架构方案 | Azure Virtual WAN 迁移上云


  背景

一家全球金融组织,在欧洲和亚洲设有办事处。 他们计划将其现有的应用程序从本地数据中心迁移到 Azure,并基于客户管理的中心辐射体系结构建立了基础设施, 其中包括用于混合连接的区域中心虚拟网络。该架构在多个区域使用了中心辐射型拓扑, 其中包括用于连回到公共专用广域网 (WAN) 的 ExpressRoute 线路,其中一些站点还将 VPN 隧道与 Azure 直接连接, 以访问云中托管的应用程序。

...

  要求

网络团队的任务是提供一个全球网络模型,该模型可以支持 Contoso 向云的迁移,且必须在成本、规模和性能方面进行优化。 总而言之,需要满足以下要求:

· 为总部 (HQ) 和分支机构提供云托管应用程序的优化路径。
· 消除 VPN 终端对现有本地数据中心 (DC) 的依赖,同时保留以下连接路径:
· 分支到 VNet:连接 VPN 的办事处必须能够访问本地 Azure 区域中迁移到云的应用程序。
· 分支 -> 中心 -> 中心 -> VNet:连接 VPN 的办事处必须能够访问远程 Azure 区域中迁移到云的应用程序。
· 分支到分支:连接区域 VPN 的办事处必须能够相互通信,且能够与连接 ExpressRoute 的 HQ/DC 站点通信。
· 分支 -> 中心 -> 中心 -> 分支:连接全球分布 VPN 的办事处必须能够相互通信,且能够与任何连接 ExpressRoute 的 HQ/DC 站点通信。
· 分支到 Internet:连接的站点必须能够与 Internet 通信。 必须筛选并记录此流量。
· VNet 到 VNet:同一区域中的辐射虚拟网络必须能够相互通信。
· VNet -> 中心 -> 中心 -> VNet:不同区域中的辐射虚拟网络必须能够相互通信。
· 使 Contoso 漫游用户(笔记本电脑和手机)无需连接公司网络即可访问公司资源。

  架构方案

欧洲 HQ 仍连接 ExpressRoute,停用欧洲本地 DC 并完全迁移到 Azure。
亚洲 DC 和 HQ 仍连接专用 WAN。 Azure 虚拟 WAN 现用于扩展本地运营商网络并提供全球连接。
西欧和东南亚 Azure 区域均部署了 Azure 虚拟 WAN 中心,以便为连接 ExpressRoute 和 VPN 的设备提供连接中心。
中心还通过全球网格网络的 OpenVPN 连接,为使用多种客户端类型的漫游用户提供 VPN 终端,这样,用户不仅可以访问已迁移到 Azure 的应用程序, 而且还能访问保留在本地的任何资源。
Azure 虚拟 WAN 为虚拟网络中的资源的提供 Internet 连接。
Azure 虚拟 WAN 同样为远程站点 提供Internet 连接。 通过合作伙伴集成支持的本地 Internet 中断,用于优化对 Microsoft 365 等 SaaS 服务的访问。

...