**发布时间:** 2025-11-14
**厂商:** AZURE
**类型:** TECH-BLOG
**原始链接:** https://techcommunity.microsoft.com/blog/azurenetworkingblog/azure-virtual-network-manager--azure-virtual-wan/4469991
---
<!-- AI_TASK_START: AI标题翻译 -->
[解决方案] Azure Virtual Network Manager 与 Azure Virtual WAN
<!-- AI_TASK_END: AI标题翻译 -->
<!-- AI_TASK_START: AI竞争分析 -->
# Azure Virtual Network Manager + Azure Virtual WAN 解决方案分析
## 解决方案概述
该解决方案旨在融合 **Azure Virtual WAN (vWAN)** 和 **Azure Virtual Network Manager (AVNM)** 两大核心网络服务,以优化云网络架构。它解决了传统**中心辐射型 (Hub-and-Spoke)** 架构中,所有分支 (Spoke) 间通信必须经过中心 (Hub) 转发,从而导致**延迟增加**和**吞吐量瓶颈**的核心痛点。
通过将 AVNM 的 **Mesh (网格) 连接策略**应用于已连接到 vWAN 托管中心的 Spoke 虚拟网络 (VNet),该方案实现了两全其美:
- **保留 vWAN 的优势**:享受 vWAN 提供的全面托管的中心基础设施、简化的全球路由、以及与本地网络(通过 VPN/ExpressRoute)和安全服务(如 Azure Firewall)的无缝集成。
- **引入直连通信**:允许特定的 Spoke VNet 之间建立直接的 VNet 对等互连 (Peering),绕过中心节点,实现**单跳、低延迟、高带宽**的东西向流量通信。
此方案适用于需要集中管理和安全策略,同时部分工作负载(如微服务、数据库复制)对网络性能有极致要求的场景。
## 实施步骤
1. **构建 vWAN 中心辐射型网络**
- 部署 Azure Virtual WAN,创建一个或多个托管中心 (Managed Hub)。
- 将各个业务所在的 Spoke VNet 连接到 vWAN 中心,建立基础的中心辐射型拓扑,实现与本地网络或跨区域网络的互联互通。
2. **使用 AVNM 创建网络组**
- 部署 Azure Virtual Network Manager 实例。
- 创建一个**网络组 (Network Group)**,这是一个逻辑容器。
- 将需要进行直接通信的 Spoke VNet 添加到此网络组中。
3. **应用 Mesh 连接策略**
- 在 AVNM 中为该网络组配置并部署一个 **Mesh 连接**配置。
- AVNM 会自动在网络组内所有 VNet 之间创建并管理 VNet 对等互连关系。
- **动态拓扑管理**:当有新的 VNet 加入或离开网络组时,AVNM 会自动更新所有必要的对等互气连接,无需手动干预。
## 方案客户价值
- **显著降低网络延迟**
- 关键应用之间的东西向流量不再绕行中心,直接通过单跳路径通信,极大降低了交互延迟,尤其适用于微服务间的频繁 RPC 调用。
- **提升带宽和吞吐量**
- Spoke 间的直接通信不再受限于中心节点的带宽或防火墙吞吐量上限,非常适合数据库复制、备份等大流量场景。
- **增强网络弹性**
- 即使中心节点正在进行维护或出现故障,已建立直接对等互连的 Spoke VNet 之间仍能保持通信,提高了业务的可用性。
- **大幅简化运维复杂度**
- 传统方式下,为 `n` 个 Spoke VNet 建立全互联需要配置 `n * (n-1) / 2` 个对等互连,管理复杂度呈 O(n²) 增长。
- AVNM 将此复杂度降至 **O(1)**,管理员只需管理网络组的成员资格,而无需维护海量的对等互连和路由表。
- **实现灵活的流量控制**
- 架构师可以精细控制流量路径:需要安全检测或访问共享服务的流量(南北向)通过 vWAN 中心,而性能敏感的流量(东西向)则直接在 Spoke 间路由。
## 涉及的相关产品
- **Azure Virtual WAN**
- 在方案中扮演**托管中心**的角色,提供全球范围的路由、安全和与本地网络的混合连接能力。
- **Azure Virtual Network Manager (AVNM)**
- 负责在选定的 Spoke VNet 之间**自动化创建和管理 Mesh 拓扑**,实现直接对等互连。
