一家全球制造公司提供了本文介绍的体系结构。 公司的运营技术和信息技术部门高度集成,因而需要一个单一的内部网络。 但这些环境在安全性和性能方面的要求有很大的不同。 由于公司运营的敏感性,所有流量都需要通过客户在其自己的虚拟机上托管的网络虚拟设备 (NVA) 进行防火墙保护,并且需要实施入侵检测和保护系统 (IDPS) 解决方案。 信息技术部门对网络的安全要求不太严格,但该部门希望针对性能进行优化,以便用户能够实现对 IT 应用程序的低延迟访问。
公司的决策者转向 Azure 虚拟 WAN 来满足对具有不同安全性和性能要求的单一网络的全局需求。 他们还获得了一个易于管理、部署和缩放的解决方案。 添加区域时,他们可以通过针对其需求高度优化的网络继续无缝发展。
可能的用例
此体系结构的典型用例包括:
- 一个全局组织需要集中式文件解决方案来开展业务关键型工作。
- 高性能文件工作负载需要本地化缓存文件。
- 一位灵活的远程工作人员服务于办公室内外的用户。
- 使用自承载 NVA 的要求。
体系结构
下载此体系结构的 Visio 文件。
下面是这些体系结构的摘要:
- 用户访问分支中的虚拟网络。
- Azure ExpressRoute 可通过连接服务提供商帮助提供的专用连接,将本地网络扩展到 Microsoft 云。
- 虚拟 WAN 中心为安全性或性能适当路由流量。 中心包含用于建立连接的不同服务终结点。
- 必要时,用户定义的路由会使流量强制流向 NVA。
- 每个 NVA 都会检查流入虚拟网络的流量。
- 虚拟网络对等互连在性能优化的环境中提供 VNet 到 VNet 检查。
该公司有多个区域,并继续将区域部署到模型。 公司仅在需要时部署安全优化或性能优化的环境。 环境通过网络虚拟设备 (NVA) 路由以下流量:
流量路径
Destinations | |||||||
---|---|---|---|---|---|---|---|
VNet1 | VNet2 | VNet3 | VNet4 | 分支 | Internet | ||
安全优化源 | VNet1 | VNet 内部 | NVA1-VNet2 | NVA1-hub-VNet3 | NVA1-hub-VNet4 | NVA1-hub-branch | NVA1-Internet |
性能优化源 | VNet3 | hub-NVA1-VNet1 | hub-NVA1-VNet2 | VNet 内部 | NVA2-VNet4 | hub-branch | NVA2-Internet |
分支源 | 分支 | hub-NVA1-VNet1 | hub-NVA1-VNet2 | hub-VNet3 | hub-VNet4 | 不适用 | 不适用 |
如上图所示,NVA 和路由体系结构强制安全优化环境中的所有流量路径在公用分层体系结构中的虚拟网络与中心之间使用 NVA。
性能优化环境具有自定义程度更高的路由架构。 此架构在需要时提供防火墙和流量检查。 架构不提供防火墙(如无需要)。 性能优化空间中的 VNet 到 VNet 流量是通过 NVA2 强制实现的,但分支到 VNet 流量可以跨中心直接移动。 同样,进入安全环境的任何内容都无需转到 NVA VNet2,因为 NVA VNet1 中的 NVA 在安全环境边缘开展检查。 结果是对分支的高速访问。 体系结构在性能优化的环境中提供 VNet 到 VNet 检查。 这不是所有客户所必需的,但可以通过在体系结构中看到的对等互连实现。
虚拟 WAN 中心的关联和传播
配置虚拟 WAN 中心的路由,如下所示:
名称 | 关联到 | 正在传播到 |
---|---|---|
NVA VNet1 | defaultRouteTable | defaultRouteTable |
NVA VNet2 | PerfOptimizedRouteTable | defaultRouteTable |
VNet3 | PerfOptimizedRouteTable | defaultRouteTable |
VNet4 | PerfOptimizedRouteTable | defaultRouteTable |
路由要求
虚拟 WAN 中心内默认路由表上的自定义路由,用于将 VNet1 和 VNet2 的所有流量路由到 secOptConnection。
路由名称 目标类型 目标前缀 下一跃点 下一跃点 IP 安全性优化路由 CIDR 10.1.0.0/16 secOptConnection <NVA1 的 IP 地址> secOptConnection 上的静态路由,将 VNet1 和 VNet2 的流量转发到 NVA1 的 IP 地址。
名称 地址前缀 下一跃点类型 下一跃点 IP 地址 rt-to-secOptimized 10.1.0.0/16 虚拟设备 <NVA1 的 IP 地址> 虚拟 WAN 中心上名为 perfOptimizedRouteTable 的自定义路由表。 此表用于确保性能优化的虚拟网络无法通过中心相互通信,必须使用与 NVA VNet2 的对等互连。
