[新产品/新功能] Azure 网络服务更新：聚焦安全性、可靠性与高可用性

**发布时间:** 2025-12-01 **厂商:** AZURE **类型:** BLOG **原始链接:** https://azure.microsoft.com/en-us/blog/azure-networking-updates-on-security-reliability-and-high-availability/ ---  [新产品/新功能] Azure 网络服务更新：聚焦安全性、可靠性与高可用性   # 产品功能分析 ## 新功能/新产品概述 Azure 正在全面升级其网络服务，重点围绕AI工作负载、安全性、可靠性和云原生应用进行优化。本次更新发布了多个新功能和产品增强，旨在为企业提供一个高性能、高弹性和安全的基础设施平台，以应对AI时代带来的挑战。核心更新包括专为AI优化的网络架构、默认区域弹性的网络网关、多层深度的安全防护能力、规模化的连接选项以及针对 **Kubernetes** 的深度网络优化。 ### AI驱动的网络基础设施 - **核心定义与目标**：为满足大规模AI模型训练和推理对网络性能的极致要求，Azure构建了专用的AI网络基础设施。该架构旨在提供超高带宽、超低延迟和无损的数据传输能力，连接分布在不同数据中心和区域的GPU集群。 - **技术原理**： - 核心网络 fabric 结合了 **InfiniBand** 和高速以太网技术，确保GPU之间通信的高效与无损。 - 通过专用的AI WAN网络，连接地理上分散的GPU资源池。 - 利用 **Azure Private Link** 和基于 **DPU (Data Processing Unit)** 的硬件VNet设备，实现与Azure服务的私有、安全、高性能连接。**DPU** 将网络、存储和安全功能从CPU卸载，释放计算资源专注于AI计算任务。 - **目标用户与定位**：主要面向进行大规模AI模型训练、HPC（高性能计算）以及需要低延迟AI推理服务的企业和研究机构。 ### 默认弹性的网络服务 - **核心定义与目标**：Azure 正在将“默认弹性”（Resilient by default）的理念融入其核心网络服务。新发布的 **Standard NAT Gateway V2** (标准NAT网关V2) 是这一理念的最新体现，旨在为出站连接提供无需额外配置的跨可用区高可用性。 - **技术原理**：**Standard NAT Gateway V2** 采用区域冗余架构，当单个可用区发生故障时，它能自动将流量重新分配到其他健康的可用区，从而保证出站连接的连续性。该服务支持 *100 Gbps* 的总吞吐量和每秒 *1000万* 个数据包的处理能力，并原生支持IPv6。 - **目标用户与定位**：适用于所有在Azure上部署关键业务应用的用户，特别是那些希望简化高可用架构设计、降低运维复杂性的企业。 ### 多维度的安全能力增强 - **核心定义与目标**：Azure通过在网络服务的不同层面集成新的安全功能，构建“深度防御”体系。 - **功能列表**： - **DNS Security Policy with Threat Intel** (GA)：在DNS解析层面集成威胁情报，自动阻止对已知恶意域名的访问。 - **Private Link Direct Connect** (公测)：将 **Azure Private Link** 的私有连接能力扩展至任何可路由的私有IP地址，支持与本地数据中心或第三方SaaS服务的非连接VNet进行安全通信。 - **JWT Validation in Application Gateway** (公测)：在应用网关上提供原生的 **JSON Web Token (JWT)** 验证能力。这使得网关可以在 **Layer 7** (应用层) 直接验证API请求的令牌，无需将请求转发到后端服务再进行验证。 - **Forced tunneling for VWAN Secure Hubs**：允许将所有从Virtual WAN Hub发出的互联网流量强制通过一个中心化的安全解决方案（如 **Azure Firewall**、第三方NVA或SASE服务）进行检查。 ### 云原生应用网络优化 - **核心定义与目标**：针对 **Azure Kubernetes Service (AKS)** 平台，推出一系列高级容器网络功能，旨在提升容器化应用的性能、可扩展性和安全性。 - **功能列表**： - **eBPF Host Routing**：利用 **eBPF** (扩展伯克利包过滤器) 技术将路由逻辑直接嵌入Linux内核。通过绕过传统的内核网络堆栈，显著降低网络延迟并提高吞吐量。 - **Pod CIDR Expansion**：允许用户在不重新部署AKS集群的情况下，动态地为Pod扩展现有的CIDR地址范围，解决了大型集群中IP地址耗尽的痛点。 - **WAF for Azure Application Gateway for Containers** (GA)：为容器化的应用网关提供企业级的 **Web应用程序防火墙 (WAF)** 保护。 - **Azure Bastion for private AKS clusters**：通过 **Azure Bastion** 服务，为私有AKS集群提供一个安全、简化的运维访问入口。 ## 关键客户价值 - **为AI和HPC工作负载提供极致性能** - 结合 **InfiniBand** 和 **DPU** 的专用AI网络，为大规模模型训练提供了必要的低延迟和高吞吐量，显著缩短训练时间。与依赖通用CPU处理网络任务的传统云网络相比，硬件卸载提供了决定性的性能优势。 - **简化高可用性架构，降低运维成本** - **Standard NAT Gateway V2** 的区域冗余设计，使客户无需手动配置和管理多区域的NAT实例即可实现高可用性，降低了架构复杂性和潜在的人为错误风险。 - **构建零信任网络安全模型** - **Private Link Direct Connect** 将零信任原则从Azure内部扩展到混合云和多云环境，确保数据在传输过程中始终不离开私有网络。 - 在应用网关层进行 **JWT** 验证，将认证逻辑前移，不仅简化了后端微服务的开发，还通过集中化策略管理提升了整体安全性与性能。 - **解决云原生环境的核心痛点** - **eBPF** 的引入，使AKS的网络性能达到业界领先水平，满足了金融交易、实时通信等低延迟应用的需求。 - **Pod CIDR Expansion** 功能解决了大型 **Kubernetes** 集群在长期运行中面临的IP地址规划难题，极大地提升了平台的可扩展性和运维灵活性。 ## 关键技术洞察 - **硬件加速成为AI时代网络基础设施的核心** - _Azure对DPU的采用_，标志着云网络正在从纯软件定义（SDN）向软硬件协同设计的方向演进。通过将网络和安全功能卸载到专用硬件，可以为上层应用（特别是AI/ML）提供更稳定、可预测的性能，这是应对AI算力需求爆炸性增长的关键一步。 - **eBPF技术正在重塑云原生网络** - _基于eBPF实现的主机路由_，代表了容器网络技术的最新发展方向。它允许在不修改内核代码的情况下，动态加载程序到内核中执行，提供了前所未有的可编程性和性能。这一技术使得服务网格（Service Mesh）、网络可观测性和安全策略的实现更为高效，是Azure在云原生领域保持竞争力的重要技术支撑。 - **网络连接的“私有化”和“服务化”趋势** - _Private Link Direct Connect的推出_，模糊了公有云、私有云和本地数据中心之间的网络边界。它将复杂的网络连接抽象为一种安全、易于消费的服务，让企业可以像调用云服务一样，安全地连接任何地方的应用，这反映了混合云和多云架构下网络连接的演进方向。   # Azure 网络在安全性、可靠性和高可用性方面的更新 **原始链接:** [https://azure.microsoft.com/en-us/blog/azure-networking-updates-on-security-reliability-and-high-availability/](https://azure.microsoft.com/en-us/blog/azure-networking-updates-on-security-reliability-and-high-availability/) **发布时间:** 2025-12-01 **厂商:** AZURE **类型:** BLOG --- 在 AI 负载 (AI workloads) 呈指数级增长的推动下，云计算领域正以前所未有的速度发展。 ## 通过 Azure 网络赋能下一波云转型在 AI 负载和对无缝、安全、高性能连接需求的指数级增长推动下，云计算领域正以前所未有的速度发展。[Azure 网络服务](https://learn.microsoft.com/en-us/azure/networking/fundamentals/networking-overview) 站在这一变革的前沿，提供超大规模基础设施 (hyperscale infrastructure)、智能服务和弹性架构 (resilient architecture)，使企业能够充满信心地进行创新和扩展。 [在此处获取最新的 Azure 网络服务更新](https://azure.microsoft.com/en-us/updates/?filters=%5B%22Application+Gateway%22%2C%22Azure+Bastion%22%2C%22Azure+DDoS+Protection%22%2C%22Azure+DNS%22%2C%22Azure+ExpressRoute%22%2C%22Azure+Firewall%22%2C%22Azure+Firewall+Manager%22%2C%22Azure+Front+Door%22%2C%22Azure+NAT+Gateway%22%2C%22Azure+Private+Link%22%2C%22Azure+Route+Server%22%2C%22Azure+Virtual+Network+Manager%22%2C%22Content+Delivery+Network%22%2C%22Load+Balancer%22%2C%22Network+Watcher%22%2C%22Traffic+Manager%22%2C%22Virtual+Network%22%2C%22Virtual+WAN%22%2C%22VPN+Gateway%22%2C%22Web+Application+Firewall%22%5D) Azure 的全球网络专为满足现代 AI 和云应用的需求而构建。Azure 的骨干网拥有超过 60 个 AI 区域 (AI regions)、50 多万英里的光纤以及超过 4 Pbps 的 WAN 容量，旨在实现大规模扩展和高可靠性。自 24 财年底以来，该网络的总容量已增长两倍，目前达到 18 Pbps，确保客户能够以卓越的性能运行要求最严苛的 AI 和数据负载。在这篇博客中，我很高兴能分享我们在数据中心网络 (data center networking) 方面的进展，这些进展为大规模运行 AI 训练模型 (AI training models) 提供了核心基础设施。同时，我还会介绍我们最新的产品发布，这些产品旨在增强运行云原生负载 (cloud native workloads) 所需的弹性、安全性、规模和能力，以优化性能和成本。 ## AI：云计算的核心 AI 不仅仅是一种负载，更是驱动下一代云系统的引擎。Azure 的网络结构 (network fabric) 在每一层都为 AI 进行了优化，支持用于模型训练 (model training) 的持久高带宽流、用于 GPU 集群 (GPU clusters) 的低延迟 (low-latency) 数据中心内部结构 (intra-datacenter fabrics)，以及安全的无损流量管理 (lossless traffic management)。Azure 的架构集成了 InfiniBand 和高速以太网，实现了计算与存储之间超高速、无损的数据传输，从而最大限度地缩短训练时间并提高效率。Azure 的网络旨在使用专用的 AI WAN 支持跨数据中心和区域的分布式 GPU 池 (distributed GPU pools) 负载。分布式 GPU 集群通过使用 Azure Private Link 和运行高性能 DPU (数据处理单元) 的基于硬件的 VNet 设备的专用私有连接，连接到在 Azure 区域中运行的服务。 ![图表展示了云中前端和后端服务之间的关系](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2025/12/Image-1-AI-backend-network-in-the-cloud.webp) Azure 网络服务旨在为用户的每个阶段提供支持——从将本地 (on-premises) 负载迁移到云端，到使用高级服务实现应用现代化，再到构建云原生和 AI 驱动的解决方案。无论是无缝的 VNet 集成、用于私有连接的 ExpressRoute，还是用于 Kubernetes 的高级容器网络 (container networking)，Azure 都提供了连接、构建和保护未来云的工具与服务。 ## 默认具备弹性弹性 (Resiliency) 是 Azure 网络使命的基石。我们持续致力于实现“默认具备弹性”的目标。继为我们的网关 (ExpressRoute、VPN 和 Application Gateway) 提供区域弹性 SKU (zone resilient SKUs) 的趋势之后，最新加入这一行列的是 Azure NAT 网关。在 Ignite 2025 大会上，我们宣布了 Standard NAT Gateway V2 的公共预览版 (public preview)，它为出站连接 (outbound connectivity) 提供了区域冗余架构 (zone redundant architecture)，且无需额外成本。区域冗余 NAT 网关在单个区域发生故障时，会自动将流量分配到可用区域。它还支持 100 Gbps 的总吞吐量 (throughput)，每秒可处理 1000 万个数据包。该网关原生支持 IPv6，并通过流日志 (flow logs) 提供流量洞察。[阅读 NAT 网关博客](https://techcommunity.microsoft.com/blog/azurenetworkingblog/announcing-the-public-preview-of-standardv2-nat-gateway-and-standardv2-public-ip/4458292) 了解更多信息。 ![区域冗余 NAT 网关流程图](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2025/12/Image-2-Introducing-Zone-Redundant-NAT-Gateway.webp) ## 突破安全边界我们以安全为首要任务，遵循安全未来计划 (Secure Future Initiatives) 的原则，不断推进平台发展。在此基础上，我们很高兴地宣布以下处于预览或正式发布 (GA) 阶段的功能： [带有威胁情报的 DNS 安全策略](https://azure.microsoft.com/en-us/updates/?id=530183) ：现已正式发布，该功能通过持续更新、监控和阻止已知的恶意域名 (malicious domains) 来提供智能保护。 ![Azure DNS 安全策略的威胁情报流程图](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2025/12/Image-3-DNS-security-policy-Threat-intelligence.webp) [Private Link Direct Connect](https://azure.microsoft.com/en-us/updates/?id=503988) ：现已进入公共预览阶段，此功能将 Private Link 连接扩展到任何可路由的私有 IP 地址，支持离线 VNet 和外部 SaaS 提供商，并提供增强的审计和合规性支持。 ![](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2025/12/thumbnail_Image-4-Private-Link-Service-Direct-Connect-W_Quote-1024x583.webp) [Application Gateway 中的 JWT 验证](https://learn.microsoft.com/en-us/azure/application-gateway/json-web-token-overview) ：Application Gateway 现已在公共预览版中支持 JSON Web 令牌 (JWT) 验证，为 Web 应用程序、API 以及服务到服务 (S2S) 或机器到机器 (M2M) 通信提供**原生的第 7 层 (Layer 7) JWT 验证**。此功能将令牌验证 (token validation) 过程从后端服务器 (backend servers) 转移到 Application Gateway，从而提高了性能并降低了复杂性。该功能使企业能够在不增加复杂性的情况下加强安全性，提供一致、集中、默认安全的第 7 层控制，让团队在保持可信安全态势的同时，能够更快地构建和创新。 [VWAN 安全中心的强制隧道](https://learn.microsoft.com/en-us/azure/firewall/forced-tunneling) ：强制隧道 (Forced Tunnel) 允许您配置 Azure 虚拟 WAN (Azure Virtual WAN)，使用部署在虚拟 WAN 中心的安全解决方案来检查发往互联网的流量，并将检查后的流量路由到指定的下一跳 (next hop)，而不是直接发送到互联网。您可以将互联网流量通过从 ExpressRoute、VPN 或 SD-WAN 学习到的默认路由，路由到连接至虚拟 WAN 的边缘防火墙。也可以将互联网流量路由到部署在连接至虚拟 WAN 的辐射虚拟网络 (spoke Virtual Network) 中的您偏好的网络虚拟设备 (Network Virtual Appliance) 或 SASE 解决方案。 ## 提供无处不在的规模对于希望微调 (fine tune) AI 模型或为其 AI/ML 负载实现低延迟推理 (low latency inferencing) 的客户而言，规模至关重要。增强的 VPN 和 ExpressRoute 连接，以及可扩展的私有终结点 (private endpoints) 进一步加强了平台的可靠性和未来就绪性。 ExpressRoute 400G：从 2026 年开始，Azure 将在部分地区支持 400G ExpressRoute 直连端口。用户可以使用多个此类端口，通过专用私有连接为本地或远程 GPU 站点提供数太比特 (multi-terabit) 的吞吐量。 ![ExpressRoute 图片展示了高达 400G 的连接能力](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2025/12/Image-5-ExpressRoute-400G-Connectivity.webp) 高吞吐量 VPN 网关：我们宣布正式发布速度提升 3 倍的 VPN 网关连接，支持 5Gbps 的单一 TCP 流 (single TCP flow)，并通过四个隧道实现 20 Gbps 的总吞吐量。 [大规模 Private Link](https://learn.microsoft.com/en-us/azure/private-link/increase-private-endpoint-vnet-limits?tabs=ARG-HSP-Powershell%2Cvalidate-portal) ：我们还将虚拟网络中允许的私有终结点总数增加到 5000 个，并支持总共 20,000 个跨对等互连的 VNet。 [Azure Network Watcher 中用于存储优化的高级流量筛选](https://azure.microsoft.com/en-us/updates/?id=527805) ：定向流量日志 (Targeted traffic logs) 有助于优化存储成本、加速分析并简化配置和管理。 ## 增强云原生应用的体验弹性和无缝扩展的能力是部署容器化 (containerized) 应用的 Azure 客户所期望和依赖的基本能力。对于需要高可用性 (high availability)、可扩展性 (scalability) 和可移植性 (portability) 的容器化应用，AKS 是一个理想的部署和管理平台。Azure 的[高级容器网络服务 (Advanced Container Networking Service)](https://learn.microsoft.com/en-us/azure/aks/advanced-container-networking-services-overview?tabs=cilium) 与 AKS 原生集成，并作为托管网络附加组件 (managed networking add-on) 提供，适用于需要高性能网络、基本安全性和 Pod 级别可观测性 (pod level observability) 的负载。我们很高兴地宣布该领域的以下产品更新： - [适用于 AKS 的高级容器网络服务中的 eBPF 主机路由](https://azure.microsoft.com/en-us/updates/?id=523100) ：通过将路由逻辑直接嵌入 Linux 内核 (Linux kernel)，该功能降低了容器化应用的延迟并提高了吞吐量。 - [适用于 AKS 的 Azure CNI Overlay 中的 Pod CIDR 扩展](https://azure.microsoft.com/en-us/updates/?id=523086) ：这项新功能允许用户扩展现有的 Pod CIDR 范围，从而增强大型 Kubernetes 负载的可扩展性和适应性，而无需重新部署集群。 - [适用于容器的 Azure Application Gateway 的 WAF](https://azure.microsoft.com/en-us/updates/?id=525419) ：现已正式发布，此功能为 AKS 带来了“设计即安全”的 Web 应用程序防火墙 (web application firewall) 功能，确保了容器化负载的运营一致性 (operational consistency) 和无缝的策略管理 (policy management)。 - [Azure Bastion](https://learn.microsoft.com/en-us/azure/bastion/bastion-connect-to-aks-private-cluster) 现在可以安全、简化地访问私有 AKS 集群，减少了设置工作量，保持了隔离性，并为用户节省了成本。这些创新反映了 Azure 网络致力于为您云旅程的每个阶段提供安全、可扩展且面向未来的解决方案的承诺。要获取完整的更新列表，请访问官方的 [Azure 更新](https://azure.microsoft.com/en-us/updates/?filters=%5B%22Application+Gateway%22%2C%22Azure+Bastion%22%2C%22Azure+DDoS+Protection%22%2C%22Azure+DNS%22%2C%22Azure+ExpressRoute%22%2C%22Azure+Firewall%22%2C%22Azure+Firewall+Manager%22%2C%22Azure+Front+Door%22%2C%22Azure+NAT+Gateway%22%2C%22Azure+Private+Link%22%2C%22Azure+Route+Server%22%2C%22Azure+Virtual+Network+Manager%22%2C%22Content+Delivery+Network%22%2C%22Load+Balancer%22%2C%22Network+Watcher%22%2C%22Traffic+Manager%22%2C%22Virtual+Network%22%2C%22Virtual+WAN%22%2C%22VPN+Gateway%22%2C%22Web+Application+Firewall%22%5D) 页面。 ## 开始使用 Azure 网络 Azure 网络不仅仅是基础设施——它更是基础性数字化转型 (digital transformation) 的催化剂，使企业能够充分利用云和 AI 的潜力。在企业探索其云旅程的过程中，Azure 随时准备在每一步连接、保护和加速创新。 ![抽象图片](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2025/10/Azure_Hero_Hexagon_Offwhite_FullGrad_cropped-1024x575.webp) ## 所有更新，一站获取从 Azure DNS 到虚拟网络，随时了解 Azure 网络的最新动态。 [ 在此处获取更多信息 ](https://azure.microsoft.com/en-us/updates/?filters=%5B%22Application+Gateway%22%2C%22Azure+Bastion%22%2C%22Azure+DDoS+Protection%22%2C%22Azure+DNS%22%2C%22Azure+ExpressRoute%22%2C%22Azure+Firewall%22%2C%22Azure+Firewall+Manager%22%2C%22Azure+Front+Door%22%2C%22Azure+NAT+Gateway%22%2C%22Azure+Private+Link%22%2C%22Azure+Route+Server%22%2C%22Azure+Virtual+Network+Manager%22%2C%22Content+Delivery+Network%22%2C%22Load+Balancer%22%2C%22Network+Watcher%22%2C%22Traffic+Manager%22%2C%22Virtual+Network%22%2C%22Virtual+WAN%22%2C%22VPN+Gateway%22%2C%22Web+Application+Firewall%22%5D)