架构方案

背景

一家全球金融组织，在欧洲和亚洲设有办事处。他们计划将其现有的应用程序从本地数据中心迁移到 Azure，并基于客户管理的中心辐射体系结构建立了基础设施，其中包括用于混合连接的区域中心虚拟网络。该架构在多个区域使用了中心辐射型拓扑，其中包括用于连回到公共专用广域网 (WAN) 的 ExpressRoute 线路，其中一些站点还将 VPN 隧道与 Azure 直接连接，以访问云中托管的应用程序。

要求

网络团队的任务是提供一个全球网络模型，该模型可以支持 Contoso 向云的迁移，且必须在成本、规模和性能方面进行优化。总而言之，需要满足以下要求：

· 为总部 (HQ) 和分支机构提供云托管应用程序的优化路径。
· 消除 VPN 终端对现有本地数据中心 (DC) 的依赖，同时保留以下连接路径：
· 分支到 VNet：连接 VPN 的办事处必须能够访问本地 Azure 区域中迁移到云的应用程序。
· 分支 -> 中心 -> 中心 -> VNet：连接 VPN 的办事处必须能够访问远程 Azure 区域中迁移到云的应用程序。
· 分支到分支：连接区域 VPN 的办事处必须能够相互通信，且能够与连接 ExpressRoute 的 HQ/DC 站点通信。
· 分支 -> 中心 -> 中心 -> 分支：连接全球分布 VPN 的办事处必须能够相互通信，且能够与任何连接 ExpressRoute 的 HQ/DC 站点通信。
· 分支到 Internet：连接的站点必须能够与 Internet 通信。必须筛选并记录此流量。
· VNet 到 VNet：同一区域中的辐射虚拟网络必须能够相互通信。
· VNet -> 中心 -> 中心 -> VNet：不同区域中的辐射虚拟网络必须能够相互通信。
· 使 Contoso 漫游用户（笔记本电脑和手机）无需连接公司网络即可访问公司资源。

欧洲 HQ 仍连接 ExpressRoute，停用欧洲本地 DC 并完全迁移到 Azure。
亚洲 DC 和 HQ 仍连接专用 WAN。 Azure 虚拟 WAN 现用于扩展本地运营商网络并提供全球连接。
西欧和东南亚 Azure 区域均部署了 Azure 虚拟 WAN 中心，以便为连接 ExpressRoute 和 VPN 的设备提供连接中心。
中心还通过全球网格网络的 OpenVPN 连接，为使用多种客户端类型的漫游用户提供 VPN 终端，这样，用户不仅可以访问已迁移到 Azure 的应用程序，而且还能访问保留在本地的任何资源。
Azure 虚拟 WAN 为虚拟网络中的资源的提供 Internet 连接。
Azure 虚拟 WAN 同样为远程站点提供Internet 连接。通过合作伙伴集成支持的本地 Internet 中断，用于优化对 Microsoft 365 等 SaaS 服务的访问。