Verbinden eines virtuellen Netzwerks mit einem Virtual WAN-Hub – Portal

In diesem Artikel wird beschrieben, wie Sie Ihr virtuelles Netzwerk mit Ihrem virtuellen Hub im Azure-Portal verbinden. Sie können für diese Aufgabe auch PowerShell verwenden. Wiederholen Sie diese Schritte für jedes VNET, mit dem Sie eine Verbindung herstellen möchten.

Beachten Sie vor dem Erstellen einer Verbindung Folgendes:

• Ein virtuelles Netzwerk kann nur mit jeweils einem virtuellen Hub verbunden werden.
• Zum Herstellen einer Verbindung mit einem virtuellen Hub darf das virtuelle Remotenetzwerk kein Gateway (ExpressRoute oder VPN) und keinen Routenserver (RouteServer) aufweisen.
• Informationen zum Erstellen einer mandantenübergreifenden virtuellen Netzwerkverbindung mit dem virtuellen Hub finden Sie unter Verbinden von mandantenübergreifenden virtuellen Netzwerken mit einem virtuellen WAN-Hub

Verbindung hinzufügen

1. Navigieren Sie im Azure-Portal zu Ihrem Virtual WAN und wählen Sie im linken Bereich VNet-Verbindungen aus.

2. Wählen Sie auf der Seite für VNet-Verbindungen+ Verbindung hinzufügen aus.

3. Konfigurieren Sie auf der Seite Verbindung hinzufügen die Verbindungseinstellungen. Weitere Informationen zu Routingeinstellungen finden Sie unter Informationen zum Routing virtueller Hubs.

   • Verbindungsname: Benennen Sie Ihre Verbindung.
   • Hubs: Wählen Sie den Hub aus, den Sie dieser Verbindung zuordnen möchten.
   • Abonnement: Überprüfen Sie das Abonnement.
   • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus, die das virtuelle Netzwerk enthält, mit dem Sie eine Verbindung herstellen möchten.
   • Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk aus, das Sie mit diesem Hub verbinden möchten. Für das von Ihnen gewählte virtuelle Netzwerk kann nicht bereits ein Gateway für virtuelle Netzwerke vorhanden sein.
   • An keine verteilen: Diese Einstellung ist standardmäßig auf Nein festgelegt. Wenn Sie den Schalter auf Ja festlegen, stehen die Konfigurationsoptionen für An Routingtabellen weitergeben und Propagate to labels (An Bezeichnungen weitergeben) nicht mehr für die Konfiguration zur Verfügung.
   • Routingtabelle zuordnen: Sie können im Dropdownmenü die Routingtabelle auswählen, die Sie zuordnen möchten.
   • An Bezeichnungen weitergeben: Bezeichnungen sind eine logische Gruppe von Routingtabellen. Wählen Sie für diese Einstellung einen Eintrag aus der Dropdownliste aus.
   • Statische Routen: Konfigurieren Sie ggf. statische Routen. Konfigurieren Sie statische Routen für virtuelle Netzwerkgeräte (falls zutreffend). Virtual WAN unterstützt eine einzelne IP-Adresse des nächsten Hops für eine statische Route einer VNET-Verbindung. Wenn Sie beispielsweise jeweils über ein separates virtuelles Gerät für ein- und ausgehende Datenverkehrsflüsse verfügen, ist es am besten, die virtuellen Geräte in separaten VNets anzuordnen und die VNets dem virtuellen Hub zuzuordnen.
   • IP des nächsten Hops für Workloads innerhalb dieses VNets umgehen: Mit dieser Einstellung können Sie NVAs und andere Workloads im selben VNet bereitstellen, ohne dass der gesamte Datenverkehr über das NVA geleitet werden muss. Diese Einstellung kann nur konfiguriert werden, wenn Sie eine neue Verbindung konfigurieren. Wenn Sie diese Einstellung für eine bereits erstellte Verbindung verwenden möchten, löschen Sie die Verbindung, und fügen Sie dann eine neue Verbindung hinzu.
   • Statische Route verteilen: Mit dieser Einstellung können Sie statische Routen, die im Abschnitt "Statische Routen " definiert sind, an Routingtabellen weitergeben, die in " An Routentabellen verteilen" angegeben sind. Außerdem werden Routen an Routingtabellen weitergegeben, deren Bezeichnungen mit An Bezeichnungen weitergeben angegeben sind. Diese Routen können zwischen Hubs weitergegeben werden, mit Ausnahme der Standardroute 0/0.

4. Nachdem Sie die Einstellungen abgeschlossen haben, die Sie konfigurieren möchten, wählen Sie "Erstellen" aus, um die Verbindung zu erstellen.

Grundlegendes zum Umgehen der IP des nächsten Hops für Workloads innerhalb dieses VNets

Virtual Network-Verbindungen mit Virtual WAN-Hubs verfügen über eine konfigurierbare Eigenschaft mit dem Namen VNetLocalRouteOverrideCriteria (IP-Adresse des nächsten Hops für Workloads innerhalb dieses VNet umgehen im Azure Portal).

