Udostępnij przez

Jak skonfigurować peering podsieci

Parowanie podsieci łączy dwie sieci wirtualne przez połączenie określonych podsieci zamiast całych przestrzeni adresowych sieci wirtualnych. Takie podejście zapewnia szczegółową kontrolę nad tym, które podsieci uczestniczą w relacji komunikacji równorzędnej między lokalnymi i zdalnymi sieciami wirtualnymi.

Peering podsieci zwiększa elastyczność peeringu sieci wirtualnych. Możesz wybrać określone podsieci do komunikacji równorzędnej między sieciami wirtualnymi. Określ lub wprowadź listę podsieci z sieci wirtualnych, które chcesz połączyć. Z kolei standardowe peeringowe połączenie sieci wirtualnych łączy całe przestrzenie adresowe i podsieci w sieciach wirtualnych.

W przypadku korzystania z peeringu podsieci obowiązują następujące ograniczenia.

  • Lista dozwolonych subskrypcji: aby użyć tej funkcji, musisz zarejestrować subskrypcję, na której chcesz skonfigurować połączenie równorzędne podsieci. Wypełnij ten formularz , aby uzyskać zarejestrowaną subskrypcję.

  • Dostępność: funkcja jest dostępna we wszystkich regionach. Można go jednak skonfigurować tylko za pomocą programu Terraform, programu PowerShell, interfejsu API, interfejsu wiersza polecenia i szablonu usługi ARM.

Wymagania wstępne

  • Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

  • Aby włączyć dostęp do tej funkcji, zarejestruj subskrypcję za pomocą procesu dodawania do listy dozwolonych.

Konfigurowanie peeringu podsieci

  • Ten artykuł wymaga wersji 2.31.0 lub nowszej interfejsu wiersza polecenia platformy Azure. Jeśli używasz usługi Azure Cloud Shell, najnowsza wersja jest już zainstalowana.

W istniejącym procesie tworzenia połączeń równorzędnych w sieciach wirtualnych wprowadzono kilka nowych parametrów opcjonalnych. W tej sekcji opisano każdy parametr:

Nowe parametry opcjonalne

  • --peer-complete-vnet
    Wybierz połączenie podsieci. Domyślnie wartość tego parametru jest ustawiona na true, co oznacza, że całe sieci wirtualne są połączone równorzędnie (wszystkie przestrzenie adresowe i podsieci). Aby użyć komunikacji równorzędnej podsieci, ustaw ten parametr na wartość false.
    Zaakceptowane wartości: 0, 1, f, false, n, no, t, true, y, yes
    Wartość domyślna: True

  • --local-subnet-names
    Wprowadź nazwy lokalnych podsieci, które mają być połączone równorzędnie z podsieciami zdalnymi, gdy peering podsieci jest włączony, ustawiając peer-complete-vnet parametr na 0.

  • --nazwy-zdalnych-sieci-podsieci
    Wprowadź nazwy zdalnych podsieci, które mają być połączone z lokalnymi podsieciami, gdy łączenie podsieci jest włączone, ustawiając parametr peer-complete-vnet na 0.

  • --enable-only-ipv6
    Skonfiguruj peering podsieci wyłącznie z użyciem adresacji IPv6 (dla podsieci z podwójnym stosem). Domyślnie wartość tego parametru jest ustawiona na wartość false. Domyślne nawiązanie peeringu odbywa się za pośrednictwem adresów IPv4. Jeśli ustawiono na true, peering odbywa się za pośrednictwem IPv6 w podsieciach z podwójnym stosem.
    Zaakceptowane wartości: 0, 1, f, false, n, no, t, true, y, yes

az network vnet peering create --name
                               --remote-vnet
                               --resource-group
                               --vnet-name
                               [--allow-forwarded-traffic {0, 1, f, false, n, no, t, true, y, yes}]
                               [--allow-gateway-transit {0, 1, f, false, n, no, t, true, y, yes}]
                               [--allow-vnet-access {0, 1, f, false, n, no, t, true, y, yes}]
                               [--no-wait {0, 1, f, false, n, no, t, true, y, yes}]
                               [--use-remote-gateways {0, 1, f, false, n, no, t, true, y, yes}]
	                           [--peer-complete-vnet {0, 1(default), f, false, n, no, t, true, y, yes}]
                               [--enable-only-ipv6 {0(default), 1, f, false, n, no, t, true, y, yes}]  
                               [--local-subnet-names] 
                               [--remote-subnet-names]

