本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

設計 Microsoft Azure IaaS 的網路

 

上次修改主題的時間:2017-06-28

摘要: 了解如何設計的 Microsoft Azure IaaS 中的工作負載最佳化的網路。

最佳化網路的 IT 工作量架設在 Azure IaaS 需要瞭解 Azure 虛擬網路 (VNets) 地址空格、 路由、 DNS、 和負載平衡。

任何類型的 VNet 遵循下列步驟。

經歷Microsoft 雲端連線的常見的元素中的步驟來準備您的 Microsoft 雲端服務的網路區段。

最佳化您的網際網路頻寬使用步驟 2 – 4 中設計 Microsoft SaaS 的網路步驟來準備您的 Microsoft saas 和服務的網路區段。

僅限雲端 VNet 有未連線至內部網路。以下是範例。

圖 1: 僅限雲端 VNet

圖 1:Azure 中只存在於雲端的虛擬網路

圖 1 顯示虛擬機器的一的組中僅限雲端 VNet。

A 跨部署 VNet 具有至網站 (S2S) 透過 Azure 閘道的內部網路的 VPN 或 ExpressRoute 連線。以下是範例。

圖 2: 跨部署 VNet

圖 2:Azure 中跨部署的虛擬網路

圖 2 顯示一組的虛擬機器在跨部署 VNet,連線至內部網路中。

請參閱其他本文中的跨單位 VNet 的規劃步驟一節。

表 1 顯示的位址空間 VNets 不同類型。

 

VNet 的類型 虛擬網路位址空間

僅雲端

任意私人位址空間

僅限雲端彼此互相

任意私人,但不是重疊與其他連線 VNets

跨單位

私人,但不是重疊與內部部署

互連的跨部署

私人,但不是重疊與內部部署與其他連線 VNets

表 1: 類型的 VNets 和其對應的位址空間

虛擬機器時的 DHCP 指派之子網路的位址空間的地址組態:

  • 位址/子網路遮罩

  • 預設閘道

  • DNS 伺服器 IP 位址

您也可以保留靜態 IP 位址。

虛擬機器可以也指派公用 IP 位址,個別或從包含雲端服務 (適用於僅限傳統部署機器)。

有兩種類型的子網路中 VNet、 閘道子網路和虛擬機器裝載的子網路。

圖 3:Azure 中的兩種子網路類型

圖 3:Azure 中的兩種子網路類型

圖 3 是含有包含 Azure 閘道與一組的虛擬機器裝載含有虛擬機器時的子網路的閘道子網路 VNet。

Azure 閘道子網路會需要 Azure 主控兩個虛擬機器的 Azure 的閘道。使用至少 29 位元前置詞長度指定位址空間 (範例: 192.168.15.248/29)。建議的 28 位元或較小的前置詞長度,特別是如果您打算使用 ExpressRoute。

決定 Azure 閘道子網路的位址空間的最佳作法是下列:

  1. 決定閘道子網路的大小。

  2. VNet 的位址空間中變數的位元,設為 0 的閘道子網路所使用的位元,並將剩餘的位元設定為 1。

  3. 轉換成十進位和 express 位址空間為具有前置詞長度設為閘道子網路的大小。

使用此方法之後,閘道子網路的位址空間一律為結尾處的最遠 VNet 位址空間。

以下是定義閘道子網路的地址前置字的範例: VNet 位址空間是 10.119.0.0/16。組織一開始會使用網站 VPN 連線,但將最後取得 ExpressRoute。表 2 顯示的步驟及決定閘道的子網路位址前置詞的網路前置詞表示法 (也稱為 CIDR) 的結果。

 

步驟 結果

1.決定閘道子網路的大小。

/28

2.設定位元 VNet 位址空間 (b) 的可變部分: 0 的閘道的子網路位元 (G),否則為 1 (V)。

10.119. bbbbbbbb . bbbbbbbb

10.119. VVVVVVVV . VVVVGGGG
10.119. 11111111 . 11110000

3.將結果步驟 2 轉換成十進位和 express 為位址空間。

10.119.255.240/28

表 2: 的範例判斷閘道的子網路位址首碼

如需詳細資訊,請參閱Azure 閘道的子網路的位址空間計算器

虛擬機器裝載的子網路會放置 Azure 虛擬機器,您可以根據內部一般指導方針,例如一般角色或應用程式或子網路隔離層中執行的位置。

Azure 每個子網路上使用的前 3 的地址。因此,可能 Azure 的子網路上的地址的數目是 2n -5、 其中 n 是主機位元數。表 3 顯示的虛擬機器時所需、 數目範圍主控需要的位元和相對應的子網路大小。

