IPv6中心辐射型网络拓扑
本文介绍如何将 IPv4 中心辐射型网络拓扑转换为 IPv6。 它以中心辐射型网络拓扑为起点,并介绍了实现 IPv6 支持可以采取的步骤。
在中心辐射型网络中,中心虚拟网络是分支虚拟网络的中心连接点。 分支虚拟网络连接到中心,可以为应用程序资源提供隔离。 有关详细信息,请参阅转换到 IPv6。
体系结构
下载此体系结构的 Visio 文件。
Workflow
公共 Internet 和跨界网络:用户或服务可以通过公共 Internet 访问 Azure 资源。 跨界网络具有通过 VPN 网关安全连接到 Azure 网络的本地虚拟机。
Azure Virtual Network Manager:此组件是监督 Azure 中整个网络基础结构的管理层。 它处理虚拟网络的路由、策略和整体运行状况。
中心虚拟网络:中心是网络拓扑的中心点。 网络配置同时支持 IPv4 和 IPv6(双堆栈)。
- Azure Bastion 通过传输层安全 (TLS) 直接提供从 Azure 门户到虚拟机的安全无缝的远程桌面协议/安全外壳 (RDP/SSH) 连接。
- Azure 防火墙检查并筛选中心和公共 Internet 之间的流量。
- ExpressRoute 将跨界网络连接到中心。
- VPN 网关还将跨界网络连接到中心并提供冗余。
- 中心虚拟网络中的服务将日志和指标(诊断)发送到 Azure Monitor 进行监视。
辐射型虚拟网络:有四个分支连接到中心。 每个分支都是一个双堆栈网络,同时支持 IPv4 和 IPv6。
组件
- Azure 虚拟网络 是 Azure 中的基础网络层,可实现 Azure 资源、Internet 和本地网络之间的安全通信。 在此体系结构中,它形成了中心辐射型拓扑,该拓扑支持用于集中式和隔离连接的双堆栈(IPv4 和 IPv6)配置。
- 虚拟网络接口是一个逻辑接口,用于将 Azure 资源连接到虚拟网络。 在此体系结构中,它使虚拟机能够通过 IPv4 和 IPv6 进行通信。 可以将虚拟机和其他资源设置为具有多个网络接口,以便创建双堆栈(IPv4 和 IPv6)配置。
- 公共 IP 地址 通过 Internet 提供与 Azure 资源的入站连接。 在此体系结构中,它支持 IPv4 和 IPv6 访问虚拟网络中托管的服务。
- 虚拟网络管理器 是一种集中式管理服务,用于组织和配置虚拟网络及其连接。 在此体系结构中,它会跨中心和辐射网络管理 网络组 和连接。
- Azure 防火墙 是一种网络安全服务,通过检查和筛选流量来保护 Azure 资源。 在此体系结构中,它强制在中心和公共 Internet 之间实施流量控制,并支持对来自辐射的出站流量进行强制隧道。 它保护虚拟网络资源。 Azure 防火墙托管防火墙实例驻留在其自己的子网中。
- Azure VPN 网关 和 Azure ExpressRoute 是 Azure 与本地网络之间提供安全跨界连接的服务。 他们可以创建将 Azure 虚拟网络连接到虚拟专用网络(VPN)设备或 ExpressRoute 线路的虚拟网络网关,这些线路可实现加密或专用通信。 在此体系结构中,可以使用任一服务将中心网络连接到外部网络并支持 IPv6 路由。
- Azure 负载均衡器 是一种第 4 层负载均衡服务,用于跨多个后端资源分配传入的网络流量,以确保高可用性和可伸缩性。 在此体系结构中,它会在辐射子网中部署的虚拟机之间平衡 IPv6 流量。
- 路由表是一组 UDR,用于自定义控制流量在 Azure 虚拟网络内部和之间流动的方式。 在此体系结构中,UDR 会跨中心辐射子网定向 IPv6 流量,以强制实施流量流和安全策略。
- Azure 虚拟机 是一种基础结构即服务(IaaS)解决方案,可提供灵活的可缩放计算资源。 在此体系结构中,虚拟机部署在使用双堆栈网络接口配置的辐射子网中,该网络接口支持 IPv4 和 IPv6 工作负载。
- Azure Bastion 是一种托管平台即服务(PaaS),它提供对虚拟机的安全 RDP 和 SSH 访问,而无需将其公开给公共 Internet。 在此体系结构中,它允许 TLS 保护的远程访问中心网络中的虚拟机。
- Azure Monitor 是一个可观测性平台,可收集、分析和处理来自 Azure 和混合环境的遥测数据。 在此体系结构中,它会从中心服务收集诊断和指标,以支持性能监视和作可见性。
将中心虚拟网络转换到 IPv6
若要将中心虚拟网络转换为支持 IPv6,必须更新网络基础结构以适应 IPv6 地址范围,以便网络的中央控制部分可以处理 IPv6 流量。 此方法可确保中心枢纽通过使用 IPv6 在各种网段(分支)之间有效地路由和管理流量。 若要在中心虚拟网络中实现 IPv6,请执行以下步骤:
