Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Virtual Network Manager vereinfacht die Verwaltung von Konnektivität, Sicherheit, Routing und mehr in Ihrer Azure-Netzwerkumgebung. Konnektivitätskonfigurationen, einschließlich Gitter- und Hub-and-Spoke-Topologien, helfen Ihnen bei der Optimierung der Netzwerkleistung und Konnektivität im Maßstab Ihrer Organisation. In diesem Artikel werden Features wie hochskalige verbundene Gruppen und globale Gitterkonnektivität sowie Anwendungsfälle und Einstellungen für jede Topologie behandelt.
Konfiguration der Konnektivität
Mit Verbindungskonfigurationen können Sie unterschiedliche Netzwerktopologien basierend auf Ihren Netzwerkanforderungen erstellen und verwalten. Sie haben zwei Topologien, aus denen Sie wählen können: Gitter und Hub-und-Speichen. Die Einstellungen Ihrer Konnektivitätskonfiguration definieren die Konnektivität zwischen Ihren virtuellen Netzwerken. Sie definieren die virtuellen Netzwerke, für die Sie verbindungen über Netzwerkgruppen einrichten möchten. Ihre Konnektivitätskonfiguration verwendet dann die Netzwerkgruppen, um die Konnektivität wie in der gewünschten Topologie zwischen den virtuellen Netzwerken in den Netzwerkgruppen beschrieben zu erstellen.
Wenn Sie vorhandene Peerings löschen für Ihre Konnektivitätskonfiguration aktivieren, entfernt der Azure Virtual Network Manager alle Peerings, die nicht mit dem Inhalt dieser Konnektivitätskonfiguration übereinstimmen. Dies gilt auch, wenn Sie diese Peerings nach der Bereitstellung dieser Konfiguration manuell erstellt haben. Wenn Sie ein virtuelles Netzwerk aus einer Netzwerkgruppe entfernen, die in der Konfiguration verwendet wird, entfernt Ihre Azure Virtual Network Manager-Instanz nur die von ihr erstellte Verbindung.
Wenn Sie eine Konnektivitätskonfiguration bereitstellen, stellt Azure Virtual Network Manager bidirektionale Konnektivität über virtuelle Netzwerkpeers (für Hub-and-Spoke-Topologien) oder über verbundene Gruppen (für Gittertopologien) zwischen virtuellen Netzwerken her. Diese Konnektivität wird gemäß den von Ihnen definierten Einstellungen hergestellt. Netzwerkgruppen, die in Ihrer Konnektivitätskonfiguration enthalten sind, spielen hierbei ebenfalls eine Rolle.
Gittertopologie
Eine Gittertopologie definiert die Konnektivität zwischen jedem virtuellen Netzwerk in der Netzwerkgruppe. Alle Mitgliedsnetzwerke sind verbunden und können bidirektional Datenverkehr miteinander austauschen.
Ein gängiger Anwendungsfall einer Gittertopologie besteht darin, speichen-virtuelle Netzwerke in einer Hub-and-Spoke-Topologie zu ermöglichen, sich direkt miteinander zu kommunizieren, ohne den Datenverkehr über das virtuelle Hubnetzwerk weiterzuleiten. Dieser Ansatz verringert die Wartezeit, die ggf. durch das Routing des Datenverkehrs über einen Router im Hub resultieren kann. Darüber hinaus können Sie die Sicherheit und Kontrolle über die direkten Verbindungen zwischen virtuellen Spoke-Netzwerken verwalten, indem Sie Sicherheitsadministratorregeln in Azure Virtual Network Manager oder Netzwerksicherheitsgruppenregeln implementieren. Der Datenverkehr kann auch mithilfe von Protokollen für virtuelle Netzwerke überwacht und aufgezeichnet werden.
Standardmäßig ist die in Ihrer Konnektivitätskonfiguration definierte Gittertopologie ein regionales Gitter, was bedeutet, dass nur virtuelle Netzwerke in derselben Region miteinander kommunizieren können. Sie können eine globale Gitteroption in Ihrer Konnektivitätskonfiguration aktivieren, um die Konnektivität zwischen virtuellen Netzwerken in allen Azure-Regionen herzustellen.
Hinweis
Virtuelle Netzwerkadressräume können sich im Gegensatz zu virtuellen Netzwerk-Peerings in einer Gitterkonfiguration überlappen, aber der Datenverkehr zwischen den Subnetzen mit überlappenden Adressräumen wird verworfen, da das Routing nicht deterministisch ist.