  1. Użyj az group create, aby utworzyć grupę zasobów o nazwie test-rg w lokalizacji eastus2.

    az group create \
    --name test-rg \
    --location eastus2

  2. Użyj az network vnet create, aby utworzyć dwie sieci wirtualne o nazwie vnet-1 i vnet-2.

    az network vnet create \
    --name vnet-1 \
    --resource-group test-rg \
    --location eastus2 \
    --address-prefix 10.0.0.0/16 && \
az network vnet create \
    --name vnet-2 \
    --resource-group test-rg \
    --location eastus2 \
    --address-prefix 10.1.0.0/16

  3. Użyj az network vnet subnet create, aby utworzyć podsieć z wieloma prefiksami.

    az network vnet subnet create \
--name subnet-1 \
--resource-group test-rg \
--vnet-name vnet-1 \
--address-prefix 10.0.1.0/24 && \
az network vnet subnet create \
    --name subnet-2 \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --address-prefix 10.0.2.0/24 && \
az network vnet subnet create \
    --name subnet-3 \
    --resource-group test-rg \
    --vnet-name vnet-2 \
    --address-prefix 10.1.1.0/24 && \
az network vnet subnet create \
    --name subnet-4 \
    --resource-group test-rg \
    --vnet-name vnet-2 \
    --address-prefix 10.1.2.0/24

  4. Po utworzeniu wymaganych podsieci, można połączyć tylko subnet-1 z sieci wirtualnej vnet-1 i subnet-3 z sieci vnet-2, zamiast peering całej sieci wirtualnej. Aby osiągnąć tę konfigurację, użyj opcjonalnych parametrów opisanych wcześniej.
    Uruchom polecenie utworzenia peerowania sieci wirtualnej z opcjonalnymi parametrami.

    az network vnet peering create --name vnet-1_to_vnet-2
                               --resource-group test-rg
                               --vnet-name vnet-1
                               --remote-vnet vnet-2
                               --allow-forwarded-traffic 
                               --allow-gateway-transit 
                               --allow-vnet-access 
                               --peer-complete-vnet false
                               --local-subnet-names subnet-1
                               --remote-subnet-names subnet-3
az network vnet peering create --name vnet-2_to_vnet-1
                               --resource-group test-rg
                               --vnet-name vnet-2
                               --remote-vnet vnet-1
                               --allow-forwarded-traffic 
                               --allow-gateway-transit 
                               --allow-vnet-access 
                               --peer-complete-vnet false
                               --local-subnet-names subnet-3
                               --remote-subnet-names subnet-1

    Dodaj nową podsieć do połączenia równorzędnego

    az network vnet peering update --name vnet-1_to_vnet-2
                               --resource-group test-rg
                               --vnet-name vnet-1
                               --local-subnet-names subnet-1 subnet-2
az network vnet peering update --name vnet-2_to_vnet-1
                               --resource-group test-rg
                               --vnet-name vnet-2
                               --remote-subnet-names subnet-3 subnet-4

    Usuń podsieci z peeringu

    az network vnet peering update --name vnet-1_to_vnet-2
                               --resource-group test-rg
                               --vnet-name vnet-1
                               --local-subnet-names subnet-1
az network vnet peering update --name vnet-2_to_vnet-1
                               --resource-group test-rg
                               --vnet-name vnet-2
                               --remote-subnet-names subnet-3

    Synchronizacja połączeń równorzędnych

    az network vnet peering sync --name vnet-1_to_vnet-2
                             --resource-group test-rg
                             --vnet-name vnet-1
az network vnet peering sync --name vnet-2_to_vnet-1
                             --resource-group test-rg
                             --vnet-name vnet-2

    Pokaż peeringi

    az network vnet peering show --name vnet-1_to_vnet-2
                             --resource-group test-rg
                             --vnet-name vnet-1
az network vnet peering show --name vnet-2_to_vnet-1
                             --resource-group test-rg
                             --vnet-name vnet-2

Sprawdzanie i ograniczenia dotyczące peeringu podsieci

Na poniższym diagramie przedstawiono sprawdzania wykonywane podczas konfigurowania peeringu podsieci oraz bieżące ograniczenia.

Diagram przedstawiający peering podsieci.

  1. Uczestniczące podsieci muszą być unikatowe i muszą należeć do unikatowych przestrzeni adresowych.

    • Na przykład, w sieci wirtualnej A i sieci wirtualnej C w komunikacji równorzędnej (pokazane na rysunku jako czarna linia zakończona strzałką), sieć wirtualna A nie może zestawiać połączenia równorzędnego z podsieciami Podsieci 1, Podsieci 2 i Podsieci 3 z dowolną podsiecią w sieci wirtualnej C, ponieważ te podsieci sieci wirtualnej A należą do przestrzeni adresowej 10.1.0.0/16, która jest również obecna w sieci wirtualnej C.
    • Jednak podsieć 4 sieci wirtualnej A (10.0.1.0/24) może zestawić połączenie z podsiecią 5 w sieci wirtualnej C (10.6.1.0/24), ponieważ te podsieci są unikalne wśród sieci wirtualnych i należą do unikalnych przestrzeni adresowych w różnych sieciach wirtualnych. Podsieć 4 należy do przestrzeni adresowej 10.0.0.0/16 w sieci wirtualnej A i podsieci 5 należą do przestrzeni adresowej 10.6.0.0/16 w sieci wirtualnej C.

  2. Istnieje tylko jedno połączenie równorzędne między dowolnymi dwiema sieciami wirtualnymi. Jeśli chcesz dodać lub usunąć podsieci z linku komunikacji równorzędnej, musisz zaktualizować ten sam link komunikacji równorzędnej. Wiele wyłącznych połączeń równorzędnych między zestawem podsieci nie jest możliwe.
    Nie można zmienić danego typu łącza peeringowego. Jeśli istnieje peering sieci wirtualnych między siecią wirtualną A a siecią wirtualną B i chcesz zmienić ten peering na peering podsieci, musisz usunąć istniejący link peeringu sieci wirtualnej i utworzyć nowy peering z wymaganymi parametrami dla peeringu podsieci i odwrotnie.

  3. Liczba podsieci uczestniczących w jednym połączeniu równorzędnym jest ograniczona do 200 na stronę (200 z lokalnej sieci wirtualnej i 200 z zdalnej sieci wirtualnej). Ponadto łączna liczba podsieci, które mogą być połączone w ramach relacji peeringowych we wszystkich łączach dla danej sieci wirtualnej, nie powinna przekraczać 1000.

    • Na przykład w połączeniu równorzędnym między siecią wirtualną A a siecią wirtualną B (zilustrowanym linią zakończoną niebieską strzałką), całkowita liczba podsieci uczestniczących w połączeniu równorzędnym z sieci wirtualnej A powinna wynosić <=200, a podobnie po stronie sieci wirtualnej B powinna wynosić <= 200.
    • Całkowita liczba podsieci we wszystkich ramionach (VNET B i VNET C), które mogą być połączone z VNET A, powinna wynosić <1000. Na powyższej ilustracji jest to łącznie 3 (2 po stronie sieci wirtualnej B, 1 po stronie sieci wirtualnej C)

  4. W obecnej wersji (funkcja pozostaje za flagą subskrypcji), trasa przesyłania dalej z podsieci innej niż równorzędna do podsieci równorzędnej istnieje — w bieżącym scenariuszu sieć wirtualna A i komunikacja równorzędna B sieci wirtualnej B, mimo że podsieć 2 z sieci wirtualnej A nie jest równorzędna, nadal ma trasę dla podsieci Subnet 1 i Subnet 2 w sieci wirtualnej B.

