Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Important
Die Verwendung eines Azure Virtual WAN-Hubs in Hub-and-Spoke-Konnektivitätskonfigurationen von Azure Virtual Network Manager wird derzeit als Vorschauversion bereitgestellt. Während der Vorschau können sich Funktionen, Verfügbarkeit und andere Aspekte dieses Features als Reaktion auf Feedback ändern.
Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und wird für Produktionsworkloads nicht empfohlen. Bestimmte Features werden möglicherweise nicht unterstützt oder können eingeschränkte Funktionen aufweisen. Sie ist nur in den folgenden Azure Regionen verfügbar:
- Zentralwesten der USA
- Australia Central
- Australia Southeast
- Brasilien Süd
- Canada Central
- North Europe
- France South
- Deutschland Nordosten
- Deutschland West Central
- Zentralindien
- West India
- Japan East
- Korea Central
- Malaysia Süd
- Malaysia Westküste
- Mexiko, Mitte
- Norway West
- Qatar Central
- Südafrika Nord
- Sweden Central
- Switzerland West
- Taiwan North
- UAE Central
- East US
- West US
- Westliches USA 2
Weitere Informationen finden Sie unter Supplementale Nutzungsbedingungen für Microsoft Azure Previews.
Overview
Azure Virtual Network Manager können einen Virtual WAN Hub als Hub für Hub-Spoke-Netzwerktopologien nutzen. Auf diese Weise können Sie Ihre Azure virtuellen Netzwerke dynamisch in Network-Gruppen gruppieren und Connection-Konfigurationen bereitstellen zum Verbinden Network Groups mit einem Virtual WAN Hub.
Mit den Verbindungskonfigurationen von Virtual Network Manager können Sie Ihre Netzwerkgruppen auch der Verbindungsrichtlinie eines Virtual WAN-Hubs zuweisen, um sicherzustellen, dass alle Verbindungen mit dem Virtual WAN-Hub dieselbe Routingkonfiguration aufweisen. Verbindungsrichtlinien verwalten die folgenden Virtual Network Verbindungseinstellungen:
- Internetsicherheit aktivieren: Wenn Virtual WAN so konfiguriert ist, dass Internetverkehr über eine Firewall oder eine virtuelle Netzwerk-Appliance (Network Virtual Appliance, NVA) geleitet wird, steuern Sie, ob die Standardroute (0.0.0.0/0) an die virtuellen Spoke-Netzwerke bekanntgegeben wird.
- Routenkarten: Weisen Sie zu, welche Routenkarten auf Virtual Network Verbindungen angewendet werden.
- Routingkonfiguration: Geben Sie an, von welcher Virtual-WAN-Routentabelle die Virtual-Network-Verbindung Routen bezieht und an welche Routentabellen das virtuelle Netzwerk Routen weitergibt.
Ausführliche Anweisungen zur Verwendung dieser Integration finden Sie unter Configure Virtual WAN Hub für Network Manager.
Wichtige Überlegungen für Virtual WAN- und Netzwerk-Manager-Interaktionen
In der folgenden Tabelle sind wichtige Verhaltensweisen und Einschränkungen zusammengefasst, die bei der Verwendung von Azure Virtual Network Manager mit Virtual WAN berücksichtigt werden müssen.
| Area | Consideration | Leitlinien |
|---|---|---|
| Hubbereich | Eine einzelne Virtual Network Manager Netzwerkgruppe und Verbindungsrichtlinie kann nur auf einen einzelnen Virtual WAN Hub angewendet werden. | Um die Konnektivität mit mehreren Virtual WAN Hubs zu verwalten, erstellen Sie separate Netzwerkgruppen und Verbindungsrichtlinien für jeden Hub. |
| Aktualisierungen der Verbindungsrichtlinien | mit Virtual Network Manager können Sie die Virtual WAN Verbindungsrichtlinie aktualisieren, die von einer Verbindungskonfiguration verwendet wird. | Bearbeiten Sie die aktuell zugeordnete Verbindungsrichtlinie, um Routingänderungen sofort auf alle virtuellen Netzwerke in der Netzwerkgruppe anzuwenden, oder ordnen Sie eine andere Verbindungsrichtlinie zu, um Änderungen schrittweise bereitzustellen. |
| Entfernen von Netzwerkgruppenmitgliedern | Wenn Sie ein virtuelles Netzwerk aus einer Netzwerkgruppe entfernen, die mit Virtual WAN verbunden ist, wird das virtuelle Netzwerk vom Virtual WAN Hub getrennt. | Stellen Sie vor dem Entfernen eines virtuellen Netzwerks aus der Netzwerkgruppe sicher, ob die Hubverbindung ebenfalls entfernt werden soll. |
| Vorhandene vom Benutzer erstellte Verbindungen | Wenn eine vorhandene vom Benutzer erstellte Virtual WAN virtuellen Netzwerkverbindung zu einer Netzwerkgruppe hinzugefügt wird, die mit einem Virtual WAN Hub verbunden ist, behält Virtual Network Manager die vom Benutzer erstellte Verbindung bei. Durch das Entfernen des virtuellen Netzwerks aus der Netzwerkgruppe wird die ursprüngliche vom Benutzer erstellte Verbindung nicht entfernt. | Entfernen Sie vom Benutzer erstellte Verbindungen manuell, wenn sie entfernt werden müssen. |
| Direkte Konnektivität | Virtual Network Manager können die direkte Verbindung zwischen virtuellen Netzwerken in einer Netzwerkgruppe aktivieren, die mit einem Virtual WAN Hub verbunden ist und eine verbundene Gruppe oder ein Gitter bildet. Wenn diese Option aktiviert ist, wird der Datenverkehr zwischen virtuellen Netzwerken innerhalb der Netzwerkgruppe direkt zwischen den virtuellen Netzwerken geleitet, anstatt über den Virtual WAN-Hub zu laufen. | Verbundgruppen- und Meshkonfigurationen werden gegenüber Routingabsichten oder Routingkonfigurationen priorisiert, die Datenverkehr von virtuellem Netzwerk zu virtuellem Netzwerk zu einer im Virtual WAN-Hub bereitgestellten Sicherheitslösung weiterleiten. |
| Routingattribute der Verbindungsrichtlinie für Virtual WAN | Eigenschaften, die von Verbindungsrichtlinien verwaltet werden, setzen konfliktierende Einstellungen außer Kraft, die direkt für einzelne Virtual WAN Verbindungen konfiguriert sind. | Weitere Informationen finden Sie in der Verbindungsrichtlinie . |
| Konnektivitätserzwingung | Virtual Network Manager-Konnektivitätskonfigurationen erzwingen weder Peering noch eine Verbindung mit dem Virtual WAN-Hub. Virtual Network Verbindungen, die von Virtual Network Manager erstellt wurden, können entfernt werden. | Virtual Network Manager versucht automatisch, das virtuelle Netzwerk erneut mit dem Virtual WAN Hub zu verbinden, wenn die Konnektivitätskonfiguration das nächste Mal in der Region des virtuellen Speichennetzwerks bereitgestellt wird. |
Bekannte Probleme
In der folgenden Tabelle werden bekannte Probleme mit der Virtual Network Manager- und Virtual WAN integration beschrieben.
| Thema | Description | Abschwächung |
|---|---|---|
| Konnektivitätskonfigurationen werden nicht ordnungsgemäß auf Mitglieder mandantenübergreifender Netzwerkgruppen angewendet. | Bereitgestellte Verbindungskonfigurationen gelten nicht ordnungsgemäß für virtuelle Netzwerke in einem anderen Mandanten als Virtual WAN Hub. | Verwenden Sie Terraform, Azure CLI oder Azure PowerShell, um mandantenübergreifende Mitglieder manuell mit dem Virtual WAN Hub zu verbinden und zu verwalten. |
| Vorhandene (vom Benutzer erstellte) Virtual WAN Virtual Network Verbindungen werden nicht von einem virtuellen Hub in einen anderen verschoben. | Wenn ein virtuelles Netzwerk bereits über eine vom Benutzer erstellte Verbindung zu einem Virtual WAN-Hub verfügt, priorisiert und behält Virtual Network Manager die vorhandene vom Benutzer erstellte Verbindung bei. Wenn die Verbindungskonfiguration später auf einen anderen Virtual WAN Hub ausgerichtet ist, priorisiert Azure Virtual Network Manager weiterhin die vorhandene Verbindung und verschiebt die vorhandene Verbindung nicht auf den neuen Hub. | Verschieben Sie die vorhandene Virtual Network Verbindung manuell vom ursprünglichen Virtual WAN Hub auf den vorgesehenen Virtual WAN Hub. |
| Private Endpunkte mit hoher Skalierung | Wenn in virtuellen Netzwerken, die mit einem einzelnen Virtual WAN Hub verbunden sind, mehr als 4000 Private Endpunkte bereitgestellt werden, kann die Private-Link-Konnektivität über den Hub beeinträchtigt werden, unabhängig davon, ob sie aus einem virtuellen Netzwerk oder aus einer lokalen Umgebung stammt. Weitere Informationen finden Sie unter Use Private Link in Virtual WAN. | Stellen Sie sicher, dass die Anzahl privater Endpunkte in allen virtuellen Netzwerken, die mit einem einzigen Virtual WAN Hub verbunden sind, 4000 nicht überschreitet. |
| Langsames Laden der Verbindungsrichtlinie im Azure Portal. | Die Verbindungsrichtlinienerfahrung in Azure Virtual Network Manager führt einige Überprüfungen durch, bevor Benutzer eine Verbindungsrichtlinie der Netzwerk-Manager-Konnektivitätskonfiguration zuweisen können. | Lassen Sie zusätzliche Zeit für das laden der Azure Portalumgebung zu, bevor Sie den Vorgang wiederholen. |
Darüber hinaus finden Sie unter Bekannte Probleme mit der Verbindungsrichtlinie weitere Informationen zu Einschränkungen und Hinweisen zur Verbindungsrichtlinie.
