[解决方案] 从本地到 Azure VMware 和 VNETs 的网络冗余单区域设计

**发布时间:** 2025-07-07 **厂商:** AZURE **类型:** TECH-BLOG **原始链接:** https://techcommunity.microsoft.com/blog/azurenetworkingblog/network-redundancy-from-on-premises-to-azure-vmware-and-vnets-in-a-single-region/4412473 ---  [解决方案] 从本地到 Azure VMware 和 VNETs 的网络冗余单区域设计   # 解决方案分析 ## 解决方案概述 Azure 提供的网络冗余解决方案旨在解决从本地数据中心到 Azure VMware Solution (AVS) 和 Virtual Networks (VNets) 的单点故障问题。该方案适用于混合云环境中的高可用性需求，针对 **单区域部署** 的场景，提供可靠的连接以维持工作负载的连续性。核心技术原理基于 Azure 的网络服务，如 ExpressRoute、VPN 和 SD-WAN，利用 **冗余路径** 和路由优化（如 Global Reach 和路由预置）来避免连接中断，实现 **高可用性** 和 **操作连续性**。 ## 实施步骤 1. **评估当前架构** 识别现有设计中的单点故障，例如依赖单一 ExpressRoute 电路 (如 ER1-EastUS)，并确认拓扑类型（Hub-and-Spoke 或 Virtual WAN）。理由：通过评估，确保方案针对具体环境，避免不必要的修改。 2. **部署冗余连接** - 对于 **Solution1 (VPN)**：在 Hub-and-Spoke 拓扑中，部署 Azure Route Server (ARS) 于中心 VNet，以启用 ExpressRoute 和 VPN 网关之间的传输路由；在 Virtual WAN 中，利用 vHub 的内置路由服务。技术细节：如果 ExpressRoute 故障，VPN 隧道接管；添加路由预置以优化故障切换。 - 对于 **Solution2 (SD-WAN)**：部署 SD-WAN 作为备份路径；在 Hub-and-Spoke 中使用 ARS 进行路由；在 Virtual WAN 中依赖 vHub 路由。技术细节：如果已有 SD-WAN，无需额外部署；确保路由预置以优先 ExpressRoute。 - 对于 **Solution3 (不同对等位置的 ExpressRoute)**：部署第二个 ExpressRoute 电路，并启用 Global Reach；使用公共自治系统号 (ASN) 预置前缀以避免 ECMP 路由。技术细节：逻辑衔接通过 Global Reach 扩展连接，确保备用电路仅在主电路故障时激活。 - 对于 **Solution4 (Metro ExpressRoute)**：配置双宿主设置，连接到同一城市中的两个不同对等位置。技术细节：利用 Metro 配置增强弹性，无需额外电路。理由：每个步骤基于 Azure 的路由机制，确保无缝故障切换，减少延迟和带宽损失。 3. **测试和监控** 模拟故障（如断开 ExpressRoute），验证备用路径的路由收敛，并监控性能指标。理由：测试确保方案的可行性，并通过路由预置机制优化故障恢复。 ## 方案客户价值 - **成本效益**：Solution1 (VPN) 和 Solution4 (Metro ExpressRoute) 提供 **成本有效** 的冗余选项，例如 VPN 易于部署，可降低硬件投资；与传统方案相比，避免了额外的物理电路成本。 - **性能提升**：Solution3 (不同对等位置的 ExpressRoute) 支持 **可预测的带宽**，适合关键任务应用，确保高可用性；相比传统单电路设计，减少中断风险，实现更稳定的连接。 - **灵活性和易管理**：Solution2 (SD-WAN) 如果已有部署，无需额外工作，简化管理；量化收益包括潜在的 **延迟降低** 通过优化路径，与直接互联网连接相比，提供更可靠的混合环境访问。 - **与其他方案差异**：相较于传统冗余方法（如多物理链路），这些方案利用 Azure 的云原生服务（如 vHub 路由），实现更快的故障切换，而非依赖第三方硬件。 ## 涉及的相关产品 - **Azure Virtual Networks (VNets)**：作为连接中心，提供虚拟网络基础，支持 Hub-and-Spoke 或 Virtual WAN 拓扑。 - **Azure VMware Solution (AVS)**：运行 VMware 工作负载，直接集成 Azure 基础设施，实现无缝迁移。 - **ExpressRoute**：建立高带宽、低延迟连接，支持 Global Reach 和 Metro 配置，作为主路径。 - **Azure Route Server (ARS)**：在 Hub-and-Spoke 拓扑中启用路由传输，简化 ExpressRoute 与备份路径的集成。 - **VPN Gateway**：在 Solution1 中用作备用隧道，提供加密连接。 - **SD-WAN**：在 Solution2 中作为第三方或集成选项，确保备用路径管理。 ## 技术评估 - **先进性**：方案利用 Azure 的 **云原生路由** 和冗余机制（如 Global Reach），领先于传统物理冗余设计，提供自动化故障切换；Solution4 (Metro ExpressRoute) 的双宿主配置体现了对城市级弹性的创新。 - **可行性**：所有方案在单区域部署中高度可行，但需考虑区域可用性（如 Metro ExpressRoute 限制）；Solution1 和 Solution2 易于实施，适合中小型企业，而 Solution3 和 Solution4 更适用于高带宽需求。 - **适用范围**：适用于混合云场景，但可能受限于带宽（VPN 可能需多隧道）和成本（额外 ExpressRoute 电路）；优势包括 **高可靠性** 和易扩展，限制为潜在延迟（如 VPN 依赖互联网）和第三方依赖（如 SD-WAN 管理）。 - **优势和限制**：优势在于 **灵活的冗余选项**，可根据工作负载自定义；限制包括在 Virtual WAN 中需手动路由预置，以避免路径优先问题。   # 网络冗余：从本地到 Azure VMware 和 VNETs 的单区域设计 **原始链接:** [https://techcommunity.microsoft.com/blog/azurenetworkingblog/network-redundancy-from-on-premises-to-azure-vmware-and-vnets-in-a-single-region/4412473](https://techcommunity.microsoft.com/blog/azurenetworkingblog/network-redundancy-from-on-premises-to-azure-vmware-and-vnets-in-a-single-region/4412473) **发布时间:** 2025-07-07 **厂商:** AZURE **类型:** TECH-BLOG --- Azure 网络博客 # 网络冗余：从本地到 Azure VMware 和 VNETs 的单区域设计 2025 年 5 月 09 日 By [shruthi_nair](<javascript:void(0)>) [Mays_Algebary](<javascript:void(0)>) 建立冗余网络连接对于确保混合和云环境中的工作负载可用性、可靠性和性能至关重要。正确规划和实施网络冗余是实现高可用性和维持运营连续性的关键。本指南介绍了常见的架构模式，用于在单区域部署中构建本地数据中心、Azure 虚拟网络 (VNETs) 和 [Azure VMware Solution (AVS)](<https://learn.microsoft.com/en-us/azure/azure-vmware/introduction>) 之间的冗余连接。AVS 允许组织在 Azure 基础设施上直接运行基于 VMware 的工作负载，为将现有 VMware 环境迁移到云提供简化的路径，而无需进行重大重新架构或修改。 **AVS、本地和虚拟网络之间的连接** 下图展示了使用 Hub-and-Spoke 或 Virtual WAN (vWAN) 拓扑的常见网络设计模式，这些拓扑部署在一个 Azure 区域内。ExpressRoute 用于建立本地环境和 VNETs 之间的连接。同一 ExpressRoute 电路通过 ExpressRoute [Global Reach](<https://learn.microsoft.com/en-us/azure/expressroute/expressroute-global-reach>) 扩展到 AVS，以连接到本地基础设施。 ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDEyNDczLTcycms0SA?image-dimensions=999x512&revision=11) **注意事项：** 此设计存在单点故障。如果 ExpressRoute 电路 (ER1-EastUS) 发生故障，本地环境、VNETs 和 AVS 之间的连接将中断。让我们探讨一些解决方案，以在 ER1-EastUS 发生故障时建立冗余连接。 **解决方案 1：通过 VPN 实现网络冗余** ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDEyNDczLUJHMWR3NA?image-dimensions=999x476&revision=11) 在此解决方案中，部署一个或多个 VPN 隧道作为 ExpressRoute 的备份。如果 ExpressRoute 不可用，VPN 将提供从本地环境到 VNETs 和 AVS 的备用连接路径。在 Hub-and-Spoke 拓扑中，通过在 hub VNET 中部署 [Azure Route Server (ARS)](<https://learn.microsoft.com/en-us/azure/route-server/overview>)，可以建立到 AVS 的备份路径。ARS 启用 ExpressRoute 和 VPN 网关之间的无缝中转路由。在 vWAN 拓扑中，不需要 ARS。vHub 的内置路由服务会自动提供 VPN 网关和 ExpressRoute 之间的中转路由。 _**注意：**_ 在 vWAN 拓扑中，为确保在故障恢复到 ExpressRoute 时实现最佳路由收敛，应在通过 VPN 发布的本地前缀上进行前缀预加 (prepend)。如果不进行前缀预加，VNETs 可能会继续使用 VPN 作为到本地的主要路径。如果前缀预加不可行，可以通过重新启动 VPN 隧道手动触发故障转移。 _**解决方案见解：**_ - 成本效益高且部署简单。 - 延迟：VPN 隧道会因依赖公共互联网和加密开销而引入额外延迟。 - 带宽考虑：可能需要多个 VPN 隧道来实现与高容量 ExpressRoute 电路 (例如 10G 以上) 相当的带宽。有关 VPN 网关 SKU 和隧道吞吐量的详细信息，请参考 [此链接](<https://learn.microsoft.com/en-us/azure/vpn-gateway/about-gateway-skus#performance>)。 **解决方案 2：通过 SD-WAN 实现网络冗余** ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDEyNDczLXlxamI1Qg?image-dimensions=999x439&revision=11) 在此解决方案中，部署 SD-WAN 隧道作为 ExpressRoute 的备份。如果 ExpressRoute 不可用，SD-WAN 将提供从本地环境到 VNETs 和 AVS 的备用连接路径。在 Hub-and-Spoke 拓扑中，通过在 hub VNET 中部署 ARS，可以建立到 AVS 的备份路径。ARS 启用 ExpressRoute 和 SD-WAN 设备之间的无缝中转路由。在 vWAN 拓扑中，不需要 ARS。vHub 的内置路由服务会自动提供 SD-WAN 和 ExpressRoute 之间的中转路由。 _**注意：**_ 在 vWAN 拓扑中，为确保 VNETs 在故障恢复到 ExpressRoute 时实现最佳收敛，应在通过 SD-WAN 发布的本地前缀上进行前缀预加，使其长度大于 ExpressRoute 学习到的路由。如果不进行预加，VNETs 将继续使用 SD-WAN 路径作为到本地的主要路径。在使用 Azure vWAN 的此设计中，SD-WAN 可以部署在 vHub 内或连接到 vHub 的 spoke VNET 中，原理相同。 _**解决方案见解：**_ - 如果已有现有 SD-WAN，无需额外部署。 - 带宽考虑：取决于供应商。 - 管理考虑：存在第三方依赖，需要管理高可用性部署，除非使用 SD-WAN SaaS 解决方案。 **解决方案 3：通过不同对等位置的 ExpressRoute 实现网络冗余** ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDEyNDczLVFBSlFHNQ?image-dimensions=912x701&revision=11) 部署额外的 ExpressRoute 电路于不同对等位置，并启用 ER2-peeringlocation2 和 AVS-ER 之间的 Global Reach。为了将此电路用作备份路径，应在第二电路上对本地前缀进行前缀预加；否则，AVS 或 VNET 将对两个电路到本地执行等价多路径 (ECMP) 路由。 _**注意：**_ 使用公共自治系统号 (ASN) 对本地前缀进行预加，因为 AVS-ER 会向 AVS 去除私有 ASN。有关详细信息，请参考 [此链接](<https://learn.microsoft.com/en-us/azure/azure-vmware/architecture-network-design-considerations#azure-vmware-solution-compatibility-with-as-path-prepend>)。 _**解决方案见解：**_ - 适合关键任务应用，提供可预测的吞吐量和带宽作为备份。 - 可能成本高昂，取决于第二电路的带宽。 **解决方案 4：通过 Metro ExpressRoute 实现网络冗余** ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDEyNDczLW5vV0lZZw?image-dimensions=977x702&revision=11) [Metro ExpressRoute](<https://learn.microsoft.com/en-us/azure/expressroute/metro#expressroute-metroallows>) 是新的 ExpressRoute 配置。此配置允许您受益于双归属设置，从而在同一城市连接到两个不同的 ExpressRoute 对等位置。此配置在某个对等位置发生故障时提供增强的弹性。 **解决方案见解** - 更高弹性：使用单个电路提供更高的可靠性。 - [受限区域可用性](<https://learn.microsoft.com/en-us/azure/expressroute/metro>)：仅限于都市区域内的特定区域。 - 成本效益高。 **结论：** 故障转移连接的选择应基于工作负载的具体延迟和带宽需求。最终，实现高可用性和确保持续运营取决于对网络冗余策略的仔细规划和有效实施。更新于 2025-07-07 版本 3.0