背景

一家全球金融組織，在歐洲和亞洲設有辦事處。 他們計劃將其現有的應用程序從本地數據中心遷移到 Azure，并基于客戶管理的中心輻射體系結構建立了基礎設施， 其中包括用于混合連接的區域中心虛擬網絡。該架構在多個區域使用了中心輻射型拓撲， 其中包括用于連回到公共專用廣域網 (WAN) 的 ExpressRoute 線路，其中一些站點還將 VPN 隧道與 Azure 直接連接， 以訪問云中托管的應用程序。

  要求

網絡團隊的任務是提供一個全球網絡模型，該模型可以支持 Contoso 向云的遷移，且必須在成本、規模和性能方面進行優化。 總而言之，需要滿足以下要求：

· 為總部 (HQ) 和分支機構提供云托管應用程序的優化路徑。
· 消除 VPN 終端對現有本地數據中心 (DC) 的依賴，同時保留以下連接路徑：
· 分支到 VNet：連接 VPN 的辦事處必須能夠訪問本地 Azure 區域中遷移到云的應用程序。
· 分支 -> 中心 -> 中心 -> VNet：連接 VPN 的辦事處必須能夠訪問遠程 Azure 區域中遷移到云的應用程序。
· 分支到分支：連接區域 VPN 的辦事處必須能夠相互通信，且能夠與連接 ExpressRoute 的 HQ/DC 站點通信。
· 分支 -> 中心 -> 中心 -> 分支：連接全球分布 VPN 的辦事處必須能夠相互通信，且能夠與任何連接 ExpressRoute 的 HQ/DC 站點通信。
· 分支到 Internet：連接的站點必須能夠與 Internet 通信。 必須篩選并記錄此流量。
· VNet 到 VNet：同一區域中的輻射虛擬網絡必須能夠相互通信。
· VNet -> 中心 -> 中心 -> VNet：不同區域中的輻射虛擬網絡必須能夠相互通信。
· 使 Contoso 漫游用戶（筆記本電腦和手機）無需連接公司網絡即可訪問公司資源。

  架構方案

歐洲 HQ 仍連接 ExpressRoute，停用歐洲本地 DC 并完全遷移到 Azure。
亞洲 DC 和 HQ 仍連接專用 WAN。 Azure 虛擬 WAN 現用于擴展本地運營商網絡并提供全球連接。
西歐和東南亞 Azure 區域均部署了 Azure 虛擬 WAN 中心，以便為連接 ExpressRoute 和 VPN 的設備提供連接中心。
中心還通過全球網格網絡的 OpenVPN 連接，為使用多種客戶端類型的漫游用戶提供 VPN 終端，這樣，用戶不僅可以訪問已遷移到 Azure 的應用程序， 而且還能訪問保留在本地的任何資源。
Azure 虛擬 WAN 為虛擬網絡中的資源的提供 Internet 連接。
Azure 虛擬 WAN 同樣為遠程站點 提供Internet 連接。 通過合作伙伴集成支持的本地 Internet 中斷，用于優化對 Microsoft 365 等 SaaS 服務的訪問。