将 IPv6 地址空间添加到中心虚拟网络和中心子网
需要先将 IPv6 地址范围添加到中心虚拟网络,然后再添加到其子网。 对虚拟网络使用 /56 地址块,对每个子网使用 /64 地址块。 下表所示为示例设置。
| 中心虚拟网络地址范围 | 中心子网地址范围 |
|---|---|
中心虚拟网络:2001:db8:1234:0000::/56 |
Azure Bastion 子网:2001:db8:1234:0000::/64Azure 防火墙子网: 2001:db8:1234:0001::/64VPN 网关子网: 2001:db8:1234:0002::/64ExpressRoute 子网: 2001:db8:1234:0003::/64 |
这些 IPv6 地址是示例。 应替换 2001:db8:1234:: 为组织的 IPv6 地址块。 仔细规划和记录 IPv6 地址分配,以避免重叠并确保有效使用地址空间。 若要将 IPv6 地址空间添加到中心虚拟网络,可以使用 Azure 门户、PowerShell 或 Azure CLI。
为每个中心子网配置用户定义的路由 (UDR)
UDR 是手动设置的路由,用于替代 Azure 的默认系统路由。 在 Azure 中,UDR 对于控制虚拟网络中的网络流量流至关重要。 可以使用 UDR 将流量从一个子网定向到 Azure 中的特定设备、网关或目标,或定向到本地网络。 将 IPv6 支持添加到中心虚拟网络时,需要:
- 添加 IPv6 路由。 如果有已建立的路由表,请添加指定 IPv6 地址前缀的新路由。
- 修改现有路由。 如果已有 IPv4 路由,可能需要对其进行修改,以确保它们也适用于 IPv6 流量,或创建单独的 IPv6 特定路由。
- 将路由表与子网相关联。 定义路由后,将路由表与虚拟网络中的相关子网相关联。 此关联确定哪些子网使用定义的路由。
无需为每个资源添加路由,但需要为每个子网添加路由。 每个子网可以有多个资源,它们都遵循与其子网关联的路由表中定义的规则。 有关详细信息,请参阅 用户定义的路由概述。
对于示例体系结构,中心虚拟网络有四个子网:Azure Bastion、Azure 防火墙、VPN 网关和 ExpressRoute。 下表显示了每个子网的示例 UDR。
| 中心子网 | 说明 | IPv6 地址范围 | 路由名称 | 目标 | 下一跃点 |
|---|---|---|---|---|---|
| Azure Bastion | 路由到防火墙 | 2001:db8:1234:0000::/64 |
Internet 路由 | ::/0 |
2001:db8:1234:0001::/64(Azure 防火墙) |
| Azure 防火墙 | 默认路由 | 2001:db8:1234:0001::/64 |
Internet 路由 | ::/0 |
Internet 网关 |
| VPN 网关 | 本地路由 | 2001:db8:1234:0002::/64 |
本地路由 | 2001:db8:abcd::/56 |
VPN 网关 |
| ExpressRoute | 本地路由 | 2001:db8:1234:0003::/64 |
本地路由 | 2001:db8:efgh::/56 |
ExpressRoute |
设置 UDR 时,必须使其与组织网络策略和 Azure 部署的体系结构保持一致。
修改 ExpressRoute 线路(如果适用)
若要为 ExpressRoute 线路提供 IPv6 支持,需要:
- 启用 IPv6 专用对等互连。 为 ExpressRoute 线路启用 IPv6 专用对等互连。 此配置允许本地网络与中心虚拟网络之间的 IPv6 流量。
- 分配 IPv6 地址空间。 为主要和辅助 ExpressRoute 链接提供 IPv6 子网。
- 更新路由表。 确保通过 ExpressRoute 线路正确定向 IPv6 流量。
这些配置通过 ExpressRoute 线路将 IPv6 连接扩展到 Azure 服务,以便可以同时路由双堆栈功能。 若要修改 ExpressRoute,可以使用 Azure 门户、 PowerShell 或 Azure CLI。
将分支虚拟网络转换为 IPv6
分支虚拟网络连接到中央中心。 向分支虚拟网络提供 IPv6 支持时,每个分支网络都可以通过更高级的 IPv6 协议进行通信,并在整个网络中扩展统一性。 若要为辐射型虚拟网络提供 IPv6 支持,请执行以下步骤:
将 IPv6 地址空间添加到辐射型虚拟网络和辐射型子网
