企业正在拥抱云来运行其关键任务工作负载。内部和外部连接设备的数量以及它们生成的数据继续增加，需要新的企业网络边缘架构。我们称之为智能边缘-计算更靠近数据源和用户以减少延迟。智能云以其巨大的计算能力、存储和各种服务与智能边缘协同工作，使用类似的编程模型实现创新场景和无处不在的计算。网络是将智能云与智能边缘相结合的关键因素。Azure网络的任务是为您的工作负载提供最安全、最可靠和最具性能的网络，从智能云到智能边缘都可以进行交付和管理。我们不断创新，以帮助您的服务连接并扩展到云和边缘，受到保护，以最佳性能提供服务，并提供深入的监控。微软全球网络微软运行着世界上最大的广域网（WAN）之一，为所有的微软云服务提供服务，包括Azure、Dynamics 365、Microsoft 365、LinkedIn、Xbox和Bing。WAN将运行我们云服务的所有Microsoft数据中心连接在一起，并通过边缘站点与我们的客户和合作伙伴连接。这些边缘站点位于世界各地。在这里，我们与互联网服务提供商交换互联网流量，与ExpressRoute合作伙伴交换私人连接流量。我们还在我们的边缘站点使用Azure前门和Azure内容交付网络服务来增强和加速我们自己的服务体验，如Microsoft 365。为了提供全球覆盖，广域网拥有超过13万英里的海底、陆地和地铁光纤，并由微软使用内部软件定义网络（SDN）技术进行全面管理，以提供最佳的网络体验。行业领袖，如千眼公司，已经报告了我们的全球网络的表现，并在2018年的一项研究中发现，它是最强大和最一致的。提供卓越体验的一个基本原则是让Microsoft网络上的流量尽可能靠近客户，并尽可能长时间地保持在Microsoft网络上。Microsoft服务和数据中心之间的所有通信都完全在Microsoft的网络中，不通过internet。图1。Azure网络的核心支柱连接和扩展为了获得最佳的internet体验，数据应尽可能靠近您或您的用户进入和退出Microsoft网络。目前，我们有超过160个边缘网站，我们有一个积极的计划，以增加网站的数量，你可以在我们的边缘网站扩展博客阅读更多。我们还增加了ExpressRoute me me网站的数量，从而提供了更大的灵活性来私下连接到您的Azure工作负载。在当今高度分布式的应用程序环境中，保持连接以访问和接收数据对任何企业来说都是至关重要的。许多企业需要在高度不可预测和具有挑战性的条件下经营。例如，能源、农业、采矿和航运通常在偏远、农村或其他网络连接不良的偏僻地区运营。ExpressRoute for Satellites现已正式提供，允许使用卫星连接访问Microsoft云服务。随着商用卫星星座图的广泛应用，新的解决方案体系结构提供了更高且更经济的性能来访问Microsoft。MACsec是用于点对点连接的行业加密标准，现在ExpressRoute Direct支持它作为预览功能。ExpressRoute Direct客户可以确保到ExpressRoute路由器的物理连接之间的数据机密性和完整性，以满足安全性和法规遵从性要求。客户使用Azure密钥保险库完全拥有和管理MACsec密钥的生命周期。我们在光技术方面进行了投资，以大大降低地铁网络的成本。我们将通过ExpressRoute合作伙伴提供的名为ExpressRoute Local的新ExpressRoute电路类型将节省的成本传递给您。如果您选择靠近我们数据中心的ExpressRoute站点，并且只访问该数据中心的数据，则出口价格包含在ExpressRoute本地电路价格中。对于同一地理区域的连接，您可以使用ExpressRoute Standard，而要到达世界各地，您可以使用ExpressRoute Premium。新的微软云对等服务现在正在预览中，通过与互联网提供商和互联网交换提供商的合作，使企业级互联网连接能够访问Azure、Dynamics 365和Microsoft 365。对等服务还提供internet延迟遥测、路由监视和针对劫持、泄漏和其他边界网关协议错误配置的警报。图2。启动支持新对等服务的合作伙伴我们增强了VPN服务，以支持高达10 Gbps的聚合加密带宽，在所有VPN网关SKU上安装IKE v1，并通过数据包捕获来帮助调试配置问题。