[新产品/新功能] Azure 网络在安全性、可靠性与高可用性方面的更新

**发布时间:** 2025-12-01 **厂商:** AZURE **类型:** BLOG **原始链接:** https://azure.microsoft.com/en-us/blog/unlocking-the-future-azure-networking-updates-on-security-reliability-and-high-availability-2/ ---  [新产品/新功能] Azure 网络在安全性、可靠性与高可用性方面的更新   # 产品功能分析 ## 新功能/新产品概述 Azure本次发布的核心是围绕AI工作负载对网络基础设施提出的极致要求，全面升级其在**弹性**、**安全**、**规模**和**云原生**四个维度的能力。其目标是为大规模AI模型训练、低延迟推理以及现代云原生应用提供一个高性能、默认安全且高度可靠的网络平台。 - **AI驱动的网络架构**: Azure正在构建一个为AI优化的网络，其核心是支持大规模分布式**GPU**集群的高带宽、无损通信。该架构融合了**InfiniBand**和高速以太网技术，并通过专用的AI **WAN**连接跨区域的**GPU**池。底层利用基于**DPU**（数据处理单元）的硬件**VNet**设备和**Azure Private Link**，确保计算与存储之间的数据传输高效且安全，旨在最大限度缩短AI模型训练时间。 - **弹性与高可用性**: - **Standard NAT Gateway V2**: 推出具备原生**可用区冗余**能力的NAT网关，无需额外成本即可实现跨区域故障自动切换。该产品旨在为出站连接提供默认的高可用性，支持高达*100 Gbps*吞吐量和*每秒1000万个数据包*的处理能力。 - **多层安全增强**: - **DNS Security Policy with Threat Intel**: 一项正式可用的DNS层安全服务，通过持续更新的威胁情报库，自动监控并阻止对已知恶意域名的访问，从入口处加固安全防线。 - **Private Link Direct Connect**: 将**Private Link**的私有连接能力从Azure VNet内部扩展至任何可路由的私有IP地址，使得本地数据中心、非互联VNet或第三方SaaS服务也能通过私密、安全的方式访问Azure服务。 - **JWT Validation in Application Gateway**: 在**应用网关**上原生支持**JSON Web Token (JWT)**验证。此功能将身份验证和授权中的令牌验证环节前置到网络边缘，卸载了后端服务器的计算压力，简化了API和微服务的安全架构。 - **Forced tunneling for VWAN Secure Hubs**: 允许在**Virtual WAN**中心强制将所有出站流量路由到指定的安全设备（如**NVA**或**SASE**解决方案）进行深度检测，实现对互联网流量的集中化安全管控。 - **规模化与性能提升**: - **ExpressRoute 400G**: 宣布将于2026年支持*400G*的**ExpressRoute**直连端口，满足AI和HPC场景下本地与云端之间海量数据的传输需求，可聚合实现多太比特（multi-terabit）级别的吞吐。 - **High throughput VPN Gateway**: 正式发布性能提升*3倍*的VPN网关，单TCP流支持*5Gbps*，四隧道聚合总吞吐可达*20 Gbps*。 - **High scale Private Link**: 大幅提升单个VNet中**Private Endpoint**的数量上限至*5000*个，跨VNet对等连接总数上限提升至*20,000*个，以支持超大规模企业部署。 - **云原生应用体验优化**: - **eBPF Host Routing for AKS**: 在**高级容器网络服务**中引入基于**eBPF**的主机路由，通过在Linux内核中直接处理网络数据包，显著降低延迟并提升容器化应用的吞吐量。 - **Pod CIDR Expansion for AKS**: 允许在不重新部署集群的情况下动态扩展**Azure CNI Overlay**模式下AKS集群的Pod IP地址范围，解决了大型、长期运行集群的IP资源耗尽问题。 - **WAF for Azure Application Gateway for Containers**: 为容器应用网关提供正式可用的**Web应用程序防火墙**，将企业级安全能力无缝扩展至AKS环境。 - **Azure Bastion for private AKS clusters**: 简化对私有AKS集群的安全访问，通过**Bastion**服务直接连接，无需复杂的网络配置，同时保障了集群的网络隔离性。 ## 关键客户价值 - **加速AI创新与部署**: - 客户可以利用Azure专为AI优化的网络基础设施，高效训练更大规模的模型，并缩短产品上市时间。其融合**InfiniBand**和高速以太网的无损网络，是区别于通用云计算网络的核心优势，直接解决了分布式训练中**GPU**间通信的瓶颈。 - **默认实现高可用架构**: - 通过推出**Standard NAT Gateway V2**等区域冗余服务，Azure降低了客户构建高可用应用的复杂性和成本。客户无需手动配置和管理复杂的故障转移机制，即可获得“默认弹性”的基础设施，这与一些需要额外购买和配置高可用组件的竞品形成了差异化。 - **前置与集中的安全防护**: - 在**应用网关**上实现**JWT**验证，将安全检查点从应用层左移至网络边缘，不仅提升了后端服务的性能，还实现了安全策略的集中管理，降低了开发团队的心智负担。**Private Link Direct Connect**则将Azure的零信任网络边界延伸至客户的整个混合云环境，提供了比传统VPN或公网连接更高级别的安全隔离。 - **消除规模化瓶颈**: - **ExpressRoute 400G**和更高吞吐的**VPN Gateway**直接满足了企业数字化转型后期，尤其是AI和大数据分析场景下对混合云带宽的迫切需求。**Private Link**规模的提升则为拥有数千个应用的大型企业扫清了私有连接架构的扩展障碍。 - **提升云原生应用的性能与运维效率**: - 引入**eBPF**技术使AKS的网络性能达到业界领先水平，对于金融交易、实时计算等延迟敏感型应用具有巨大吸引力。**Pod CIDR**动态扩展功能解决了Kubernetes原生网络模型的一大运维痛点，显著提升了大型集群的可维护性和生命周期。 ## 关键技术洞察 - **AI优化的异构网络融合**: - _Azure通过深度整合InfiniBand和以太网两种网络技术_，并结合自研的**DPU**进行硬件卸载，构建了一个专为AI流量设计的网络平面。**InfiniBand**提供超低延迟和RDMA（远程直接内存访问）能力，是**GPU**间通信的理想选择；而高速以太网则负责通用数据传输。这种异构融合架构是支撑万亿级参数模型训练的关键技术创新。 - **基于eBPF的内核级网络加速**: - _通过在Linux内核中嵌入eBPF程序实现容器路由逻辑_，Azure绕过了传统的、基于**iptables**的内核网络栈。**iptables**在规则数量增多时性能会急剧下降，而**eBPF**提供了一种更高效、可编程的内核数据路径，从而实现了网络延迟的显著降低和吞吐量的大幅提升。这是当前云原生网络领域最前沿的技术方向之一，标志着Azure在容器网络性能上追平甚至超越了竞争对手。 - **网络边缘的身份验证卸载**: - 在**应用网关**上实现**JWT**验证，技术上意味着网关需要具备解析HTTP头部、解码**JWT**、验证签名（如使用JWKS）以及校验声明（claims）的能力。这一功能将原本分散在各个微服务中的认证逻辑统一收敛到流量入口，不仅提高了效率，也极大地增强了安全策略的一致性和可观测性。 - **扩展私有连接的虚拟化覆盖范围**: - **Private Link Direct Connect**的技术实现可能涉及一套复杂的网络地址转换（NAT）和隧道封装机制。它在Azure网络边界创建了一个逻辑映射，将外部的私有IP地址安全地路由到Azure内部的服务终结点，而无需经过公网或建立复杂的VNet对等连接。这项技术创新性地打破了**Private Link**原有的VNet限制，使其成为一个更普适的混合云安全连接方案。   # Azure 网络在安全性、可靠性和高可用性方面的更新 **原始链接:** [https://azure.microsoft.com/en-us/blog/unlocking-the-future-azure-networking-updates-on-security-reliability-and-high-availability-2/](https://azure.microsoft.com/en-us/blog/unlocking-the-future-azure-networking-updates-on-security-reliability-and-high-availability-2/) **发布时间:** 2025-12-01 **厂商:** AZURE **类型:** BLOG --- 在 AI 工作负载 (AI workloads) 呈指数级增长的推动下，云计算领域正以前所未有的速度发展。 ## Azure 网络助力下一波云转型浪潮在 AI 工作负载的指数级增长以及对无缝、安全和高性能连接需求的推动下，云计算领域正以前所未有的速度发展。[Azure 网络服务](https://learn.microsoft.com/en-us/azure/networking/fundamentals/networking-overview) 站在这一变革的前沿，提供超大规模基础设施 (hyperscale infrastructure)、智能服务和弹性架构 (resilient architecture)，助力企业充满信心地进行创新和扩展。 [在此处获取最新的 Azure 网络服务更新](https://azure.microsoft.com/en-us/updates/?filters=%5B%22Application+Gateway%22%2C%22Azure+Bastion%22%2C%22Azure+DDoS+Protection%22%2C%22Azure+DNS%22%2C%22Azure+ExpressRoute%22%2C%22Azure+Firewall%22%2C%22Azure+Firewall+Manager%22%2C%22Azure+Front+Door%22%2C%22Azure+NAT+Gateway%22%2C%22Azure+Private+Link%22%2C%22Azure+Route+Server%22%2C%22Azure+Virtual+Network+Manager%22%2C%22Content+Delivery+Network%22%2C%22Load+Balancer%22%2C%22Network+Watcher%22%2C%22Traffic+Manager%22%2C%22Virtual+Network%22%2C%22Virtual+WAN%22%2C%22VPN+Gateway%22%2C%22Web+Application+Firewall%22%5D) Azure 的全球网络专为满足现代 AI 和云应用的需求而构建。Azure 的骨干网络拥有超过 60 个 AI 区域、50 多万英里的光纤以及超过 4 Pbps 的广域网 (WAN) 容量，专为实现大规模和高可靠性而设计。自 24 财年底以来，该网络的总容量增加了两倍，现已达到 18 Pbps，确保客户能够以毫不妥协的性能运行要求最苛刻的 AI 和数据工作负载。在这篇博客中，我很高兴能与大家分享我们在数据中心网络方面的进展，这些进展为大规模运行 AI 训练模型提供了核心基础设施，同时我们还将发布最新的产品公告，以增强运行云原生工作负载所需的弹性、安全性、规模和能力，从而优化性能和成本。 ## AI 位于云的核心 AI 不仅仅是一种工作负载——它是驱动下一代云系统的引擎。Azure 的网络结构 (network fabric) 在每一层都为 AI 进行了优化，支持用于模型训练的持久高带宽流、用于 GPU 集群 (GPU clusters) 的低延迟数据中心内部结构，以及安全的无损流量管理 (lossless traffic management)。Azure 的架构集成了 InfiniBand 和高速以太网，可在计算和存储之间实现超快速、无损的数据传输，从而最大限度地缩短训练时间并提高效率。Azure 的网络旨在使用专用的 AI 广域网 (AI WAN) 来支持跨数据中心和区域分布的 GPU 池 (distributed GPU pools) 的工作负载。分布式 GPU 集群通过使用 Azure Private Link 和运行高性能数据处理单元 (DPU) 的基于硬件的 VNet 设备 (VNet appliance)，以专用的私有连接方式连接到在 Azure 区域中运行的服务。 ![展示云中前端和后端服务关系的图表](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2025/12/Image-1-AI-backend-network-in-the-cloud.webp) Azure 网络服务旨在为用户的每个阶段提供支持——从将本地工作负载迁移到云端，到使用高级服务实现应用程序现代化，再到构建云原生和 AI 驱动的解决方案。无论是无缝的 VNet 集成、用于私有连接的 ExpressRoute，还是用于 Kubernetes 的高级容器网络，Azure 都提供了连接、构建和保护未来云所需的工具和服务。 ## 默认具备弹性弹性是 Azure 网络使命的基石。我们继续执行默认提供弹性的目标。继我们提供网关 (ExpressRoute、VPN 和 Application Gateway) 的区域弹性 SKU (zone resilient SKUs) 的趋势之后，最新加入该列表的是 Azure NAT Gateway。在 Ignite 2025 大会上，我们宣布了 Standard NAT Gateway V2 的公开预览版，该版本以零额外成本为出站连接提供区域冗余架构。区域冗余 NAT 网关 (Zone Redundant NAT gateways) 会在单个区域发生故障时自动将流量分配到可用区域。它还支持 100 Gbps 的总吞吐量，每秒可处理 1000 万个数据包。它原生支持 IPv6，并通过流日志提供流量洞察。[阅读 NAT Gateway 博客](https://techcommunity.microsoft.com/blog/azurenetworkingblog/announcing-the-public-preview-of-standardv2-nat-gateway-and-standardv2-public-ip/4458292) 了解更多信息。 ![区域冗余 NAT 网关流程图](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2025/12/Image-2-Introducing-Zone-Redundant-NAT-Gateway.webp) ## 推动安全边界我们继续将安全作为首要任务来推进我们的平台，并遵循“安全未来倡议” (Secure Future Initiatives) 的原则。基于此，我们很高兴地宣布以下功能已进入预览或正式可用 (GA) 阶段： [带威胁情报的 DNS 安全策略 (DNS Security Policy with Threat Intel)](https://azure.microsoft.com/en-us/updates/?id=530183) ：现已正式可用，此功能通过持续更新、监控和阻止已知恶意域来提供智能保护。 ![Azure DNS 安全策略的威胁情报流程图](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2025/12/Image-3-DNS-security-policy-Threat-intelligence.webp) [Private Link Direct Connect](https://azure.microsoft.com/en-us/updates/?id=503988) ：现已进入公开预览阶段，此功能将 Private Link 连接扩展到任何可路由的私有 IP 地址，支持断开连接的 VNet 和外部 SaaS 提供商，并增强了审计和合规性支持。 ![Private Link Direct Connect 服务流程图](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2025/12/Private-Link-Direct-Connect-No-Quote-1024x465.webp) [Application Gateway 中的 JWT 验证 (JWT Validation in Application Gateway)](https://learn.microsoft.com/en-us/azure/application-gateway/json-web-token-overview) ：Application Gateway 现已在公开预览版中支持 JSON Web 令牌 (JWT) 验证，为 Web 应用程序、API 以及服务到服务 (S2S) 或机器到机器 (M2M) 通信提供**原生的第 7 层 JWT 验证**。此功能将令牌验证过程从后端服务器转移到 Application Gateway，从而提高了性能并降低了复杂性。该功能使组织能够在不增加复杂性的情况下加强安全性，提供一致、集中、默认安全的第 7 层控制，使团队能够更快地构建和创新，同时保持值得信赖的安全态势。 [VWAN 安全中心的强制隧道 (Forced tunneling for VWAN Secure Hubs)](https://learn.microsoft.com/en-us/azure/firewall/forced-tunneling) ：强制隧道允许您配置 Azure Virtual WAN，使用部署在 Virtual WAN 中心的安全解决方案来检查发往互联网的流量，并将检查后的流量路由到指定的下一跳，而不是直接路由到互联网。将互联网流量路由到通过 ExpressRoute、VPN 或 SD-WAN 学习到的默认路由连接到 Virtual WAN 的边缘防火墙。将互联网流量路由到部署在连接到 Virtual WAN 的分支虚拟网络中您偏好的网络虚拟设备 (Network Virtual Appliance) 或 SASE 解决方案。 ## 提供无处不在的规模对于希望微调其 AI 模型或为其 AI/ML 工作负载实现低延迟推理 (low latency inferencing) 的客户而言，规模至关重要。增强的 VPN 和 ExpressRoute 连接以及可扩展的私有终结点进一步增强了平台的可靠性和未来就绪性。 ExpressRoute 400G：从 2026 年开始，Azure 将在部分地区支持 400G ExpressRoute 直连端口。用户可以使用多个此类端口，通过专用的私有连接为本地或远程 GPU 站点提供数 Tb 的吞吐量。 ![ExpressRoute 图像显示高达 400G 的连接](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2025/12/Image-5-ExpressRoute-400G-Connectivity.webp) 高吞吐量 VPN 网关 (High throughput VPN Gateway)：我们宣布正式推出速度提升 3 倍的 VPN 网关连接，支持 5Gbps 的单 TCP 流，并通过四个隧道实现 20 Gbps 的总吞吐量。 [大规模 Private Link (High scale Private Link)](https://learn.microsoft.com/en-us/azure/private-link/increase-private-endpoint-vnet-limits?tabs=ARG-HSP-Powershell%2Cvalidate-portal) ：我们还将虚拟网络中允许的私有终结点 (private endpoints) 总数增加到 5000 个，跨对等 VNet 的总数增加到 20,000 个。 [Azure Network Watcher 中的高级流量筛选 (Advanced traffic filtering)](https://azure.microsoft.com/en-us/updates/?id=527805) 用于存储优化：有针对性的流量日志有助于优化存储成本、加速分析并简化配置和管理。 ## 增强云原生应用的体验弹性和无缝扩展的能力是部署容器化应用 (containerized apps) 的 Azure 客户所期望和依赖的基本能力。AKS 是部署和管理需要高可用性、可扩展性和可移植性的容器化应用程序的理想平台。Azure 的 [Advanced Container Networking Service](https://learn.microsoft.com/en-us/azure/aks/advanced-container-networking-services-overview?tabs=cilium) 与 AKS 原生集成，并作为托管网络附加组件提供，适用于需要高性能网络、基本安全性和 Pod 级别可观测性 (pod level observability) 的工作负载。我们很高兴地宣布该领域的以下产品更新： - [AKS 的 Advanced Container Networking Services 中的 eBPF 主机路由 (eBPF Host Routing)](https://azure.microsoft.com/en-us/updates/?id=523100) ：通过将路由逻辑直接嵌入到 Linux 内核中，此功能降低了容器化应用程序的延迟并提高了吞吐量。 - [AKS 的 Azure CNI Overlay 中的 Pod CIDR 扩展 (Pod CIDR Expansion)](https://azure.microsoft.com/en-us/updates/?id=523086) ：这项新功能允许用户扩展现有的 Pod CIDR 范围，从而在无需重新部署集群的情况下增强大型 Kubernetes 工作负载的可扩展性和适应性。 - [用于容器的 Azure Application Gateway 的 WAF (WAF for Azure Application Gateway for Containers)](https://azure.microsoft.com/en-us/updates/?id=525419) ：现已正式可用，此功能为 AKS 带来了设计安全的 Web 应用程序防火墙 (web application firewall) 功能，确保了容器化工作负载的操作一致性和无缝的策略管理。 - [Azure Bastion](https://learn.microsoft.com/en-us/azure/bastion/bastion-connect-to-aks-private-cluster) 现在可以安全、简化地访问私有 AKS 集群，减少了设置工作量，保持了隔离性，并为用户节省了成本。这些创新反映了 Azure 网络致力于为您的云旅程的每个阶段提供安全、可扩展且面向未来的解决方案的承诺。有关更新的完整列表，请访问官方 [Azure 更新](https://azure.microsoft.com/en-us/updates/?filters=%5B%22Application+Gateway%22%2C%22Azure+Bastion%22%2C%22Azure+DDoS+Protection%22%2C%22Azure+DNS%22%2C%22Azure+ExpressRoute%22%2C%22Azure+Firewall%22%2C%22Azure+Firewall+Manager%22%2C%22Azure+Front+Door%22%2C%22Azure+NAT+Gateway%22%2C%22Azure+Private+Link%22%2C%22Azure+Route+Server%22%2C%22Azure+Virtual+Network+Manager%22%2C%22Content+Delivery+Network%22%2C%22Load+Balancer%22%2C%22Network+Watcher%22%2C%22Traffic+Manager%22%2C%22Virtual+Network%22%2C%22Virtual+WAN%22%2C%22VPN+Gateway%22%2C%22Web+Application+Firewall%22%5D) 页面。 ## 开始使用 Azure 网络 Azure 网络不仅仅是基础设施——它是基础性数字化转型的催化剂，使企业能够充分利用云和 AI 的潜力。在组织驾驭其云旅程的过程中，Azure 已准备好在每一步连接、保护和加速创新。 ![抽象图像](https://azure.microsoft.com/en-us/blog/wp-content/uploads/2025/10/Azure_Hero_Hexagon_Offwhite_FullGrad_cropped-1024x575.webp) ## 所有更新尽在一处从 Azure DNS 到 Virtual Network，随时了解 Azure 网络的最新动态。 [在此处获取更多信息](https://azure.microsoft.com/en-us/updates/?filters=%5B%22Application+Gateway%22%2C%22Azure+Bastion%22%2C%22Azure+DDoS+Protection%22%2C%22Azure+DNS%22%2C%22Azure+ExpressRoute%22%2C%22Azure+Firewall%22%2C%22Azure+Firewall+Manager%22%2C%22Azure+Front+Door%22%2C%22Azure+NAT+Gateway%22%2C%22Azure+Private+Link%22%2C%22Azure+Route+Server%22%2C%22Azure+Virtual+Network+Manager%22%2C%22Content+Delivery+Network%22%2C%22Load+Balancer%22%2C%22Network+Watcher%22%2C%22Traffic+Manager%22%2C%22Virtual+Network%22%2C%22Virtual+WAN%22%2C%22VPN+Gateway%22%2C%22Web+Application+Firewall%22%5D)