Global Azure 与 China Azure 互联

由于Global Azure和China Azure是独立运营的,很多童鞋估计看了官方的互联文档会有些蒙圈(https://docs.azure.cn/zh-cn/vpn-gateway/vpn-gateway-connect-different-deployment-models-portal),如果一个客户既有Azure China的账号,又有Azure Global的账号,现在需要将China一个Region的Vnet和Global一个Region的Vnet做VPN互联这个时候对着手册操作是走不通的,那是不是就无法建立VPN连接呢。本文讲Step by Step带你玩转Global Azure与China Azure的VPN互联。

========操作须知=========

基本概念:

中英翻译以及AZURE内的命名可能会让童鞋们迷失,咱们先统一频道,了解清楚VPN连接的基本概念

vNet Gateway(vNet网关):vNet Gateway代表在Azure侧的VPN网关,用于终结VPN隧道。

Local Gateway(本地网关):Local Gateway代表企业侧即客户侧VPN网关,可以把该对象理解成为一个虚拟配置实体,用它来描述客户侧网关的连接参数。

Connction(连接): 连接用于描述VPN连接,如两端网关是谁,连接参数等。

大家如果细心会注意到在创建Connction(连接)时候可以选择三种连接类型:VNet-to-VNet,site-to-site(IPsec),Expressroute,其中如果VPN连接发生在两个AZURE VNet Gateway之间(且两个Gateway同时处于AZURE China或同时处于AZURE Global)可以选择VNet-to-VNet,如果VPN连接发生在AZURE VNet Gateway与客户侧VPN网关之间或AZURE China VNet Gateway与Azure Global VNet Gateway之间可以选择site-to-site(IPsec),如果是专线连接则选择Expressroute。所以今天我们涉及的场景就是第二类site-to-site(IPsec),大家可以把Azure China和Azure Global的VPN看成是与客户侧网关的连接。

========操作步骤=========

1. 创建GatewaySubnet;

2. 创建Vnet Gateway类型选择VPN;

3. 创建Local Gateway,此部中的Local Gateway代表对端Azure中的VNet Gateway;

4. 创建Connection,选择site-to-site(IPsec)类型,选择步骤3中创建的Local Gateway;

以上步骤可以参阅如下手册:

门户操作:https://docs.azure.cn/zh-cn/vpn-gateway/vpn-gateway-howto-site-to-site-resource-manager-portal

Powershell:https://docs.azure.cn/zh-cn/vpn-gateway/vpn-gateway-create-site-to-site-rm-powershell

CLI操作:https://docs.azure.cn/zh-cn/vpn-gateway/vpn-gateway-howto-site-to-site-resource-manager-cli

========扩展阅读=========

关于Azure China和Azure Global的VPN互联大家会关心如下问题:

1. 性能

性能受制与所创建的VNet Gateway的Size,可参阅如下连接:https://docs.azure.cn/zh-cn/vpn-gateway/vpn-gateway-about-vpn-gateway-settings (网关SKU章节),需注意表格中的性能代表大包的性能

2. 流量是否走AZURE的骨干网

如果VPN建立在AZURE CHINA内部或者AZURE GLOBAL内部会走AZURE Backbone,如果是Azure China和Azure Global的VPN互联场景不会走Backbone会走Internet,所以延迟方面得不到加持。BUT:小伙伴可以试试看也许有彩蛋

3. 如果现有的VPN网关吞吐不能满足要求,如何扩展?

可以考虑采用第三方NVA来自行搭建VPN网关,目前AZURE Global已经在美西和美中以及加拿大地区Preview Inter-region Peering,该方式可以实现跨Region的Vnet打通且无需通过VNet Gateway,吞吐和延迟都会得到加持。(https://azure.microsoft.com/zh-cn/roadmap/global-vnet-peering/

4. 关于延迟是否有好的方式可以降低延迟

目前AZURE的VPN网关支持自定义VPN策略,通过自定义VPN策略可以将加密算法置为None,可以得到延迟上面的加持。

 az network vpn-connection ipsec-policy add --connection-name YourConnectionName -g YourResourceGroup --ike-encryption DES --ike-integrity MD5 --dh-group DHGroup1 --ipsec-encryption None --ipsec-integrity MD5 --pfs-group None --sa-lifetime 27000 --sa-max-size 102400000

需要在两端同时进行策略自定义,VPN连接才可以成功建立。

========小彩蛋=========

CHINA BJ VNET  与 GLOBAL HK VNET

BJ VM  与 HJ VM的ping测试

BJ VM Public IP ping HK VM Public IP:Avg 49.922ms (100 packet,packet payload size 56 Byte)

BJ VM Private IP ping HK VM Private IP:Avg 47.326ms (100 packet,packet payload size 56 Byte)

posted @ 2018-04-08 17:01 wekang 阅读(...) 评论(...) 编辑 收藏