Hinter den Kulissen: vernetzte Gruppe
Wenn Sie eine Gittertopologie erstellen oder direkte Konnektivität in einer Hub-and-Spoke-Topologie aktivieren, erstellen Sie ein neues Verbindungskonstrukt exklusiv für Azure Virtual Network Manager. Dieses Konstrukt wird als verbundene Gruppe bezeichnet. Virtuelle Netzwerke in einer verbundenen Gruppe können wie manuell verbundene virtuelle Netzwerke miteinander kommunizieren. Wenn Sie sich die effektiven Routen für eine Netzwerkschnittstelle ansehen, werden Sie den Next-Hop-Typ ConnectedGroup sehen. Für virtuelle Netzwerke, die in einer verbundenen Gruppe zusammengefasst sind, ist unter Peerings keine Peering-Konfiguration für das virtuelle Netz aufgeführt. Diese verbundene Gruppe ermöglicht Azure Virtual Network Manager, eine höhere Skalierung der virtuellen Netzwerkkonnektivität als herkömmliche virtuelle Netzwerk-Peerings zu unterstützen.
Hinweis
Ein virtuelles Netzwerk kann Teil von bis zu zwei verbundenen Gruppen sein, was bedeutet, dass es Teil von bis zu zwei Gittertopologien sein kann.
Aktivieren von privaten Endpunkten mit hoher Skalierung in mit Azure Virtual Network Manager verbundenen Gruppen
Mit der hochskalierbaren Funktion für private Endpunkte im Azure Virtual Network Manager können Sie die Netzwerkkapazität in verbundenen Gruppen erweitern. Führen Sie die folgenden Schritte aus, um dieses Feature zu aktivieren, um bis zu 20.000 private Endpunkte in der gesamten verbundenen Gruppe zu unterstützen.
Vorbereiten der einzelnen virtuellen Netzwerke in der verbundenen Gruppe
Lesen Sie Erhöhen der Grenzwerte privater Endpunkte für virtuelle Netzwerke, um detaillierte Anleitungen zum Erhöhen dieser Grenzwerte zu erhalten. Das Aktivieren oder Deaktivieren dieses Features initiiert eine einmalige Verbindungszurücksetzung. Führen Sie diese Änderungen während eines Wartungsfensters aus.
Konfigurieren Sie in jedem virtuellen Netzwerk innerhalb Ihrer verbundenen Gruppe die Richtlinien für private Endpunktnetzwerke entweder auf
EnabledoderRouteTableEnabled. Diese Einstellung stellt sicher, dass Ihre virtuellen Netzwerke bereit sind, um die Funktionalität privater Endpunkte mit hoher Skalierung zu unterstützen. Ausführliche Anleitungen finden Sie unter Erhöhen der Grenzwerte für virtuelle Netzwerke für private Endpunkte.
Konfigurieren der Gittertopologie für private Endpunkte mit hoher Skalierung
In diesem Schritt konfigurieren Sie die Gittertopologieeinstellungen der Konnektivitätskonfiguration für Ihre verbundene Gruppe, um private Endpunkte mit hoher Skalierung zu aktivieren. In diesem Schritt werden die entsprechenden Optionen im Azure-Portal ausgewählt und die Konfiguration überprüft.
Suchen Sie in Ihrer Konfiguration der Gitterkonnektivität das Kontrollkästchen für private Endpunkte mit hoher Skalierung, und aktivieren Sie es. Mit dieser Option wird das Feature mit hoher Skalierung für Ihre verbundene Gruppe aktiviert.
Überprüfen Sie, ob jedes virtuelle Netzwerk in Ihrem gesamten Gitter (verbundene Gruppe) mit privaten Endpunkten mit hoher Skalierung konfiguriert ist. Das Azure-Portal überprüft die Einstellungen in der gesamten Gruppe. Wenn Sie später ein virtuelles Netzwerk ohne die konfiguration mit hoher Skalierung hinzufügen, kann es nicht mit privaten Endpunkten in anderen virtuellen Netzwerken kommunizieren.
Nachdem alle virtuellen Netzwerke ordnungsgemäß konfiguriert wurden, stellen Sie die Verbindungskonfiguration bereit. In diesem Schritt wird die Einrichtung Ihrer hochgradig skalierbaren vernetzten Gruppe abgeschlossen.
Aktivieren von hochskalierter Konnektivität in mit Azure Virtual Network Manager verbundenen Gruppen
Die Funktion "High-Scale Connectivity" des Azure Virtual Network Managers in der verbundenen Gruppierungsfunktion ermöglicht es Ihnen, Ihre Netzwerkkapazität zu erweitern. Um dieses Feature zu verwenden, registrieren Sie das Vorschaufeature "AllowHighScaleConnectedGroup" (Sie finden es mit dem Anzeigenamen "High Scale Connected Group aktivieren"). Mit diesem Feature kann eine verbundene Gruppe in den unterstützten Regionen bis zu 5.000 virtuelle Netzwerke enthalten.
