Azure 中的互操作性 - 数据平面分析

  • 项目

本文介绍了测试设置的数据平面分析。 你也可以查看测试设置的测试设置配置控制平面分析

数据平面分析检查数据包从一个本地网络(LAN 或虚拟网络)遍历到拓扑中的另一个本地网络所采用的路径。 两个本地网络之间的数据路径不一定是对称的。 因此,本文将单独从反向路径的角度来分析从一个本地网络到另一个网络的正向路径。

来自中心虚拟网络的数据路径

到辐射型虚拟网络的路径

虚拟网络对等互连模拟两个对等互连的虚拟网络之间的网桥功能。 下面显示了从中心虚拟网络到辐射型虚拟网络中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.11.30.4

Tracing route to 10.11.30.4 over a maximum of 30 hops

  1     2 ms     1 ms     1 ms  10.11.30.4

Trace complete.

下图从 Azure 网络观察程序的视角显示了中心虚拟网络和辐射型虚拟网络的图形连接视图:

Diagram of Network Watcher view of connectivity from a hub virtual network to a spoke virtual network.

到分支虚拟网络的路径

下面显示了从中心虚拟网络到分支虚拟网络中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.11.30.68

Tracing route to 10.11.30.68 over a maximum of 30 hops

  1     1 ms     1 ms     1 ms  10.10.30.142
  2     * *        * Request timed out.
  3     2 ms     2 ms     2 ms  10.11.30.68

Trace complete.

在此跟踪路由中,第一个跃点是中心虚拟网络的 Azure VPN 网关中的 VPN 网关。 第二个跃点是分支虚拟网络的 VPN 网关。 对于分支虚拟网络的 VPN 网关,其 IP 地址不会在中心虚拟网络中播发。 第三个跃点是分支虚拟网络中的 VM。

下图从网络观察程序的视角显示了中心虚拟网络和分支虚拟网络的图形连接视图:

Diagram of Network Watcher view of connectivity from a hub virtual network to a branch virtual network.

对于相同的连接,下图显示了网络观察程序中的网格视图:

Diagram of Network Watcher grid view of connectivity from a hub virtual network to a branch virtual network.

本地位置 1 的路径

下面显示了从中心虚拟网络到本地位置 1 中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.2.30.10

Tracing route to 10.2.30.10 over a maximum of 30 hops

  1     2 ms     2 ms     2 ms  10.10.30.132
  2     * *        * Request timed out.
  3     * *        * Request timed out.
  4     2 ms     2 ms     2 ms  10.2.30.10

Trace complete.

在此跟踪路由中,第一个跃点是 Azure ExpressRoute 网关隧道终结点到 Microsoft Enterprise Edge 路由器 (MSEE)。 第二个和第三个跃点为客户边缘 (CE) 路由器和本地位置 1 LAN IP。 这些 IP 地址不会在中心虚拟网络中播发。 第四个跃点是本地位置 1 中的 VM。

本地位置 2 的路径

下面显示了从中心虚拟网络到本地位置 2 中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.1.31.10

Tracing route to 10.1.31.10 over a maximum of 30 hops

  1    76 ms    75 ms    75 ms  10.10.30.134
  2     * *        * Request timed out.
  3     * *        * Request timed out.
  4    75 ms    75 ms    75 ms  10.1.31.10

Trace complete.

在此跟踪路由中,第一跃点是 MSEE 的 ExpressRoute 网关隧道终结点。 第二个和第三个跃点为 CE 路由器和本地位置 2 LAN IP。 这些 IP 地址不会在中心虚拟网络中播发。 第四个跃点是本地位置 2 中的 VM。

到远程虚拟网络的路径

下面显示了从中心虚拟网络到远程虚拟网络中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.17.30.4

Tracing route to 10.17.30.4 over a maximum of 30 hops

  1     2 ms     2 ms     2 ms  10.10.30.132
  2     * *        * Request timed out.
  3    69 ms    68 ms    69 ms  10.17.30.4

Trace complete.

在此跟踪路由中,第一跃点是 MSEE 的 ExpressRoute 网关隧道终结点。 第二个跃点是远程虚拟网络的网关 IP。 第二个跃点的 IP 范围不会在中心虚拟网络中播发。 第三个跃点是远程虚拟网络中的 VM。

来自辐射型虚拟网络的数据路径

辐射型虚拟网络共享中心虚拟网络的网络视图。 通过虚拟网络对等互连,辐射型虚拟网络使用中心虚拟网络的远程网关连接,就像它直接连接到辐射型虚拟网络一样。

到中心虚拟网络的路径

下面显示了从辐射型虚拟网络到中心虚拟网络中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.10.30.4

Tracing route to 10.10.30.4 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  10.10.30.4

Trace complete.

到分支虚拟网络的路径

下面显示了从辐射型虚拟网络到分支虚拟网络中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.11.30.68

Tracing route to 10.11.30.68 over a maximum of 30 hops

  1     1 ms    <1 ms    <1 ms  10.10.30.142
  2     * *        * Request timed out.
  3     3 ms     2 ms     2 ms  10.11.30.68

Trace complete.

在此跟踪路由中,第一个跃点是中心虚拟网络的 VPN 网关。 第二个跃点是分支虚拟网络的 VPN 网关。 对于分支虚拟网络的 VPN 网关,其 IP 地址不会在中心/辐射型虚拟网络中播发。 第三个跃点是分支虚拟网络中的 VM。

本地位置 1 的路径

下面显示了从辐射型虚拟网络到本地位置 1 中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.2.30.10

Tracing route to 10.2.30.10 over a maximum of 30 hops

  1    24 ms     2 ms     3 ms  10.10.30.132
  2     * *        * Request timed out.
  3     * *        * Request timed out.
  4     3 ms     2 ms     2 ms  10.2.30.10

Trace complete.

在此跟踪路由中,第一个跃点是中心虚拟网络的 ExpressRoute 网关隧道终结点到 MSEE。 第二个和第三个跃点为 CE 路由器和本地位置 1 LAN IP。 这些 IP 地址不会在中心/辐射型虚拟网络中播发。 第四个跃点是本地位置 1 中的 VM。

本地位置 2 的路径

下面显示了从辐射型虚拟网络到本地位置 2 中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.1.31.10

Tracing route to 10.1.31.10 over a maximum of 30 hops

  1    76 ms    75 ms    76 ms  10.10.30.134
  2     * *        * Request timed out.
  3     * *        * Request timed out.
  4    75 ms    75 ms    75 ms  10.1.31.10

Trace complete.

在此跟踪路由中,第一个跃点是中心虚拟网络的 ExpressRoute 网关隧道终结点到 MSEE。 第二个和第三个跃点为 CE 路由器和本地位置 2 LAN IP。 这些 IP 地址不会在中心/辐射型虚拟网络中播发。 第四个跃点是在本地位置 2 中的 VM。

到远程虚拟网络的路径

下面显示了从辐射型虚拟网络到远程虚拟网络中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.17.30.4

Tracing route to 10.17.30.4 over a maximum of 30 hops

  1     2 ms     1 ms     1 ms  10.10.30.133
  2     * *        * Request timed out.
  3    71 ms    70 ms    70 ms  10.17.30.4

Trace complete.

在此跟踪路由中,第一个跃点是中心虚拟网络的 ExpressRoute 网关隧道终结点到 MSEE。 第二个跃点是远程虚拟网络的网关 IP。 第二个跃点的 IP 范围不会在中心/辐射型虚拟网络中播发。 第三个跃点是远程虚拟网络中的 VM。

来自分支虚拟网络的数据路径

到中心虚拟网络的路径

下面显示了从分支虚拟网络到中心虚拟网络中的某个 VM 的跟踪路由输出:

C:\Windows\system32>tracert 10.10.30.4

Tracing route to 10.10.30.4 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  10.11.30.100
  2     * *        * Request timed out.
  3     4 ms     3 ms     3 ms  10.10.30.4

Trace complete.

在此跟踪路由中,第一个跃点是分支虚拟网络的 VPN 网关。 第二个跃点是中心虚拟网络的 VPN 网关。 对于中心虚拟网络的 VPN 网关,其 IP 地址不会在远程虚拟网络中播发。 第三个跃点是中心虚拟网络中的 VM。

到辐射型虚拟网络的路径

下面显示了从分支虚拟网络到辐射型虚拟网络中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.11.30.4

Tracing route to 10.11.30.4 over a maximum of 30 hops

  1     1 ms    <1 ms     1 ms  10.11.30.100
  2     * *        * Request timed out.
  3     4 ms     3 ms     2 ms  10.11.30.4

Trace complete.

在此跟踪路由中,第一个跃点是分支虚拟网络的 VPN 网关。 第二个跃点是中心虚拟网络的 VPN 网关。 对于中心虚拟网络的 VPN 网关,其 IP 地址不会在远程虚拟网络中播发。 第三个跃点是辐射型虚拟网络中的 VM。

本地位置 1 的路径

下面显示了从分支虚拟网络到本地位置 1 中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.2.30.10

Tracing route to 10.2.30.10 over a maximum of 30 hops

  1     1 ms    <1 ms    <1 ms  10.11.30.100
  2     * *        * Request timed out.
  3     3 ms     2 ms     2 ms  10.2.30.125
  4     * *        * Request timed out.
  5     3 ms     3 ms     3 ms  10.2.30.10

Trace complete.

在此跟踪路由中,第一个跃点是分支虚拟网络的 VPN 网关。 第二个跃点是中心虚拟网络的 VPN 网关。 对于中心虚拟网络的 VPN 网关,其 IP 地址不会在远程虚拟网络中播发。 第三个跃点是主要 CE 路由器上的 VPN 隧道终结点。 第四个跃点是在本地位置 1 的内部 IP 地址。 此 LAN IP 地址不会在 CE 路由器外部播发。 第五个跃点是本地位置 1 中的目标 VM。

到本地位置 2 和远程虚拟网络的路径

如在控制平面分析中所述,根据网络配置,分支虚拟网络对本地位置 2 和远程虚拟网络都不可见。 以下 ping 结果确认了这一事实:

C:\Users\rb>ping 10.1.31.10

Pinging 10.1.31.10 with 32 bytes of data:

Request timed out.
...
Request timed out.

Ping statistics for 10.1.31.10:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

C:\Users\rb>ping 10.17.30.4

Pinging 10.17.30.4 with 32 bytes of data:

Request timed out.
...
Request timed out.

Ping statistics for 10.17.30.4:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

本地位置 1 中的数据路径

到中心虚拟网络的路径

下面列出了从本地位置 1 到中心虚拟网络中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.10.30.4

Tracing route to 10.10.30.4 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  10.2.30.3
  2    <1 ms    <1 ms    <1 ms  192.168.30.0
  3    <1 ms    <1 ms    <1 ms  192.168.30.18
  4     * *        * Request timed out.
  5     2 ms     2 ms     2 ms  10.10.30.4

Trace complete.

在跟踪路由中,前两个跃点属于本地网络。 第三个跃点是面向 CE 路由器的主要 MSEE 接口。 第四个跃点是中心虚拟网络的 ExpressRoute 网关。 中心虚拟网络的 ExpressRoute 网关的 IP 范围不会播发到本地网络。 第五个跃点是目标 VM。

网络观察程序仅提供以 Azure 为中心的视图。 在本地透视图中,我们将使用 Azure 网络性能监视器。 网络性能监视器提供可以安装在 Azure 外部网络中的服务器上以进行数据路径分析的代理。

下图显示本地位置 1 VM 通过 ExpressRoute 与中心虚拟网络中的 VM 建立连接的拓扑视图:

Diagram of Network Performance Monitor view of connectivity from the Location 1 VM to the hub virtual network via ExpressRoute 1.

如前文所述,测试设置使用站点到站点 VPN 作为本地位置 1 与中心虚拟网络之间的备用 ExpressRoute 连接。 为了测试备份数据路径,让我们在本地位置 1 主要 CE 路由器和相应的 MSEE 之间引发一个 ExpressRoute 链接故障。 为引发 ExpressRoute 链接故障,请关闭面向 MSEE 的 CE 接口:

C:\Users\rb>tracert 10.10.30.4

Tracing route to 10.10.30.4 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  10.2.30.3
  2    <1 ms    <1 ms    <1 ms  192.168.30.0
  3     3 ms     2 ms     3 ms  10.10.30.4

Trace complete.

