負載。

考量

在評估此混合式架構的使用情況時,請考量下列事項:

  • VPN 連線會使用網際網路。
  • 視頻寬大小與使用量而定,可能會發生延遲問題。
  • Azure 支援的最大頻寬為 1.25 Gbps。
  • 站對站連線需要本地 VPN 裝置。

具有 VPN 容錯移轉能力的 ExpressRoute

使用 ExpressRoute 時的其中一個保證就是它可提供高等級的可用性。 每個 ExpressRoute 線路都隨附兩個 ExpressRoute 閘道。 不過,即使在網路的 Azure 端內建此復原層級,連線可能也會中斷。 解決這種情況並維持連線能力的其中一個方法是提供 VPN 容錯移轉服務。

合併 VPN 連線與 ExpressRoute 可改善網路連線的復原能力。 在正常情況下操作時,ExpressRoute 的運作方式會與一般 ExpressRoute 架構完全相同,且 VPN 連線會維持休眠狀態。 如果 ExpressRoute 線路故障或離線,VPN 連線就會接管。 此動作可確保網路無論在任何情況下都能使用。 當 ExpressRoute 線路還原之後,所有流量都會恢復為使用 ExpressRoute 連線。

具有 VPN 容錯移轉能力的 ExpressRoute 參考架構

下圖說明如何透過使用具備 VPN 容錯移轉能力的 ExpressRoute,將內部部署網路連線至 Azure。 此解決方案中所選的拓撲是以 VPN 為基礎且具備高流量流程的站對站連線。

Diagram of ExpressRoute reference architecture.

在此模型中,所有網路流量都會透過 ExpressRoute 私人連線路由傳送。 當 ExpressRoute 線路上的連線中斷時,閘道子網路會自動容錯移轉至站對站 VPN 閘道線路。 Azure 虛擬網路中從閘道連至 VPN 閘道的虛線代表這個場景。

當 ExpressRoute 線路還原時,流量會自動從 VPN 閘道切換回來。

福利

當您實作具有 VPN 容錯移轉能力的 ExpressRoute 時,可以獲得以下好處:

  • 其會建立一個具有復原性的高可用性網路。

考量

當您使用具有 VPN 容錯移轉能力的架構來實作 ExpressRoute 時,請考量下列事項:

  • 發生容錯移轉時,頻寬會降低為 VPN 連線速度。

  • ExpressRoute 與 VPN 閘道資源必須位於相同的虛擬網路中。

  • 有高度複雜的設定。

  • 實作需要 ExpressRoute 連線與 VPN 連線。

  • 實作需要備援 VPN 閘道與本機 VPN 硬體。

    注意

    備援 VPN 閘道會產生費用,即使未使用也一樣。

中樞輪輻網路拓撲

中樞輪輻網路拓撲可讓您結構化伺服器所執行的工作負載。其使用單一虛擬網路做為中樞,這會透過 VPN 或 ExpressRoute 連線到您的內部部署網路。 輪輻是與中樞對等互連的其他虛擬網路。 您可以將特定工作負載指派給每個輪輻,並使用中樞進行共用服務。

Diagram of hub-spoke architecture.

您可以在不同訂用帳戶或資源群組中,實作中樞和每個輪輻,然後以對等互連方式連線。

此模型使用先前討論的三種方式之一:VPN、ExpressRoute,以及具備 VPN 容錯移轉的 ExpressRoute。 下列各節將討論相關的優點與挑戰。

福利

實作中樞輪幅架構具有下列優點:

  • 在中樞上使用共用的集中式服務,可能會降低在輪輻上複寫的需求,這可以降低成本
  • 將虛擬網路對等互連可克服訂用帳戶限制。
  • 中樞輪輻模型允許將組織性工作區分隔成專用輪輻,例如 SecOps、InfraOps 與 DevOps。

考量

在評估此混合式架構的使用情況時,請考量下列事項:

  • 查看中樞上共用的服務,以及輪輻上保留的內容。

檢定您的知識

1.

為何要在 Azure 虛擬網路中實作 VPN 閘道?

2.

連線到內部部署網路的 VPN 閘道連線如何路由傳送?

3.

實作中樞輪輻架構的根本原因為何?