通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将虚拟网络连接到虚拟 WAN 中心 - 门户

本文将帮助你使用 Azure 门户将虚拟网络连接到虚拟中心。 还可使用 PowerShell 来完成此任务。 针对要连接的每个 VNet 重复这些步骤。

在创建连接之前,请注意以下事项:

  • 一个虚拟网络一次只能连接到一个虚拟中心。
  • 若要将其连接到虚拟中心,远程虚拟网络不能有网关(ExpressRoute 或 VPN)或 RouteServer。
  • 若要创建到虚拟中心的跨租户虚拟网络连接,请参阅 将跨租户虚拟网络连接到虚拟 WAN 中心

重要说明

  • 如果虚拟中心存在 VPN 网关,则此操作以及连接的 VNet 上的任何其他写入操作都可能导致与点到站点客户端断开连接,并重新连接站点到站点隧道和 BGP 会话。

添加连接

  1. 在 Azure 门户中,转到“虚拟 WAN”,在左侧窗格中,选择“虚拟网络连接”。

  2. 在“虚拟网络连接”页上,选择“+ 添加连接”。

  3. 在“添加连接”页上,配置连接设置。 有关路由设置的信息,请参阅关于路由

    • 连接名称:为连接命名。
    • 中心:选择要与此连接关联的中心
    • 订阅:验证订阅。
    • 资源组:选择包含要连接的虚拟网络的资源组。
    • 虚拟网络:选择要连接到此中心的虚拟网络。 选择的虚拟网络不能包含现有的虚拟网络网关。
    • 不传播到任何内容:默认设置为“否”。 将开关更改为“是”会使“传播到路由表”和“传播到标签”的配置选项对配置不可用
    • 关联路由表:从下拉列表中,可以选择要关联的路由表。
    • 传播到标签:标签是路由表的逻辑组。 对于此设置,请从下拉列表中选择。
    • 静态路由:如有必要,请配置静态路由。 为网络虚拟设备配置静态路由(如果适用)。 对于虚拟网络连接中的静态路由,虚拟 WAN 支持单个下一个跃点 IP。 例如,如果你有一个单独的虚拟设备用于入口和出口流量,则最好将虚拟设备置于单独的 VNet 中,并将 VNet 连接到虚拟中心。
    • 绕过此 VNet 中的工作负载的下一个跃点 IP:此设置允许将 NVA 和其他工作负载部署到同一个 VNet 中,而无需强制所有流量通过 NVA。 只有在配置新连接时,才能配置此设置。 如果要将此设置用于已创建的连接,请删除该连接,然后添加新连接。
    • 传播静态路由:此设置允许将定义在Static routes部分的静态路由传播到Propagate to Route Tables中指定的路由表。 此外,路由将会传播到标签指定为“传播到标签”的路由表。 这些路由可以在中心之间传播,默认路由 0/0 除外。

  4. 完成要配置的设置后,选择“ 创建 ”以创建连接。

注意

  • 若要删除连接到虚拟中心的虚拟网络,必须删除虚拟网络连接和虚拟网络资源。

了解针对此 VNet 中工作负荷的“绕过下一个跃点 IP”

与虚拟 WAN 中心的虚拟网络连接具有名为 VNetLocalRouteOverrideCriteria 的可配置属性(Azure 门户中的“绕过此 VNet 中工作负载的下一个跃点 IP”)。

此属性定义了如何在虚拟 WAN 分支虚拟网络连接上配置静态路由时,将流量路由到部署在虚拟 WAN 分支 VNET 中的工作负载,并且虚拟网络地址空间包含在静态路由的子网内

  • 已禁用(默认值):匹配静态路由范围的所有流量都会通过下一跃点重定向,即使在发散 VNet 本身中也是如此
  • 已启用:发往分支地址空间中 IP 的流量会绕过静态路由并直接定向到目标,而其他流量则遵循配置的路由

可以通过以下步骤启用此功能:

  • 门户:创建 VNet 连接时,将“绕过此 VNet 中工作负载的下一个跃点 IP”设置为“是”(默认是“否”)
  • API/CLI/PowerShell:设置 vnetLocalRouteOverrideCriteria = "equals" (默认值为 "contains"

注意

只能在创建 VNet 连接期间配置此功能。 若要在现有连接上启用它,必须删除并重新创建 VNet 连接。

设计方案

您已设置了一个虚拟 WAN 集线器,连接到两个网络分支:

  • NVA 分支:包含一个负载均衡器(10.2.0.1),用于路由两个 NVA 虚拟机实例(10.2.0.2 和 10.2.0.3)之间的流量。 此分支还直接对等连接到另一个 VNet(间接分支),该分支包含 IP 为 10.2.1.1 的 VM。
  • 直接分支:直接连接到 Virtual WAN 中心的另一个 VNet。 此 VNet 包含 IP 10.0.0.1 的 VM。

屏幕截图显示了描述的设计图。

在 NVAConn 上配置静态路由,以确保任何旨在到达 NVA 辐射点或间接辐射点的流量都通过 IP 10.2.0.1 的负载均衡器路由。

显示上述静态路由的屏幕截图。

已禁用 VNetLocalRouteOverrideCriteria 时的网络流量行为

如果“绕过此 VNet 中工作负载的下一个跃点 IP”已禁用/vnetLocalRouteOverrideCriteria = contains,则:

  • 从直连节点到 NVA 节点的虚拟机(例如 10.2.0.2)的流量将通过静态路由重定向到负载均衡器(10.2.0.1)。 这可能会导致路由到意外的 VM 实例(例如,原本计划发送到 10.2.0.3 的流量被路由到 10.2.0.2,路径可能因负载均衡器的哈希而有所不同)。
    • 预期流量:蓝线
    • 实际流量流:红线

该屏幕截图显示了禁用“绕过下一个跃点 IP”时的流量流示意图,流量被发送到分支中的某个范围。

  • 更广泛的静态路由中的流量也将路由到负载均衡器。 例如,由于静态路由,从直接辐射 VM(10.0.0.1)到间接辐射 VM(10.2.1.1)的流量也会通过负载均衡器路由。

截屏显示了当禁用“绕过下一跳 IP”且流量未发送到辐射范围内时的流量流动图。

启用“绕过下一个跃点 IP”时的流量行为

如果“绕过此 VNet 中工作负载的下一个跃点 IP”已启用/vnetLocalRouteOverrideCriteria = equals

  • 流向 NVA 分支前缀中的地址的流量会绕过静态路由,直接流向目标 VM(例如 10.2.0.3)。
    • 流量流:从 10.0.0.1 到 10.2.0.3 的蓝线
  • 面向 NVA 分支前缀之外的地址(但仍在静态路由范围内)的流量,例如间接分支中的 10.2.1.1,继续遵循静态路由,并发送到负载均衡器。
    • 流量流:红线从 10.0.0.1 到 10.2.1.1(路径可能因负载均衡器哈希而异)

该屏幕截图显示了启用“绕过下一个跃点 IP”时不同流量流的示意图。

后续步骤

有关虚拟 WAN 的详细信息,请参阅虚拟 WAN 常见问题解答

  • Last updated on