Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Virtual Network Manager upraszcza zarządzanie łącznością, zabezpieczeniami, routingiem i nie tylko w środowisku sieci platformy Azure. Konfiguracje łączności, w tym topologie siatki i szprych, ułatwiają optymalizowanie wydajności sieci i łączności w skali organizacji. W tym artykule opisano funkcje, takie jak grupy połączone na dużą skalę i globalna łączność siatki, a także przypadki użycia i ustawienia dla każdej topologii.
Konfiguracja łączności
Dzięki konfiguracjom łączności można tworzyć i obsługiwać różne topologie sieci na podstawie potrzeb sieci. Masz dwie topologie do wyboru: siatkę i piastę i szprychę. Ustawienia konfiguracji łączności definiują łączność między sieciami wirtualnymi. Należy zdefiniować sieci wirtualne, dla których chcesz ustanowić łączność za pośrednictwem grup sieciowych. Konfiguracja łączności używa następnie grup sieci do ustanowienia łączności zgodnie z opisem żądanej topologii wśród sieci wirtualnych w grupach sieci.
Jeśli włączysz usuwanie istniejących komunikacji równorzędnych dla konfiguracji łączności, usługa Azure Virtual Network Manager usunie wszelkie komunikacje równorzędne, które nie są zgodne z zawartością tej konfiguracji łączności, nawet jeśli te komunikacje równorzędne zostały utworzone ręcznie po wdrożeniu tej konfiguracji. Jeśli usuniesz sieć wirtualną z grupy sieciowej używanej w konfiguracji, wystąpienie usługi Azure Virtual Network Manager usunie tylko utworzoną łączność.
Podczas wdrażania konfiguracji łączności, Azure Virtual Network Manager ustanawia łączność dwukierunkową za pośrednictwem peeringów sieci wirtualnych (dla hub-and-spoke topologii) lub za pośrednictwem połączonych grup (dla mesh topologii) między sieciami wirtualnymi. Ta łączność jest ustanawiana zgodnie z ustawieniami zdefiniowanymi i grupami sieci zawartymi w konfiguracji łączności.
Topologia siatki
Topologia siatki definiuje łączność między każdą siecią wirtualną w grupie sieci. Wszystkie sieci wirtualne członkowskie są połączone i mogą przekazywać ruch dwukierunkowo do siebie.
Typowym przypadkiem użycia topologii siatki jest umożliwienie sieciom wirtualnym szprych w topologii piasty i szprych bezpośrednie komunikowanie się ze sobą bez kierowania ruchu przez sieć wirtualną piasty. Takie podejście zmniejsza opóźnienie, które w przeciwnym razie może wynikać z routingu ruchu przez router w koncentratonie. Ponadto można zachować bezpieczeństwo i nadzór nad bezpośrednimi połączeniami między sieciami wirtualnymi szprych, implementując reguły administratora zabezpieczeń w usłudze Azure Virtual Network Manager lub reguły grupy zabezpieczeń sieci. Ruch można również monitorować i rejestrować przy użyciu dzienników przepływu sieci wirtualnej.
Domyślnie topologia siatki zdefiniowana w konfiguracji łączności to siatka regionalna, co oznacza, że tylko sieci wirtualne w tym samym regionie mogą komunikować się ze sobą. Możesz włączyć opcję globalnej siatki w konfiguracji łączności w celu ustanowienia łączności między sieciami wirtualnymi we wszystkich regionach świadczenia usługi Azure.
Uwaga
Przestrzenie adresowe sieci wirtualnej mogą nakładać się w konfiguracji siatki, w przeciwieństwie do peeringu sieci wirtualnych, ale ruch między podsieciami z nakładającymi się przestrzeniami adresowymi jest odrzucony, ponieważ routing jest niedeterministyczny.
