Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Równoległe połączenie sieci wirtualnych umożliwia bezproblemowe łączenie sieci wirtualnych w środowisku Azure Stack Hub. Sieci wirtualne są wyświetlane jako jedna dla celów łączności. Ruch między maszynami wirtualnymi używa podstawowej infrastruktury SDN. Podobnie jak ruch między maszynami wirtualnymi w tej samej sieci, ruch jest kierowany tylko przez sieć prywatną usługi Azure Stack Hub.
Usługa Azure Stack Hub nie obsługuje globalne peering, ponieważ pojęcie "regionów" nie ma zastosowania.
Korzyści wynikające z korzystania z komunikacji równorzędnej sieci wirtualnych są następujące:
- Połączenie o małych opóźnieniach i wysokiej przepustowości między zasobami w różnych sieciach wirtualnych w ramach tej samej sygnatury usługi Azure Stack Hub.
- Możliwość komunikacji zasobów w jednej sieci wirtualnej z zasobami w innej sieci wirtualnej w ramach tej samej sygnatury usługi Azure Stack Hub.
- Możliwość transferu danych między sieciami wirtualnymi w różnych subskrypcjach w ramach tej samej dzierżawy Microsoft Entra.
- Brak przestojów dla zasobów w obu sieciach wirtualnych podczas tworzenia połączenia równorzędnego lub po jego utworzeniu.
Ruch sieciowy między wirtualnymi sieciami równorzędnymi jest prywatny. Ruch między sieciami wirtualnymi jest przechowywany w warstwie infrastruktury. W komunikacji między sieciami wirtualnymi nie jest wymagany publiczny Internet, bramy ani szyfrowanie.
Łączność
W przypadku równorzędnych sieci wirtualnych zasoby w obu sieciach wirtualnych mogą łączyć się bezpośrednio z zasobami w równorzędnej sieci wirtualnej.
Opóźnienie sieciowe między maszynami wirtualnymi w równorzędnych sieciach wirtualnych w tym samym regionie jest takie samo jak opóźnienie w pojedynczej sieci wirtualnej. Przepływność sieci zależy od przepustowości dozwolonej dla maszyny wirtualnej proporcjonalnie do jej rozmiaru. W ramach peeringu nie występują dodatkowe ograniczenia dotyczące przepustowości.
Ruch między maszynami wirtualnymi w równorzędnych sieciach wirtualnych jest kierowany bezpośrednio przez warstwę SDN, a nie przez bramę ani za pośrednictwem publicznego Internetu.
Sieciowe grupy zabezpieczeń można zastosować w sieci wirtualnej, aby zablokować dostęp do innych sieci wirtualnych lub podsieci. Podczas konfigurowania peeringu sieci wirtualnych otwórz lub zamknij reguły w grupie zabezpieczeń sieci między sieciami wirtualnymi. Jeśli otworzysz pełną łączność między równorzędną siecią wirtualną, możesz zastosować sieciowe grupy zabezpieczeń w celu zablokowania lub odmowy określonego dostępu. Pełna łączność jest opcją domyślną. Aby dowiedzieć się więcej na temat sieciowych grup zabezpieczeń, zobacz Grupy zabezpieczeń.
Tworzenie łańcuchów usług
Łańcuch usług umożliwia kierowanie ruchu z jednej sieci wirtualnej do urządzenia wirtualnego lub bramy w sieci równorzędnej za pośrednictwem tras zdefiniowanych przez użytkownika.
Aby włączyć łączenie usług, skonfiguruj trasy zdefiniowane przez użytkownika wskazujące maszyny wirtualne w stowarzyszonych sieciach wirtualnych jako adres IP następnego przeskoku.
Można wdrożyć sieci piasty i szprych , w których sieć wirtualna piasty hostuje składniki infrastruktury, takie jak wirtualne urządzenie sieciowe lub brama sieci VPN. Następnie wszystkie wirtualne sieci szprychowe można połączyć za pomocą peeringu z centralną siecią wirtualną. Ruch przepływa przez wirtualne urządzenia sieciowe lub bramy sieci VPN w sieci wirtualnej koncentratora.
