方案:使用 ExpressRoute 专用对等互连通过虚拟 WAN 连接到 Microsoft 365
本文逐步介绍一个使用 Azure 虚拟 WAN 和 ExpressRoute 专用对等互连通过虚拟 WAN 来与 Microsoft 365 建立连接的解决方案。 可以使用这种连接的部分示例场景包括:
- 客户在其所处的区域无法使用 Internet。
- 客户处于严格管制的环境中。
在许多情况下,Azure 不建议结合使用 Azure ExpressRoute 和 Microsoft 对等互连连接到 Microsoft 365。 不使用 Azure 虚拟 WAN 时,最常见的忧虑是:
- 在路由方面,实施 Azure ExpressRoute 可能很复杂。
- 对等互连使用公共 IP 地址。
- ExpressRoute 通常会违反 Microsoft Edge 分配策略。
- 传出成本可能会导致成本高昂。
- 成本和可伸缩性通常无法与“高级”和更高层级的 Internet 连接相媲美。
虽然可以通过 Azure ExpressRoute 请求订阅允许列表使用 Microsoft 365,但这仍然无法消除上面列出的限制和影响。
为解决方案结合使用虚拟 WAN 和 ExpressRoute 以及专用对等互连时,可以降低成本并实现冗余。 本文中的解决方案将 Azure 全球网络的默认行为与 Azure 服务结合使用。 Azure 服务流量始终在 Azure 全球网络上传输。
此解决方案涉及的技术包括:
- 本地 Azure ExpressRoute。
- Azure 虚拟 WAN 安全虚拟中心。
- 能够基于服务进行路由的防火墙设备。
体系结构
体系结构非常简单。 但是,在使用此虚拟 WAN 解决方案时,ExpressRoute 线路不是异地冗余的,因为它仅部署在一个边缘共同位置。 若要建立所需的异地冗余,必须构建额外的 ExpressRoute 线路。
图 1
工作流
1. 使用 Azure 防火墙部署虚拟中心
首先,使用 Azure 防火墙部署 Azure 虚拟 WAN 中心。 Azure 防火墙不仅用于确保解决方案的安全,而且还用作 Internet 接入点。 有关步骤,请参阅在虚拟 WAN 中心安装 Azure 防火墙。
图 2
2. 部署 ExpressRoute 网关和连接
接下来,将 Azure 虚拟 WAN ExpressRoute 网关部署到虚拟 WAN 连接中。 然后,将本地 ExpressRoute 连接到该网关并保护该 ExpressRoute 的 Internet 流量。 这指明了本地环境的默认路由 (0.0.0.0/0)。 有关步骤,请参阅使用 Azure 虚拟 WAN 创建 ExpressRoute 连接。
图 3
3.设置静态路由
现在,可以在本地设置指向网关的静态路由。 或者,可以通过较新的 SDWAN 或防火墙设备来使用基于服务的路由,并仅将 Microsoft 365 服务的流量发送到受保护的虚拟 WAN 中心。 有关步骤,请参阅在虚拟 WAN 中心安装 Azure 防火墙。
4. 构建 ExpressRoute 线路以实现异地冗余
若要为用户实施高可用性体系结构并改善延迟,应该分配额外的中心。 建议将 ExpressRoute 线路定位在不同的位置。 例如,在德国法兰克福和中国东部 2 阿姆斯特丹。 有关 ExpressRoute 位置和提供商的列表,请参阅 ExpressRoute 位置和连接提供商一文。
对于此配置,可以采用两种设计选项:
- 选项 1:创建两条独立线路,它们连接到两个独立中心(图 4)。
- 选项 2:互连两个虚拟 WAN 中心(图 5),然后在虚拟中心属性中禁用分支到分支连接(图 6)。 使用此选项,可与 Microsoft 365 服务建立专用、冗余、高性能的连接。
选项 1:图 4
选项 2:图 5
选项 2:图 6