Za kulisami: zintegrowana grupa
Podczas tworzenia topologii siatki lub włączania bezpośredniej łączności w topologii piasty i szprych tworzy się nową konstrukcję łączności wyłącznie z usługą Azure Virtual Network Manager. Ta konstrukcja jest nazywana połączoną grupą. Sieci wirtualne w połączonej grupie mogą komunikować się ze sobą tak samo jak ręcznie połączone sieci wirtualne. Gdy obserwujesz efektywne trasy dla interfejsu sieciowego, zobaczysz typ następnego przeskoku ConnectedGroup. Sieci wirtualne połączone ze sobą w połączonej grupie nie mają konfiguracji komunikacji równorzędnej wymienionej w obszarze Komunikacja równorzędna dla sieci wirtualnej. Ta połączona grupa umożliwia usłudze Azure Virtual Network Manager obsługę łączności sieci wirtualnej na większą skalę niż tradycyjne połączenia równorzędne sieci wirtualnych.
Uwaga
Sieć wirtualna może być częścią maksymalnie dwóch połączonych grup, co oznacza, że może być częścią maksymalnie dwóch topologii siatki.
Włącz prywatne punkty końcowe o dużej skali w połączonych grupach Azure Virtual Network Manager
Funkcja prywatnego punktu końcowego usługi Azure Virtual Network Manager na dużą skalę w połączonej grupie umożliwia rozszerzenie pojemności sieci. Wykonaj poniższe kroki, aby umożliwić tej funkcji obsługę maksymalnie 20 000 prywatnych punktów końcowych w połączonej grupie.
Przygotuj każdą sieć wirtualną w połączonej grupie
Zapoznaj się z artykułem Zwiększanie limitów sieci wirtualnej prywatnego punktu końcowego , aby uzyskać szczegółowe wskazówki dotyczące podnoszenia tych limitów. Włączenie lub wyłączenie tej funkcji inicjuje jednorazowe resetowanie połączenia. Wykonaj te zmiany w oknie obsługi.
W każdej sieci wirtualnej w połączonej grupie skonfiguruj zasady sieci prywatnego punktu końcowego na wartość
EnabledlubRouteTableEnabled. To ustawienie zapewnia gotowość sieci wirtualnych do obsługi funkcji prywatnych punktów końcowych o dużej skali. Aby uzyskać szczegółowe wskazówki, zobacz Zwiększanie limitów sieci wirtualnej prywatnego punktu końcowego.
Konfigurowanie topologii siatki dla prywatnych punktów końcowych o dużej skali
W tym kroku skonfigurujesz ustawienia topologii siatki konfiguracji łączności dla połączonej grupy w celu włączenia prywatnych punktów końcowych na dużą skalę. Ten krok obejmuje wybranie odpowiednich opcji w witrynie Azure Portal i zweryfikowanie konfiguracji.
W konfiguracji łączności siatki znajdź i zaznacz pole wyboru Włącz prywatne punkty końcowe w dużej skali. Ta opcja aktywuje funkcję o dużej skali dla połączonej grupy.
Sprawdź, czy każda sieć wirtualna w całej siatce (połączona grupa) jest skonfigurowana z prywatnymi punktami końcowymi o dużej skali. Witryna Azure Portal weryfikuje ustawienia w całej grupie. Jeśli później dodasz sieć wirtualną bez konfiguracji o dużej skali, nie będzie ona mogła komunikować się z prywatnymi punktami końcowymi w innych sieciach wirtualnych.
Po sprawdzeniu, czy wszystkie sieci wirtualne są prawidłowo skonfigurowane, wdróż konfigurację łączności. Ten krok finalizuje konfigurację połączonej grupy o dużej skali.
Włączanie łączności na dużą skalę w połączonych grupach usługi Azure Virtual Network Manager
Funkcja łączności usługi Azure Virtual Network Manager na dużą skalę w funkcji połączonej grupy umożliwia rozszerzenie pojemności sieci. Aby użyć tej funkcji, zarejestruj funkcję w wersji zapoznawczej "AllowHighScaleConnectedGroup" (można ją znaleźć przy użyciu nazwy wyświetlanej "Włącz połączoną grupę o dużej skali"). Ta funkcja umożliwia połączonej grupie w obsługiwanych regionach posiadanie maksymalnie do 5000 sieci wirtualnych.