## 技术评估
该解决方案在技术上具有显著的先进性和实用性,是对现代云网络设计的深刻优化。
- **优势**:
- **架构的互补性**:它并非用一种技术替代另一种,而是将 vWAN 的宏观管理能力与 AVNM 的微观优化能力完美结合,解决了单一架构的固有局限。
- **声明式配置模型**:AVNM 采用基于意图的方法,用户只需声明期望的网络状态(例如“这个组里的 VNet 应该互通”),平台会自动完成并维护复杂的底层配置。
- **分层安全模型**:方案支持精细化的安全策略。中心防火墙可用于检测南北向和需要集中检查的流量,而 Spoke 间的直连流量可通过 **NSG (网络安全组)** 和 AVNM 的**管理员规则 (Admin rules)** 进行保护,实现安全与性能的平衡。
- **适用范围**:
- 非常适合拥有大量 VNet、业务分布广泛、且同时存在集中管控和高性能通信需求的大型企业。
- **可能的限制**:
- 方案本身并未指出明显的技术限制,但其实施需要清晰的网络规划,明确哪些流量应走中心路径,哪些应走直连路径,以避免不必要的配置复杂性或安全漏洞。对网络可见性的管理(如 NSG 流日志、Azure Monitor)至关重要。
<!-- AI_TASK_END: AI竞争分析 -->
<!-- AI_TASK_START: AI全文翻译 -->
# Azure 虚拟网络管理器 + Azure 虚拟广域网
**原始链接:** [https://techcommunity.microsoft.com/blog/azurenetworkingblog/azure-virtual-network-manager--azure-virtual-wan/4469991](https://techcommunity.microsoft.com/blog/azurenetworkingblog/azure-virtual-network-manager--azure-virtual-wan/4469991)
**发布时间:** 2025-11-14
**厂商:** AZURE
**类型:** TECH-BLOG
---
Azure 网络博客
# Azure 虚拟网络管理器 + Azure 虚拟广域网
2025 年 11 月 14 日
## 在托管中心架构内实现辐射网络间的直接通信
Azure 持续扩展其网络能力,其中 Azure 虚拟网络管理器 (Azure Virtual Network Manager) 和 Azure 虚拟广域网 (Azure Virtual WAN, vWAN) 是两项最具变革性的服务。当两者结合部署时,可以实现优势互补:既能享有托管中心架构的运维简便性,又能让辐射 VNet (spoke VNets) 之间直接通信,从而避免额外的中心跳数并最大限度地减少延迟。
**重温经典的中心辐射型模式**
| **元素** | **传统中心辐射型模式中的角色** |
| --- | --- |
| **中心 VNet (Hub VNet)** | 承载共享服务的集中式网络,包括防火墙 (例如 Azure Firewall、NVA)、VPN/ExpressRoute 网关、DNS 服务器、域控制器以及用于流量管理的中央路由表。作为所有辐射网络的连接和安全锚点。 |
| **辐射 VNet (Spoke VNets)** | 承载独立的应用程序工作负载,并直接与中心 VNet 对等互联。流量通过中心进行南北向连接 (north-south connectivity) (与本地或互联网的连接) 和跨辐射网络通信 (辐射网络之间的东西向流量 (east-west traffic))。 |
| **优势** | • 安全策略和网络控制的单一执行点<br>• 无需在不同环境中重复部署共享服务<br>• 简化的路由逻辑和流量管理<br>• 工作负载之间清晰的网络分段和隔离<br>• 通过集中化资源实现成本优化 |
然而,这种架构也存在一个权衡:每个辐射网络之间的数据包都必须通过中心进行路由,这会引入额外的网络跳数、增加延迟,并可能带来吞吐量限制。
**Virtual WAN 如何实现设计的现代化**
Virtual WAN 用一项完全托管的中心服务取代了需要自行搭建的中心 VNet:
- 托管中心 – Azure 拥有并运营中心的基础设施。
- 自动路由传播 – 路由学习一次即可在各处使用。
- 集成附加组件 – 防火墙、VPN 和 ExpressRoute 端口都是一等公民。
默认情况下,Virtual WAN 支持辐射网络之间的任意互通路由。流量会自动通过中心网络结构传输,无需任何配置。
**为何需要辐射网络间的直接网格连接?**
某些模式需要单跳连接
- 位于不同辐射网络中且需要频繁交换 RPC 调用的微服务网格。
- 对吞吐量要求高且中心带宽宝贵的数据库复制/备份场景。
- 需要快速同步构建产物但又必须与中心服务保持隔离的开发/测试/生产辐射网络。
- 出于合规性要求,某些工作负载必须绕过中心检测,但仍需与合作伙伴 VNet 通信的强制分段场景。
*优势*
- 更低延迟 – 无需再绕行中心。
- 更高带宽 – 不会受中心拥塞或防火墙吞- 吐量上限的影响。
- 更高弹性 – 即使中心处于维护状态,辐射网络对之间仍可保持通信。
**对等互联的爆炸式增长问题**
如果仅使用 VNet 对等互联 (VNet peering),连接数量会迅速增长:
对于 n 个辐射网络,你需要 n × (n-1)/2 个连接。10 个辐射网络?需要 45 个对等互联。再增加 4 个?现在需要 91 个。
每增加一个对等互联,你都必须:
- 修改多个路由表。
- 更新网络安全组 (NSG) 规则以覆盖新路径。
- 每次添加或移除辐射网络时都要重复操作。
- 对日益复杂的蛛网式连接进行故障排查。
**Azure 虚拟网络管理器的用武之地**
Azure 虚拟网络管理器引入了网络组 (Network Groups) 和网格连接 (Mesh connectivity) 策略:
| **AVNM 概念** | **带来的优势** |
| --- | --- |
| **网络组 (Network Group)** | 一个逻辑容器,可将多个 VNet 组合在一起,从而允许你同时对所有成员应用配置和策略 |
| **网格连接 (Mesh Connectivity)** | 组内所有 VNet 之间的自动化对等互联,确保每个成员都能与其他成员直接通信,无需手动配置 |
| **声明式配置** | 一种基于意图的方法,你只需定义期望的网络状态,AVNM 负责实现和持续维护 |
| **动态更新** | 自动化拓扑管理——当 VNet 被添加或移出组时,AVNM 会自动重新配置所有必要的连接,无需人工干预 |
运维复杂度从 O(n²) 降至 O(1)——你只需管理一个组,而不是 100 多个独立的对等互联。
**互补模型:在 vWAN 内部署 Azure 虚拟网络管理器网格**
由于 Azure 虚拟网络管理器适用于任何 Azure VNet——包括那些已连接到 vWAN 中心的 VNet——你可以在现有的托管中心架构之上应用网格策略:
- 辐射 VNet 加入 vWAN 中心,以实现分支机构连接、集中式防火墙或多区域覆盖。
- 将相同的辐射网络添加到一个配置了网格策略的 Azure 虚拟网络管理器网络组中。
- Azure 虚拟网络管理器在辐射网络之间建立直接的对等互联链路,而 vWAN 则继续通告和学习路由。
结果:
- 所有 VNet 仍然可以受益于 vWAN 的全局路由和本地集成能力。
- 对延迟敏感的东西向流量现在会通过最短路径 (单跳) 传输,就像这些 VNet 是通过传统方式对等互联一样。
- 企业无需二选一,而是可以同时利用 vWAN 和 Azure 虚拟网络管理器,因为两者的结合能够增强各自服务的优势。
**性能示意图**
使用 Virtual WAN 但未使用 Azure 虚拟网络管理器网格的辐射网络间通信:
使用 Virtual WAN 并结合 Azure 虚拟网络管理器网格的辐射网络间通信:
**可观测性与保护**
- NSG 流日志 – 在每个对等互联的 VNet 上提供精细的数据包日志。
- Azure 虚拟网络管理器管理员规则 (admin rules) – 凌驾于本地 NSG 之上的组织级安全护栏。
- Azure Monitor + SIEM – 将流日志路由到 Log Analytics、Sentinel 或第三方 SIEM 进行威胁检测。
- 分层设计 – 中心防火墙检查南北向流量;NSG 加上管理员规则保护东西向流量。
**总结**
- Virtual WAN 提供完全托管的全球连接,简化了分支机构和本地基础设施与 Azure 环境的集成。
- Azure 虚拟网络管理器网格在辐射 VNet 之间建立直接通信路径,非常适合需要高吞吐量或低延迟的东西向流量模式的工作负载。
- 两者结合使用时,架构师可以对流量路由进行精细控制。每个流量流都可以根据需要通过中心服务引导,或者为了实现最佳性能而直接在辐射网络之间路由——所有这些都无需重新设计网络或增加额外的管理复杂性。
通过将 Azure 虚拟网络管理器的基于组的网格与 vWAN 的托管中心相结合,你可以获得两全其美的优势:全球覆盖、集中式安全以及在关键路径上的单跳性能。
更新于 2025 年 11 月 14 日
版本 2.0
<!-- AI_TASK_END: AI全文翻译 -->