案例总结如下:
问题描述:
==========
ER如何实现Azure各数据中心的虚拟网络之间连接
- VPN 和ER可以共存,VPN 网关为非基本类型,但是不可路由?
- VPN 和ER共存负载?
- 客户后期用Azure实现两地三中心的架构,东区1、2 +北区 1 ,是否只是需要购买一个ER的高级附加版本的端口,即可享受多站点的虚拟网络的沟通?
- 除了购买一个高级别的ER端口,至于三个站点的互通还需要购买三个ER标准网关?
系统环境/应用程序信息:
======================
两地(北京/上海)三中心(China East/China East2/China North)连通
问题原因:
=============
网络架构规划
解决方案*:
==============
- VPN 和ER可以共存,VPN 网关为非基本类型,但是不可路由?
是的,虚拟网络支持同时创建ER网关和VPN网关,它们可以共存。
ER网关的SKU都可以启用高级版功能(即实现跨区域连接)。
但ER与VPN共存时,VPN网关必须是基于路由的非基本SKU网关。
但,
- 不支持传输路由。 无法在通过站点到站点 VPN 连接的本地网络与通过 ExpressRoute 连接的本地网络之间进行路由(通过 Azure)。
- 不支持基本 SKU 网关。 必须为 ExpressRoute 网关和 VPN 网关使用非基本 SKU 网关。
- 仅支持基于路由的 VPN 网关。 必须使用基于路由的 VPN Gateway使用非基本 SKU 网关。
2. 同时ER可以与VPN共存将VPN连接作为ER连接的故障转移路径,此类连接ER始终为主连接,ER线路失败后才会切换至VPN
3. 客户后期用Azure实现两地三中心的架构,东区1、2 +北区 1 ,是否只是需要购买一个ER的高级附加版本的端口,即可享受多站点的虚拟网络的沟通?
首先,高级版ER可以与位于不同区域的虚拟网络相连,正如其功能中的描述
“通过 Microsoft 核心网络建立全局连接。 现在,可将一个地缘政治区域中 VNet 链接到另一个区域中的 ExpressRoute 线路。”
https://docs.azure.cn/zh-cn/expressroute/expressroute-faqs#what-is-expressroute-premium
而普通版的ER仅能连接所在区域的虚拟网络,
“ 一条 ExpressRoute 线路的连接范围限制为单个地缘政治区域。 可以通过启用 ExpressRoute 高级功能,将连接扩展为跨地缘政治区域。”
结合之前沟通,您提到的两地三中心中,北京本地机房通过VPN仅与Azure中国北部VNet建立连接,但上海与三中心可以通过ER互联。
例如,您在中国东区创建启用了高级版的ER线路,接入您的上海机房,那么位于中国北区的虚拟网络也可以连接至该ER线路。ER通过BGP传递路由,因此已经连接的虚拟网络和本地机房均能学到路由。
4. 除了购买一个高级别的ER端口,至于三个站点的互通还需要购买三个ER标准网关?
每个欲接入ER的VNet都需要有一个ER网关,SKU按照您的实际需求选择即可,“ ExpressRoute 的虚拟网关使用 GatewayType“ExpressRoute”,而不是 VPN”。