用于企业解决方案的新网络功能与合作伙伴


Yousef Khalidi  Azure 网络杰出工程师

最近,我们宣布了Azure 网络的多项功能,使客户能够在公共和混合云环境中更好地构建超大规模的企业级应用程序。ExpressRoute增强功能包括新的战略合作伙伴关系、位于澳大利亚的Meet-Me 位置、为实现更好的灾难恢复的多站点ExpressRoute、多个订阅共享同一个ExpressRoute 线路以及支持4000 个路径。我们正在改善总体安全性,利用网络安全组在多层次拓扑中更轻松地实现子网隔离,通过站点到站点强制隧道将网络流量发送回内部部署进行策略验证以满足合规性要求,并对完美转发保密(PFS) 提供VPN 支持。新的高性能网关、VM中多个虚拟NIC、对VPN 操作日志的访问、嵌套的TrafficManager策略和 Azure 负载平衡器源IP 关联, 所有这些, 共同见证了我们不断增强Azure 网络功能的信念。现在,客户已经可以使用这些新功能,首先从北欧地区开始,未来几周会相继在所有Azure 区域提供。有关发布更新,请参阅此处

ExpressRoute 合作伙伴关系和 ExpressRoute 位置

我们将继续扩大全球直接网络连接生态系统,以便企业客户可以通过ExpressRoute 访问Azure。新的ExpressRoute 合作伙伴在欧洲为Colt Technology Services,在亚洲为Tata Communications,在澳大利亚为Telstra。ExpressRoute现已通过悉尼的Meet-Me 位置在澳大利亚正式发布。从悉尼,客户可以访问澳大利亚的所有Azure 区域。

ExpressRoute– 跨多个订阅共享连接

客户可以在多个Azure 订阅之间共享一个ExpressRoute 线路。线路所有者可以向其他Azure 帐户授予使用ExpressRoute 线路的权限。线路所有者可以为每个线路签发最多10 个线路授权,每个授权可支持最多10 个VNet 链接。此功能适用于所有ExpressRoute 线路(现有线路和新线路)以及所有服务提供商。

ExpressRoute – 用于 HA DR 连接的多区域连接

现在,每条配置的 ExpressRoute 线路都在 Microsoft 和连接提供商之间均已采用主动-主动配置,目的是为了避免单点故障。链接到这些线路的 VNet 具有高可用性网关租户。VNet现在可以链接到最多 4条ExpressRoute 线路。所有ExpressRoute 线路必须在相同的地理区域内创建,并且可以跨多个提供商创建。这可以促进路径多样性,并且可以构建弹性连接。此服务可用于所有现有和新ExpressRoute 线路。

网络安全组

现在,客户可以使用在网络安全组中定义的入站和出站访问控制规则,来控制Vnet 中一个或多个虚拟机实例的流量。访问控制规则支持标准的 5元组(源IP、源端口、目标IP、目标端口和协议)和优先级,帮助用户实现对网络流量的精确控制。

网络安全组可以应用于子网(位于虚拟网络内),也可以应用于单个虚拟机,从而启用两层保护。网络安全组中的规则可以独立于虚拟机进行修改和更新,从而允许在虚拟机生命周期以外管理访问控制列表。


网络安全组的一个常见应用是实现非军事区(DMZ),并在多层应用程序中实现跨层的精确访问控制。

强制隧道

现在,客户可以将发向Internet 的所有流量通过S2S VPN 隧道从云重定向或“强制”定向回内部部署,以便进行检测和审核。对于很多企业级应用程序,这是一项关键的安全和合规性要求。

如果没有强制隧道,Azure中客户VM 发向 Internet的流量将始终从Azure 直接进入Internet,无法对流量进行检测和审核。未经授权的Internet 访问可能会导致信息泄漏或其他安全漏洞。现在,利用强制隧道,您可以对此加以控制。

下图说明了强制隧道的工作原理。

具有多个 NIC 的虚拟机

客户现在可以在一个VM 上创建和管理多个虚拟网络接口(NIC)。

利用此功能,设计网络基础结构时的灵活性和可控制程度得以增强。例如,您可以将一个NIC 指定为前端NIC,将另一个NIC 指定为后端NIC,并隔离二者之间的流量,如下图所示;您也可以将数据平面流量与管理平面隔离开。

VM 中具有多个NIC 是很多网络虚拟设备的基本要求。在TechEd 上,我们与Citrix 和Riverbed 共同做了演示,我们现在已开始构建将包含负载平衡器、WAN优化器和网络安全设备的NVA 生态系统。

多NIC 功能在基础VM SKU 上不受支持。它们仅适用于标准VM SKU。

性能网关

为支持要求更高的混合连接吞吐量需求和数量更多的跨部署站点,我们将宣布发布高性能VNet 网关。这样可启用更快的ExpressRoute 和S2S VPN 网关,并且还支持更多S2S 隧道。隧道用于连接到其他虚拟网络或内部部署站点。

高级 VNet 网关策略

为改善性能,我们现在允许在不产生加密开销(无加密)的情况下,实现虚拟网络到虚拟网络的通信。请注意,所有VNet 至VNet 通信将保留在Microsoft 的核心网络中,不会传输到Internet。更确切地说,客户可以在VNet 之间的隧道上控制加密。客户可以在3DES、AES128、AES256 和无加密 (Null) 之间选择。客户还可以为其IPsec/IKE 网关启用完美转发保密(PFS)。

更多经验证的 VPN 设备

Barracuda Networks 和Palo Alto Networks 已添加到经验证的VPN 设备列表中。

VNet网关和 ExpressRoute 的操作日志和审核日志

客户可以查看VNet 网关和ExpressRoute 线路的操作日志。Azure门户将显示关于所有API 调用和重要基础架构变更的操作日志和信息,如对网关的定期更新。

Traffic Manager的嵌套策略

通过TrafficManager,客户可以使用流量配置文件将网络流量分发到世界范围内跨多个 Azure 部署的应用程序。我们最近已宣布支持加权流量分发和Azure 外部端点,以实现一系列其他方案,如故障转移到云、将突发大流量分担到云和内部部署到云的迁移。

客户现在可以使用嵌套的流量配置文件,创建功能更加强大、更加灵活的流量分发和故障转移方案,以满足大型复杂企业部署的需要。

IP 关联

Azure 负载平衡器现在支持一种称为源IP 关联(也称为会话关联或客户端IP 关联)的新分发模式。客户可以基于 2元组(源IP、目标IP)或 3元组(源IP、目标IP 和协议)分发模式平衡流量负载。

如果你有任何疑问, 欢迎访问MSDN社区,由专家来为您解答Windows Azure各种技术问题,或者拨打世纪互联客户服务热线400-089-0365/010-84563652咨询各类服务信息。

本文翻译自:http://azure.microsoft.com/blog/2014/10/29/networking-enterprise/

 

Comments (0)

Skip to main content