与中心虚拟网络一样,必须将 IPv6 地址范围添加到每个分支虚拟网络及其子网。 对虚拟网络使用 /56 地址块,对子网使用 /64 地址块。 下表提供了分支虚拟网络及其子网的 IPv6 地址范围示例。
| 辐射型虚拟网络地址范围 | 辐射型子网地址范围 |
|---|---|
分支虚拟网络1:2001:db8:1234:0100::/56 |
子网1:2001:db8:1234:0100::/64子网2: 2001:db8:1234:0101::/64子网3: 2001:db8:1234:0102::/64 |
分支虚拟网络2:2001:db8:1234:0200::/56 |
子网1:2001:db8:1234:0200::/64子网2: 2001:db8:1234:0201::/64子网3: 2001:db8:1234:0202::/64 |
分支虚拟网络3:2001:db8:1234:0300::/56 |
子网1:2001:db8:1234:0300::/64子网2: 2001:db8:1234:0301::/64子网3: 2001:db8:1234:0302::/64 |
分支虚拟网络4:2001:db8:1234:0400::/56 |
子网1:2001:db8:1234:0400::/64子网2: 2001:db8:1234:0401::/64子网3: 2001:db8:1234:0402::/64 |
对于设置,请根据组织的分配和需求调整 IPv6 地址。
修改辐射型虚拟网络资源
每个辐射型虚拟网络都包含多个虚拟机和一个内部负载均衡器。 内部负载均衡器可将 IPv4 和 IPv6 流量路由到虚拟机。 必须修改虚拟机和内部负载均衡器,使其支持 IPv6。
必须为每个虚拟机创建一个 IPv6 网络接口,并将其与虚拟机相关联,以添加 IPv6 支持。 有关详细信息,请参阅将 IPv6 配置添加到虚拟机。
如果每个分支虚拟网络中没有内部负载均衡器,则应创建双堆栈内部负载均衡器。 有关详细信息,请参阅创建双栈内部负载均衡器。 如果有内部负载均衡器,可以使用 PowerShell 或 Azure CLI 添加 IPv6 支持。
为每个辐射型子网配置用户定义的路由 (UDR)
若要配置 UDR,辐射型虚拟网络使用与中心虚拟网络相同的配置将 IPv6 支持添加到辐射型虚拟网络时,你需要:
添加 IPv6 路由。 如果有已建立的路由表,请添加指定 IPv6 地址前缀的新路由。
修改现有路由。 如果已有 IPv4 路由,可能需要对其进行修改,以确保它们也适用于 IPv6 流量,或创建单独的 IPv6 特定路由。
将路由表与子网相关联。 定义路由后,将路由表与虚拟网络中的相关子网相关联。 此关联确定哪些子网使用定义的路由。
下表显示了分支虚拟网络中每个子网的示例 UDR。
| 辐射型子网 | 说明 | IPv6 地址范围 | 路由名称 | 目标 | 下一跃点 |
|---|---|---|---|---|---|
| 子网 1 | 路由到防火墙 | 2001:db8:1234:0100::/64 |
Internet 路由 | ::/0 |
2001:db8:1234:0001::/64(Azure 防火墙) |
| 子网 2 | 路由到 VPN 网关 | 2001:db8:1234:0101::/64 |
VPN 路由 | 2001:db8:abcd::/64 |
2001:db8:1234:0002::/64(VPN 网关) |
| 子网 3 | 路由到 ExpressRoute | 2001:db8:1234:0102::/64 |
ExpressRoute 路由 | 2001:db8:5678::/64 |
2001:db8:1234:0003::/64(ExpressRoute) |
设置时,必须使 UDR 与组织网络策略和 Azure 部署的体系结构保持一致。
供稿人
Microsoft 会维护本文。 本文为以下参与者的原创作品。
主要作者:
- Werner Rall |高级云解决方案架构师工程师
其他参与者:
- Sherri Babylon |高级技术项目经理
- Dawn Bedard |首席技术项目经理
- Brandon Stephenso |高级客户工程师
要查看非公开的 LinkedIn 个人资料,请登录到 LinkedIn。
后续步骤
- 使用 IPv6 双堆栈网络创建虚拟机
- 管理 IP 地址范围
- 云采用框架:规划 IP 寻址
- 适用于 Azure 虚拟网络的 IPv6
- 通过 ExpressRoute 添加 IPv6 支持
- Azure DNS IPv6 支持
- Azure 负载均衡器的 IPv6。
- 使用 Azure 门户添加对专用对等互连的 IPv6 支持