官方文档:
https://docs.azure.cn/zh-cn/virtual-network/virtual-networks-overview?toc=/articles/azure-operations-guide/toc.json主要时介绍Azure网络拓扑结构,资料来自官方文档。
首先介绍结构Azure的概念
Vnet:虚拟网络
- Azure 资源之间的通信:可以将 vm 和其他几种类型的 Azure 资源部署到虚拟网络,
- 相互通信:可以将虚拟网络彼此连接,使虚拟网络中的资源能够使用虚拟网络对等互连相互进行通信。 连接的虚拟网络可以在相同或不同的 Azure 区域中。--BGP、VPN
- 与 Internet 通信:默认情况下,VNet 中的所有资源都可以与 internet 进行出站通信。 可以通过分配公共 IP 地址或公共负载均衡器来与资源进行入站通信。 还可以使用公共 IP 地址或公共负载均衡器来管理出站连接。
- 与本地网络通信:可以使用VPN 网关或ExpressRoute将本地计算机和网络连接到虚拟网络。
VPN网关 :
VPN 网关是特定类型的虚拟网关,用于跨公共 Internet 在 Azure 虚拟网络和本地位置之间发送加密的流量。也可使用 VPN 网关在基于 Microsoft 网络的 Azure 虚拟网络之间发送加密流量。每个虚拟网络只能有一个 VPN 网关。但是,可以创建连接到相同 VPN 网关的多个连接。与同一个 VPN 网关建立多个连接时,所有 VPN 隧道共享可用的网关带宽。
虚拟网关:
虚拟网络网关由两个或多个 VM 组成,这些 VM 部署到所创建的名为“网关子网”的特定子网。虚拟网络网关 VM 包含路由表,并运行特定的网关服务。这些 VM 是在创建虚拟网络网关时创建的。不能直接配置属于虚拟网络网关的 VM。
公共IP:
- 从 Internet 到资源的入站通信,如 Azure 虚拟机 (VM)、Azure 应用程序网关、Azure 负载均衡器、Azure VPN 网关等。 如果 VM 没有分配有公共 IP 地址,则仍可通过 Internet 与某些资源(如 VM)进行通信,前提是 VM 是负载均衡器后端池的一部分且负载均衡器分配有公共 IP 地址。
- 使用可预测的 IP 地址与 Internet 建立出站连接。 例如,如果某虚拟机未分配有公共 IP 地址,但其地址由 Azure 网络地址转换为可预测的公共地址,则默认情况下,该虚拟机可与 Internet 建立出站通信。 通过将公共 IP 地址分配给资源,可了解哪个 IP 地址用于出站连接。 尽管可预测,但地址可根据所选分配方法进行更改。
虚拟 WAN:
Azure 虚拟 WAN 是一个网络服务,其中整合了多种网络、安全和路由功能,提供单一操作界面。这些功能包括分支连接(通过 SD-WAN 或 VPN CPE 等虚拟 WAN 合作伙伴设备的连接自动化)、站点到站点 VPN 连接、远程用户 VPN(点到站点)连接、专用 (ExpressRoute) 连接、云内部连接(虚拟网络的可中转连接)、VPN ExpressRoute 互连、路由、Azure 防火墙、专用连接加密。无需所有这些用例即可开始使用虚拟 WAN。可从一个用例开始,并随着情况变化对网络进行调整。
ExpressRoute 概述
可以从任意位置之间的 (IP VPN) 网络、点到点以太网或在共置设施上通过连接服务提供商的虚拟交叉连接来建立这种连接。ExpressRoute 连接不通过公共 Internet 。与通过 Internet 的典型连接相比,ExpressRoute 连接提供更高的可靠性、更快的速度、一致的延迟和更高的安全性。
ExpressRoute 先决条件和清单
网络要求
- 每个对等位置的冗余: microsoft 要求在 microsoft 的路由器与每个 ExpressRoute 线路上的对等互连路由器之间设置冗余的 BGP 会话(即使只有一个到云交换的物理连接)。
- 灾难恢复冗余: Microsoft 强烈建议在不同的对等位置中至少设置两条 ExpressRoute 线路,以避免单点故障。
- 路由:你或提供商需设置和管理针对路由域的 BGP 会话,具体取决于连接到 Microsoft 云的方式。 某些以太网连接服务提供商或云交换服务提供商可能会以增值服务的形式提供 BGP 管理。
- NAT:Microsoft 只能通过 Microsoft 对等互连方式接受公共 IP 地址。 如果使用的是本地网络中的专用 IP 地址,你或提供商需使用 NAT将专用 IP 地址转换为公共 IP 地址。
- QoS:Skype for Business 的各种服务(例如语音、视频、文本)所要求的 QoS 处理方式各有差异。 你和提供商应遵循 QoS 要求。
- 网络安全:通过 ExpressRoute 连接到 Microsoft 云时,应考虑网络安全。
ER拓扑逻辑
- 客户计算设备(例如服务器或电脑)
- CE:客户边缘路由器
- PE(面向 CE):提供商边缘路由器/交换机,面向客户边缘路由器。 本文档中称为“PE-CE”。
- PE(面向 MSEE):提供商边缘路由器/交换机,面向 MSEE。 本文档中称为“PE-MSEE”。
- MSEE:Microsoft 企业边缘 (MSEE) ExpressRoute 路由器
- 虚拟网络 (VNet) 网关
- Azure VNet 上的计算设备
网络安全组:
可以使用 Azure 网络安全组来筛选进出 Azure 虚拟网络中的 Azure 资源的网络流量。网络安全组包含安全规则,这些规则可允许或拒绝多种 Azure 资源的入站和出站网络流量。可以为每项规则指定源和目标、端口以及协议。本文介绍了网络安全组规则的属性、应用的默认安全规则,以及可以修改以创建扩充安全规则的规则属性。
Azure 拓扑
拓扑是自己基于文档的理解,有什么不对的地方,欢迎大家指出,可在评论留言。
289
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
