Peering virtuálních sítí
Partnerský vztah virtuálních sítí umožňuje bezproblémově připojit dvě nebo více virtuálních sítí v Azure. Virtuální sítě se zobrazují jako virtuální sítě pro účely připojení. Provoz mezi virtuálními počítači v partnerských virtuálních sítích využívá páteřní infrastrukturu Microsoftu. Stejně jako provoz mezi virtuálními počítači ve stejné síti se provoz směruje jenom přes privátní síť Microsoftu.
podpora Azure následující typy peeringu:
Partnerský vztah virtuálních sítí: Připojení virtuální sítě ve stejné oblasti Azure.
Globální partnerský vztah virtuálních sítí: Připojení virtuální sítě napříč oblastmi Azure.
Mezi výhody partnerských vztahů virtuálních sítí (místních i globálních) patří:
Nízká latence a velká šířka pásma při propojení prostředků v různých virtuálních sítích.
Schopnost prostředků v jedné virtuální síti komunikovat s prostředky v jiné virtuální síti.
Možnost přenášet data mezi virtuálními sítěmi napříč předplatnými Azure, tenanty Microsoft Entra, modely nasazení a oblastmi Azure.
Možnost peeringu virtuálních sítí vytvořených prostřednictvím Azure Resource Manageru
Možnost vytvoření partnerského vztahu virtuální sítě vytvořené prostřednictvím Resource Manageru k virtuální síti vytvořené prostřednictvím modelu nasazení Classic. Další informace o modelech nasazení Azure najdete v článku Vysvětlení modelů nasazení Azure.
Žádný výpadek prostředků ve virtuálních sítích při vytváření partnerského vztahu ani po jeho vytvoření.
Provoz mezi partnerskými virtuálními sítěmi je privátní. Provoz mezi virtuálními sítěmi probíhá na páteřní síti Microsoftu. Komunikace mezi partnerskými virtuálními sítěmi nevyžaduje veřejný internet, brány ani šifrování.
Připojení
V případě partnerských virtuálních sítí se prostředky v obou virtuálních sítích můžou přímo připojit k prostředkům v partnerské virtuální síti.
Latence sítě mezi virtuálními počítači v partnerských virtuálních sítích ve stejné oblasti je stejná jako latence v rámci jedné virtuální sítě. Propustnost sítě závisí na šířce pásma, která je pro daný virtuální počítač povolená na základě jeho velikosti. V rámci partnerského vztahu neexistuje žádné další omezení šířky pásma.
Provoz mezi virtuálními počítači v partnerských virtuálních sítích je směrován přímo přes páteřní infrastrukturu Microsoftu, ne prostřednictvím brány ani přes veřejný internet.
Skupiny zabezpečení sítě můžete použít buď ve virtuální síti, abyste zablokovali přístup k jiným virtuálním sítím nebo podsítím. Při konfiguraci partnerského vztahu virtuálních sítí otevřete nebo zavřete pravidla skupiny zabezpečení sítě mezi virtuálními sítěmi. Pokud otevřete úplné připojení mezi partnerskými virtuálními sítěmi, můžete použít skupiny zabezpečení sítě k blokování nebo odepření konkrétního přístupu. Výchozí možností je úplné připojení. Další informace o skupinách zabezpečení sítě najdete v tématu Skupiny zabezpečení.
Změna velikosti adresního prostoru virtuálních sítí Azure, které jsou v partnerském vztahu
Můžete změnit velikost adresního prostoru virtuálních sítí Azure, které jsou v partnerském vztahu, aniž by došlo k výpadkům v aktuálně partnerském adresního prostoru. Tato funkce je užitečná, když po škálování úloh potřebujete změnit velikost adresního prostoru virtuální sítě. Jakmile se změní velikost adresního prostoru, musí se partnerský vztah synchronizovat se změnami nového adresního prostoru. Změna velikosti funguje pro adresní prostory IPv4 i IPv6.
