混合式雲端網路

  • 10 分鐘

傳統的多站台內部部署網路可能需要將多家分公司連線至總公司。 同樣地,混合雲端網路涉及使用適當的技術,將內部部署使用者、應用程式與資料順暢地互連至雲端中裝載的應用程式與資料。

在我們的案例中,Tailwind Traders 必須能夠以安全的方式,將其內部部署位置連線至在 Azure 中執行的資源。 Tailwind Traders 必須完成此作業,這對其員工而言,存取在 Tailwind Traders 內部部署資料中心執行的工作負載與在 Azure 中執行的工作負載之間沒有真正差異。

在本單元中,您將了解網路技術,其可讓內部部署與雲端資源透過網路連在一起,成為單一混合雲端。

什麼是 Azure VPN?

Azure VPN 閘道可讓您使用透過公用網際網路的安全 VPN 通道,將內部部署網路連線至 Azure。 Azure VPN 連線就像分公司與總公司位置之間可能存在的傳統 VPN 連線。 每個虛擬網路只能有單一 VPN 閘道,但每個 VPN 閘道都支援多個連線。

下圖顯示內部部署網路其周邊閘道裝置與 Azure 虛擬網路上 VPN 閘道之間的連線。 其描述 Azure Stack 裝置與 VPN 閘道之間的連線。

橫跨內部部署與 Azure 基礎結構的混合式網路圖表。

在 Tailwind Traders 範例中,公司可能使用 Azure VPN 閘道以允許來自小型分公司網站的連線,其無須 Azure ExpressRoute 連線所提供的專用連結類型。 Azure VPN 閘道的主要缺點是其依賴網際網路服務提供者 (ISP) 的網際網路連線。 若 ISP 發生中斷,則無法建立 VPN 連線。 同樣地,若 ISP 發生長時間壅塞,則內部部署位置與 Azure 之間的 VPN 連線速度可能會降低。

在分公司網站之間具現有 VPN 連線的組織,已經面臨專用 VPN 連線所造成的挑戰。

什麼是 Azure ExpressRoute?

Microsoft Azure ExpressRoute 可讓組織擁有從其內部部署網路到 Azure 的專用私人高速連線。 此連接不會跨越公用網際網路。 其功能是直接從內部部署位置到最接近 Azure 資料中心的專用光纖線路。

與 VPN 閘道不同的是,提供此連線的設備是由 ExpressRoute 提供者所管理。 由於 ExpressRoute 提供者會管理所有設備,因此可以就可靠性與頻寬的方面提供服務等級協定 (SLA),這是 Azure VPN 閘道連線使用者無法使用的功能。

下圖顯示內部部署環境與在 Azure 中執行的工作負載之間其 ExpressRoute 連線。 ExpressRoute 提供者會管理 ExpressRoute 循環與本機邊緣路由器。

使用 Azure ExpressRoute 的混合式網路架構圖表。

除了提供內部部署環境與 Azure 之間的專用頻寬連線之外,ExpressRoute 也可供組織確定敏感性流量不會通過公用網際網路。 這在治理需求禁止透過網際網路傳輸特定資訊類型的管轄權中很重要。

在範例案例研究中,Tailwind Traders 可能會實作來自有更多人員的大型辦公室 (例如墨爾本、雪梨與奧克蘭) 其 ExpressRoute 連線。 若特定類型的資料因合規性需求而無法在網際網路上傳輸,公司可能也需要使用 ExpressRoute。

什麼是混合式 DNS?

在實作混合雲端時,必須確定內部部署工作負載可解析雲端工作負載的位址,而雲端工作負載可解析內部部署工作負載的位址。 混合雲端中網域名稱系統 (DNS) 部署通常需要內部部署與 Azure 中 DNS 伺服器。 此外,必須在內部部署與雲端之間設定 DNS 區域傳輸。 若內部部署 DNS 區域與在 Azure 中執行的工作負載建立關聯的 DNS 區域分開,則替代方式是設定 DNS 轉寄站。

下圖顯示 DNS 伺服器內部部署將 DNS 資訊複寫到在 Azure 中執行的 DNS 伺服器。 在此案例中,虛擬機器 (VM) 會部署為 Azure 中的 DNS 伺服器。 此圖中,內部部署 DNS 會透過 VM 中的 DNS 伺服器連線至中樞訂用帳戶。 其他 Azure 訂用帳戶會連線至中樞訂用帳戶。

顯示混合式 DNS 架構的圖表。

相反地,Azure DNS 私人解析器是一個服務,可讓您從內部部署環境查詢 Azure DNS 私人區域 (反之亦然),而不需要部署 VM 型 DNS 伺服器。 私人解析器服務是完全受控的,而且具有內建的高可用性功能。

Tailwind Traders 可以使用 Azure DNS 私人解析器來確保其在 Azure 中執行的所有工作負載都能解析 Tailwind Traders 內部網路上主機的 DNS 名稱。 其也可確定所有 Tailwind Traders 內部網路主機都可解析在雲端中執行的工作負載其 DNS 名稱。

什麼是 Azure 虛擬 WAN?

Azure 虛擬 WAN 可供組織在中樞與支點架構中使用 Azure 網路。 Azure 網路可作為中樞,以便在作為支點的端點之間進行可轉移的連線。

傳統上,您可能會有網路拓撲,其中每個分公司都有對總公司網站的 VPN 連線。 若流量會從一家分公司傳遞到另一家,則會經由中樞網站抵達。 若總公司與分公司網站全都透過 VPN 或 ExpressRoute 連線至 Azure,則這些連線可形成支點。 Azure 虛擬 WAN 可作為內部部署位置之間流量的路由中樞。

下圖顯示 Azure 虛擬 WAN 拓撲。

顯示具有透過 Azure 以中樞與支點拓撲彼此連線之多個網站的 Azure 虛擬 WAN 拓撲的圖表。

Azure 虛擬 WAN 可讓 Tailwind Traders 免於使用 VPN 連線來連線位於雪梨、墨爾本和奧克蘭的分公司和資料中心位置。 其會提供拓撲,其中每家分公司與資料中心都擁有 Azure 的 VPN 或 ExpressRoute 連線。 Azure 虛擬 WAN 服務會管理位置之間的流量路由。

檢定您的知識

1.

Tailwind Traders 必須確定從坎培拉辦公室傳送到 Azure 中所執行工作負載的資料,即使在加密通道中也不會通過公用網際網路。 Tailwind Traders 可以使用下列哪一項技術來將此辦公室連線到在 Azure 中執行的工作負載?

2.

目前,所有 Tailwind Traders 分公司位置都是透過使用 VPN 連線連結到雪梨辦公室。 分公司之間的內部網路流量全都是透過中樞和支點架構中的雪梨來路由傳送。 Tailwind Traders 偏好使用 Azure,而不是使用雪梨辦公室作為在分公司之間路由傳送流量的中樞。 Tailwind Traders 可使用下列哪一種技術來達成此目標?