与 VNet1 和 VNet2 中所有子网关联的 UDR,用于将所有流量路由回 NVA1。
名称 地址前缀 下一跃点类型 下一跃点 IP 地址 rt-all 0.0.0.0/0 虚拟设备 <NVA1 的 IP 地址> 与 VNet3 和 VNet4 中所有子网关联的 UDR,用于将 VNet 到 VNet 的流量和 Internet 流量路由到 NVA2。
名称 地址前缀 下一跃点类型 下一跃点 IP 地址 rt-to-internet 0.0.0.0/0 虚拟设备 <地址 NVA2 的 IP> vnet-to-vnet 10.2.0.0/16 虚拟设备 <NVA2 的 IP 地址>
注意
如果要在负载均衡器后面部署具有多个 NVA 的高可用性体系结构,可以在路由中将 NVA IP 地址替换为负载均衡器 IP 地址。
组件
- Azure 虚拟 WAN。 虚拟 WAN 是一个网络服务,其中整合了多种网络、安全和路由功能,提供单一操作界面。 在这种情况下,它可以简化和缩放到连接的虚拟网络和分支的路由。
- Azure ExpressRoute。 ExpressRoute 通过专用连接将本地网络扩展到 Microsoft 云。
- Azure 虚拟网络。 虚拟网络是 Azure 中专用网络的基本构建块。 虚拟网络允许许多类型的 Azure 资源(例如 Azure 虚拟机 (VM))以更高的安全性彼此通信、与 Internet 通信,以及与本地网络通信。
- 虚拟 WAN 中心。 虚拟中心是 Microsoft 管理的虚拟网络。 中心包含用于建立连接的不同服务终结点。
- 中心虚拟网络连接。 中心虚拟网络连接资源将中心无缝连接到虚拟网络。
- 静态路由。 静态路由提供了一种机制,用于引导流量通过下一跃点 IP。
- 中心路由表。 可以创建一个虚拟中心路由,并将该路由应用于虚拟中心路由表。
- 虚拟网络对等互连。 通过使用虚拟网络对等互连,可以无缝连接 Azure 中的两个或更多个虚拟网络。
- 用户定义的路由。 用户定义的路由是替代默认 Azure 系统路由或向子网的路由表添加更多路由的静态路由。 此处使用它们是为了在必要时使流量强制流向 NVA。
- 网络虚拟设备。 网络虚拟设备是市场提供的网络设备。 在这种情况下,公司部署了 Palo Alto 的 NVA,但任何 NVA 防火墙在此处均适用。
备选方法
如果不需要自承载 NVA,则存在一个更简单的解决方案,其中 NVA 托管在 Azure VWAN 安全中心中,并且针对每个虚拟网络连接修改了内部流量检查。 但是,此解决方案不允许区分 VNet 到 VNet 流量和 VNet 到跨界流量。
若要仅部署高安全性 NVA 环境,可以遵循以下模型:通过 NVA 路由流量。
若要部署支持将流量路由到 Internet 专用防火墙和通过 NVA 路由分支流量的自定义 NVA 模型,请参阅使用自定义设置通过 NVA 路由流量。
前面的替代方法在 NVA 后面部署高安全性环境,并提供一些功能来部署自定义环境。 但它与本文中描述的用例有两处不同。 首先,它以隔离而不是组合方式显示这两个模型。 其次,它不支持自定义环境(我们在此称之为“性能优化环境”)中的 VNet 到 VNet 流量。
注意事项
在此部署中,跨虚拟 WAN 中心到性能优化环境的路由不会通过该环境中的 NVA。 这给跨区域流量提出了潜在问题,如下图所示:
性能优化环境之间跨区域的流量不会跨越 NVA。 这是将中心流量直接路由到虚拟网络的限制。
可用性
虚拟 WAN 是高度可用的网络服务。 可以从分支设置更多连接或路径,以获取通向虚拟 WAN 服务的多个路径。 但不需要在 VWAN 服务中添加任何其他内容。
应在高度可用的体系结构中设置 NVA,类似于下文所述:部署高度可用的 NVA。
性能
此解决方案可在必要时优化网络性能。 可以根据自身要求修改路由,使流向分支的流量能够跨越 NVA,且虚拟网络之间的流量可以自由流动,或者为 Internet 出口使用单个防火墙。
可伸缩性
此体系结构可跨区域缩放。 设置路由标签以在虚拟中心之间对路由进行分组和分支流量转发时,请考虑要求。
安全性
借助 NVA,可以将 IDPS 等功能与虚拟 WAN 一起使用。
复原
有关复原能力的信息,请参阅本文前半部分的可用性。
成本优化
此体系结构的定价在很大程度上取决于所部署的 NVA。 有关 2-Gbps ER 连接和每月处理 10 TB 的虚拟 WAN 中心,请参阅此定价估算。
作者
本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。
主要作者:
- 约翰·波辛格 | 高级云解决方案架构师
后续步骤
- 什么是 Azure 虚拟 WAN?
- 什么是 Azure ExpressRoute?
- 如何配置虚拟中心路由 - Azure 虚拟 WAN
- 面向虚拟网络的防火墙和应用程序网关
- Azure 虚拟 WAN 和远程工作支持