[解决方案] 从本地环境到 Azure VMware 和 VNETs 的网络冗余

<!-- AI_TASK_START: AI标题翻译 --> [解决方案] 从本地环境到 Azure VMware 和 VNETs 的网络冗余 <!-- AI_TASK_END: AI标题翻译 --> <!-- AI_TASK_START: AI竞争分析 --> # 解决方案分析 ## 解决方案概述 本文档详细介绍了在单区域部署中，建立从本地数据中心到Azure Virtual Networks (VNETs) 和 **Azure VMware Solution (AVS)** 的冗余网络连接。该解决方案针对混合云环境的可用性、可靠性和性能问题，提供多种架构模式，以避免单点故障。背景在于，传统网络连接可能因 **ExpressRoute** 电路故障导致中断，而该方案通过冗余路径确保操作连续性。适用场景包括企业迁移VMware workloads到云端，或需要高可用性的混合环境，满足行业对云原生架构的日益需求。 ## 实施步骤 1. **评估当前网络架构** 首先，识别现有连接中的单点故障，例如依赖单一 **ExpressRoute** 电路。使用 **Hub-and-Spoke** 或 **Virtual WAN (vWAN)** 拓扑规划，确认连接路径，包括从本地到VNETs和AVS的路由设置。 - 技术细节：通过Azure门户或命令行工具（如Azure CLI）检查路由表和电路状态，确保 **Global Reach** 已启用以连接AVS和本地环境。 2. **部署冗余连接解决方案** 根据具体需求，选择并实施以下方案： - **方案1：通过VPN** 部署一个或多个VPN隧道作为 **ExpressRoute** 的备份。在 **Hub-and-Spoke** 拓扑中，部署 **Azure Route Server (ARS)** 以实现路由传输；在 **vWAN** 拓扑中，利用vHub的内置路由服务。 - 技术原理：VPN使用公网加密通道，提供备用路径；ARS通过BGP协议动态路由，确保流量切换。 - **方案2：通过SD-WAN** 部署SD-WAN隧道作为备份。在 **Hub-and-Spoke** 拓扑中，使用ARS处理路由；在 **vWAN** 拓扑中，依赖vHub路由。 - 技术原理：SD-WAN优化流量路径，支持智能路由和负载均衡。 - **方案3：通过不同对等位置的ExpressRoute** 部署第二个 **ExpressRoute** 电路于不同位置，并启用 **Global Reach**。使用路由前缀（如AS路径前缀）配置备份路径。 - 技术原理：BGP协议处理ECMP路由，避免流量均衡导致的不稳定性。 - **方案4：通过Metro ExpressRoute** 配置双归属设置，连接城市内两个不同 **ExpressRoute** 对等位置。 - 技术原理：利用Metro功能提供本地冗余，避免区域内故障影响。 3. **测试和 failover 配置** 进行端到端测试，包括模拟故障（如断开主电路），验证备用路径的激活。配置路由前缀（如在vWAN中对VPN或SD-WAN前缀进行前缀），确保故障恢复后流量优先返回主路径。 - 逻辑衔接：每个步骤依赖于前一级的网络评估，确保整体架构的鲁棒性。 ## 方案客户价值 - **提升可用性和可靠性**：通过冗余路径避免单点故障中断，确保混合云工作负载的连续性，与传统单电路方案相比，显著提高了操作稳定性。 - **成本效益分析**：方案1和方案2（如VPN或SD-WAN）成本较低，便于部署，但可能引入额外延迟；方案3和4（如多ExpressRoute）适用于关键应用，提供可预测的带宽，但成本较高。 - **业务灵活性**：支持VMware workloads无缝迁移，减少重新架构需求，帮助企业在突发故障场景中维持性能，相比传统IaaS架构，该方案通过动态路由机制优化资源利用。 ## 涉及的相关产品 - **ExpressRoute**：用于建立高带宽、低延迟的连接，在方案3和4中作为主或备份路径，确保从本地到Azure的稳定传输。 - **Azure Route Server (ARS)**：在Hub-and-Spoke拓扑中启用路由传输，简化ExpressRoute与VPN/SD-WAN之间的流量管理。 - **Virtual WAN (vWAN)**：提供内置路由服务，支持方案1和2的自动流量切换，无需额外组件。 - **VPN Gateway**：作为方案1的备份选项，提供加密隧道，适用于成本敏感场景。 - **SD-WAN**：在方案2中充当备用连接，支持现有SD-WAN部署的扩展。 ## 技术评估 该解决方案在技术先进性上表现出色，利用 **BGP** 和动态路由实现高可用性，适用于单区域混合云环境。优势包括： - **可行性高**：方案1和2易于部署，适合中小型企业；方案3和4提供更可靠的带宽，适用于高流量工作负载。 - **先进性**：引入 **Metro ExpressRoute** 等创新配置，提升本地冗余能力，符合云网络趋势。 可能的限制：方案1的VPN可能增加延迟；在vWAN拓扑中，如果未正确配置路由前缀，failover可能导致流量路径不稳定。该方案整体可行，但需根据工作负载的延迟和带宽需求仔细规划，以避免管理复杂度上升。 <!-- AI_TASK_END: AI竞争分析 --> <!-- AI_TASK_START: AI全文翻译 --> # 从本地到 Azure VMware 和 VNET 的网络冗余 **原始链接:** [https://techcommunity.microsoft.com/blog/azurenetworkingblog/network-redundancy-from-on-premises-to-azure-vmware-and-vnets/4412473](https://techcommunity.microsoft.com/blog/azurenetworkingblog/network-redundancy-from-on-premises-to-azure-vmware-and-vnets/4412473) **发布时间:** 2025-05-09 **厂商:** AZURE **类型:** TECH-BLOG --- Azure Networking Blog # 从本地到 Azure VMware 和 VNET 的网络冗余 2025 年 5 月 9 日 在混合和云环境中，建立冗余网络连接至关重要，以确保工作负载的可用性、可靠性和性能。正确规划和实施网络冗余是实现高可用性和维持运营连续性的关键。 本指南介绍了常见的架构模式，用于在单区域部署中，在本地数据中心、Azure Virtual Networks (VNETs) 和 [Azure VMware Solution (AVS)](<https://learn.microsoft.com/en-us/azure/azure-vmware/introduction>) 之间构建冗余连接。AVS 允许组织在 Azure 基础设施上直接运行基于 VMware 的工作负载，为将现有 VMware 环境迁移到云提供简化的路径，而无需进行重大重新架构或修改。 **AVS、本地环境和虚拟网络之间的连接** 下图展示了使用 Hub-and-Spoke 或 Virtual WAN (vWAN) 拓扑的常见网络设计模式，这些拓扑部署在一个 Azure 区域内。ExpressRoute 用于建立本地环境和 VNETs 之间的连接。同一 ExpressRoute 电路通过 ExpressRoute [Global Reach](<https://learn.microsoft.com/en-us/azure/expressroute/expressroute-global-reach>) 扩展到 AVS，以连接本地基础设施。  **注意事项：** 此设计存在单一故障点。如果 ExpressRoute 电路 (ER1-EastUS) 发生中断，本地环境、VNETs 和 AVS 之间的连接将受到影响。 让我们探讨一些解决方案，以在 ER1-EastUS 发生中断时建立冗余连接。 **解决方案 1: 通过 VPN 实现网络冗余**  在此解决方案中，部署一个或多个 VPN 隧道作为 ExpressRoute 的备份。如果 ExpressRoute 不可用，VPN 将提供从本地环境到 VNETs 和 AVS 的备用连接路径。 在 Hub-and-Spoke 拓扑中，可以通过在中心 VNET 中部署 [Azure Route Server (ARS)](<https://learn.microsoft.com/en-us/azure/route-server/overview>) 来建立到 AVS 的备份路径。ARS 启用 ExpressRoute 和 VPN 网关之间的无缝传输路由。在 vWAN 拓扑中，不需要 ARS。vHub 的内置路由服务会自动提供 VPN 网关和 ExpressRoute 之间的传输路由。 _**注意:** 在 vWAN 拓扑中，为了确保在故障恢复到 ExpressRoute 时实现最佳路由收敛，应在 VPN 上为从本地环境发布的前缀添加预加标签 (prepend)。如果不进行路由预加标签，VNETs 可能会继续使用 VPN 作为到本地环境的首要路径。如果预加标签不可行，可以通过重新启动 VPN 隧道手动触发故障转移。_ _**解决方案见解:**_ * 成本效益高且易于部署。 * 延迟：VPN 隧道会因依赖公共互联网和加密开销而引入额外延迟。 * 带宽考虑：可能需要多个 VPN 隧道来实现与高容量 ExpressRoute 电路 (例如 10G 以上) 相当的带宽。有关 VPN 网关 SKU 和隧道吞吐量的详细信息，请参考 [此链接](<https://learn.microsoft.com/en-us/azure/vpn-gateway/about-gateway-skus#performance>)。 **解决方案 2: 通过 SD-WAN 实现网络冗余**  在此解决方案中，部署 SD-WAN 隧道作为 ExpressRoute 的备份。如果 ExpressRoute 不可用，SD-WAN 将提供从本地环境到 VNETs 和 AVS 的备用连接路径。在 Hub-and-Spoke 拓扑中，可以通过在中心 VNET 中部署 ARS 来建立到 AVS 的备份路径。ARS 启用 ExpressRoute 和 SD-WAN 设备之间的无缝传输路由。在 vWAN 拓扑中，不需要 ARS。vHub 的内置路由服务会自动提供 SD-WAN 和 ExpressRoute 之间的传输路由。 _**注意:** 在 vWAN 拓扑中，为了确保从 VNETs 到 ExpressRoute 的最佳收敛，应为从本地环境通过 SD-WAN 发布的前缀添加预加标签，使其长度超过 ExpressRoute 学习到的路由。如果不预加标签，VNETs 将继续使用 SD-WAN 路径作为到本地环境的首要路径。在使用 Azure vWAN 的此设计中，SD-WAN 可以部署在 vHub 中或连接到 vHub 的分支 VNET 中，原理相同。_ _**解决方案见解:**_ * 如果已存在 SD-WAN，则无需额外部署。 * 带宽考虑：特定于供应商。 * 管理考虑：存在第三方依赖性，需要管理高可用性 (HA) 部署，除非使用 SD-WAN SaaS 解决方案。 **解决方案 3: 通过不同对等位置的 ExpressRoute 实现网络冗余**  部署额外的 ExpressRoute 电路于不同对等位置，并启用 ER2-peeringlocation2 和 AVS-ER 之间的 Global Reach。为了将此电路用作备份路径，应在第二电路上为本地前缀添加预加标签；否则，AVS 或 VNET 将对两个电路到本地环境的路径执行等价多路径 (ECMP) 路由。 _**注意:** 使用公共自治系统号 (ASN) 来预加本地前缀，因为 AVS-ER 会向 AVS 剥离私有 ASN。有关详细信息，请参考 [此链接](<https://learn.microsoft.com/en-us/azure/azure-vmware/architecture-network-design-considerations#azure-vmware-solution-compatibility-with-as-path-prepend>)。_ _**解决方案见解:**_ * 适合关键任务应用，提供可预测的吞吐量和带宽作为备份。 * 可能成本高昂，取决于第二电路的带宽。 **解决方案 4: 通过 Metro ExpressRoute 实现网络冗余**  [Metro ExpressRoute](<https://learn.microsoft.com/en-us/azure/expressroute/metro#expressroute-metroallows>) 是新的 ExpressRoute 配置。此配置允许您受益于双归属设置，从而在同一城市内连接到两个不同的 ExpressRoute 对等位置。此配置在其中一个对等位置发生中断时提供增强的弹性。 **解决方案见解** * 更高弹性：使用单个电路提供增加的可靠性。 * [有限区域可用性](<https://learn.microsoft.com/en-us/azure/expressroute/metro>): 可用性限于都市区域内的特定区域。 * 成本效益高。 **结论：** 故障转移连接的选择应基于工作负载的具体延迟和带宽需求。最终，实现高可用性和确保持续运营取决于对网络冗余策略的仔细规划和有效实施。 更新于 2025 年 5 月 9 日 版本 2.0 <!-- AI_TASK_END: AI全文翻译 -->