Anwendungsfälle
In den folgenden Abschnitten werden einige der gängigen Anwendungsfälle für die Verwendung von Virtual Network Manager mit Virtual WAN beschrieben.
Massenverbindung von virtuellen Netzwerken mit Virtual WAN Hub
Mit den Konnektivitätskonfigurationen von Virtual Network Manager können Sie eine Netzwerkgruppe mit Virtual WAN als Netzwerkhub definieren. Dadurch werden alle virtuellen Netzwerke in der Netzwerkgruppe parallel mit Ihrem Virtual-WAN-Hub verbunden. Ihre vordefinierte Routingkonfiguration wird automatisch auf alle Spoke-virtuellen Netzwerke in der Netzwerkgruppe angewendet.
Alle Virtual Network Verbindungen werden automatisch durch Virtual Network Manager orchestriert.
Verwenden von Azure Policy, um virtuelle Netzwerke dynamisch mit Virtual WAN zu verbinden
Implementieren Sie Azure Policy in Ihrem Abonnement, um automatisch neu erstellte virtuelle Netzwerke mit Virtual WAN zu verbinden und die richtigen Routingkonfigurationen anzuwenden. Auf diese Weise können Sie schneller erstellen, indem Sie das Onboarding und den Netzwerkzugriff auf neue Workload automatisieren.
Stapelweise Aktualisierungen der Routing-Konfiguration in großem Maßstab
Virtual Network Manager- und Virtual WAN-Steuerungsebenenintegration ermöglicht es Ihnen, wichtige Konfigurationseinstellungen als einzigen vollständig parallelisierten Vorgang an alle virtuellen Netzwerke in einer Netzwerkgruppe zu übertragen.
Die Parallelisierung von Updates verkürzt die Dauer der Wartungsfenster erheblich, die für die Durchführung und gegebenenfalls Rückgängigmachung von Netzwerkänderungen erforderlich sind, und ermöglicht es Ihnen, Änderungen in großem Maßstab vorzunehmen, ohne auf Infrastructure as Code oder CI/CD-Pipelines angewiesen zu sein.
Schrittweise Bereitstellung und Verwaltung
Virtual Network Manager ermöglicht es Ihnen, Ihr Netzwerk in präzisere Updatedomänen zu segmentieren, indem Sie Änderungen an Ihren Virtual WAN Virtual Network-Verbindungen inkrementell anwenden. Sie können einzelne Netzwerkgruppen nach Umgebung erstellen, z. B. Staging, Entwicklung und Produktion oder nach Region. Sie können dann Verbindungsrichtlinien unabhängig auf jede Netzwerkgruppe oder Azure Region anwenden, sodass Sie Änderungen in einer kleineren Teilmenge Ihres Netzwerks testen können, bevor Sie sie global anwenden. Dies trägt dazu bei, den Strahlradius potenzieller Fehlkonfigurationen zu minimieren und die Stabilität Ihres Netzwerks zu gewährleisten.
Direkte Konnektivität mittels Mesh-Peering für selektive Inspektionsszenarien
Routingabsichten und Routingrichtlinien ermöglichen es Virtual-WAN-Kunden, den gesamten privaten Datenverkehr (aus virtuellen Netzwerken und On-Premises-Umgebungen) so zu konfigurieren, dass er von einer Firewall-Appliance im Virtual-WAN-Hub geprüft wird.
Bei bestimmten Anwendungen mit hohem Durchsatz oder latenzempfindlichen Anwendungen, wie z. B. nächtlichen Datenbankaktualisierungen, drosselt die Überprüfung des Datenverkehrs durch eine im Virtual WAN-Hub bereitgestellte Firewall der nächsten Generation den Durchsatz, erhöht die Latenz und steigert die Kosten. Um Datenverkehr zwischen virtuellen Netzwerken die Inspektion umgehen zu lassen, aktivieren Sie direkte Konnektivität, um ein Mesh zwischen virtuellen Netzwerken in einer Netzwerkgruppe zu erstellen.
Implementieren von Sicherheitsadministratorregeln zur Vereinfachung der Bereitstellung und Verwaltung von Zugriffssteuerungslisten im großen Maßstab
Definieren Sie Netzwerkgruppen, um Ihre Spoke-virtuellen Netzwerke mit Virtual WAN zu verbinden, und verwenden Sie dann Sicherheitsadministratorregeln, um Zugriffssteuerungslisten (ACLs) für Ihre Virtual-WAN-Spoke-Netzwerke zu erstellen und bereitzustellen. Sicherheitsadministratorregeln bieten eine benutzerfreundliche Möglichkeit, mehrere Verteidigungsebenen von externen Bedrohungen zusammen mit Firewalls der nächsten Generation im Virtual WAN Hub zu konfigurieren.