 

所需的虛擬機器 主機位元 子網路大小

1-3

3

/29

4-11

4

/28

12-27

5

/27

28-59

6

/26

60 123

7

/25

表 3: 虛擬機器的需求和其子網路大小

如需虛擬機器上的子網路或 VNet 最大數量的詳細資訊,請參閱網路限制

如需詳細資訊,請參閱< Plan and design Azure 虛擬網路

Azure 指派虛擬機器時的 DHCP 的 DNS 伺服器的位址。DNS 伺服器可以是:

  • 提供由 Azure: 提供本機名稱登錄與本機與網際網路名稱解析

  • 提供您: 提供本機或網路名稱登錄與內部網路或網際網路名稱解析

    表 4 顯示每種類型的 VNet 的 DNS 伺服器的不同設定。

 

VNet 的類型 DNS 伺服器

僅雲端

Azure 提供本機和網際網路名稱解析

Azure 虛擬機器的本機與網際網路名稱解析 (DNS 轉接)

跨單位

在內部的本機與內部網路名稱解析

Azure 虛擬機器的本機與內部網路名稱解析 (DNS 複寫和轉寄)

表 4: VNets 兩種不同類型的 DNS 伺服器選項

如需詳細資訊,請參閱Vm 和角色執行個體的名稱解析

在某些情況下,您想要散佈的一組具有相同角色的伺服器到的傳入流量。Azure IaaS 若要這樣做為網際網路對向內建設備且內部流量負載。

Azure 的網際網路對向負載平衡隨機分散每個來路不明傳入流量從網際網路到負載平衡的一組的成員。

圖 4:Azure 中的外部負載平衡器

圖 4:Azure 中的外部負載平衡器

圖 4 顯示分散每個撥入的 NAT 規則或一組負載平衡集內的虛擬機器時的端點上的內送流量的 Azure 中的外部負載平衡器。

Azure 內部的負載平衡隨機分散每個來自其他 Azure Vm 或從內部網路負載平衡的一組的成員電腦的來路不明傳入流量。

圖 5:Azure 中的內部負載平衡器

圖 5:Azure 中的內部負載平衡器

圖 5 顯示分散每個撥入的 NAT 規則或一組負載平衡集內的虛擬機器時的端點上的內送流量的 Azure 中的內部負載平衡器。

如需詳細資訊,請參閱Azure 負載平衡器

如果您需要轉寄至虛擬設備中您 VNet 流量,您可能需要將一或多個使用者定義的路由新增至子網路。

圖 6:Azure 中的虛擬設備和使用者定義路由

圖 6:Azure 中的虛擬設備和使用者定義路由

圖 6 顯示跨部署 VNet 和使用者定義的路由指派給指向虛擬 appliance 的虛擬機器裝載子網路。

如需詳細資訊,請參閱 <使用者定義的路由和 IP 轉寄

有多個提供存取網際網路才能虛擬機器上 VNet,其中包含從您組織的網路透過 proxy 伺服器或其他 edge 裝置存取的方式。

表 5 列出篩選或檢查來路不明的傳入流量的方法。

 

方法 部署模型

1.端點和雲端服務上設定的 Acl

傳統

2.網路安全性群組

資源管理員與傳統

3.網際網路對向的負載平衡器以輸入 NAT 規則

資源管理員

4.網路安全性設備中 (不會顯示) Azure Marketplace

資源管理員與傳統

連線至虛擬機器和其對應的 Azure 部署模型的表 5: 方法

圖 7:透過網際網路連線到 Azure 虛擬機器

圖 7:透過網際網路連線到 Azure 虛擬機器

圖 7 顯示網際網路連線的電腦連線至虛擬機器使用端點的雲端服務、 使用網路安全性] 群組中,將子網路上的虛擬機器及虛擬機器上使用外部負載平衡器和撥入的 NAT 規則的子網路。

提供其他安全性:

  • 遠端桌面和 SSH 連線,這會驗證與加密。

  • 遠端 PowerShell 工作階段,這會驗證與加密。

  • IPsec 傳輸模式,您可以使用端對端加密。

  • Azure DDOS 保護,有助於防止外部和內部攻擊

如需詳細資訊,請參閱Microsoft 雲端 Security for Enterprise 架構師Azure 網路安全性

VNets 可以使用類似用來連接組織的站台的拓撲彼此進行連線。

雛菊鏈結設定連接中一系列 VNets。

圖 8: Daisy 鏈結設定 VNets

圖 8:Azure 虛擬網路的菊輪鍊設定

圖 8 顯示五個 VNets 連線使用 daisy 鏈結組態的數列。

支點和中樞設定連線至中央 VNets,連線至彼此本身是一組多個 VNets。

圖 9: 支點和中樞設定 VNets

圖 9:Azure 虛擬網路的輪輻和中樞設定

圖 9 顯示六個 VNets 兩個 VNets 連接至彼此和也兩個其他支點 VNets 的集線器。

完整網狀設定連接至彼此的每個 VNet。

圖 10: 完整網狀結構 VNets 組態

圖 10:Azure 虛擬網路的網狀設定

圖 10 說明四種 VNets 連接至彼此、 使用六個 VNet-VNet 連線的總。

針對跨部署 VNet 遵循下列步驟。

提示 提示:
若要建立模擬的跨部署的開發人員/測試環境,請參閱模擬的跨部署在 Azure 虛擬網路

表 6 列出不同類型的連線。

 

連線類型 用途

若要網站 (S2S) VPN

以單一 VNet 連線 1 – 10 網站 (包括其他 VNets)。

ExpressRoute

透過網際網路 Exchange 提供者 (IXP) 或網路服務提供者 (NSP) Azure 私人的安全連結。

若要網站點 (P2S) VPN

會在單一電腦連線至 VNet。

VNet 對等或 VNet VNet (V2V) VPN

連接至另一個 VNet 資訊 VNet。

表 6: 連線類型的跨單位 VNets

如需詳細的連線數目上限的詳細資訊,請參閱網路限制

如需 VPN 裝置的詳細資訊,請參閱網站虛擬網路連線的 VPN 裝置

如需 VNet 對等的詳細資訊,請參閱VNet 對等

圖 11: 四種方式連線至跨部署 VNet

圖 11:連線到跨部署 Azure 虛擬網路的三種方式

圖 11 顯示 VNet 與四種類型的連線: P2S 連線的電腦、 從內部網路 S2S VPN 連線、 從內部網路、 ExpressRoute 連線及來自另一個 VNet VNet toVNet 連線。

您可以透過下列方式連線至 Vm VNet:

  • 管理的 VNet Vm 從您的內部網路或網際網路

  • 從內部網路的 IT 工作量存取

  • 透過其他 VNets 您網路的延伸模組

由下列提供連線安全性:

  • P2S 使用安全通訊端通訊協定通道通訊協定 (SSTP)

  • S2S 和 VNet-VNet VPN 連線會使用 IPsec 通道模式與 AES256

  • ExpressRoute 是私人的 WAN 連線

如需詳細資訊,請參閱Microsoft 雲端 Security for Enterprise 架構師Azure 網路安全性

您的內部部署 VPN 裝置或路由器做為:

  • 終止 Azure 閘道的 S2S VPN 連線 IPsec 等。

  • 私人的對等 ExpressRoute 連線 BPG 對等和終止點。

圖 12:內部部署 VPN 路由器或裝置

圖 12:內部部署 VPN 路由器或裝置

圖 12 顯示跨部署 VNet 連線至內部部署 VPN 路由器或裝置。

如需詳細資訊,請參閱 <關於 VPN 閘道

從內部部署路由傳送至 VNets 包含下列:

  1. Points 正面 VPN 裝置 VNet 位址空間的路由。

  2. 在您跨 S2S VPN 或 ExpressRoute 連接點的 VPN 裝置 VNet 位址空間路由

圖 13: 內部部署路由所需進行 VNet 連至

圖 13:內部部署路由需要讓 Azure VNet 可以連線

圖 13 顯示內部路由器和 VPN 路由器或代表 VNet 位址空間的裝置所需的路由資訊。

您可以使用私人對等之間的內部網路和 Microsoft cloud 三個不同的方式建立 ExpressRoute 連線:

  • 共同位於雲端 exchange

  • 點對點乙太網路連線

  • 任何-任何 (IP VPN) 網路

圖 14: 使用 ExpressRoute 連線至跨部署 VNet

圖 14:使用 ExpressRoute 連線到跨部署 Azure 虛擬網路

圖 14 顯示跨部署 VNet 和 ExpressRoute 由內部路由器連線至 Microsoft Azure。

如需詳細資訊,請參閱Microsoft 雲端連線 ExpressRoute

路由傳送至內部部署或其他 VNets 從 VNet、 Azure 會將流量轉送跨找出指派給閘道之本機網路位址空間 Azure 閘道。

圖 15: 本機網路位址空間以便跨部署 VNet

圖 15:跨部署 Azure 虛擬網路的區域網路位址空間

圖 15 會顯示在 Azure 的閘道,代表在內部網路上的連至位址空間跨部署 VNet 與區域網路位址空間。

您可以透過下列方式定義的區域網路位址空間:

  • 做法 1: 目前所需的位址空間或 (更新時可能需要新增新的子網路時) 的使用中的前置詞的清單。

  • 選項 2: 整個內部位址空間 (只需要新增新的位址空間時的更新)。

因為 Azure 閘道不允許摘要的路由,您必須定義選項 2 的區域網路位址空間,讓它不會納入 VNet 位址空間。

圖 16: 位址空間內徑建立 VNet 位址空間

圖 16:虛擬網路的位址空間所建立的地址空間漏洞

圖 16 顯示與根空間的位址空間和 VNet 位址空間的表示法。

以下是定義使用者的周圍的位址空間"內徑"VNet 所建立的區域網路位址空間的前置詞的範例:

  • 組織會使用透過其內部網路中某些部分的私人位址空間 (10.0.0.0/8、 172.16.0.0/12、 / 8 以及 192.168.0.0/16)。他們選擇選項 2 和 10.100.100.0/24 作為其 VNet 位址空間。

表 7 示範中的步驟及產生定義此範例的區域網路位址空間的前置詞。

 

步驟 結果

1.清單不是 VNet 位址空間根空間的前置詞。

172.16.0.0/12 和 192.168.0.0/16

2.清單變數八位元,但不包括 VNet 位址空間的最後一個使用八位元的不重疊前置詞。

10.0.0.0/16、 10.1.0.0/16...]10.99.0.0/16、 10.101.0.0/16...]10.254.0.0/16、 10.255.0.0/16 (255 的首碼,已略過 10.100.0.0/16)

3.清單內的最後一個使用八位元 VNet 位址空間的不重疊前置詞。

10.100.0.0/24、 10.100.1.0/24...]10.100.99.0/24、 10.100.101.0/24...]10.100.254.0/24、 10.100.0.255.0/24 (255 的首碼,已略過 10.100.100.0/24)

表 7: 範例本機位址網路空間

若要確保內部部署電腦可以解析 Azure 型伺服器的名稱和 Azure 型伺服器可以解析內部電腦的名稱,來設定:

  • 在您 VNet 以轉送至內部 DNS 伺服器之 DNS 伺服器

  • DNS 複寫的適當的區域之間 DNS 伺服器的內部及 VNet

圖 17: DNS 複寫及轉寄跨部署 VNet 的 DNS 伺服器

圖 17:跨部署 Azure 虛擬網路中 DNS 伺服器的 DNS 複寫和轉送

圖 17 顯示具有 DNS 伺服器跨部署 VNet 在內部網路及 VNet 中的子網路。DNS 複寫及轉寄已設定兩部 DNS 伺服器之間。

Azure 的子網路的預設系統路由會指向網際網路。若要確保從虛擬機器時的所有流量一起都出差之間的跨部署的連線,建立路由表格與預設路由使用 Azure 閘道作為其下個躍點位址。然後將路由表建立關聯與子網路。這就是所謂強制通道。如需詳細資訊,請參閱 < Configure 強制通道

圖 18: 使用者定義的路由和強制通道的跨單位 VNet

圖 18:跨部署 Azure 虛擬網路的使用者定義路由和強制通道

圖 18 顯示以指向 Azure 閘道的子網路的使用者定義路由跨部署 VNet。

IT 工作負載架設在 Azure IaaS 內部網路的範例是高可用性、 多層 SharePoint Server 2016 伺服器陣列中圖 19 所示。

圖 19: 高度可用的內部網路 SharePoint Server 2016 中的伺服器陣列 Azure IaaS

Azure IaaS 中高可用性的 SharePoint Server 2016 伺服器陣列

圖 19 顯示部署中使用內部負載平衡器的前端和資料層跨部署 VNet 的 SharePoint Server 2016 伺服器陣列的九個伺服器。如需詳細資訊,包括逐步設計及部署指示,請參閱Microsoft Azure 中的 SharePoint Server 2016

提示 提示:
若要模擬的跨單位 VNet 中建立單一伺服器的 SharePoint Server 2016 伺服器陣列,請參閱在 Azure 的開發人員測試環境中的內部網路 SharePoint Server 2016

如需其他範例虛擬跨部署 Azure 中的虛擬機器上部署的 IT 工作負載的網路,請參閱Azure IaaS 的混合式雲端案例

https://technet.microsoft.com/zh-tw/library/dn919927.aspx
顯示: