使用 Azure 网络服务启用远程工作
本文介绍可供组织为其用户建立远程访问的不同选项。 它还介绍了在高峰使用期间使用额外容量补充现有解决方案的方法。
网络架构师面临着以下挑战:
解决由于网络使用率提高而导致的问题。
为公司和客户的更多员工提供安全可靠的连接。
在全球范围内提供与远程位置的连接。
在远程工作者负载高峰期,并非所有网络都会出现拥塞(例如,专用 WAN 和企业核心网络就不会出现拥塞)。 通常只有家庭宽带网络以及企业本地网络的 VPN 网关才会报告瓶颈。
网络规划人员可以记住不同的流量类型需要不同的网络处理优先级,从而帮助缓解瓶颈并减轻网络拥塞。 某些流量需要智能负载重定向或重新分发。
例如,医生/患者互动的实时远程医疗流量非常重要,并且对延迟或抖动很敏感。 存储解决方案之间的流量复制不区分延迟。 远程医疗流量必须通过具有高质量服务的最佳网络路径进行路由,而存储解决方案之间的流量可以使用次优路由。
Azure 网络中的复原能力和高可用性
Azure 的设计可承受资源利用率的突然变化,并使系统在利用率高峰期保持运行。
Azure 维护并运营着世界上最大的网络之一。 Azure 网络旨在提供高可用性,能够承受不同类型的故障:从单一网络元素故障到整个区域的故障。
Azure 网络的设计还可处理各种类型的网络流量。 此流量可能包括 Skype 和 Teams 的延迟敏感多媒体流量、内容分发网络、实时大数据分析、Azure 存储、必应和 Xbox。 为了获得最佳性能,Azure 的网络会将用于其资源的流量或通过这些资源的流量尽可能路由到流量的源点。
注意
借助下面所述的 Azure 网络功能可以利用 Azure 全球网络的流量吸引行为来提供更好的客户网络体验。 Azure 网络的流量吸引行为有助于从第一英里/最后一英里的网络(这些网络在使用高峰期可能会发生拥塞)中尽快减轻流量负担。
使员工能够远程工作
Azure VPN 网关支持点到站点 (P2S) 和站点到站点 (S2S) VPN 连接。 使用 Azure VPN 网关可以缩放员工的连接,使其能够安全访问 Azure 部署的资源和本地资源。 有关详细信息,请参阅使用 Azure VPN 网关点到站点远程工作。
如果使用安全套接字隧道协议 (SSTP),则并发连接数的上限为 128。 若要获得更多的连接,我们建议转换到 OpenVPN 或 IKEv2。 有关详细信息,请参阅从 SSTP 转换到 OpenVPN 协议或 IKEv2。
若要访问 Azure 中部署的资源,远程开发人员可以使用 Azure Bastion 而不是 VPN 连接。 该解决方案可以提供安全的 shell 访问 (RDP 或 SSH) ,而无需在所访问的虚拟机上提供公共 IP 地址。 有关详细信息,请参阅 使用 Azure Bastion 启用远程工作。
可以使用 Azure 虚拟 WAN 执行以下操作:
聚合大规模 VPN 连接。
支持不同本地全局位置和不同区域性中心辐射型虚拟网络中的资源之间的任意点到任意点连接。
优化多个家庭宽带网络的利用率。
有关详细信息,请参阅 Azure 虚拟 WAN 和支持远程工作。
支持远程工作的另一种方式是部署 Azure 虚拟网络托管的、通过 Azure 防火墙保护的虚拟桌面基础结构 (VDI)。 例如,Azure 虚拟桌面 (AVD) 是在 Azure 中运行的桌面和应用虚拟化服务。 使用 Azure 虚拟桌面,可以在 Azure 订阅中设置可缩放的灵活环境,而无需运行任何额外的网关服务器。 你只负责虚拟网络中的虚拟桌面虚拟机。 有关详细信息,请参阅 Azure 防火墙远程工作支持。
Azure 还有众多的生态系统合作伙伴。 Azure 上的网络虚拟设备 (NVA) 也能够帮助缩放 VPN 连接。
扩展员工的连接以访问全球分布的资源
员工可以借助以下 Azure 解决方案访问全球分布的资源。 资源可能位于任何 Azure 区域或本地网络中,甚至可能位于其他公有云或私有云中。
Azure 虚拟网络对等互连:可以使用虚拟网络对等互连将虚拟网络连接在一起。 如果资源位于多个 Azure 区域,或者需要连接多个虚拟网络以支持远程辅助角色,那么虚拟网络对等互连非常有用。 有关详细信息,请参阅虚拟网络对等互连。
基于 Azure VPN 的解决方案:对于连接到 Azure 的远程员工,可以通过建立 S2S VPN 连接来为他们提供对本地网络的访问权限。 此连接在你的本地网络与 Azure VPN 网关之间。 有关详细信息,请参阅创建站点到站点连接。
Azure ExpressRoute:使用 ExpressRoute 专用对等互连,可以在 Azure 部署与本地基础结构或共置设施中的基础结构之间启用专用连接。 通过 Azure 对等互连使用 ExpressRoute 还可以从本地网络访问 Azure 中的公共终结点。
ExpressRoute 连接不经过公共 Internet。 与通过 Internet 建立的典型连接相比,ExpressRoute 提供的连接更安全,更可靠,吞吐量更高,并且延迟更低且稳定。 有关详细信息,请参阅 ExpressRoute 概述。
利用已成为 ExpressRoute 合作伙伴生态系统一部分的现有网络提供商,可以帮助减少与 Microsoft 建立高带宽连接所需的时间。 使用 ExpressRoute Direct 可以直接将本地网络连接到 Azure 主干。 ExpressRoute Direct 提供两个线路速率选项,即双 10 Gbps 或 100 Gbps。
Azure 虚拟 WAN:Azure 虚拟 WAN 可以实现 VPN 连接与 ExpressRoute 线路之间的无缝互操作。 如前所述,Azure 虚拟 WAN 还支持不同本地全局位置和不同区域性中心辐射型虚拟网络中的资源之间的任意点到任意点的连接。
缩放客户与前端资源之间的连接
当上网的人越来越多时,许多企业网站遇到的客户流量会增大。 Azure 应用程序网关可以帮助应对这种前端工作负荷增大的问题。 有关详细信息,请参阅应用程序网关高流量支持。
Azure 对多云流量的支持
对于其他公有云中的部署,Azure 可提供全球连接。 Azure 虚拟 WAN、VPN 网关或 ExpressRoute 在此方面都可以发挥作用。 若要扩展从 Azure 到其他云的连接,可以在两个云之间配置 S2S VPN。 还可以使用 ExpressRoute 建立从 Azure 到其他公有云的连接。
Oracle 云是 ExpressRoute 合作伙伴生态系统的一部分。 可以[在 Azure 和 Oracle 云基础结构之间建立直接互连][Az-OCI]。
属于 ExpressRoute 伙伴生态系统的一部分的大多数服务提供商还能提供与其他公有云之间的专用连接。 利用这些服务提供商,可以通过 ExpressRoute 在 Azure 与其他云中的部署之间建立专用连接。
后续步骤
以下文章介绍了如何使用不同的 Azure 网络功能来缩放用户的连接,以使用户能够远程工作:
| 文章 | 说明 |
|---|---|
| 使用 Azure VPN 网关点到站点连接实现远程工作 | 查看可用选项,以便为用户设置远程访问权限,或使用组织的额外容量对其现有解决方案进行补充。 |
| Azure 虚拟 WAN 和远程工作支持 | 使用 Azure 虚拟 WAN 满足组织的远程连接需求。 |
| 应用程序网关高流量支持 | 使用启用了 Web 应用程序防火墙 (WAF) 的应用程序网关,以一种可缩放且安全的方式管理到 Web 应用程序的流量。 |
| 从 SSTP 转换到 OpenVPN 协议或 IKEv2 | 通过转换为 OpenVPN 协议或 IKEv2,克服 SSTP 的 128 个并发连接的限制。 |
| 使用 Azure Bastion 启用远程工作 | 直接在 Azure 门户中为 Azure 虚拟网络中的虚拟机提供 RDP/SSH 连接,而无需使用公共 IP 地址。 |
| 使用 Azure ExpressRoute 创建混合连接以支持远程用户 | 使用 ExpressRoute 进行混合连接,使组织中的用户能够远程工作。 |
| Azure 防火墙远程工作支持 | 使用 Azure 防火墙保护 Azure 虚拟网络资源。 |