Hub-and-Spoke-Topologie
Eine Hub-and-Spoke-Topologie definiert die Konnektivität zwischen einem ausgewählten virtuellen Hubnetzwerk und virtuellen Speichennetzwerken, die Mitglieder einer oder mehrerer ausgewählter Speichennetzwerkgruppen sind. Dieses virtuelle Hub-Netz wird bidirektional mit jedem virtuellen Netzwerkmitgliedern der Spoke-Netzwerkgruppe in der Konfiguration abgeglichen. Diese Topologie ist nützlich, um ein virtuelles Netzwerk zu isolieren, aber dennoch die Konnektivität mit gemeinsamen Ressourcen im virtuellen Hubnetzwerk aufrechtzuerhalten.
In dieser Konfiguration können Sie Einstellungen wie die direkte Verbindung zwischen virtuellen Speichennetzwerken aktivieren, die zur gleichen Speichennetzwerkgruppe gehören. Diese Konnektivität wird standardmäßig nur für virtuelle Netzwerke in derselben Region eingerichtet. Um die Konnektivität in verschiedenen Azure-Regionen zu ermöglichen, müssen Sie die globale Gittereinstellung für die Speichennetzwerkgruppe aktivieren. Sie können auch Gateway-Transit aktivieren, damit spoke-Virtual-Netzwerke das VPN- oder ExpressRoute-Gateway im virtuellen Hubnetzwerk nutzen können.
Aktivieren der direkten Konnektivität
Wenn Sie die direkte Konnektivität für eine Spoke-Netzwerkgruppe aktivieren, erstellen Sie ein Mesh (und damit eine verbundene Gruppe) über die virtuellen Netzwerke der betreffenden Spoke-Netzwerkgruppe zusätzlich zu Ihrer Hub-and-Spoke-Topologie. Die direkte Konnektivität ermöglicht es einem virtuellen Netzwerk, direkt mit anderen virtuellen Netzwerken innerhalb seiner Speichennetzwerkgruppe zu kommunizieren, ermöglicht jedoch keine Verbindung mit virtuellen Netzwerken in anderen Speichennetzwerkgruppen.
Sie erstellen z. B. zwei Netzwerkgruppen und fügen sie als Speichennetzwerkgruppen in Ihre Hub-and-Spoke-Konnektivitätskonfiguration ein. Sie aktivieren die direkte Konnektivität für die Netzwerkgruppe Production, aber nicht für die Netzwerkgruppe Test. Dieses Setup verbindet das virtuelle Hubnetzwerk mit allen virtuellen Netzwerken in den Produktions - und Test-Netzwerkgruppen , ermöglicht jedoch nur die Kommunikation mit virtuellen Netzwerken in der Produktionsnetzwerkgruppe . Die virtuellen Netzwerke der Produktionsnetzwerkgruppe verfügen nicht über eine Verbindung mit den virtuellen Netzwerken der Test-Netzwerkgruppe , und die virtuellen Netzwerke der Test-Netzwerkgruppe verfügen nicht über eine Verbindung zwischen sich selbst (es sei denn, Sie aktivieren auch die direkte Konnektivität für die Test-Netzwerkgruppe ).
Wenn Sie sich die effektiven Routen auf einer VM ansehen, hat die Route zwischen dem Hub und den Spoke-VNets den Typ VNetPeering oder GlobalVNetPeering für den nächsten Hop. Routen zwischen virtuellen Spoke-Netzwerken werden mit dem nächsten Hop-Typ ConnectedGroup angezeigt. Mit dem Beispiel "Produktion und Test " verfügt nur die Produktionsnetzwerkgruppe über eine ConnectedGroup , da die direkte Verbindung aktiviert ist.
Direkte Konnektivität zwischen virtuellen Spoke-Netzwerken kann hilfreich sein, wenn Sie eine virtuelle Netzwerk-Appliance (NVA) oder einen gemeinsamen Dienst im virtuellen Hub-Netzwerk haben möchten, aber nicht immer auf den Hub zugegriffen werden muss, damit vertrauenswürdige virtuelle Spoke-Netzwerke miteinander kommunizieren können. Im Vergleich zu herkömmlichen Hub-and-Spoke-Netzwerken verbessert diese Topologie die Leistung, indem der zusätzliche Hop durch das virtuelle Hubnetzwerk entfernt wird.