Topologia piasty i szprych
Topologia piasty i szprych definiuje łączność między wybraną siecią wirtualną piasty a sieciami wirtualnymi szprych, które są członkami co najmniej jednej wybranej grupy sieci szprych. W konfiguracji centralna sieć wirtualna uzyskuje dwukierunkową komunikację równorzędną z wirtualnymi sieciami członków każdej grupy sieci szprych. Ta topologia jest przydatna do izolowania sieci wirtualnej, ale nadal utrzymuje łączność z typowymi zasobami w sieci wirtualnej koncentratora.
W tej konfiguracji można włączyć ustawienia, takie jak bezpośrednia łączność między sieciami wirtualnymi szprych, które należą do tej samej grupy sieci szprych. Domyślnie ta łączność jest ustanawiana tylko dla sieci wirtualnych w tym samym regionie. Aby zezwolić na łączność w różnych regionach Azure, należy włączyć ustawienie dla global mesh dla grupy sieci szprych. Możesz również włączyć tranzyt bramy, aby umożliwić sieciom wirtualnym typu ‘spoke’ korzystanie z bramy VPN lub ExpressRoute wdrożonej w sieci wirtualnej typu ‘hub’.
Włączanie łączności bezpośredniej
Po włączeniu bezpośredniej łączności dla grupy sieci szprych, tworzy się siatkę i tym samym połączoną grupę w sieciach wirtualnych tej grupy sieci szprych w topologii piasty i szprych. Bezpośrednia łączność umożliwia sieci wirtualnej bezpośrednie rozmowy z innymi sieciami wirtualnymi w ramach grupy sieci szprych, ale nie umożliwia łączności z sieciami wirtualnymi w innych grupach sieci szprych.
Można na przykład utworzyć dwie grupy sieci i dołączyć je jako grupy sieci szprych w konfiguracji łączności piasty i szprych. Włącz bezpośrednią łączność dla grupy sieci produkcyjnej , ale nie dla grupy sieci Test. Ta konfiguracja łączy sieć wirtualną koncentratora ze wszystkimi sieciami wirtualnymi w grupach sieci produkcyjnych i testowych , ale zezwala tylko sieciom wirtualnym w grupie Sieci produkcyjnej na komunikowanie się ze sobą. Sieci wirtualne grupy sieci produkcyjnej nie mają łączności z sieciami wirtualnymi grupy testowej, a sieci wirtualne grupy testowej nie mają łączności między sobą (chyba że włączysz również bezpośrednią łączność dla grupy sieci testowej).
Gdy spojrzysz na skuteczne trasy na maszynie wirtualnej, trasa między hubem a sieciami wirtualnymi typu spoke ma typ następnego przeskoku VNetPeering lub GlobalVNetPeering. Trasy między sieciami wirtualnymi typu spoke są wyświetlane z typem kolejnego przeskoku ConnectedGroup. W przykładzie Production i Test tylko grupa sieci Produkcyjna ma grupę ConnectedGroup, ponieważ ma włączoną bezpośrednią łączność.
Bezpośrednia łączność między sieciami wirtualnymi typu "spoke" może być przydatna, gdy chcesz mieć wirtualne urządzenie sieciowe (NVA) lub wspólną usługę w sieci wirtualnej typu "hub", ale nie jest konieczny stały dostęp do "hubu", aby zaufane sieci wirtualne typu "spoke" mogły komunikować się ze sobą. W porównaniu z tradycyjnymi sieciami piasty i szprych ta topologia poprawia wydajność, usuwając dodatkowy przeskok przez sieć wirtualną piasty.
Siatka globalna
Podobnie jak w przypadku topologii siatki, grupa sieci szprych z włączoną bezpośrednią łącznością jest domyślnie skonfigurowana jako regionalna. Możesz włączyć siatkę globalną, aby wirtualne sieci grupy sieci szkieletowej mogły komunikować się ze sobą w różnych regionach. Ta łączność jest ograniczona do sieci wirtualnych w tej samej grupie sieci. Aby włączyć tę globalną łączność siatki dla sieci wirtualnych w różnych regionach, należy włączyć łączność siatki między regionami dla grupy sieciowej. Połączenia utworzone między sieciami wirtualnymi typu 'spoke' znajdują się w grupie połączeń.
Używanie koncentratora jako bramy
Inną opcją, którą można włączyć w konfiguracji piasty i szprych, jest użycie koncentratora jako bramy. To ustawienie umożliwia wszystkim sieciom wirtualnym w grupie sieci szprychowej korzystanie z bramy VPN lub ExpressRoute w sieci wirtualnej koncentratora do przekazywania ruchu. Zobacz Bramy i łączność lokalna.
Podczas wdrażania topologii gwiaździstej w portalu Azure, opcja Użyj koncentratora jako bramy jest domyślnie włączona dla wirtualnych sieci szprych w grupie sieci. Usługa Azure Virtual Network Manager próbuje utworzyć połączenie równorzędne sieci wirtualnych między siecią wirtualną koncentratora a sieciami wirtualnymi w grupach sieci rozgałęzionej. Jeśli włączysz tę opcję, ale brama nie istnieje w sieci wirtualnej koncentratora, tworzenie peeringu z wirtualnej sieci szprychy do koncentratora zakończy się niepowodzeniem. Połączenie komunikacji równorzędnej między hubem a szprychą jest nadal obecne, ale brak nawiązanego połączenia.
Odnajdywanie topologii grup sieci za pomocą widoku topologii
Aby ułatwić zrozumienie topologii grupy sieciowej, usługa Azure Virtual Network Manager udostępnia widok topologii , który wyświetla łączność między grupami sieciowymi a sieciami wirtualnymi należącymi do niej. Topologię konfiguracji łączności można wyświetlić podczas tworzenia konfiguracji łączności , wykonując następujące kroki:
Przejdź do strony Konfiguracje i utwórz konfigurację łączności.
Na karcie Topologia wybierz żądany typ topologii, dodaj co najmniej jedną grupę sieciową do topologii i skonfiguruj inne żądane ustawienia łączności.
Wybierz kartę Wyświetl topologię , aby wizualnie przejrzeć bieżącą łączność konfiguracji.
Ukończ tworzenie konfiguracji łączności.
Bieżącą topologię konfiguracji łączności można przejrzeć, wybierając pozycję Wyświetl topologię w obszarze Ustawienia na stronie szczegółów konfiguracji. Widok przedstawia łączność między sieciami wirtualnymi, które są częścią tej konfiguracji łączności.
Jak uniknąć nakładających się adresów w siatkę
Domyślnie usługa Azure Virtual Network Manager zezwala na adresy nakładające się na siebie w sieci typu mesh. W przypadku dodania dwóch sieci wirtualnych z tą samą przestrzenią adresową do sieci siatki nakładające się przestrzenie adresowe zostaną usunięte z siatki, więc komunikacja z zasobami w tej przestrzeni adresowej nie będzie działać. Dzieje się tak, ponieważ gdy ruch jest wysyłany do tej przestrzeni adresowej, usługa Azure Virtual Network Manager nie może określić, która sieć wirtualna powinna odbierać ruch. Chociaż to zachowanie chroni integralność siatki, może to spowodować awarie w przypadku dodania nowej nakładające się sieci wirtualnej do istniejącej siatki.
Usługa Azure Virtual Network Manager udostępnia mechanizm uniemożliwiający nakładające się przestrzenie adresów IP w obrębie siatki.
Użyj właściwości ConnectedGroupAddressOverlap
Konfiguracja łączności zawiera właściwość — : ConnectedGroupAddressOverlap
- Ustawienie domyślne: Dozwolone
- Ustawienie opcjonalne: niedozwolone
Po ustawieniu tej właściwości na Disallowed, Azure Virtual Network Manager wymusza ścisłe, nienakładające się przestrzenie adresowe w sieciach wirtualnych, które są połączone.
Co się stanie po włączeniu opcji Niedozwolone?
Po ustawieniu właściwości na Disallowed, menedżer usługi Azure Virtual Network Manager weryfikuje zmiany adresów, które mogą mieć wpływ na łączność w siatce.
Dodawanie sieci wirtualnej do siatki
Usługa Azure Virtual Network Manager automatycznie sprawdza, czy przestrzeń adresowa nowej sieci wirtualnej nie nakłada się na istniejące elementy członkowskie. Jeśli wykryje nakładanie się, nie dodaje sieci wirtualnej do siatki.
Aktualizowanie przestrzeni adresowej lub dodawanie połączenia równorzędnego
Usługa Azure Virtual Network Manager weryfikuje wszelkie aktualizacje, które mogą mieć wpływ na ogólną przestrzeń adresową siatki, aby upewnić się, że nie nakłada się na siebie. Przykłady zmian obejmują aktualizowanie przestrzeni adresowej sieci wirtualnej typu mesh, tworzenie połączenia równorzędnego z siecią wirtualną, która jest częścią siatki, lub zmienianie przestrzeni adresowej w równorzędnej sieci wirtualnej.
Jak wymusić peering przy użyciu Azure Virtual Network Manager
Usługa Azure Virtual Network Manager umożliwia wymuszanie relacji peeringowych w topologii sieci w celu zapewnienia silniejszego zarządzania i zgodności. Wymuszanie gwarantuje, że nie można usuwać ani modyfikować połączeń równorzędnych poza Azure Virtual Network Manager. Dotyczy zarówno nowych, jak i istniejących peeringów w topologii piasty i szprych.
Tworzenie konfiguracji typu hub-and-spoke z wymuszonym przełączaniem równorzędnym
Aby wymusić peering, należy włączyć opcję wymuszania peeringu podczas tworzenia konfiguracji łączności typu piasta-szprychy.
| Metoda | Instrukcje |
|---|---|
| Portal Azure | Zaznacz pole wyboru Wymuszaj peering podczas konfiguracji. |
| Interfejs wiersza polecenia Azure / pozostali klienci | Ustaw właściwość peeringEnforcement w obszarze connectivityCapabilities na Enforced. |
Wdrażanie konfiguracji łączności
Po utworzeniu i wdrożeniu tej konfiguracji:
- Wszystkie komunikacje równorzędne utworzone przez usługę Azure Virtual Network Manager lub wstępnie istniejące komunikacje równorzędne klientów wewnątrz topologii stają się wymuszane.
- Jeśli peering należy do więcej niż jednej topologii, każda konfiguracja oznaczona jako wymuszona wymusza ten peering.
Jak usunąć wymuszanie komunikacji równorzędnej
Aby usunąć wymuszanie:
- Zaktualizuj konfigurację łączności na
Unenforced. - Ponownie wdróż konfigurację.
Następne kroki
- Dowiedz się, jak utworzyć konfigurację łączności siatki.
- Dowiedz się, jak utworzyć konfigurację połączeń typu hub-and-spoke.
- Utwórz bezpieczną topologię piasty i szprych w tym samouczku.
- Dowiedz się, jak wdrożyć topologię piasty i szprych za pomocą usługi Azure Firewall.
- Omówienie wdrożeń konfiguracji w celu efektywnego zarządzania ustawieniami sieci.
- Blokuj niepożądany ruch sieciowy przy użyciu konfiguracji administratora zabezpieczeń.
- Wdróż Azure Virtual Network Manager przy użyciu narzędzia Terraform, aby szybko skonfigurować środowisko.