通过

Azure 中的中心辐射型网络拓扑

Azure Bastion
Azure 防火墙
Azure 网络观察程序
Azure 虚拟网络
Azure VPN 网关

此参考体系结构使用客户托管的中心基础结构组件实现中心辐射型网络模式。 有关Microsoft托管的中心基础结构解决方案,请参阅 使用 Azure 虚拟 WAN 的中心辐射型网络拓扑

中心辐射型是云采用框架建议的网络拓扑之一。 请参阅, 定义 Azure 网络拓扑 ,以了解为什么此拓扑被视为许多组织的最佳做法。

体系结构

显示 Azure 中中心辐射型虚拟网络拓扑的示意图,其中辐射型网络通过中心或直接连接。

下载此体系结构的 Visio 文件

中心辐射型概念

中心辐射型网络拓扑通常包括以下许多体系结构概念:

  • 中心虚拟网络 - 中心虚拟网络托管共享的 Azure 服务。 分支虚拟网络中托管的工作负载可使用这些服务。 中心虚拟网络是连接到跨界网络的中心点。 中心包含主要出口点,并提供一种机制,用于在需要跨虚拟网络流量的情况下将一个辐射连接到另一个分支。

    中心是区域资源。 在多个区域中具有工作负荷的组织应具有多个中心,每个区域一个。

    中心可实现以下概念:

    • 跨界网关 - 跨界 连接是能够相互连接和集成不同的网络环境。 此网关通常是 VPN 或 ExpressRoute 线路。

    • 出口控制 - 源自对等互连辐射虚拟网络的出站流量的管理和监管。

    • (可选) 入口控制 - 对等互连辐射虚拟网络中存在的终结点的入站流量管理和监管。

    • 远程访问 - 远程访问 是辐射网络中的各个工作负荷如何从辐射自己的网络以外的网络位置访问。 这可能适用于工作负荷的数据或控制平面。

    • 虚拟机的远程辐射访问 - 中心可以是一个方便的位置,用于构建跨组织的远程连接解决方案,以便 RDP 和 SSH 访问分布在辐射网络的虚拟机。

    • 路由 - 管理和定向中心辐射与连接的辐射之间的流量,以实现安全高效的通信。

  • 辐射虚拟网络 - 辐射虚拟网络在每个辐射中单独隔离和管理工作负荷。 每个工作负载可以包括多个层,并具有通过 Azure 负载均衡器连接的多个子网。 分支可以存在于不同的订阅中,并表示不同的环境,例如生产环境和非生产环境。 一个工作负荷甚至可以分布在多个辐射中。

    在大多数情况下,辐射应仅与单个中心网络对等互连,并且中心网络应与辐射位于同一区域。

    这些辐射网络遵循 默认出站访问规则。 此中心辐射型网络拓扑的核心目的是通常通过中心提供的控制机制定向出站 Internet 流量。

  • 虚拟网络交叉连接 - 虚拟网络连接是一个独立虚拟网络可以通过控制机制与另一个虚拟网络通信的路径。 控制机制强制实施权限并允许网络之间的通信方向。 中心将提供一个选项,以支持选择跨网络连接,以流经集中式网络。

  • DNS - 中心辐射型解决方案通常负责提供所有对等辐射使用的 DNS 解决方案,尤其是用于跨界路由和专用终结点 DNS 记录。

组件

  • Azure 虚拟网络 是 Azure 中专用网络的基本构建基块。 通过虚拟网络,多种 Azure 资源(例如 Azure VM)能以安全方式彼此通信、与跨界网络通信,以及与 Internet 通信。

    此体系结构使用虚拟网络之间的非可传递、低延迟 连接的对等互连连接 将虚拟网络连接到中心。 对等互连的虚拟网络可以通过 Azure 主干交换流量,而无需路由器。 在中心辐射型体系结构中,直接将虚拟网络彼此对等互连最小,并且保留用于特殊情况方案。

