内容纲要
在典型的 IT 环境中,我们倾向于拥有多个虚拟网络,并且这些不同虚拟网络中的工作负载需要相互通信。因此,我们将讨论一些连接方案,我们可以使用这些连接方案来实现各种虚拟网络中的工作负载之间的通信。
对等互连
虚拟网络对等互连使我们能够连接相同或跨区域的两个 VNet。如果两个虚拟网络都在 Azure 中并且也在同一区域内,则可以使用对等互连。因此,这些虚拟机中的工作负载可以相互通信。
- 对等虚拟网络中不同虚拟机之间的流量直接从 Microsoft 主干基础结构路由,而不是通过网关或公共 Internet。
- 我们可以部署中心辐射型网络,其中虚拟中心网络可以托管基础架构组件,例如虚拟网络设备或 VPN 网关。
- 然后,每个分支虚拟网络都可以与中心虚拟网络对等 流量可以流经虚拟中心网络中的虚拟网络设备或 VPN 网关。
- 当虚拟网络具有对等互连时,我们还可以将对等互连虚拟网络中的网关配置为到本地网络的中转点。
全球对等
如果我们有一个存在于不同区域的 azure 虚拟网络,那么我们可以使用 Global peering。VNet 对等互连和全局 VNet 对等互连均支持网关传输。
站点到站点 VPN:如果我们有本地虚拟网络,并且我们可能在其他云提供商中存在其他虚拟网络。要使用本地数据中心的网络连接到 Azure 中的虚拟网络,我们可以使用站点到站点 VPN。
Express Route:如果我们有业务需求,我们的本地数据中心和虚拟网络之间的这种连接应该在专用通信通道上,那么您可以使用 Express Route。
对等时要记住的要点:
- 仅在同一订阅中允许 VNet 之间的对等互连。
- 允许在同一 AD 租户下的不同订阅中的 VNet 之间进行对等互连。
- 还允许在位于不同 AD 租户的不同订阅中的 VNet 之间进行对等互连。
VPN网关
VPN 网关是一种特定类型的虚拟网络网关,用于通过公共 Internet 在 Azure 虚拟网络和本地位置之间发送加密流量。VPN 网关充当虚拟网络两侧的中间人。如果这些虚拟网络中的工作负载需要相互通信,它们将通过两个虚拟网络的 VPN 网关之间的加密通信通道进行通信。
当我们计划在 Azure 中部署 VPN 网关时,我们可以配置与其相关的设置数量:
- 网关 SKU:我们需要根据工作负载的类型、吞吐量、功能和 SLA 选择满足我们要求的 SKU。
- 区域冗余网关:当我们使用区域冗余网关时,我们可以从区域弹性中受益,以访问 Azure 上的任务关键型、可扩展服务。
- 连接类型:连接类型可以是 IPsec、Vnet2Vnet、ExpressRoute、VPNClient。
- VPN 类型:我们选择的 VPN 类型取决于我们要创建的连接拓扑和 VPN 设备。它可以是基于策略的 VPN 或基于路由的 VPN。
- 网关子网:在创建 VPN 网关之前,您必须创建一个名为“GatewaySubnet”的网关子网,并且不要在该子网中部署任何其他内容。
- 本地网络网关:本地网络网关通常代表您的本地位置,即 VPN 设备和地址前缀。
- 连接拓扑:站点到站点、多站点、点到站点、Vnet 到 Vnet 和快速路由。
- 监控和警报:监控关键指标并配置警报。