Velikost adres se dá změnit následujícími způsoby:
Úprava předpony rozsahu adres existujícího rozsahu adres (například změna 10.1.0.0/16 na 10.1.0.0/18)
Přidání rozsahů adres do virtuální sítě
Odstranění rozsahů adres z virtuální sítě
Změna velikosti adresního prostoru je podporována napříč tenanty.
Synchronizaci partnerských vztahů virtuálních sítí je možné provádět prostřednictvím webu Azure Portal nebo pomocí Azure PowerShellu. Doporučujeme spustit synchronizaci po každé operaci změny velikosti adresního prostoru místo provádění několika operací změny velikosti a spuštění operace synchronizace. Informace o tom, jak aktualizovat adresní prostor pro partnerský virtuální síť, najdete v tématu Aktualizace adresního prostoru pro partnerský virtuální síť.
Důležité
Tato funkce nepodporuje scénáře, ve kterých je virtuální síť, se kterou se má aktualizovat, v partnerském vztahu:
- Klasická virtuální síť
Řetězení služeb
Řetězení služeb umožňuje směrovat provoz z jedné virtuální sítě na virtuální zařízení nebo bránu v partnerské síti prostřednictvím uživatelsky definovaných tras.
Pokud chcete povolit řetězení služeb, nakonfigurujte trasy definované uživatelem, které odkazují na virtuální počítače v partnerských virtuálních sítích jako IP adresu dalšího segmentu směrování . Trasy definované uživatelem můžou také odkazovat na brány virtuální sítě, aby bylo možné řetězení služeb.
Můžete nasadit hvězdicové sítě, kde centrální virtuální síť hostuje komponenty infrastruktury, jako je síťové virtuální zařízení nebo brána VPN. Všechny uvedené virtuální sítě pak můžou vytvořit partnerský vztah s centrální virtuální sítí. Provoz prochází síťovými virtuálními zařízeními nebo bránami VPN v centrální virtuální síti.
Partnerské vztahy virtuálních sítí umožňují, aby další segment směrování v uživatelsky definované trase byl IP adresou virtuálního počítače v partnerské virtuální síti nebo branou VPN. Mezi virtuálními sítěmi nemůžete směrovat pomocí trasy definované uživatelem, která jako typ dalšího segmentu směrování určuje bránu Azure ExpressRoute. Další informace o uživatelsky definovaných trasách najdete v přehledu uživatelsky definovaných tras. Informace o vytvoření hvězdicové síťové topologie najdete v tématu Hvězdicová síťová topologie v Azure.
Brány a místní připojení
Každá virtuální síť, včetně partnerské virtuální sítě, může mít svou vlastní bránu. Virtuální síť může použít svou bránu pro připojení k místní síti. Můžete také nakonfigurovat připojení virtuální sítě k virtuální síti pomocí bran, a to i pro partnerské virtuální sítě.
Když nakonfigurujete obě možnosti pro propojení virtuální sítě, provoz mezi virtuálními sítěmi prochází přes konfiguraci partnerského vztahu. Provoz využívá páteřní síť Azure.
Bránu v partnerské virtuální síti můžete také nakonfigurovat jako tranzitní bod do místní sítě. V takovém případě nemůže mít virtuální síť, která používá vzdálenou bránu, vlastní bránu. Virtuální síť může mít jenom jednu bránu, brána by měla být místní nebo vzdálená brána v partnerské virtuální síti, jak je znázorněno v následujícím diagramu:
Partnerský vztah virtuálních sítí i globální partnerský vztah virtuálních sítí podporují průchod bránou.
Podporuje se průchod bránou mezi virtuálními sítěmi vytvořenými prostřednictvím různých modelů nasazení. Brána musí být ve virtuální síti v modelu Resource Manageru. Další informace o použití brány k průchodu najdete v tématu o konfiguraci brány VPN pro průchod v partnerském vztahu virtuální sítě.
Když vytvoříte partnerský vztah mezi virtuálními sítěmi, které sdílejí jedno připojení Azure ExpressRoute, provoz mezi nimi prochází vztahem partnerského vztahu. Tento provoz využívá páteřní síť Azure. K připojení k místnímu okruhu lze v obou sítích nadále používat místní brány. V opačném případě můžete použít sdílenou bránu a nakonfigurovat průchod pro místní připojení.