Komunikacja równorzędna sieci wirtualnych umożliwia określenie następnego przeskoku w trasie zdefiniowanej przez użytkownika jako adres IP maszyny wirtualnej w połączonej sieci wirtualnej. Aby dowiedzieć się więcej o trasach zdefiniowanych przez użytkownika, zobacz Omówienie tras zdefiniowanych przez użytkownika. Aby dowiedzieć się, jak utworzyć topologię sieci hub-spoke, zobacz Topologia sieci hub-spoke na platformie Azure.
Bramy i łączność lokalna
Każda sieć wirtualna, w tym równorzędna sieć wirtualna, może mieć własną bramę. Sieć wirtualna może używać swojej bramy do łączenia się z siecią lokalną. Zapoznaj się z dokumentacją bramy sieci wirtualnej usługi Azure Stack Hub.
Bramę można również skonfigurować w równorzędnej sieci wirtualnej jako punkt tranzytowy do sieci lokalnej w miejscu prowadzenia działalności. W takim przypadku sieć wirtualna korzystająca z bramy zdalnej nie może mieć własnej bramy. Sieć wirtualna ma tylko jedną bramę. Brama sieciowa jest lokalna lub zdalna w równorzędnej sieci wirtualnej, jak pokazano na poniższym rysunku.
Należy pamiętać, że przed włączeniem opcji UseRemoteGateways w komunikacji równorzędnej należy utworzyć obiekt Connection w bramce VPN.
Ważne
Usługa Azure Stack Hub konfiguruje trasy systemowe na podstawie podsieci równorzędnych sieci wirtualnych, a nie prefiksu adresu sieci wirtualnej. Różni się to od implementacji platformy Azure. Jeśli chcesz przesłonić domyślne trasy systemowe, takie jak scenariusz opisany w scenariuszu: Kierowanie ruchu przez wirtualne urządzenie sieciowe (WUS) lub topologię sieci piasty i szprych na platformie Azure, w którym chcesz kierować ruch do urządzenia WUS lub urządzenia zapory, musisz utworzyć wpis trasy dla każdej podsieci w sieci wirtualnej.
Konfiguracja peeringu sieci wirtualnych
Zezwalaj na dostęp do sieci wirtualnej: Włączenie komunikacji między sieciami wirtualnymi umożliwia zasobom połączonym z jedną siecią wirtualną komunikację ze sobą z tą samą przepustowością i opóźnieniami, tak jakby były połączone z tą samą siecią wirtualną. Cała komunikacja między zasobami w dwóch sieciach wirtualnych jest kierowana przez wewnętrzną warstwę SDN.
Jednym z powodów, dla których nie chcesz włączyć dostępu do sieci, może być scenariusz, w którym sparowano sieć wirtualną z inną siecią wirtualną, ale czasami chcesz wyłączyć przepływ ruchu między dwoma sieciami wirtualnymi. Może się okazać, że włączanie/wyłączanie jest wygodniejsze niż usuwanie i ponowne tworzenie połączeń równorzędnych. Gdy to ustawienie jest wyłączone, ruch nie przepływa między równorzędnymi sieciami wirtualnymi.
Zezwalaj na przekazywanie ruchu: Zaznacz to pole wyboru, aby umożliwić przesyłanie ruchu przekazywanego przez wirtualne urządzenie sieciowe w sieci wirtualnej (który nie pochodzi z tej sieci wirtualnej) do tej sieci wirtualnej przez połączenie równorzędne (peering). Rozważmy na przykład trzy sieci wirtualne o nazwach Spoke1, Spoke2 i Hub. Relacje równorzędne istnieją między każdą siecią wirtualną będącą szprychą a siecią wirtualną centralną, ale takie relacje nie istnieją między sieciami wirtualnymi będącymi szprychami. Wirtualne urządzenie sieciowe jest wdrażane w hubowej sieci wirtualnej, a trasy zdefiniowane przez użytkownika są stosowane do każdej sieci wirtualnej typu szprychowego, które kierują ruch między podsieciami przez wirtualne urządzenie sieciowe. Jeśli to pole wyboru nie jest zaznaczone dla komunikacji równorzędnej między każdą siecią wirtualną jako szprychą a siecią wirtualną centralną, ruch nie przepływa między sieciami wirtualnymi szprych, ponieważ centralna nie przekazuje ruchu między sieciami wirtualnymi. Włączenie tej funkcji umożliwia przekierowywanie ruchu przez peering, ale nie tworzy żadnych tras zdefiniowanych przez użytkownika ani wirtualnych sieciowych urządzeń. Trasy zdefiniowane przez użytkownika i wirtualne urządzenia sieciowe są tworzone oddzielnie. Dowiedz się więcej o trasach zdefiniowanych przez użytkownika. Nie musisz sprawdzać tego ustawienia, czy ruch jest przekazywany między sieciami wirtualnymi za pośrednictwem usługi VPN Gateway.
