什麼是 Azure 虛擬 WAN?

已完成

Azure 虛擬 WAN 為整合架構,可用於網路、安全性和路由。

您正在研究 Contoso 如何從一般中樞和輪輻網路進行移轉。 Azure 虛擬 WAN 和跨 Azure 區域使用的虛擬 WAN 中樞可能是有望的解決方案。

您可將虛擬 WAN 中樞與您的分支、虛擬網路和遠端使用者連線。 中樞可透過目前的 Contoso 網路,提供大規模和增強的效能。

什麼是中樞和輪輻拓撲?

此網路拓撲,亦稱為星狀拓撲或中樞輪輻,通常用作傳統的站對站 WAN 服務。

Contoso 正考慮使用 Azure,以地理擴展 WAN。 Azure 網路橫跨全球,並具有使用 Azure 全域高速骨幹互連的許多資料中心。

當服務剛移至 Azure 時,系統會建立虛擬網路,與虛擬機器 (VM) 連線。 Azure VPN 網路閘道會連線至內部部署網路。

使用 Azure 入口網站建立虛擬 WAN 時,系統會將虛擬中樞、虛擬網路和閘道 (選用) 建立為其元件。

此虛擬中樞可作為連線至內部部署網路和其他虛擬網路的焦點。 輪輻是與中樞對等互連的虛擬網路。

支援區域和全域虛擬網路對等互連。 虛擬網路對等互連是虛擬網路間的互連。 出於連線目的,虛擬網路會顯示為一個。 中樞和輪輻使用 VPN 閘道或 ExpressRoute 進行連線。

此對等互連允許多個位置連線。 隨著新增更多的位置和 WAN,網路的複雜度也會隨之增加。 追蹤所有網路連線、客戶管理的虛擬中樞及對等互連流程,可能會變得很困難。

Azure 虛擬 WAN 提供單一介面來管理所有點,以解決此問題。 高效能、軟體定義程式的虛擬 WAN 中樞也會新增。

Azure Virtual WAN

Azure 虛擬 WAN 是中樞和輪幅架構。 虛擬 WAN 為 Microsoft 管理的 Azure 網路服務。

Microsoft 裝載和管理組成此服務的所有元件。 它可以輕鬆部署和使用,同時提供下列服務:

  • 針對在虛擬網路中散發全球的工作負載,啟用任意連線性
  • 連線:
    • 使用點對站 VPN 居家辦公和行動使用者
    • 使用站對站 VPN 的分公司
    • 使用 ExpressRoute 進行私人連線的主要校園和資料中心

在 Azure 區域中啟用的虛擬 WAN 中樞作為網路中樞。 這些中樞會以完整網格整合方式連線。 這種整合可針對分散全球的工作負載,支援任意連線性的存取。

開始使用虛擬 WAN:

  • 在目前支援許多輪輻的 Azure 區域中,建立單一虛擬 WAN。
  • 將區域輪輻連線至中樞,再將其他區域連線至中樞。 中樞會成為區域連線的連接點。

Azure 虛擬 WAN 中樞

傳統硬體中樞允許所有插入的網路裝置間的直接通訊。 虛擬 WAN 中樞是精密的軟體定義程式中樞。

您可以在任何 Azure 區域中部署 Azure 虛擬 WAN中樞。 每個中樞皆可連線,以使用標準 Azure 連線服務。

例如,位於英國的 Azure 區域中的分公司可連線至位於美國的區域。 他們透過 Azure 全域網路使用中樞對中樞連線性,進行連線。

在跨越多個區域且已部署多個中樞的單一虛擬 WAN 中,中樞會自動透過中樞對中樞連結互連。 互連可讓分支和虛擬網路進行全球連線。

下圖描述在具有兩個虛擬中樞的 Azure 虛擬 WAN 部屬,中樞位於不同的 Azure 區域中,以及流量流程。

圖表顯示 Azure 虛擬 WAN 提供任意連線性、自訂路由和安全性。

安全虛擬中樞

若要將虛擬中樞轉換為安全虛擬中樞,請使用 Azure 防火牆管理員。

由防火牆管理員建立的防火牆規則,允許建立針對流量的安全性和路由原則。 可篩選從網際網路、私人 IP 位址或 Azure 平台服務串流的資料。

注意

無需使用者定義的路由,即可透過防火牆路由流量。

安全虛擬中樞支援布建兩個安全性提供者:

  • 針對私人流量的 Azure 防火牆
  • 與防火牆管理員整合的協力廠商安全性供應商

虛擬中樞或安全虛擬中樞是虛擬 WAN 的區域連接點。 這些中樞支援多個服務端點。 端點提供網路與服務間的連線能力。 這些中樞為每個區域的網路核心。