方案:使用 ExpressRoute 专用对等互连通过虚拟 WAN 连接到 Microsoft 365

本文逐步介绍一个使用 Azure 虚拟 WAN 和 ExpressRoute 专用对等互连通过虚拟 WAN 来与 Microsoft 365 建立连接的解决方案。 可以使用这种连接的部分示例场景包括:

  • 客户在其所处的区域无法使用 Internet。
  • 客户处于严格管制的环境中。

在许多情况下,Azure 不建议结合使用 Azure ExpressRoute 和 Microsoft 对等互连连接到 Microsoft 365。 不使用 Azure 虚拟 WAN 时,最常见的忧虑是:

  • 在路由方面,实施 Azure ExpressRoute 可能很复杂。
  • 对等互连使用公共 IP 地址。
  • ExpressRoute 通常会违反 Microsoft Edge 分配策略。
  • 传出成本可能会导致成本高昂。
  • 成本和可伸缩性通常无法与“高级”和更高层级的 Internet 连接相媲美。

虽然可以通过 Azure ExpressRoute 请求订阅允许列表使用 Microsoft 365,但这仍然无法消除上面列出的限制和影响。

为解决方案结合使用虚拟 WAN 和 ExpressRoute 以及专用对等互连时,可以降低成本并实现冗余。 本文中的解决方案将 Azure 全球网络的默认行为与 Azure 服务结合使用。 Azure 服务流量始终在 Azure 全球网络上传输。

此解决方案涉及的技术包括:

  • 本地 Azure ExpressRoute。
  • Azure 虚拟 WAN 安全虚拟中心。
  • 能够基于服务进行路由的防火墙设备。

体系结构

体系结构非常简单。 但是,在使用此虚拟 WAN 解决方案时,ExpressRoute 线路不是异地冗余的,因为它仅部署在一个边缘共同位置。 若要建立所需的异地冗余,必须构建额外的 ExpressRoute 线路。

图 1

图 1:解决方案体系结构图。

工作流

1. 使用 Azure 防火墙部署虚拟中心

首先,使用 Azure 防火墙部署 Azure 虚拟 WAN 中心。 Azure 防火墙不仅用于确保解决方案的安全,而且还用作 Internet 接入点。 有关步骤,请参阅在虚拟 WAN 中心安装 Azure 防火墙

图 2

图 2:屏幕截图显示带 Azure 防火墙的虚拟中心。

2. 部署 ExpressRoute 网关和连接

接下来,将 Azure 虚拟 WAN ExpressRoute 网关部署到虚拟 WAN 连接中。 然后,将本地 ExpressRoute 连接到该网关并保护该 ExpressRoute 的 Internet 流量。 这指明了本地环境的默认路由 (0.0.0.0/0)。 有关步骤,请参阅使用 Azure 虚拟 WAN 创建 ExpressRoute 连接

图 3

图 3:屏幕截图显示一个使用 ExpressRoute 的虚拟中心。

3.设置静态路由

现在,可以在本地设置指向网关的静态路由。 或者,可以通过较新的 SDWAN 或防火墙设备来使用基于服务的路由,并仅将 Microsoft 365 服务的流量发送到受保护的虚拟 WAN 中心。 有关步骤,请参阅在虚拟 WAN 中心安装 Azure 防火墙

4. 构建 ExpressRoute 线路以实现异地冗余

若要为用户实施高可用性体系结构并改善延迟,应该分配额外的中心。 建议将 ExpressRoute 线路定位在不同的位置。 例如,在德国法兰克福和中国东部 2 阿姆斯特丹。 有关 ExpressRoute 位置和提供商的列表,请参阅 ExpressRoute 位置和连接提供商一文。

对于此配置,可以采用两种设计选项:

  • 选项 1:创建两条独立线路,它们连接到两个独立中心(图 4)。
  • 选项 2:互连两个虚拟 WAN 中心(图 5),然后在虚拟中心属性中禁用分支到分支连接(图 6)。 使用此选项,可与 Microsoft 365 服务建立专用、冗余、高性能的连接。

选项 1:图 4

图 4:此图显示独立线路配置。

选项 2:图 5

图 5:此图显示与两个虚拟 WAN 中心配置的互连。

选项 2:图 6

图 6:屏幕截图显示分支到分支已禁用。