Konfiguration der Konnektivität in Azure Virtual Network Manager

In diesem Artikel erfahren Sie mehr über die verschiedenen Arten von Konfigurationen, die Sie mit Azure Virtual Network Manager erstellen und bereitstellen können. Derzeit sind zwei Arten von Konfigurationen verfügbar: Konnektivität und Sicherheitsadmins.

Konfiguration der Konnektivität

Die Connectivity-Konfigurationen ermöglichen es Ihnen, verschiedene Netzwerktopologien zu erstellen, die auf Ihren Netzanforderungen basieren. Sie haben zwei Topologien zur Auswahl, ein Maschennetz und ein Hub and Spoke. Die Verbindungen zwischen den virtuellen Netzwerken werden in den Konfigurationseinstellungen festgelegt.

Topologie des Maschennetzes

Ein Mesh-Netz ist eine Topologie, in der alle virtuellen Netze in der Netzgruppe miteinander verbunden sind . Alle virtuellen Netze sind miteinander verbunden und können den Datenverkehr bidirektional weiterleiten.

Eine Mesh-Netzwerktopologie wird unter anderem häufig verwendet, um die direkte Kommunikation zwischen einigen virtuellen Spoke-Netzwerken in einer Hub-and-Spoke-Topologie zu ermöglichen, ohne dass der Datenverkehr das virtuelle Hubnetzwerk durchläuft. Dieser Ansatz verringert die Wartezeit, die ggf. durch das Routing des Datenverkehrs über einen Router im Hub resultieren kann. Darüber hinaus können Sie die Sicherheit und die Kontrolle über die direkten Verbindungen zwischen Spoke-Netzwerken gewährleisten, indem Sie NSG-Regeln (Netzwerksicherheitsgruppen) oder administrative Sicherheitsregeln in Azure Virtual Network Manager implementieren. Datenverkehr kann auch mithilfe von VNet-Datenflussprotokollen überwacht und aufgezeichnet werden.

Standardmäßig ist das Netz ein regionales Netz, so dass nur virtuelle Netze in derselben Region miteinander kommunizieren können. Global Mesh kann aktiviert werden, um Konnektivität von virtuellen Netzwerken über alle Azure-Regionen hinweg herzustellen. Ein virtuelles Netzwerk kann Teil von bis zu zwei verbundenen Gruppen sein. Die Adressräume virtueller Netzwerke können sich in einer Meshkonfiguration überschneiden, bei Peering virtueller Netzwerke jedoch nicht. Der Datenverkehr zu den spezifischen überlappenden Subnetzen wird jedoch verworfen, da das Routing nicht deterministisch ist.

Verbundene Gruppe

Wenn Sie eine Mesh-Topologie oder eine direkte Verbindung in der Hub-and-Spoke-Topologie erstellen, wird ein neues Konnektivitätskonstrukt namens Verbundene Gruppe erstellt. Virtuelle Netze in einer verbundenen Gruppe können miteinander kommunizieren, genauso wie wenn Sie virtuelle Netze manuell miteinander verbinden würden. Wenn Sie sich die effektiven Routen für eine Netzwerkschnittstelle ansehen, werden Sie einen Next-Hop-Typ von Verbundene Gruppe sehen. Für virtuelle Netzwerke, die in einer verbundenen Gruppe zusammengefasst sind, ist unter Peerings keine Peering-Konfiguration für das virtuelle Netz aufgeführt.

Hinweis

• Wenn Sie konkurrierende Subnetze in zwei oder mehr virtuellen Netzwerken haben, können die Ressourcen in diesen Subnetzen nicht miteinander kommunizieren, selbst wenn sie Teil desselben Mesh-Netzwerks sind .
• Ein virtuelles Netzwerk kann Teil von bis zu zwei Meshkonfigurationen sein.

Hub-Spoke-Topologie

Eine Hub-and-Spoke-Topologie ist eine Netzwerktopologie, bei der Sie ein virtuelles Netzwerk als virtuelles Hub-Netzwerk ausgewählt haben. Dieses virtuelle Netz wird bidirektional mit jedem virtuellen Speichennetz in der Konfiguration abgeglichen. Diese Topologie ist nützlich, wenn Sie ein virtuelles Netzwerk isolieren möchten, aber dennoch eine Konnektivität zu gemeinsamen Ressourcen im virtuellen Hub-Netzwerk wünschen.

In dieser Konfiguration können Sie Einstellungen wie die direkte Konnektivität zwischen virtuellen Speichennetzen aktivieren. Standardmäßig gilt diese Konnektivität nur für virtuelle Netze in derselben Region. Um Konnektivität über verschiedene Azure-Regionen hinweg zu ermöglichen, müssen Sie Globales Mesh aktivieren. Sie können auch den Gateway-Transit aktivieren, damit virtuelle Spoke-Netzwerke das im Hub installierte VPN- oder ExpressRoute-Gateway verwenden können.

Wenn diese Option aktiviert ist, können Peerings, die nicht mit dem Inhalt dieser Konfiguration übereinstimmen, entfernt werden, auch wenn diese Peerings nach der Bereitstellung dieser Konfiguration manuell erstellt wurden. Wenn Sie ein VNet aus einer Netzwerkgruppe entfernen, die in der Konfiguration verwendet wird, entfernt Ihr virtueller Manager nur die von ihm erstellten Peerings.

Direkte Konnektivität

Durch Aktivieren der direkten Verbindung wird eine Überlagerung einer verknüpften Gruppe in Ihrer Hub-and-Spoke-Topologie erstellt, die virtuelle Spoke-Netzwerke einer bestimmten Gruppe enthält. Die direkte Konnektivität ermöglicht es einem Spoke-VNet, direkt mit anderen VNets in seiner Spoke-Gruppe zu kommunizieren, aber nicht mit VNets in anderen Spokes.