Zezwalaj na tranzyt przez bramę: Zaznacz to pole wyboru, w przypadku, gdy masz bramę sieci wirtualnej dołączoną do tej sieci wirtualnej i chcesz zezwolić na przepływ ruchu z równorzędnej sieci wirtualnej przez tę bramę. Na przykład ta sieć wirtualna może być dołączona do sieci lokalnej za pośrednictwem bramy sieci wirtualnej. Zaznaczenie tego pola umożliwia przepływ ruchu z równorzędnej sieci wirtualnej przez bramę dołączoną do tej sieci wirtualnej do sieci lokalnej. Jeśli zaznaczysz to pole, równorzędna sieć wirtualna nie może mieć skonfigurowanej bramy. Połączona sieć wirtualna musi mieć zaznaczone pole wyboru Użyj bram zdalnych podczas konfigurowania peeringu z innej sieci wirtualnej do tej sieci wirtualnej. Jeśli to pole nie zostanie zaznaczone (ustawienie domyślne), ruch z zasieciowanej sieci wirtualnej nadal przepływa do tej sieci wirtualnej, ale nie może przepływać przez bramę sieci wirtualnej podłączoną do tej sieci wirtualnej.
Użyj bram zdalnych: Zaznacz to pole wyboru, aby zezwolić na przepływ ruchu z tej sieci wirtualnej przez bramę sieci wirtualnej dołączoną do sieci wirtualnej, z którą masz połączenie równorzędne. Na przykład sieć wirtualna, z którą się łączysz, ma połączoną bramę VPN, która umożliwia komunikację z siecią lokalną. Zaznaczenie tego pola umożliwia przepływ ruchu z tej sieci wirtualnej przez bramę sieci VPN dołączoną do równorzędnej sieci wirtualnej. Jeśli to pole wyboru jest zaznaczone, równorzędna sieć wirtualna musi mieć dołączoną do niej bramę sieci wirtualnej i musi mieć zaznaczone pole Zezwalaj na tranzyt bramy . Jeśli to pole pozostanie niezaznaczone (ustawienie domyślne), ruch z sieci równorzędnej nadal będzie mógł przepływać do tej sieci wirtualnej, ale nie będzie mógł przepływać przez bramę sieci wirtualnej dołączoną do tej sieci.
Nie można używać bram zdalnych, jeśli masz już bramę skonfigurowaną w sieci wirtualnej.
Uprawnienia
Upewnij się, że podczas tworzenia peeringów z sieciami wirtualnymi w różnych subskrypcjach w ramach tych samych dzierżaw Microsoft Entra, konta mają przypisaną co najmniej rolę Kontrybutor sieci.
Ważne
Usługa Azure Stack Hub nie obsługuje komunikacji równorzędnej sieci wirtualnych między sieciami wirtualnymi w różnych subskrypcjach i w różnych dzierżawach firmy Microsoft Entra. Obsługuje peering sieci wirtualnych między sieciami wirtualnymi w różnych subskrypcjach, pod warunkiem, że te subskrypcje należą do tej samej dzierżawy Microsoft Entra. Różni się to od implementacji platformy Azure.
Łączenie sieci wirtualnych — często zadawane pytania (FAQ)
Co to jest peering sieci wirtualnych?
Peering sieci wirtualnych umożliwia łączenie sieci wirtualnych. Łączenie równorzędne między sieciami wirtualnymi umożliwia prywatne kierowanie ruchu za pośrednictwem adresów IPv4. Maszyny wirtualne w równorzędnych sieciach wirtualnych mogą komunikować się ze sobą tak, jakby były w tej samej sieci. Połączenia sąsiedztwa VNet można również utworzyć w wielu subskrypcjach w ramach tej samej dzierżawy Microsoft Entra.
Czy usługa Azure Stack Hub obsługuje globalne połączenia równorzędne VNET?
Usługa Azure Stack Hub nie obsługuje globalne peering, ponieważ pojęcie "regionów" nie ma zastosowania.
W której aktualizacji Azure Stack Hub będzie dostępny peering sieci wirtualnych?
Peering sieci wirtualnych jest dostępny w usłudze Azure Stack Hub, począwszy od aktualizacji wersji 2008.
Czy mogę połączyć moją sieć wirtualną w usłudze Azure Stack Hub z siecią wirtualną na platformie Azure?
Nie, komunikacja równorzędna między platformą Azure i centrum usługi Azure Stack nie jest obecnie obsługiwana.
Czy mogę połączyć moją sieć wirtualną w usłudze Azure Stack Hub1 z siecią wirtualną w usłudze Azure Stack Hub2?
Nie, peering można tworzyć tylko między sieciami wirtualnymi w jednym systemie Azure Stack Hub. Aby uzyskać więcej informacji na temat łączenia dwóch sieci wirtualnych znajdujących się na różnych jednostkach, zobacz Nawiązywanie połączenia VNET z VNET w usłudze Azure Stack Hub.
Czy mogę włączyć peering, jeśli moje sieci wirtualne należą do subskrypcji w różnych dzierżawach Microsoft Entra?
Nie. Nie można ustanowić VNet Peering, jeśli subskrypcje należą do różnych dzierżawców Microsoft Entra. Jest to konkretne ograniczenie dotyczące usługi Azure Stack Hub.
Czy mogę połączyć swoją sieć wirtualną z siecią wirtualną w innej subskrypcji?
Tak. Sieci wirtualne można łączyć w trybie równorzędnym w różnych subskrypcjach, jeśli należą do tej samej dzierżawy Microsoft Entra.
Czy istnieją ograniczenia przepustowości dla połączeń równorzędnych?
Nie. Peering sieci wirtualnych nie narzuca żadnych ograniczeń przepustowości. Przepustowość jest ograniczona tylko przez maszynę wirtualną lub zasób obliczeniowy.
Moje łącze równorzędne sieci wirtualnej jest w stanie Zainicjowane, dlaczego nie mogę się połączyć?
Jeśli połączenie równorzędne jest w stanie Zainicjowano, oznacza to, że utworzono tylko jedno łącze. Aby nawiązać pomyślne połączenie, należy utworzyć łącze dwukierunkowe. Na przykład aby połączyć równorzędną sieć wirtualną A z siecią wirtualną B, należy utworzyć łącze z sieci wirtualnej A do sieci wirtualnej B, a z sieci wirtualnej B do sieci wirtualnej A. Utworzenie obu łączy zmienia stan na Połączono.
Moje połączenie peeringowe sieci wirtualnej jest w stanie Rozłączone, dlaczego nie mogę utworzyć połączenia peeringowego?
Jeśli połączenie peeringu sieci wirtualnej jest w stanie Rozłączone, oznacza to, że jeden z utworzonych łączy został usunięty. Aby ponownie nawiązać połączenie równorzędne, usuń połączenie i utwórz je ponownie.
Czy ruch komunikacji równorzędnej sieci wirtualnej jest szyfrowany?
Nie. Ruch między zasobami w równorzędnych sieciach wirtualnych jest prywatny i izolowany. Pozostaje całkowicie w warstwie SDN systemu Usługi Azure Stack Hub.
Jeśli sparuję sieć wirtualną A z siecią wirtualną B, a sieć wirtualną B z siecią wirtualną C, czy to oznacza, że sieć wirtualna A i sieć wirtualna C są sparowane?
Nie. Przechodnie peering nie jest obsługiwane. Musisz połączyć sieć wirtualną A z siecią wirtualną C.