Odstranění potíží
Pokud chcete ověřit, že jsou virtuální sítě v partnerském vztahu, můžete zkontrolovat efektivní trasy. Zkontrolujte trasy síťového rozhraní v libovolné podsíti ve virtuální síti. Pokud partnerský vztah virtuální sítě existuje, mají všechny podsítě virtuální sítě trasy s typem dalšího přechodu VNet peering, a to u každého adresního prostoru v každé partnerské virtuální síti. Další informace najdete v tématu Diagnostika potíží se směrováním virtuálních počítačů.
Můžete také řešit potíže s připojením k virtuálnímu počítači v partnerské virtuální síti pomocí služby Azure Network Watcher. Kontrola připojení umožňuje zjistit, jak se provoz směruje ze síťového rozhraní zdrojového virtuálního počítače do síťového rozhraní cílového virtuálního počítače. Další informace najdete v tématu Řešení potíží s připojeními ke službě Azure Network Watcher pomocí webu Azure Portal.
Můžete také vyzkoušet řešení potíží s partnerskými vztahy virtuálních sítí.
Omezení pro partnerské virtuální sítě
Následující omezení platí jenom v případech, kdy jsou virtuální sítě globálně v partnerském vztahu:
Prostředky v jedné virtuální síti nemůžou komunikovat s front-endovou IP adresou Load Balanceru úrovně Basic (interní nebo veřejné) v globálně partnerské virtuální síti.
Některé služby, které používají nástroj pro vyrovnávání zatížení úrovně Basic, nefungují přes globální partnerský vztah virtuálních sítí. Další informace najdete v tématu Jaká jsou omezení týkající se globálního partnerského vztahu virtuálních sítí a nástrojů pro vyrovnávání zatížení?
Další informace najdete v tématu Požadavky a omezení. Další informace o podporovaném počtu partnerských vztahů najdete v tématu Omezení sítě.
Oprávnění
Další informace o oprávněních potřebných k vytvoření partnerského vztahu virtuálních sítí najdete v tématu Oprávnění.
Ocenění
Za příchozí a odchozí provoz, který používá připojení peeringu virtuální sítě, se účtuje nominální poplatek. Další informace najdete v tématu Ceny služby Virtual Network.
Průchod bránou je vlastnost partnerského vztahu, která umožňuje virtuální síti využívat bránu VPN/ExpressRoute v partnerské virtuální síti. Průchod bránou funguje jak pro připojení mezi místními sítěmi, tak pro připojení k síti. Provoz do brány (příchozí nebo výchozí přenos dat) v partnerské virtuální síti způsobuje poplatky za partnerské vztahy virtuálních sítí v paprskové virtuální síti (nebo virtuální síť bez brány VPN). Další informace najdete v tématu Ceny služby VPN Gateway za poplatky za brány VPN a ceny za expressRoute Gateway za poplatky za bránu ExpressRoute.
Poznámka:
Předchozí verze tohoto dokumentu uvedla, že poplatky za partnerské vztahy virtuálních sítí se u paprskové virtuální sítě (nebo virtuální sítě bez brány) s přenosem brány nevztahují. Teď odráží přesné ceny na stránce s cenami.
Další kroky
Můžete vytvořit partnerský vztah mezi dvěma virtuálními sítěmi. Sítě můžou patřit do stejného předplatného, různých modelů nasazení ve stejném předplatném nebo do různých předplatných. Dokončete kurz pro jeden z následujících scénářů:
Model nasazení Azure Předplatné Obě Resource Manager Stejné Různé Jedna Resource Manager, druhá Classic Stejné Různé Informace o vytvoření hvězdicové síťové topologie najdete v tématu Hvězdicová síťová topologie v Azure.
Informace o všech nastaveních partnerského vztahu virtuálních sítí najdete v tématu Vytvoření, změna nebo odstranění partnerského vztahu virtuálních sítí.
Odpovědi na běžné dotazy týkající se partnerských vztahů virtuálních sítí a globálních partnerských vztahů virtuálních sítí najdete v tématu VNet Peering.