    • W peeringu podsieci dla sieci wirtualnej A i sieci wirtualnej B można oczekiwać, że tylko Subnet 1 i Subnet 3 z sieci wirtualnej A będą miały trasę do podsieci Subnet 1 i Subnet 2 w zdalnej sieci wirtualnej B. Jednak Subnet 2 i Subnet 4 (z lokalnej sieci wirtualnej A, która nie jest równorzędna) również mają trasę do podsieci Subnet 1 i Subnet 2 po stronie zdalnej (sieć wirtualna B), co oznacza, że nierównorzędne podsieci mogą wysyłać pakiety do węzła docelowego w podsieci równorzędnej, chociaż pakiet jest porzucony i nie trafia do maszyny wirtualnej.

    • Zalecamy stosowanie sieciowych grup zabezpieczeń w uczestniczących podsieciach, aby zezwolić na ruch tylko z równorzędnych podsieci i przestrzeni adresowych. To ograniczenie zostało usunięte w wersji ogólnodostępnej.

  5. Komunikacja równorzędna podsieci i AVNM

    • Połączona grupa
      Jeśli dwie sieci wirtualne są połączone w "Grupie Połączeń," i jeśli skonfigurujesz komunikację równorzędną podsieci za pośrednictwem tych dwóch sieci wirtualnych, to komunikacja równorzędna podsieci będzie mieć pierwszeństwo, a łączność między podsieciami bez połączeń równorzędnych zostanie przerwana.
    • Konfiguracja łączności AVNM
      Obecnie usługa AVNM nie może odróżnić peeringu sieci wirtualnych i peeringu podsieci. Jeśli peering podsieci istnieje między siecią wirtualną A i siecią wirtualną B, a później użytkownik AVNM próbuje ustanowić peering sieci wirtualnej między siecią wirtualną A i siecią wirtualną B za pośrednictwem konfiguracji łączności AVNM (architektura hub and spoke), AVNM zakłada, że peering między siecią wirtualną A i siecią wirtualną B już istnieje i ignoruje nowe żądanie peeringu. Zachowaj ostrożność w sytuacjach konfliktowych podczas korzystania z peeringu AVNM (Azure Virtual Network Manager) i peeringu podsieci.

  6. Twarde ograniczenie: Jeśli planujesz użyć funkcji w środowisku produkcyjnym, musisz użyć jednostek SKU V5 opartych na Intelu lub zmigrować do jednostek SKU V5 (opartych na 5. generacji jednostek maszyn wirtualnych Intela lub jednostkach opartych na AMD Genoa lub Cobalt 100), aby uniknąć ewentualnej awarii z powodu błędu występującego w starszych jednostkach SKU generacji.

Następne kroki

Peering podsieci pomaga zaoszczędzić przestrzeń IPv4, umożliwiając ponowne użycie przestrzeni adresowych w podsieciach, które nie muszą być połączone. Zapobiega to również niepotrzebnemu narażeniu całej przestrzeni adresowej sieci wirtualnej za pośrednictwem bram do środowisk lokalnych. Dzięki komunikacji wyłącznie IPv6 można skonfigurować komunikację wyłącznie po IPv6 dla podsieci dual-stack lub podsieci wyłącznie IPv6. Zapoznaj się z tymi możliwościami i podziel się swoją opinią i sugestiami.

Aby dowiedzieć się więcej na temat peeringu, zobacz Peering sieci wirtualnej.

  • Last updated on