Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Important
Použití rozbočovače Azure Virtual WAN v konfiguracích připojení typu hub-and-spoke v Azure Virtual Network Manageru je momentálně ve verzi Preview. Ve verzi Preview se funkce, dostupnost a další aspekty této funkce můžou v reakci na zpětnou vazbu změnit.
Tato verze Preview je poskytována bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy. Některé funkce nemusí být podporované nebo můžou mít omezené možnosti.
Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.
Přehled
Azure Virtual Network Manager může jako centrum pro hvězdicové síťové topologie využívat centrum Virtual WAN. Díky tomu můžete dynamicky seskupovat virtuální sítě Azure do Skupin sítí a nasadit konfigurace připojení pro připojení Skupin sítí k centru Virtual WAN.
Konfigurace připojení ve Virtual Network Manageru také přiřazují vaše skupiny sítí k zásadě připojení v centru Virtual WAN , čímž zajišťují, že všechna připojení k centru Virtual WAN mají stejnou konfiguraci směrování. Zásady připojení spravují následující nastavení připojení Virtual Network:
- Povolit internetové zabezpečení: když je Virtual WAN nakonfigurována tak, aby směrovala internetový provoz přes firewall nebo síťové virtuální zařízení (NVA), určuje, zda se výchozí směrování (0.0.0.0/0) oznamuje do spoke virtuálních sítí.
- Mapy tras: přiřaďte, které mapy tras se použijí pro Virtual Network připojení.
- Konfigurace směrování: určete, ze které směrovací tabulky služby Virtual WAN se připojení virtuální sítě učí trasy a do kterých směrovacích tabulek virtuální síť propaguje trasy.
Podrobné pokyny k použití této integrace najdete v tématu Konfigurování centra Virtual WAN pro Network Manager.
Klíčové aspekty pro interakce Virtual WAN a Network Manageru
Následující tabulka shrnuje důležité chování a omezení, která je potřeba vzít v úvahu při použití Azure Virtual Network Manager s Virtual WAN.
| Area | Consideration | Doprovodné materiály |
|---|---|---|
| Rozsah centra | Jednu Virtual Network Manager skupinu sítě a zásady připojení je možné použít pouze v jednom centru Virtual WAN. | Pokud chcete spravovat připojení k více Virtual WAN rozbočovačům, vytvořte pro každé centrum samostatné skupiny sítě a zásady připojení. |
| Aktualizace zásad připojení | Virtual Network Manager umožňuje aktualizovat zásady připojení Virtual WAN používané konfigurací připojení. | Upravte aktuálně přidružené zásady připojení, aby se změny směrování okamžitě použily u všech virtuálních sítí ve skupině sítě, nebo přidružte jiné zásady připojení k dílčí fázi a nasaďte změny postupně. |
| Odebrání členů skupiny sítě | Odebrání virtuální sítě ze skupiny sítě připojené k Virtual WAN odpojí virtuální síť od centra Virtual WAN. | Před odebráním virtuální sítě ze skupiny sítí ověřte, zda se má odebrat také připojení k rozbočovači. |
| Existující uživatelsky vytvořená připojení | Pokud se existující uživatelem vytvořené připojení Virtual WAN virtuální sítě přidá do skupiny sítě připojené k centru Virtual WAN, Virtual Network Manager zachová připojení vytvořené uživatelem. Odebráním virtuální sítě ze skupiny sítí se neodebere původní uživatelem vytvořené připojení. | Pokud je potřebujete odebrat, odeberte uživatelsky vytvořená připojení ručně. |
| Přímé připojení | Virtual Network Manager může umožnit přímé připojení mezi virtuálními sítěmi ve skupině sítě připojené k centru Virtual WAN, které tvoří připojenou skupinu nebo síť. Pokud je tato možnost povolena, provoz mezi virtuálními sítěmi v rámci skupiny sítí je směrován přímo mezi virtuálními sítěmi místo toho, aby procházel přes centrum Virtual WAN. | Konfigurace připojených skupin a mesh konfigurace mají přednost před záměrem směrování nebo konfiguracemi směrování, které odesílají provoz z virtuální sítě do virtuální sítě do řešení zabezpečení nasazeného v centru Virtual WAN. |
| Zásady připojení Virtual WAN atributy směrování | Vlastnosti spravované zásadami připojení přepisují konfliktní nastavení nakonfigurovaná přímo u jednotlivých připojení Virtual WAN. | Další informace najdete v zásadách připojení . |
| Vynucování konektivity | Konfigurace připojení ve službě Virtual Network Manager nevynucují partnerské propojení ani připojení k rozbočovači Virtual WAN. Připojení k virtuální síti vytvořená nástrojem Virtual Network Manager lze odebrat. | Virtual Network Manager se automaticky pokusí virtuální síť znovu připojit k centru Virtual WAN při příštím nasazení konfigurace připojení v oblasti paprskové virtuální sítě. |
Známé problémy
Následující tabulka popisuje známé problémy s integrací Virtual Network Manager a Virtual WAN.
| Problém | Description | Omezení rizik |
|---|---|---|
| Stávající připojení virtuální sítě k Virtual WAN (vytvořená uživatelem) se nepřesouvají z jednoho Virtual Hubu do jiného. | Pokud už má virtuální síť připojení vytvořené uživatelem k centru Virtual WAN, Virtual Network Manager upřednostní a zachová stávající připojení vytvořené uživatelem. Pokud konfigurace připojení později cílí na jiné centrum Virtual WAN, Azure Virtual Network Manager nadále upřednostňuje stávající připojení a nepřesune stávající připojení do nového centra. | Existující připojení Virtual Network přesuňte ručně z původního centra Virtual WAN do zamýšleného centra Virtual WAN. |
| Privátní koncové body ve velkém rozsahu | Pokud je ve virtuálních sítích připojených k jedinému centru Virtual WAN nasazeno více než 4000 privátních koncových bodů, může být ovlivněna konektivita Private Link procházející přes toto centrum, a to buď z virtuální sítě, nebo z místní infrastruktury. Další informace najdete v tématu Použití Private Link v Virtual WAN. | Zajistěte, aby počet privátních koncových bodů ve všech virtuálních sítích připojených k jednomu centru Virtual WAN nepřekročil 4 000. |
| Pomalé načítání zásad připojení na portálu Azure | Prostředí pro zásady připojení v Azure Virtual Network Manager provádí několik ověřovacích kontrol předtím, než uživatelům umožní přiřadit zásady připojení ke konfiguraci připojení ve službě Network Manager. | Před opakováním operace počkejte, než se prostředí portálu Azure načte. |
Kromě toho další informace o omezeních a důležitých aspektech zásad připojení naleznete v tématu Známé problémy zásad připojení.
Případy použití
Následující části popisují některé běžné případy použití Virtual Network Manager s Virtual WAN.
Hromadné připojení virtuálních sítí k centru Virtual WAN
Konfigurace připojení ve službě Virtual Network Manager umožňují definovat skupinu sítí, kde je Virtual WAN síťovým centrem. Tím se všechny virtuální sítě ve skupině sítě paralelně připojí k centru Virtual WAN. Předem definovaná konfigurace směrování se automaticky použije pro všechny paprskové virtuální sítě ve skupině sítí.
Všechna připojení Virtual Network se automaticky orchestrují pomocí Virtual Network Manager.
Použití Azure Policy k dynamickému propojení virtuálních sítí s Virtual WAN
Implementujte ve svém předplatném Azure Policy, abyste automaticky připojili nově vytvořené virtuální sítě k Virtual WAN a použili správné konfigurace směrování. Díky tomu můžete rychleji vytvářet automatizací připojování nových úloh a přístupu k síti.
Aktualizace konfigurace směrování služby Batch ve velkém měřítku
integrace řídicí roviny Virtual Network Manager a Virtual WAN umožňuje odesílat důležitá nastavení konfigurace do všech virtuálních sítí ve skupině sítě jako jednu plně paralelizovanou operaci.
Paralelizace aktualizací výrazně zkracuje dobu trvání oken údržby potřebných k provedení změn v síti a případně k jejich vrácení zpět a umožňuje provádět změny ve velkém rozsahu bez závislosti na infrastruktuře jako kódu nebo CI/CD pipelinech.
Přírůstkové nasazení a správa
Virtual Network Manager umožňuje rozdělit síť na přesněji vymezené aktualizační domény postupným aplikováním změn na připojení virtuální sítě ve službě Virtual WAN. Jednotlivé skupiny sítí můžete vytvořit podle prostředí, například přípravného, vývojového a produkčního prostředí nebo podle oblasti. Zásady připojení pak můžete použít pro každou skupinu sítě nebo Azure oblast nezávisle, takže můžete otestovat změny v menší podmnožině sítě, než je použijete globálně. To pomáhá minimalizovat poloměr výbuchu jakékoli potenciální chybné konfigurace a zajišťuje stabilitu sítě.
Peering v síti mesh pro přímé propojení ve scénářích selektivní inspekce
Záměr směrování a zásady směrování umožňují zákazníkům služby Virtual WAN nakonfigurovat veškerý soukromý provoz (Virtual Network a on-premises) tak, aby byl kontrolován zařízením brány firewall v rozbočovači Virtual WAN.
V některých aplikacích s vysokou propustností nebo latencí, jako jsou noční aktualizace databáze, kontrola provozu prostřednictvím brány firewall nové generace nasazené v centru Virtual WAN omezuje propustnost, přidává latenci a zvyšuje náklady. Chcete-li povolit, aby provoz mezi virtuálními sítěmi obcházel inspekci, povolte přímé připojení a vytvořte síť typu mesh mezi virtuálními sítěmi ve skupině sítí.
Implementace pravidel správce zabezpečení pro zjednodušení nasazení a správy seznamů řízení přístupu ve velkém měřítku
Definujte skupiny sítí pro připojení paprskových virtuálních sítí k Virtual WAN a pak pomocí pravidel správce zabezpečení vytvořte a nasaďte seznamy Access Control (ACL) do vašich Virtual WAN paprskových sítí. Pravidla správce zabezpečení nabízejí snadný způsob, jak v centru služby Virtual WAN společně s firewally nové generace nakonfigurovat několik vrstev ochrany před externími hrozbami.