下图显示了本地位置 1 VM 连接的拓扑视图。 已与中心虚拟网络上的 VM 建立此连接。 当 ExpressRoute 连接关闭时,将通过站点到站点 VPN 连接实现连接:

Diagram of Network Performance Monitor view of connectivity from the Location 1 VM to the hub virtual network. Connection is via a site-to-site VPN.

到辐射型虚拟网络的路径

下面列出了从本地位置 1 到辐射型虚拟网络中的某个 VM 的跟踪路由输出:

让我们恢复 ExpressRoute 主要连接,以对辐射型虚拟网络执行数据路径分析:

C:\Users\rb>tracert 10.11.30.4

Tracing route to 10.11.30.4 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  10.2.30.3
  2    <1 ms    <1 ms    <1 ms  192.168.30.0
  3    <1 ms    <1 ms    <1 ms  192.168.30.18
  4     * *        * Request timed out.
  5     3 ms     2 ms     2 ms  10.11.30.4

Trace complete.

调出主要 ExpressRoute 1 连接,以执行剩余的数据路径分析。

到分支虚拟网络的路径

下面列出了从本地位置 1 到分支虚拟网络中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.11.30.68

Tracing route to 10.11.30.68 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  10.2.30.3
  2    <1 ms    <1 ms    <1 ms  192.168.30.0
  3     3 ms     2 ms     2 ms  10.11.30.68

Trace complete.

本地位置 2 的路径

控制平面分析中所述,根据网络配置,本地位置 2 看不到本地位置 1。 以下 ping 结果确认了这一事实:

C:\Users\rb>ping 10.1.31.10

Pinging 10.1.31.10 with 32 bytes of data:

Request timed out.
...
Request timed out.

Ping statistics for 10.1.31.10:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

到远程虚拟网络的路径

下面列出了从本地位置 1 到远程虚拟网络中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.17.30.4

Tracing route to 10.17.30.4 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  10.2.30.3
  2     2 ms     5 ms     7 ms  192.168.30.0
  3    <1 ms    <1 ms    <1 ms  192.168.30.18
  4     * *        * Request timed out.
  5    69 ms    70 ms    69 ms  10.17.30.4

Trace complete.

本地位置 2 中的数据路径

到中心虚拟网络的路径

下面列出了从本地位置 2 到中心虚拟网络中的某个 VM 的跟踪路由输出:

C:\Windows\system32>tracert 10.10.30.4

Tracing route to 10.10.30.4 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  10.1.31.3
  2    <1 ms    <1 ms    <1 ms  192.168.31.4
  3    <1 ms    <1 ms    <1 ms  192.168.31.22
  4     * *        * Request timed out.
  5    75 ms    74 ms    74 ms  10.10.30.4

Trace complete.

到辐射型虚拟网络的路径

下面列出了从本地位置 2 到辐射型虚拟网络中的某个 VM 的跟踪路由输出:

C:\Windows\system32>tracert 10.11.30.4

Tracing route to 10.11.30.4 over a maximum of 30 hops
  1    <1 ms    <1 ms     1 ms  10.1.31.3
  2    <1 ms    <1 ms    <1 ms  192.168.31.0
  3    <1 ms    <1 ms    <1 ms  192.168.31.18
  4     * *        * Request timed out.
  5    75 ms    74 ms    74 ms  10.11.30.4

Trace complete.

到分支虚拟网络、本地位置 1 和远程虚拟网络的路径

如在控制平面分析中所述,根据网络配置,本地位置 1 对分支虚拟网络、本地位置 1 或远程虚拟网络不可见。

来自远程虚拟网络的数据路径

到中心虚拟网络的路径

下面显示了从远程虚拟网络到中心虚拟网络中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.10.30.4

Tracing route to 10.10.30.4 over a maximum of 30 hops

  1    65 ms    65 ms    65 ms  10.17.30.36
  2     * *        * Request timed out.
  3    69 ms    68 ms    68 ms  10.10.30.4

Trace complete.

到辐射型虚拟网络的路径

下面显示了从远程虚拟网络到辐射型虚拟网络中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.11.30.4

Tracing route to 10.11.30.4 over a maximum of 30 hops

  1    67 ms    67 ms    67 ms  10.17.30.36
  2     * *        * Request timed out.
  3    71 ms    69 ms    69 ms  10.11.30.4

Trace complete.

到分支虚拟网络和本地位置 2 的路径

如在控制平面分析中所述,根据网络配置,远程虚拟网络对分支虚拟网络或本地位置 2 不可见。

本地位置 1 的路径

下面显示了从远程虚拟网络到本地位置 1 中的某个 VM 的跟踪路由输出:

C:\Users\rb>tracert 10.2.30.10

Tracing route to 10.2.30.10 over a maximum of 30 hops

  1    67 ms    67 ms    67 ms  10.17.30.36
  2     * *        * Request timed out.
  3     * *        * Request timed out.
  4    69 ms    69 ms    69 ms  10.2.30.10

Trace complete.

串联 ExpressRoute 和站点到站点 VPN 连接

基于 ExpressRoute 的站点到站点 VPN

可以使用 ExpressRoute Azure 对等互连配置站点到站点 VPN,以在本地网络与 Azure 虚拟网络之间以私密方式交换数据。 使用此配置可以在确保保密性、真实性和完整性的基础上交换数据。 这种数据交换还可以防重播。

配置使用 Azure 对等互连的站点到站点 VPN 的主要限制是吞吐量。 基于 IPsec 隧道的吞吐量受限于 VPN 网关容量。 VPN 网关吞吐量低于 ExpressRoute 吞吐量。 在这种情况下,对高安全性流量使用 IPsec 隧道,并对其他所有流量使用专用对等互连,将有助于优化 ExpressRoute 带宽利用率。

将站点到站点 VPN 用作 ExpressRoute 的安全故障转移路径

ExpressRoute 充当冗余的线路对,可确保高可用性。 可在不同的 Azure 区域配置异地冗余的 ExpressRoute 连接。 另外,如测试设置中所示,在 Azure 区域中,可以使用站点到站点 VPN 为 ExpressRoute 连接创建故障转移路径。 通过 ExpressRoute 和站点到站点 VPN 播发相同的前缀时,Azure 会优先使用 ExpressRoute。 为了避免 ExpressRoute 与站点到站点 VPN 之间的非对称路由,本地网络配置同样应该优先使用 ExpressRoute 连接,然后再使用站点到站点 VPN 连接。

有关如何配置 ExpressRoute 和站点到站点 VPN 共存连接的详细信息,请参阅 ExpressRoute 和站点到站点共存

将后端连接扩展到辐射型虚拟网络和分支位置

使用虚拟网络对等互连的辐射型虚拟网络连接

中心和辐射型虚拟网络体系结构的使用非常广泛。 中心是 Azure 中的一个虚拟网络,充当辐射型虚拟网络与本地网络之间的连接中心点。 辐射型网络是与中心对等互连的虚拟网络,可用于隔离工作负载。 流量通过 ExpressRoute 或 VPN 连接在本地数据中心与中心之间流动。 有关体系结构的详细信息,请参阅在 Azure 中实现中心辐射型网络拓扑

在区域内的虚拟网络对等互连中,辐射型虚拟网络可以使用中心虚拟网络网关(VPN 和 ExpressRoute 网关)来与远程网络通信。

使用站点到站点 VPN 建立分支虚拟网络连接

你可能想让位于不同区域的分支虚拟网络和本地网络通过中心虚拟网络相互通信。 此配置的本机 Azure 解决方案是使用 VPN 建立站点到站点 VPN 连接。 替代方案是对中心内部的路由使用网络虚拟设备 (NVA)。

有关详细信息,请参阅什么是 VPN 网关?部署高度可用的 NVA

后续步骤

请参阅 ExpressRoute 常见问题解答

  • 了解可将多少条 ExpressRoute 线路连接到一个 ExpressRoute 网关。

  • 了解可将多少个 ExpressRoute 网关连接到一条 ExpressRoute 线路。

  • 了解 ExpressRoute 的其他缩放限制。