Globales Mesh
Wie bei der Gittertopologie ist eine Speichennetzwerkgruppe mit aktivierter direkter Konnektivität standardmäßig als regional konfiguriert. Sie können ein globales Gitter aktivieren, wenn die virtuellen Netzwerke Ihrer Speichennetzwerkgruppe in allen Regionen miteinander kommunizieren sollen. Diese Konnektivität ist auf virtuelle Netzwerke in derselben Netzwerkgruppe beschränkt. Um diese globale Mesh-Konnektivität für virtuelle Netzwerke in allen Regionen zu aktivieren, müssen Sie die Mesh-Konnektivität über Regionen hinweg für die Netzwerkgruppe aktivieren. Verbindungen, die zwischen virtuellen Speichennetzwerken erstellt werden, befinden sich in einer verbundenen Gruppe.
Hub als Gateway verwenden
Eine weitere Option, die Sie in einer Hub-and-Spoke-Konfiguration aktivieren können, ist die Verwendung des Hubs als Gateway. Diese Einstellung ermöglicht allen virtuellen Netzwerken in der Speichennetzwerkgruppe die Verwendung des VPN- oder ExpressRoute-Gateways im virtuellen Hubnetzwerk, um Datenverkehr zu übergeben. Siehe Gateways und ortsgebundene Konnektivität.
Wenn Sie eine Hub-and-Spoke-Topologie über das Azure-Portal bereitstellen, ist die Option "Hub als Gateway verwenden " standardmäßig für die virtuellen Speichennetzwerke in der Netzwerkgruppe aktiviert. Azure Virtual Network Manager versucht, eine virtuelle Netzwerk-Peering-Verbindung zwischen dem virtuellen Hubnetzwerk und virtuellen Netzwerken in den Spoke-Netzwerkgruppen zu erstellen. Wenn Sie diese Option aktivieren, aber das Gateway im virtuellen Netzwerk des Hubs nicht vorhanden ist, schlägt die Erstellung des Peerings vom virtuellen Spoke-Netzwerk zum Hub fehl. Die Peering-Verbindung vom Hub zur Speiche wird auch ohne bestehende Verbindung hergestellt.
Ermitteln der Netzwerkgruppentopologie mit Topologieansicht
Damit Sie die Topologie Ihrer Netzwerkgruppe verstehen können, bietet Azure Virtual Network Manager eine Topologieansicht , in der die Konnektivität zwischen Netzwerkgruppen und ihren virtuellen Mitgliedsnetzwerken angezeigt wird. Sie können die Topologie Ihrer Konnektivitätskonfiguration während der Erstellung Ihrer Konnektivitätskonfiguration mit den folgenden Schritten anzeigen:
Wechseln Sie zur Seite "Konfigurationen ", und erstellen Sie eine Verbindungskonfiguration.
Wählen Sie auf der Registerkarte Topologie Ihren gewünschten Topologietyp aus, fügen Sie der Topologie eine oder mehrere Netzwerkgruppen hinzu, und konfigurieren Sie weitere gewünschte Verbindungseinstellungen.
Wählen Sie die Registerkarte " Topologie anzeigen " aus, um die aktuelle Konnektivität Ihrer Konfiguration visuell zu überprüfen.
Schließen Sie die Erstellung Ihrer Konnektivitätskonfiguration ab.
Sie können die aktuelle Topologie einer Konnektivitätskonfiguration überprüfen, indem Sie unter "Einstellungen" auf der Detailseite der Konfiguration die Option "Topologie anzeigen" auswählen. Die Ansicht zeigt die Konnektivität zwischen den virtuellen Netzwerken, die Teil dieser Verbindungskonfiguration sind.
So vermeiden Sie überlappende Adressen in einem Mesh-Netzwerk
Standardmäßig ermöglicht Azure Virtual Network Manager überlappende Adressen innerhalb eines Gitternetzwerks. Wenn Sie zwei virtuelle Netzwerke mit demselben Adressraum zu einem Gitternetzwerk hinzufügen, wird der überlappende Adressraum aus dem Gitter entfernt, sodass die Kommunikation mit Ressourcen in diesem Adressraum nicht funktioniert. Diese Entfernung geschieht, da beim Senden des Datenverkehrs an diesen Adressraum der Azure Virtual Network Manager nicht bestimmen kann, welches virtuelle Netzwerk den Datenverkehr empfangen soll. Während dieses Verhalten die Integrität des Gitters schützt, kann es zu Ausfällen führen, wenn Sie einem vorhandenen Gitter ein neues überlappende virtuelles Netzwerk hinzufügen.
Azure Virtual Network Manager bietet einen Mechanismus, um überlappende IP-Adressräume innerhalb eines Gitters zu verhindern.
Verwenden der ConnectedGroupAddressOverlap-Eigenschaft
Die Konnektivitätskonfiguration enthält eine Eigenschaft - ConnectedGroupAddressOverlap:
- Standardwert: Zulässig
- Optionale Einstellung: Unzulässig
Wenn Sie diese Eigenschaft auf Disallowed festlegen, erzwingt der Azure Virtual Network Manager strikt nicht überlappende Adressräume in vernetzten virtuellen Netzwerken.
Was geschieht, wenn Sie "Nicht zugelassen" aktivieren?
Wenn Sie die Eigenschaft auf "Disallowed" festlegen, überprüft der Azure Virtual Network Manager Adressänderungen, die sich auf die Konnektivität in einem Mesh auswirken können.
Hinzufügen eines virtuellen Netzwerks zu einem Gitter
Azure Virtual Network Manager überprüft automatisch, ob sich der Adressraum des neuen virtuellen Netzwerks nicht mit vorhandenen Mitgliedern überlappt. Wenn eine Überlappung erkannt wird, wird das virtuelle Netzwerk nicht zum Gitter hinzugefügt.
Aktualisieren des Adressraums oder Hinzufügen von Peering
Azure Virtual Network Manager überprüft alle Updates, die sich auf den gesamten Adressraum eines Gitters auswirken können, um sicherzustellen, dass es keine Überschneidung gibt. Beispiele für Änderungen sind das Aktualisieren des Adressraums eines virtuellen Gitters, das Erstellen eines Peerings zu einem virtuellen Netzwerk, das Mitglied eines Gitters ist, oder das Ändern des Adressraums in einem virtuellen Peered-Netzwerk.
So erzwingen Sie Peering mithilfe von Azure Virtual Network Manager
Mit Azure Virtual Network Manager können Sie Peeringbeziehungen innerhalb Ihrer Netzwerktopologie erzwingen, um eine stärkere Governance und Compliance zu ermöglichen. Durch die Erzwingung wird sichergestellt, dass Sie Peerings außerhalb von Azure Virtual Network Manager nicht löschen oder ändern können. Sie gilt sowohl für neue als auch für vorhandene Peerings innerhalb der Hub-and-Spoke-Topologie.
Erstellen einer Hub-and-Spoke-Konnektivitätskonfiguration mit Peering-Erzwingung
Zum Erzwingen von Peering müssen Sie beim Erstellen einer Hub-and-Spoke-Konnektivitätskonfiguration die Peering-Erzwingungsoption aktivieren:
| Methode | Anweisungen |
|---|---|
| Azure-Portal | Aktivieren Sie das Kontrollkästchen " Peering erzwingen " während der Konfiguration. |
| Azure CLI / Andere Clients | Legen Sie die Eigenschaft peeringEnforcement unter connectivityCapabilities auf Enforced. |
Bereitstellen der Konnektivitätskonfiguration
Nach dem Erstellen und Bereitstellen dieser Konfiguration:
- Alle Peerings, die vom Azure Virtual Network Manager oder von bereits vorhandenen Kunden-Peerings innerhalb der Topologie erstellt wurden, werden durchgesetzt.
- Wenn ein Peering zu mehreren Topologien gehört, erzwingt jede als "erzwungen" markierte Konfiguration dieses Peering.
So entfernen Sie die Durchsetzung für Peering
So entfernen Sie die Erzwingung:
- Aktualisieren Sie die Konnektivitätskonfiguration auf
Unenforced. - Stellen Sie die Konfiguration erneut bereit.
Nächste Schritte
- Erfahren Sie, wie Sie eine Gitterkonnektivitätskonfiguration erstellen.
- Erfahren Sie, wie Sie eine Hub-and-Spoke-Konnektivitätskonfiguration erstellen.
- Erstellen Sie in diesem Lernprogramm eine gesicherte Hub-and-Spoke-Topologie.
- Erfahren Sie, wie Sie eine Hub-and-Spoke-Topologie mit Azure Firewall bereitstellen.
- Verstehen Sie Konfigurationsbereitstellungen, um Ihre Netzwerkeinstellungen effektiv zu verwalten.
- Blockieren Sie unerwünschten Netzwerkdatenverkehr mithilfe von Sicherheitsadministratorkonfigurationen.
- Stellen Sie Azure Virtual Network Manager mithilfe von Terraform bereit, um Ihre Umgebung schnell einzurichten.