  • Azure Bastion 是一项完全托管的服务,它提供更安全、更无缝的远程桌面协议(RDP)和安全外壳协议(SSH)对 VM 的访问,而无需公开其公共 IP 地址。 在此体系结构中,Azure Bastion 用作托管产品/服务,以支持跨连接辐射的直接 VM 访问。

  • Azure 防火墙 是一种基于云的托管网络安全服务,用于保护虚拟网络资源。 这项有状态防火墙服务具有内置的高可用性和不受限制的云可伸缩性,可帮助你跨订阅和虚拟网络创建、强制实施和记录应用程序和网络连接策略。

    在此体系结构中,Azure 防火墙具有多个潜在角色。 防火墙是来自对等辐射虚拟网络的 Internet 发往流量的主要出口点。 防火墙还可用于使用 IDPS 规则检查入站流量。 最后,防火墙还可以用作 DNS 代理服务器来支持 FQDN 流量规则。

  • VPN 网关 是一种特定类型的虚拟网络网关,用于通过公共 Internet 在 Azure 上的虚拟网络和不同网络之间发送加密流量。 还可以使用 VPN 网关通过 Microsoft 网络在其他中心虚拟网络之间发送加密流量。

    在此体系结构中,这是将部分或所有辐射连接到远程网络的一个选项。 辐射通常不会部署自己的 VPN 网关,而是使用中心提供的集中式解决方案。 需要建立路由配置来管理此连接。

  • Azure ExpressRoute 网关 交换 IP 路由,并路由本地网络与 Azure 虚拟网络之间的网络流量。 在此体系结构中,ExpressRoute 是 VPN 网关的替代选项,用于将部分或所有辐射连接到远程网络。 辐射不会部署自己的 ExpressRoute,相反,这些辐射将使用中心提供的集中式解决方案。 与 VPN 网关一样,需要建立路由配置来管理此连接。

  • Azure Monitor 可以收集、分析和处理来自跨界环境的遥测数据,包括 Azure 和本地。 Azure Monitor 可帮助最大限度地提高应用程序的性能和可用性,在数秒内主动识别问题。 在此体系结构中,Azure Monitor 是中心资源和网络指标的日志和指标接收器。 Azure Monitor 也可用作辐射网络中资源的日志记录接收器,但这是针对各种连接的工作负载的决策,此体系结构不强制使用。

替代方案

此体系结构涉及创建、配置和维护多个 Azure 资源基元,即:virtualNetworkPeeringsrouteTablessubnetsAzure 虚拟网络管理器 是一项管理服务,可帮助你跨 Azure 订阅、区域和 Microsoft Entra 目录大规模分组、配置、部署和管理虚拟网络。 使用虚拟网络管理器,可以定义 网络组 来标识和逻辑分段虚拟网络。 可以使用允许组中的虚拟网络相互通信的连接 ,就像手动连接一样。 此层在这些基元上添加了一层抽象,重点介绍网络拓扑与处理该拓扑的实现。

建议使用虚拟网络管理器评估是否使用虚拟网络管理器来优化使用网络管理作的时间支出。 根据计算的值/节省来评估服务的成本,以确定虚拟网络管理器是否是网络大小和复杂性的净权益。

方案详细信息

此参考体系结构实现中心辐射型网络模式,其中中心虚拟网络充当连接到多个分支虚拟网络的中心点。 分支虚拟网络与中心连接,可用于隔离工作负载。 还可以通过使用中心连接到本地网络来实现跨界方案。

此体系结构介绍客户托管的中心基础结构组件的网络模式。 有关Microsoft托管的中心基础结构解决方案,请参阅 使用 Azure 虚拟 WAN 的中心辐射型网络拓扑

使用客户管理的中心和辐射配置的好处包括:

  • 节约成本
  • 克服订阅限制
  • 工作负荷隔离
  • 灵活性
    • 更好地控制如何部署网络虚拟设备(NVA),例如 NIC 数、实例数或计算大小。
    • 使用虚拟 WAN 不支持的 NVA

有关详细信息,请参阅 中心辐射型网络拓扑

可能的用例

通常使用中心辐射型体系结构时包括的工作负载有以下特点:

  • 有多个需要共享服务的环境。 例如,工作负载可能有开发、测试和生产环境。 共享服务可能包括 DNS ID、网络时间协议 (NTP) 或 Active Directory 域服务 (AD DS)。 共享服务放置在中心虚拟网络中,而每个环境部署到不同分支以保持隔离。
  • 不需要相互连接但需要访问共享服务。
  • 要求对安全性进行集中控制,例如中心内的外围网络(也称为 DMZ)防火墙,在每个分支中分开管理工作负载。
  • 要求对连接进行集中控制,例如选择性连接或隔离某些环境或工作负载的分支。

建议

以下建议适用于大多数场景。 除非有优先于这些建议的特定要求,否则请遵循这些建议。

资源组、订阅和区域

此示例解决方案使用单个 Azure 资源组。 此外,还可以在不同的资源组和订阅中实现中心和各个分支。

如果为不同订阅中的虚拟网络建立对等互连,可将这些订阅关联到同一个或不同的 Microsoft Entra 租户。 这种灵活性允许分散管理每个工作负载,同时维护中心内共享的服务。 请参阅 创建虚拟网络对等互连 - 资源管理器、不同订阅和Microsoft Entra 租户

Azure 着陆区

Azure 登陆区域体系结构基于中心辐射型拓扑。 在该体系结构中,中心的共享资源和网络由集中式平台团队管理,而辐射则与平台团队和正在使用辐射网络的工作负荷团队共享共同所有权模型。 所有中心都驻留在用于集中管理的“连接”订阅中,而分支虚拟网络存在于许多称为应用程序登陆区域订阅的单个工作负荷订阅中。

虚拟网络子网

以下建议概述了如何配置虚拟网络上的子网。

GatewaySubnet

虚拟网络网关需要此子网。 如果不需要建立跨界网络连接,还可以在不使用网关的情况下使用中心辐射型拓扑。

创建至少具有地址范围的名为 GatewaySubnet26子网。 地址 /26 范围为子网提供了足够的可伸缩性配置选项,以防止将来达到网关大小限制,并适应更多的 ExpressRoute 线路。 有关设置网关的详细信息,请参阅 使用 VPN 网关的混合网络

AzureFirewallSubnet

创建至少具有地址范围的名为 AzureFirewallSubnet/26子网。 无论要如何缩放,/26 地址范围都是推荐的大小,且能应对将来的大小限制。 此子网不支持网络安全组 (NSG)。

Azure 防火墙需要使用此子网。 如果使用合作伙伴网络虚拟设备 (NVA),请遵循其网络要求。

分支网络连接

虚拟网络对等互连或连接组是虚拟网络之间的非传递关系。 如果需要分支虚拟网络相互连接,请在这些分支之间添加对等互连连接,或将这些分支放在同一网络组中。

通过 Azure 防火墙或 NVA 进行分支连接

每个虚拟网络的虚拟网络对等互连数有限。 如果有多个分支需要相互连接,你有可能会耗尽对等互连连接。 连接组也有限制。 有关详细信息,请参阅 网络限制连接的组限制

在这种情况下,请考虑使用用户定义的路由 (UDR) 强制将分支流量发送到 Azure 防火墙或在中心充当路由器的 NVA。 这将允许各个分支相互连接。 要支持此配置,必须实现已启用强制隧道配置的 Azure 防火墙。 有关详细信息,请参阅 Azure 防火墙强制隧道

此体系结构设计中的拓扑可让出口流更为顺畅。 虽然 Azure 防火墙主要用于保证出口安全,但它也可用作入口点。 有关中心 NVA 入口路由的更多注意事项,请参阅 虚拟网络的防火墙和应用程序网关

通过中心网关进行与远程网络的分支连接

要配置分支通过中心网关与远程网络通信,可以使用虚拟网络对等互连或连接的网络组。

要使用虚拟网络对等互连,请在虚拟网络的“对等互连”设置中执行以下操作:

  • 配置中心的对等互连连接以 允许 网关传输。
  • 在每个分支中配置对等互连连接,以 使用远程虚拟网络的网关
  • 配置所有对等互连连接以 允许 转发的流量。

有关详细信息,请参阅 创建虚拟网络对等互连

使用连接的网络组:

  1. 在 Virtual Network Manager 中,创建网络组并添加成员虚拟网络。
  2. 创建中心辐射型连接配置。
  3. “分支网络组”处,选择“中心作为网关”。

有关详细信息,请参阅 使用 Azure 虚拟网络管理器创建中心辐射型拓扑

分支网络通信

允许分支虚拟网络相互通信主要有两种方法:

  • 通过 NVA(如防火墙和路由器)进行通信。 此方法在两个分支之间产生跃点。
  • 使用虚拟网络对等互连或 Virtual Network Manager 直接连接在分支之间进行通信。 此方法不会在两个分支之间产生跃点,建议使用此方法以最大程度地降低延迟。
  • 专用链接可用于选择性地向其他虚拟网络公开单个资源。 例如,向其他虚拟网络公开内部负载均衡器,而无需形成或维护对等互连或路由关系。

有关辐射到辐射网络模式的详细信息,请参阅 辐射到辐射网络

通过 NVA 进行通信

如果分支之间需要连接,请考虑在中心部署 Azure 防火墙或其他 NVA。 然后创建路由以将分支中的流量转发到防火墙或 NVA,然后再路由到第二个分支。 在这种情况下,必须配置对等互连连接以允许转发的流量。

显示使用 Azure 防火墙在辐射之间路由的关系图

还可以使用 VPN 网关在分支之间路由流量,尽管此选项会影响延迟和吞吐量。 有关配置详细信息,请参阅 为虚拟网络对等互连配置 VPN 网关传输

评估在中心内共享的服务,以确保中心能够针对大量分支进行缩放。 例如,如果中心提供防火墙服务,则在添加多个分支时请考虑防火墙解决方案的带宽限制。 你可以将其中部分共享服务移动到二级中心内。

在分支网络之间进行直接通信

要在不遍历中心虚拟网络的情况下直接在分支虚拟网络之间连接,可以在分支之间创建对等互连连接,或为网络组启用直接连接。 最好限制对等互连或直接连接到属于同一环境和工作负载的分支虚拟网络。

使用 Virtual Network Manager 时,可以手动将分支虚拟网络添加到网络组,也可以根据定义的条件自动添加网络。

下图演示了使用 Virtual Network Manager 在分支之间建立的直接连接。

显示使用虚拟网络管理器在辐射之间直接连接的关系图。

注意事项

这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改善工作负荷质量的指导原则。 有关详细信息,请参阅 azure Well-Architected Framework Microsoft

可靠性

可靠性可确保应用程序能够履行对客户的承诺。 有关详细信息,请参阅可靠性支柱概述

可用性区域 用于中心中支持它们的 Azure 服务。

一般情况下,最好每个区域至少有一个中心,并且仅将辐射连接到同一区域中的这些中心。 此配置有助于批量隔离区域,以避免一个区域的中心发生故障,导致不相关的区域中出现广泛的网络路由故障。

要实现更高的可用性,可以将 ExpressRoute 外加 VPN 用于故障转移。 请参阅 使用 ExpressRoute 和 VPN 故障转移将本地网络连接到 Azure ,并按照指南 设计和构建 Azure ExpressRoute 以实现复原能力

由于 Azure 防火墙如何实施 FQDN 应用程序规则,请确保通过防火墙流出的所有资源都使用与防火墙本身相同的 DNS 提供程序。 如果没有此情况,Azure 防火墙可能会阻止合法流量,因为防火墙的 FQDN IP 解析不同于流量发起方对同一 FQDN 的 IP 解析。 将 Azure 防火墙代理合并为分支 DNS 解析的一个解决方案,可确保 FQDN 与流量发起方和 Azure 防火墙同步。

安全性

安全性针对蓄意攻击及滥用宝贵数据和系统提供保障措施。 有关详细信息,请参阅 安全设计评审清单

若要防范 DDoS 攻击,请在任何外围虚拟网络上启用 Azure DDOS 防护 。 具有公共 IP 的任何资源都容易受到 DDoS 攻击。 即使工作负荷未公开,仍具有需要保护的公共 IP,例如:

  • Azure 防火墙的公共 IP
  • VPN 网关的公共 IP
  • ExpressRoute 的控制平面公共 IP

若要最大程度地降低未经授权的访问风险并强制实施严格的安全策略,请始终在网络安全组(NSG)中设置显式拒绝规则。

使用 Azure 防火墙高级 版本启用 TLS 检查、网络入侵检测和防护系统(IDPS)和 URL 筛选。

虚拟网络管理器安全性

若要确保基线安全规则集,请确保将 安全管理规则 与网络组中的虚拟网络相关联。 安全管理规则优先于 NSG 规则,并在 NSG 规则之前进行评估。 与 NSG 规则一样,安全管理规则支持优先级、服务标记和 L3-L4 协议。 有关详细信息,请参阅 虚拟网络管理器中的安全管理员规则

使用虚拟网络管理器 部署 来简化对网络安全规则的潜在中断性变更的受控推出。

成本优化

成本优化是减少不必要的费用并提高运营效率的方法。 有关详细信息,请参阅 成本优化的设计评审清单

部署和管理中心辐射型网络时,请考虑以下与成本相关的因素。 有关详细信息,请参阅 虚拟网络定价

Azure 防火墙成本

此体系结构在中心网络中部署 Azure 防火墙实例。 与其他 NVA 相比,将 Azure 防火墙部署用作多个工作负载使用的共享解决方案可以显著节省云成本。 有关详细信息,请参阅 Azure 防火墙与网络虚拟设备

要有效地使用所有部署的资源,请选择正确的 Azure 防火墙大小。 确定所需的功能以及最适合当前这组工作负载的层级。 若要了解可用的 Azure 防火墙 SKU,请参阅 什么是 Azure 防火墙?

直接对等互连

选择性地使用辐射之间的直接对等互连或其他非中心路由通信可以避免 Azure 防火墙处理的成本。 对于在辐射之间具有高吞吐量、低风险通信(例如数据库同步或大型文件复制作)的工作负荷的网络来说,节省成本可能很大。

卓越运营

卓越运营涵盖部署应用程序并使其在生产环境中运行的运营流程。 有关详细信息,请参阅 针对卓越运营的设计评审清单

为所有服务(例如 Azure Bastion、Azure 防火墙和跨界网关)启用诊断设置。 确定哪些设置对你的作有意义。 关闭不有意义的设置,以避免不正当的成本。 使用日志记录时,Azure 防火墙等资源可能非常详细,因此可能会产生较高的监视成本。

使用 连接监视器 进行端到端监视,以检测异常并识别和排查网络问题。

使用 Azure 网络观察程序 监视和排查网络组件问题,包括使用 流量分析 来显示虚拟网络中生成最多流量的系统。 可以在瓶颈成为问题之前直观地进行识别。

如果使用 ExpressRoute,请使用 ExpressRoute 流量收集器 ,可在其中分析通过 ExpressRoute 线路发送的网络流的流日志。 ExpressRoute 流量收集器可让你了解通过Microsoft企业边缘路由器流动的流量。

在 Azure 防火墙中将基于 FQDN 的规则用于 HTTP(s)以外的协议,或者在配置 SQL Server 时使用。 使用 FQDN 可降低管理单个 IP 地址的管理负担。

根据对等互连要求规划 IP 寻址,并确保地址空间不会跨跨界位置和 Azure 位置重叠。

使用 Azure 虚拟网络管理器实现自动化

若要集中管理连接和安全控制,请使用 Azure 虚拟网络管理器 创建新的中心辐射虚拟网络拓扑或载入现有拓扑。 使用 Virtual Network Manager 可确保中心辐射型网络拓扑为跨多个订阅、管理组和地区的大规模未来增长做好准备。

Virtual Network Manager 用例方案的示例包括:

  • 将分支虚拟网络管理普及到业务部门或应用程序团队等组。 普及可能会导致产生大量的虚拟网络到虚拟网络连接和网络安全规则要求。
  • 标准化多个 Azure 区域中的多个副本体系结构,以确保适用于全球分布的应用程序。

为了确保统一的连接和网络安全规则,可以使用 网络组 将同一Microsoft Entra 租户下的任何订阅、管理组或区域中的虚拟网络分组。 可以通过动态或静态成员身份分配自动或手动将虚拟网络加入网络组。

定义虚拟网络管理器使用 范围管理的虚拟网络的可发现性。 此功能为所需数量的网络管理器实例提供了灵活性,从而能够进一步实现虚拟网络组的管理普及。

若要将同一网络组中的辐射虚拟网络相互连接,请使用虚拟网络管理器实现虚拟网络对等互连或 直接连接。 使用 全局网格 选项将网格直接连接扩展到不同区域中的辐射网络。 下图显示了区域之间的全局网格连接。

显示辐射型全局网格直接连接区域的关系图。

可以将网络组中的虚拟网络关联到安全管理规则的基准集。 网络组安全管理规则可防止分支虚拟网络所有者覆盖基准安全规则,同时他们可以单独添加自己的安全规则集和 NSG。 有关在中心辐射拓扑中使用安全管理员规则的示例,请参阅 教程:创建安全中心和辐射网络

为了促进网络安全组、连接和安全规则的受控推出,虚拟网络管理器 配置部署 可帮助你安全地释放中心辐射环境的可能中断性配置更改。 有关详细信息,请参阅 Azure 虚拟网络管理器中的配置部署

若要简化和维护路由配置的过程,可以在 Azure 虚拟网络管理器中使用用户定义的路由(UDR)的自动化管理

若要简化和集中管理 IP 地址,可以在 Azure 虚拟网络管理器中使用 IP 地址管理(IPAM)。 IPAM 可防止本地和云虚拟网络之间的 IP 地址空间冲突。

若要开始使用虚拟网络管理器,请参阅 使用 Azure 虚拟网络管理器创建中心辐射型拓扑

性能效率

性能效率是指工作负荷能够以高效的方式扩展以满足用户对它的需求。 有关详细信息,请参阅 性能效率支柱概述

对于从本地与需要低延迟和高带宽的 Azure 虚拟网络中的虚拟机通信的工作负荷,请考虑使用 ExpressRoute FastPath。 FastPath 允许你直接从本地将流量发送到虚拟网络中的虚拟机,绕过 ExpressRoute 虚拟网络网关,从而提高性能。

对于需要低延迟的辐射到辐射通信,请考虑配置 辐射到辐射网络

选择满足要求的相应 网关 SKU ,例如点到站点或站点到站点连接数、每秒所需的数据包数、带宽要求和 TCP 流。

对于延迟敏感的流(例如 SAP 或对存储的访问),请考虑绕过 Azure 防火墙,甚至完全通过中心进行路由。 可以 测试 Azure 防火墙引入的延迟 ,以帮助做出决定。 可以使用连接两个或多个网络的 VNet 对等互连Azure 专用链接 等功能,通过虚拟网络中的专用终结点连接到服务。

了解在 Azure 防火墙中启用某些功能(例如入侵检测和防护系统 (IDPS)可降低吞吐量。 有关详细信息,请参阅 Azure 防火墙性能

部署此方案

此部署包括一个中心虚拟网络和两个连接的分支,还部署了 Azure 防火墙实例和 Azure Bastion 主机。 或者,部署可以包括第一个分支网络中的 VM 和 VPN 网关。 可以选择虚拟网络对等互连或 Virtual Network Manager 连接组来创建网络连接。 每种方法都有多个部署选项。

作者

本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。

主要作者:

其他参与者:

若要查看非公共LinkedIn配置文件,请登录到LinkedIn。

后续步骤

高级场景

你的体系结构可能与这个简单的中心辐射型体系结构不同。 下面是一些高级方案的指南列表:

请参阅以下相关体系结构: