[解决方案] 多区域设计中 AVS、本地环境和虚拟网络之间的网络冗余

[解决方案] 多区域设计中 AVS、本地环境和虚拟网络之间的网络冗余   # 解决方案分析 ## 解决方案概述本文档详细阐述了Azure多区域架构中AVS（**Azure VMware Solution**）、本地环境和虚拟网络之间的网络冗余设计，旨在解决混合和云环境中的可用性、可靠性和性能问题。核心目标是通过冗余连接确保高可用性，并在ExpressRoute故障时维持操作连续性。该方案适用于多区域部署场景，如Hub-and-Spoke或Azure Virtual WAN（**vWAN**）拓扑，针对关键工作负载的行业需求，例如金融和企业级应用。背景信息显示，这种设计响应了云环境日益复杂的网络需求，强调权重的使用来优化路由，避免次优路径问题。 ## 实施步骤 1. **标准拓扑搭建** - 在每个区域部署Hub或VHub，使用ExpressRoute电路连接AVS和本地环境，确保本地和远程电路的交叉连接（bowtie）。 - 配置权重以影响路由决策，例如为本地ExpressRoute路径分配更高权重，避免流量ECMP导致的次优路由。 - 技术原理：权重机制基于BGP路由协议，优先选择本地路径以减少延迟；逻辑衔接是通过Global Reach实现AVS与虚拟网络的互通。 2. **针对特定解决方案的冗余实现** - **Solution1（ExpressRoute不同对等位置）**：部署额外ExpressRoute电路于同一都会区不同位置，并启用Global Reach；如需故障转移，在备用电路上应用AS路径预处理（prepend）。 - 技术细节：移除原有交叉连接和权重设置；原理在于利用Global Reach避免单点故障，提高流量分布。 - **Solution2（ExpressRoute Direct）**：使用ExpressRoute Direct从同一端口对创建多个电路，并将备用电路连接到远程区域的ExpressRoute网关。 - 技术细节：在备用电路上使用公共ASN进行前缀预处理；移除权重设置，确保故障时流量自动路由。 - **Solution3（ExpressRoute Metro）**：启用Metro配置，实现同一城市不同对等位置的双宿主连接。 - 技术细节：无需额外电路，仅配置Metro以增强弹性；原理基于单一电路的多路径冗余。 - **Solution4（VPN作为ExpressRoute备份）**：在Hub-and-Spoke拓扑中部署Azure Route Server（ARS），或在vWAN中使用内置路由；在ExpressRoute故障时使用VPN隧道。 - 技术细节：避免ExpressRoute电路交叉连接，并在VPN上进行前缀预处理；原理利用ARS实现路由透传。 - **Solution5（多本地环境分段前缀）**：从不同本地位置广告区域特定前缀和公共超网，确保故障时使用最长前缀匹配路由。 - 技术细节：利用现有ExpressRoute电路，无需新部署；原理基于BGP的最长匹配规则自动故障转移。 - **Solution6（优先化一个区域的冗余）**：为关键区域的AVS配置Global Reach到本地和远程电路，并为非关键区域设置按需Global Reach。 - 技术细节：在远程电路上应用前缀预处理；原理通过自动化脚本（如触发脚本）实现手动或自动备份连接。 ## 方案客户价值 - **高可用性和可靠性提升**：通过冗余连接确保工作负载在ExpressRoute故障时维持连续性，例如Solution1和Solution2可避免单区域断连，相比传统架构显著减少停机时间，实现业务连续性。 - **性能优化**：权重和前缀预处理机制避免次优路由，降低延迟；如Solution3的Metro配置提供预见性吞吐量，适用于高性能需求场景，但在大规模多区域环境中可能增加管理复杂度。 - **成本效益**：Solution4和Solution5利用现有资源部署VPN或分段前缀，_成本降低_通过避免额外电路投资；然而，Solution1可能因第二电路而_成本增加_，需根据带宽需求权衡。 - **业务灵活性**：支持突发流量和混合环境，Solution6允许优先关键区域，相比竞品如AWS Direct Connect，提供更精细的区域优先化机制，但非关键区域可能面临临时停机风险。 ## 涉及的相关产品 - **ExpressRoute**：作为核心连接产品，用于AVS与本地环境的冗余电路，确保高带宽低延迟互通。 - **Azure Virtual WAN (vWAN)**：在多区域拓扑中管理Hub和Spoke，提供内置路由服务，简化全局流量管理。 - **Azure Route Server (ARS)**：在Hub-and-Spoke中启用路由透传，支持VPN与ExpressRoute的备份切换。 - **VPN Gateway**：作为ExpressRoute的备用路径，提供成本有效的冗余选项，尤其在vWAN拓扑中自动处理路由。 - **Global Reach**：集成于ExpressRoute，实现AVS与虚拟网络的跨区域连接，提升整体架构灵活性。 ## 技术评估该方案的技术先进性体现在BGP路由优化和冗余机制上，如权重和前缀预处理的创新使用，提升了Azure网络的可行性，适用于全球部署场景。优势包括：高弹性设计，避免单点故障；易扩展性，支持动态流量调整。但可能局限性为：Solution1和Solution2在高带宽场景下_成本较高_，且管理复杂度上升；Solution4引入VPN可能导致_延迟增加_，尤其在加密开销下；总体上，与竞品相比，Azure的Global Reach提供更强的跨区域互通，但需关注区域可用性限制，如ExpressRoute Metro的选区部署。评估显示，该方案在多区域混合环境中高度可行，但需根据具体用例评估成本与性能权衡。   # AVS、本地环境和虚拟网络在多区域设计中的网络冗余 **原始链接:** [https://techcommunity.microsoft.com/blog/azurenetworkingblog/network-redundancy-between-avs-on-premises-and-virtual-networks-in-a-multi-regio/4420695](https://techcommunity.microsoft.com/blog/azurenetworkingblog/network-redundancy-between-avs-on-premises-and-virtual-networks-in-a-multi-regio/4420695) **发布时间:** 2025-06-04 **厂商:** AZURE **类型:** TECH-BLOG --- Azure Networking Blog # AVS、本地环境和虚拟网络在多区域设计中的网络冗余 2025 年 6 月 4 日建立冗余网络连接对于确保混合和云环境中的工作负载可用性、可靠性和性能至关重要。适当规划和实施网络冗余是实现高可用性和维持运营连续性的关键。本文重点讨论多区域架构中的网络冗余。有关单区域设计的详细信息，请参考此 [博客](<https://techcommunity.microsoft.com/blog/AzureNetworkingBlog/network-redundancy-from-on-premises-to-azure-vmware-and-vnets/4412473?previewMessage=true>)。下图展示了多区域部署的常见网络设计模式，使用 Hub-and-Spoke 或 Azure Virtual WAN (vWAN) 拓扑，作为本文中建立冗余连接的基准。 ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDIwNjk1LVVuNXVQbQ?image-dimensions=999x520&revision=3)**标准拓扑** 在每个区域中，Hub 或 Virtual Hub (VHub) 通过 ExpressRoute 电路将 Azure 连接扩展到 Azure VMware Solution (AVS)。区域 Hub/VHub 通过交叉连接（bowtie）本地和远程 ExpressRoute 电路连接到本地环境，从而确保冗余。将讨论权重（weight）概念，用于影响流量路由偏好，在**下一节**中。下图展示了当两个电路都正常运行时的流量流向。 ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDIwNjk1LWFhZk1OZA?image-dimensions=999x512&revision=3)**标准流量流向** **设计考虑因素** 如果一个区域失去其本地 ExpressRoute 连接，该区域的 AVS 将失去与本地环境的连接。但是，VNets 仍将通过远程区域的 ExpressRoute 电路保留与本地环境的连接。本文讨论的解决方案旨在为 AVS 和 VNets 确保冗余。查看上图，您可能会想：为什么需要设置权重，以及为什么 AVS-ER 连接（1b/2b）使用与主本地连接（1a/2a）相同的权重？权重用于影响路由决策并确保最佳流量流向。在这种场景中，两个 ExpressRoute 电路（ER1-EastUS 和 ER2-WestUS）向 Azure ExpressRoute 网关广播相同的前缀。因此，从 VNet 到本地环境的流量将在两个电路之间进行 ECMP。为了避免**次优路由**，并确保 VNet 流量优先选择本地 ExpressRoute 电路，需要为本地路径分配更高的权重。同时，确保 ExpressRoute 网关连接到本地环境（1a/2a）和到 AVS（1b/2b）的权重相同。否则，从 VNet 到 AVS 的流量将**例如**，EastUS 中的 VNets 将通过 ER1-EastUS 电路使用 Global Reach 连接到 AVS EUS（如蓝色虚线所示），而不是使用直接本地路径（橙色线）。这种次优路由在下图中说明。 ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDIwNjk1LTVkd2g5Rw?image-dimensions=999x530&revision=3) **现在**，让我们看看可以采用哪些解决方案来实现冗余连接。 _**注意:** 即将到来的解决方案中的图表将仅关注故障转移流量流向。_ **解决方案 1:** **通过不同对等位置的 ExpressRoute 实现网络冗余** ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDIwNjk1LWREakMzRQ?image-dimensions=999x523&revision=3) 在此解决方案中，在同一大都会区域内不同对等位置部署额外的 ExpressRoute 电路（例如，ER2–PeeringLocation2），并在该新电路和现有 AVS ExpressRoute（例如，AVS-ER1）之间启用 Global Reach。如果您打算将此第二电路用作故障转移路径，请对通过其广播的本地前缀应用预加路径（prepends）。或者，如果您希望将其用作主动-主动冗余路径，则不预加路径，在这种情况下，当两个电路可用时，AVS 和 Azure VNets 将使用 ECMP 在两个电路（例如，ER1–EastUS 和 ER–PeeringLocation2）之间分配流量。 **注意:** _与标准拓扑相比，此设计删除了 ExpressRoute 交叉连接（bowtie）和权重设置。在同一大都会区域添加第二个电路时，保留它们没有好处，否则 Azure VNet 的流量将由于更高的权重而优先选择本地 AVS 电路（AVS-ER1/AVS-ER2）来到达本地环境，因为本地环境路由也通过 Global Reach 在 AVS 电路（AVS-ER1/AVS-ER2）上学习。_ _另外，当连接新电路（例如，ER–Peering Location2）时，删除所有连接的权重设置；流量将**注意:** _使用[公共 ASN 进行预加路径](<https://learn.microsoft.com/en-us/azure/azure-vmware/architecture-network-design-considerations#azure-vmware-solution-compatibility-with-as-path-prepend>)本地前缀，因为 AVS 电路（例如，AVS-ER）将删除向 AVS 的私有 ASN。_ **解决方案见解** - 适合关键任务应用程序，提供可预测的吞吐量和带宽用于备份。 - 根据第二个电路的带宽，可能成本较高。 **解决方案 2:** **通过 ExpressRoute Direct 实现网络冗余** ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDIwNjk1LWF4T3Ewag?image-dimensions=999x572&revision=3) 在此解决方案中，使用 ExpressRoute Direct 在每个区域的单个端口对上配置多个电路，例如，**ER2-WestUS** 和 **ER4-WestUS** 从同一端口对创建。这允许您将一个电路专用于本地流量，另一个用于故障转移到远程区域。为了确保最佳路由，使用公共 ASN 在新创建的电路（例如，ER3-EastUS 和 ER4-WestUS）上对本地前缀进行预加路径。删除所有连接的权重设置；流量将**例如**，如果 ER1-EastUS 不可用，EastUS 区域中的 AVS 和 VNets 的流量将自动通过 ER4-WestUS 电路路由，确保连续性。 **注意:** _与标准拓扑相比，此设计将新创建的 ExpressRoute 电路（例如，**ER3-EastUS/ER4-WestUS**）连接到远程区域的 ExpressRoute 网关（黑色虚线），而不是连接到主电路（例如，ER1-EastUS/ER2-WestUS）。_ **解决方案见解** - 如果您有 ExpressRoute Direct，则易于实施。ExpressRoute Direct 支持过度配置，您可以在现有的 10-Gbps 或 100-Gbps ExpressRoute Direct 资源上创建逻辑 ExpressRoute 电路，直至 * 适合关键任务应用程序，提供可预测的吞吐量和带宽用于备份。 **解决方案 3:** **通过 ExpressRoute Metro 实现网络冗余** ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDIwNjk1LVNsZzdUeQ?image-dimensions=999x548&revision=3) [Metro ExpressRoute](<https://learn.microsoft.com/en-us/azure/expressroute/metro#expressroute-metroallows>) 是一种新配置，启用到同一城市内两个不同对等位置的双归连接。这种设置通过允许流量在其中一个对等位置故障时继续流动来增强弹性，使用相同的电路。 **解决方案见解** - 更高弹性：使用单个电路提供增加的可靠性。 - [有限区域可用性](<https://learn.microsoft.com/en-us/azure/expressroute/metro>): 目前仅在选定区域可用，并将逐步添加更多区域。 - 成本效益：提供冗余而不显著增加成本。 **解决方案 4:** **将 VPN 部署为 ExpressRoute 的备份** ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDIwNjk1LTE4MVdhUg?image-dimensions=999x479&revision=3) 此解决方案镜像了[单区域的解决方案 1](<https://techcommunity.microsoft.com/blog/AzureNetworkingBlog/network-redundancy-from-on-premises-to-azure-vmware-and-vnets/4412473?previewMessage=true>)，但扩展到多个区域。在此方法中，VPN 作为每个区域 ExpressRoute 故障时的备份路径。在 Hub-and-Spoke 拓扑中，通过在 hub VNet 中部署 Azure Route Server (ARS) 建立到 AVS 的备份路径。ARS 启用 ExpressRoute 和 VPN 网关之间的无缝传输路由。在 **vWAN 拓扑** 中，不需要 ARS；vHub 的内置路由服务自动提供 VPN 网关和 ExpressRoute 之间的传输路由。在此设计中，不要将 ExpressRoute 电路（例如，ER1-EastUS 和 ER2-WestUS）交叉连接到 Hub VNets 中的 ExpressRoute 网关（例如，Hub-EUS 或 Hub-WUS）。这样做将导致路由问题，其中 Hub VNet 仅编程通过 ExpressRoute 学习到的本地路由。 **例如**，在 EastUS 区域，如果主电路（ER1-EastUS）故障，Hub-EUS 将从 VPN 隧道和远程 ER2-WestUS 电路接收本地路由。但是，它将优先并仅编程来自 ER2-WestUS 电路的 ExpressRoute 学习路由。由于 ExpressRoute 网关不支持电路之间的路由传输性，通过 AVS-ER 连接的 AVS 将无法接收本地前缀，导致路由故障。 **注意:** _在 vWAN 拓扑中，为了确保故障转移回 ExpressRoute 时实现最佳路由收敛，您应对通过 VPN 广播的本地前缀进行预加路径。没有路由预加路径，VNets 可能会继续使用 VPN 作为到本地环境的首要路径。如果预加路径不可行，您可以通过反弹 VPN 隧道手动触发故障转移。_ **解决方案见解** - 成本效益且易于部署。 - 增加延迟：互联网上的 VPN 隧道由于加密开销而增加延迟。 - 带宽考虑：可能需要多个 VPN 隧道来实现与高容量 ExpressRoute 电路（例如，超过 1G）相当的带宽。有关 VPN 网关 SKU 和隧道吞吐量的详细信息，请参考[此链接](<https://learn.microsoft.com/en-us/azure/vpn-gateway/about-gateway-skus#performance>)。 - 由于无法交叉连接 ExpressRoute 电路，VNets 将使用 VPN 进行故障转移，而不是利用远程区域 ExpressRoute 电路。 **解决方案 5:** **网络冗余-多个本地环境（split-prefix）** ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDIwNjk1LTA1UEk0VA?image-dimensions=999x599&revision=3) 在许多场景中，客户从多个本地位置向 Azure 广播相同的前缀。但是，如果客户能够在不同本地站点上拆分前缀，这将简化使用现有 ExpressRoute 电路实现故障转移策略。在此设计中，每个本地环境广播**区域特定前缀**（例如，10.10.0.0/16 用于 EastUS 和 10.70.0.0/16 用于 WestUS），以及一个公共超网（例如，10.0.0.0/8）。在正常条件下，每个区域的 AVS 和 VNets 使用最长前缀匹配有效地路由流量到适当的本地位置。 **例如**，如果 ER1-EastUS 不可用，EastUS 中的 AVS 和 VNets 将自动故障转移到 ER2-WestUS，通过超网前缀路由流量以维持连接。 **解决方案见解** - 成本效益：无需额外部署，使用现有 ExpressRoute 电路。 - 在每个区域广播特定前缀可能需要额外规划。 - 适合关键任务应用程序，提供可预测的吞吐量和带宽用于备份。 **解决方案 6:** **优先一个区域的网络冗余** ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDIwNjk1LU1sdHNLNw?image-dimensions=999x526&revision=3) 如果您在预算限制下运作，并且可以优先一个区域（例如，在单个位置托管关键工作负载）并继续使用现有 ExpressRoute 设置，此解决方案可能很合适。在此设计中，假设 EastUS 中的 AVS (AVS-EUS) 托管关键工作负载。为了确保高可用性，将 AVS-ER1 配置为通过 Global Reach 连接到本地 ExpressRoute 电路（ER1-EastUS）和远程电路（ER2-WestUS）。确保使用公共 ASN 对广播到 ER2-WestUS 的本地前缀进行预加路径，以确保从 AVS-EUS 通过两个电路（ER1-EastUS 和 ER2-WestUS）的最佳路由（无 ECMP）。另一方面，WestUS 中的 AVS (AVS-WUS) 仅通过 Global Reach 连接到其本地区域 ExpressRoute 电路（ER2-WestUS）。如果该电路不可用，您可以通过手动或自动化（例如，触发脚本）建立到 ER1-EastUS 的按需 Global Reach 连接。这种方法会在 Global Reach 链接建立之前引入临时停机。 _您可能会想，为什么不将 AVS-WUS 电路像 AVS-EUS 一样连接到远程区域电路（例如，将 AVS-ER2 连接到 ER1-EastUS）？_ 因为这将导致**次优路由**。由于在 ER2-WestUS 上进行了 AS 路径预加，如果 ER1-EastUS 和 ER2-WestUS 都链接到 AVS-ER2，流量将偏好远程 ER1-EastUS 电路，因为它显示更短的 AS 路径。因此，流量将绕过本地 ER2-WestUS 电路，导致低效路由。这就是为什么对于 AVS-WUS，最好使用**按需 Global Reach** 到 ER1-EastUS 作为备份路径，仅在 ER2-WestUS 不可用时通过手动或自动化启用。 **注意:** _两个区域中的 VNets 将始终有备份路径可用。_ **解决方案见解** - 成本效益。 - 托管在非关键区域 AVS 中的工作负载如果本地区域 ExpressRoute 电路不可用，将经历停机，直到按需 Global Reach 连接建立。 **结论** 每个解决方案都有自己的优势和考虑因素，例如成本效益、易于实施和增加弹性。通过仔细规划和实施这些解决方案，组织可以在多区域部署中确保运营连续性和最佳流量路由。更新于 2025 年 6 月 4 日版本 2.0