我们还增强了点对点VPN服务，以支持Azure Active Directory和多因素身份验证。我们还提供了一个OpenVPN客户端，您可以下载并运行它从任何地方访问您的Vnet。Azure虚拟WAN将我们的Azure连接服务与主要SD-WAN合作伙伴整合到一个单一的操作界面中。Azure虚拟广域网通过在全球分布的轮辐集（如VNets、站点、应用程序和用户）之间提供无所不在的连接性，从而实现了全球交通网络体系结构。重要的增强包括中心到中心和任何到任何连接的预览。虚拟广域网用户可以连接多个集线器以实现全网状连接，从而进一步简化他们的网络体系结构。此外，ExpressRoute和point-to-site现在通常可用于虚拟WAN。图3。Azure虚拟WAN跨客户站点和连接到Azure的客户端的完整拓扑概述我们一直在与业界领袖密切合作，以扩大对虚拟广域网的生态系统支持。今天，我们宣布思科和微软正在合作实现云网络的现代化。Cisco是我们最大的全球和战略合作伙伴之一，正在与Microsoft合作，将Cisco SD-WAN技术与Azure虚拟WAN和Office 365集成，以实现与Azure和Office 365的无缝、分布式和优化的分支机构连接。此外，包括Cloudgenix、Fortinet、Nokia Nuage和Silver Peak在内的其他合作伙伴已完成与虚拟广域网的集成，并将立即提供。IPv6双栈（IPv4+IPv6）VNet将于本月晚些时候正式提供。作为云计算领域的第一款产品，Azure将使客户能够将自己的IPv6私有空间引入VNet，从而避免任何路由更改的需要。IPv6使客户能够利用其基于Azure的应用程序解决IPv4耗尽问题，满足监管要求，并扩展到不断增长的移动和物联网市场。图4。虚拟机、子网和负载平衡器之间使用IPv6的Azure VNet路由的体系结构图保护实现零信任网络云应用程序和移动员工重新定义了安全边界。新的边界不是由组织的物理位置定义的，它现在扩展到承载、存储或访问公司资源和服务的每个访问点。零信任模型不相信公司防火墙后面的所有东西都是安全的，而是假设每个请求都被破坏，并验证每个请求，就好像它来自不受控制的网络一样。无论请求来自何处或访问什么资源，Zero Trust教导我们"从不信任，总是验证"Azure网络服务提供了关键的控制，以增强可见性，并帮助防止不良行为者在网络中横向移动。网络应该被分割，包括更深层次的软件定义的微观划分，并且应该使用实时威胁保护、端到端加密、监控和分析。Azure私有链接–扩展到所有Azure区域Azure私有链接将Azure服务引入你的私有虚拟网络。支持的Azure服务（如存储、SQL数据库和Azure Synapse Analytics）可以通过私有IP地址使用，因此不会向公共internet打开访问控制列表（ACL）。通过私有链路的流量将始终在微软的主干网中，永远不会进入公共互联网。平台即服务（PaaS）资源也可以通过VPN或ExpressRoute专用对等从内部进行私人访问，从而保持ACL的简单性。从今天开始，私有链接将在所有Azure公共区域可用。图5。跨场所部署的专用链路架构图通过使用Azure私有链接，Azure是第一个通过实现内置数据过滤保护来提供数据治理和合规性的云。这使我们离实现零信任网络的目标更近了一步，在这种网络中，受信任网络中的恶意参与者不能将数据过滤到不安全的帐户，因为单个PaaS实例而不是服务前端被映射为私有端点。Private Link还授权Azure中的软件即服务（SaaS）提供商将同样的功能扩展到他们的客户。Snowflake是该计划的早期采用者，将提供更多的合作伙伴服务。Azure防火墙管理器是一种新的安全管理服务，它为基于云的安全边界提供中央安全策略和路由管理。Azure是目前唯一通过Azure防火墙和防火墙管理器提供流量管理、路由控制和第三方集成安全的云提供商。全局管理员可以集中创建中心辐射体系结构，并将安全或路由策略与这种集线器（称为安全虚拟集线器）关联。图6。部署在安全虚拟WAN中的Azure防火墙管理器的图表