Sie erstellen zum Beispiel zwei Netzwerkgruppen. Sie aktivieren die direkte Konnektivität für die Netzwerkgruppe Production, aber nicht für die Netzwerkgruppe Test. Bei dieser Einrichtung können nur die virtuellen Netzwerke der Netzwerkgruppe Production miteinander kommunizieren, nicht aber die der Netzwerkgruppe Test.

Wenn Sie sich die effektiven Routen auf einer VM ansehen, hat die Route zwischen dem Hub und den virtuellen Spoke-Netzwerken den nächsten Hop-Typ VNetPeering oder GlobalVNetPeering. Routen zwischen virtuellen Speichen-Netzwerken werden mit dem nächsten Sprungtyp ConnectedGroup angezeigt. Im obigen Beispiel würde nur die Netzwerkgruppe Production eine ConnectedGroup besitzen, da dafür die direkte Verbindung aktiviert wurde.

Ermitteln der Netzwerkgruppentopologie mit Topology View

Um Ihnen dabei zu helfen, die Topologie Ihrer Netzwerkgruppe zu verstehen, bietet Azure Virtual Network Manager eine Topologieansicht, die die Konnektivität zwischen Netzwerkgruppen und ihren virtuellen Mitgliedsnetzwerken zeigt. Sie können die Topologie Ihrer Netzwerkgruppe während des Erstellens Ihrer Konnektivitätskonfiguration mit den folgenden Schritten anzeigen:

1. Navigieren Sie zur Seite Konfigurationen, und erstellen Sie eine Konnektivitätskonfiguration.
2. Wählen Sie auf der Registerkarte Topologie Ihren gewünschten Topologietyp aus, fügen Sie der Topologie eine oder mehrere Netzwerkgruppen hinzu, und konfigurieren Sie weitere gewünschte Verbindungseinstellungen.
3. Wählen Sie die Registerkarte Topologievorschau aus, um die Topologieansicht auszuprobieren, und überprüfen Sie die aktuelle Konnektivität Ihrer Konfiguration.
4. Schließen Sie die Erstellung Ihrer Konnektivitätskonfiguration ab.

Sie können die aktuelle Topologie einer Netzwerkgruppe überprüfen, indem Sie auf der Detailseite der Netzwerkgruppe unter Einstellungen die Option Visualisierung auswählen. In der Ansicht wird die Konnektivität zwischen den virtuellen Mitgliedsnetzwerken in der Netzwerkgruppe angezeigt.

Anwendungsfälle

Die Aktivierung der direkten Konnektivität zwischen virtuellen Speichen-Netzwerken kann hilfreich sein, wenn Sie eine NVA oder einen gemeinsamen Dienst im virtuellen Hub-Netzwerk haben möchten, aber nicht immer auf den Hub zugegriffen werden muss. Vielmehr müssen Ihre virtuellen Speichen-Netzwerke in der Netzwerkgruppe miteinander kommunizieren. Im Vergleich zu herkömmlichen Hub-and-Spoke-Netzwerken verbessert diese Topologie die Leistung, da der zusätzliche Hop durch das virtuelle Hub-Netzwerk entfällt.

Globales Mesh

Wie auch ein Mesh können diese verbundenen Spoke-Gruppen als regional oder global konfiguriert werden. Global Mesh ist erforderlich, wenn Sie möchten, dass Ihre virtuellen Speichen-Netzwerke über Regionen hinweg miteinander kommunizieren. Diese Konnektivität ist auf virtuelle Netzwerke in derselben Netzwerkgruppe beschränkt. Zum Aktivieren von regionsübergreifender Konnektivität für virtuelle Netzwerke müssen Sie für die Netzwerkgruppe Meshkonnektivität regionsübergreifend aktivieren. Verbindungen, die zwischen virtuellen Speichen-Netzwerken erstellt werden, befinden sich in einer Verbundenen Gruppe.

Hub als Gateway verwenden

Eine weitere Option, die Sie in einer Hub-and-Spoke-Konfiguration aktivieren können, ist die Verwendung des Hubs als Gateway. Mit dieser Einstellung können alle virtuellen Netzwerke in der Netzwerkgruppe das VPN- oder ExpressRoute-Gateway im virtuellen Netzwerk des Hubs zur Weiterleitung von Datenverkehr verwenden. Siehe Gateways und ortsgebundene Konnektivität.

Wenn Sie eine Hub- und Spoke-Topologie über das Azure-Portal bereitstellen, ist die Option Hub als Gateway verwenden standardmäßig für die virtuellen Spoke-Netzwerke in der Netzwerkgruppe aktiviert. Azure Virtual Network Manager versucht, in der Ressourcengruppe eine virtuelle Netzwerk-Peering-Verbindung zwischen den virtuellen Netzwerken von Hub und Spoke herzustellen. Wenn das Gateway im virtuellen Netzwerk des Hubs nicht vorhanden ist, schlägt die Erstellung des Peerings vom virtuellen Spoke-Netzwerk zum Hub fehl. Die Peering-Verbindung vom Hub zur Speiche wird auch ohne bestehende Verbindung hergestellt.

Nächste Schritte

• Stellen Sie eine Azure Virtual Network Manager-Instanz mithilfe von Terraform bereit.
• Erfahren Sie mehr über Konfigurationsbereitstellungen in Azure Virtual Network Manager.
• Erfahren Sie, wie Sie Netzwerkdatenverkehr mit einer Sicherheitsverwaltungskonfiguration blockieren.