Diese Eigenschaft legt fest, wie der Datenverkehr zu Workloads weitergeleitet wird, die in einem Virtual WAN Spoke-VNet bei der Bereitstellung konfiguriert sind, wenn eine statische Route auf der Virtual WAN Spoke-Virtual Network-Verbindung konfiguriert ist und der Virtual Network-Adressraum ein Subnetz innerhalb der statischen Route ist.

• Deaktiviert (Standard): Der gesamte Datenverkehr, der mit statischen Routenbereichen übereinstimmt, wird über den nächsten Hop umgeleitet, auch innerhalb des Spoke-VNet selbst.
• Aktiviert: Datenverkehr zu IPs innerhalb des Adressraums der Speiche umgeht statische Routen und geht direkt zum Ziel, während anderer Datenverkehr dem konfigurierten Routing folgt.

Sie können dieses Feature über die folgenden Schritte aktivieren:

• Portal: Setzen Sie Bypass Next Hop IP für Arbeitslasten innerhalb dieses VNet auf Ja, wenn Sie die VNet-Verbindung erstellen (Standard ist Nein)
• API/CLI/PowerShell: Festlegen vnetLocalRouteOverrideCriteria = "equals" (Standard ist "contains")

Entwurfsszenario

Sie haben einen virtuellen WAN-Hub eingerichtet, der mit zwei Speichen verbunden ist:

• NVA Spoke: Enthält einen Load Balancer (10.2.0.1), der den Datenverkehr zwischen zwei NVA-VM-Instanzen (10.2.0.2 und 10.2.0.3) leitet. Dieser Spoke ist auch direkt mit einem anderen VNet (dem indirekten Spoke) verbunden, das eine VM mit der IP 10.2.1.1 enthält.
• Direct Spoke: Ein weiteres VNet, das direkt mit dem virtuellen WAN-Hub verbunden ist. Dieses VNet enthält einen virtuellen Computer mit IP 10.0.0.1.

Eine statische Route ist auf NVAConn konfiguriert, um sicherzustellen, dass jeglicher Datenverkehr, der für das NVA-Subnetz oder das indirekte Subnetz bestimmt ist, über den Load Balancer bei IP 10.2.0.1 weitergeleitet wird.

Verkehrsverhalten bei deaktiviertem VNetLocalRouteOverrideCriteria

Wenn IP-Adresse des nächsten Hops für Workloads innerhalb dieses VNet umgehen „disabled/vnetLocalRouteOverrideCriteria = contains“ ist, dann:

• Der Datenverkehr vom direkten Spoke zu einer VM im NVA-Spoke (z. B. 10.2.0.2) wird durch die statische Route zum Load-Balancer (10.2.0.1) umgeleitet. Dies kann dazu führen, dass der Datenverkehr zu einer unbeabsichtigten VM-Instanz umgeleitet wird (z. B. wird der für 10.2.0.3 vorgesehene Datenverkehr stattdessen an 10.2.0.2 umgeleitet; der Pfad kann je nach Hashing des Load Balancers variieren).
  • Beabsichtigter Verkehrsfluss: blaue Linie
  • Tatsächlicher Datenverkehrsfluss: rote Linie

• Der Datenverkehr innerhalb der breiteren statischen Route wird auch an den Load Balancer weitergeleitet. Der Datenverkehr von der direkten Speichen-VM (10.0.0.1) zur indirekten Speichen-VM (10.2.1.1) wird beispielsweise aufgrund der statischen Route auch über den Lastenausgleich weitergeleitet.

Datenverkehrsverhalten mit aktivierter Umgehung der nächsten Hop-IP

2Wenn IP-Adresse des nächsten Hops für Workloads innerhalb dieses VNet umgehen „enabled/vnetLocalRouteOverrideCriteria = equals“ ist:

• Datenverkehr, der für eine Adresse innerhalb des Präfixes der NVA-Speichen bestimmt ist, umgeht die statische Route und geht direkt an die Ziel-VM (z. B. 10.2.0.3).
  • Verkehrsfluss: blaue Linie von 10.0.0.1 bis 10.2.0.3
• Der Datenverkehr, der auf eine Adresse außerhalb des Präfixes des NVA-Spoke ausgerichtet ist (aber immer noch innerhalb des Bereichs der statischen Route), z. B. 10.2.1.1 im indirekten Spoke, folgt weiterhin der statischen Route und wird an den Load-Balancer gesendet.
  • Datenverkehrsfluss: rote Linie von 10.0.0.1 bis 10.2.1.1 (Pfad kann je nach Load-Balancer-Hashing variieren)

Nächste Schritte

Weitere Informationen zu Virtual WAN finden Sie unter Virtual WAN – Häufig gestellte Fragen.