Kapcsolatkonfigurációk az Azure Virtual Network Managerben

Az Azure Virtual Network Manager leegyszerűsíti a kapcsolat, a biztonság, az útválasztás és egyebek kezelését az Azure-beli hálózati környezetben. A kapcsolati konfigurációk, beleértve a hálós és küllős topológiákat, segítenek optimalizálni a hálózati teljesítményt és a kapcsolatot a szervezet szintjén. Ez a cikk olyan funkciókat tartalmaz, mint a nagy léptékű csatlakoztatott csoportok és a globális hálókapcsolat, valamint az egyes topológiák használati eseteit és beállításait.

Kapcsolatkonfiguráció

A kapcsolati konfigurációkkal különböző hálózati topológiákat hozhat létre és tarthat fenn a hálózati igények alapján. Két topológia közül választhat: háló és küllős. A kapcsolatkonfiguráció beállításai határozzák meg a virtuális hálózatok közötti kapcsolatot. Meghatározhatja azokat a virtuális hálózatokat, amelyekhez hálózati csoportokon keresztül szeretne kapcsolatot létesíteni. A kapcsolati konfiguráció ezután a hálózati csoportokkal hozza létre a kapcsolatot a kívánt topológia szerint a hálózati csoportok virtuális hálózatai között.

Ha engedélyezi a meglévő társviszonyok törlését a kapcsolatkonfigurációhoz, az Azure Virtual Network Manager eltávolít minden olyan társviszonyt, amely nem felel meg a kapcsolati konfiguráció tartalmának, még akkor is, ha manuálisan hozta létre ezeket a társviszonyokat a konfiguráció üzembe helyezése után. Ha eltávolít egy virtuális hálózatot a konfigurációban használt hálózati csoportból, az Azure Virtual Network Manager-példány csak a létrehozott kapcsolatot távolítja el.

Kapcsolatkonfiguráció üzembe helyezésekor Azure Virtual Network Manager kétirányú kapcsolatot hoz létre a kiválasztott topológia és központ típusának megfelelően:

• A hálótopológiák esetében a kapcsolat csatlakoztatott csoportok használatával jön létre.
• A központi virtuális hálózattal rendelkező hub-and-spoke topológiában a kapcsolat virtuális hálózatok közötti társításokkal jön létre.
• Virtual WAN-központtal rendelkező hub-and-spoke topológia esetén a kapcsolat a Virtual WAN virtuális hálózati kapcsolatainak létrehozásával vagy frissítésével hozható létre.

Ez a kapcsolat a megadott beállításoknak és a kapcsolatkonfigurációban szereplő hálózati csoportoknak megfelelően jön létre.

Hálós topológia

A hálótopológia a hálózati csoport összes virtuális hálózata közötti kapcsolatot határozza meg. Minden tag virtuális hálózat csatlakoztatva van, és kétirányú forgalmat képes átadni egymásnak.

A hálótopológia gyakori felhasználási esete, hogy lehetővé teszi a küllős virtuális hálózatok számára a küllős topológiában, hogy közvetlenül kommunikáljanak egymással anélkül, hogy a forgalmat a központi virtuális hálózaton keresztül irányítanák. Ez a megközelítés csökkenti azt a késést, amely egyébként abból adódhatna, hogy a forgalmat a hubban található útválasztón keresztül kell irányítani. Emellett a küllős virtuális hálózatok közötti közvetlen kapcsolatok biztonságának és felügyeletének fenntartásához biztonsági rendszergazdai szabályokat implementálhat az Azure Virtual Network Managerben vagy a hálózati biztonsági csoport szabályaiban. A forgalom a virtuális hálózati forgalom naplóival is figyelhető és rögzíthető.

Alapértelmezés szerint a kapcsolatkonfigurációban definiált hálótopológia regionális háló, ami azt jelenti, hogy csak az ugyanabban a régióban lévő virtuális hálózatok tudnak kommunikálni egymással. A kapcsolatkonfigurációban engedélyezheti a globális hálós beállítást a virtuális hálózatok közötti kapcsolat létesítéséhez az összes Azure-régióban.

Megjegyzés

A virtuális hálózati címterek átfedésben lehetnek egy hálókonfigurációban, ellentétben a virtuális hálózati társviszonyokkal, de az egymást átfedő címterekkel rendelkező alhálózatok közötti forgalom megszakad, mivel az útválasztás nemdeterminista.

A színfalak mögött: kapcsolódó csoport

Ha hálótopológiát hoz létre, vagy engedélyezi a közvetlen kapcsolatot küllős topológiában, egy új kapcsolati konstrukciót hoz létre, amely kizárólag az Azure Virtual Network Managerhez használható. Ezt a szerkezetet csatlakoztatott csoportnak nevezzük. A csatlakoztatott csoportok virtuális hálózatai ugyanúgy kommunikálhatnak egymással, mint a manuálisan csatlakoztatott virtuális hálózatok. Amikor megfigyeli a hálózati adapter érvényes útvonalait, megjelenik a ConnectedGroup következő ugrási típusa. Az összekapcsolt csoportba kapcsolt virtuális hálózatokhoz nem jelenik meg peeringkonfiguráció a virtuális hálózat Peerings szakaszában. Ez a csatlakoztatott csoport teszi lehetővé az Azure Virtual Network Manager számára a virtuális hálózati kapcsolatok nagyobb mértékű támogatását, mint a hagyományos virtuális hálózati társviszonyok.

Megjegyzés

A virtuális hálózat legfeljebb két csatlakoztatott csoport része lehet, ami azt jelenti, hogy akár két hálós topológiának is része lehet.

Nagy léptékű privát végpontok engedélyezése az Azure Virtual Network Managerhez csatlakoztatott csoportokban

Az Azure Virtual Network Manager nagy léptékű privát végpont funkciója a csatlakoztatott csoportfunkcióban lehetővé teszi a hálózati kapacitás bővítését. Az alábbi lépésekkel engedélyezheti, hogy a szolgáltatás akár 20 000 privát végpontot is támogatjon a csatlakoztatott csoporton belül.

A csatlakoztatott csoport összes virtuális hálózatának előkészítése

1. Tekintse át a privát végpont virtuális hálózati korlátainak növelését a korlátok emelésére vonatkozó részletes útmutatásért. A funkció engedélyezése vagy letiltása egyszeri kapcsolat-visszaállítást kezdeményez. Végezze el ezeket a módosításokat egy karbantartási időszak alatt.

2. Konfigurálja a csatlakoztatott csoportban lévő minden virtuális hálózatban a privát végpont hálózati házirendeket úgy, hogy azokat állítsa be Enabled vagy RouteTableEnabled módon. Ez a beállítás biztosítja, hogy a virtuális hálózatok készen állnak a nagy léptékű privát végpontok funkcióinak támogatására. Részletes útmutatásért tekintse meg a privát végpont virtuális hálózati korlátainak növelését ismertető cikket.

Hálótopológia konfigurálása nagy léptékű privát végpontokhoz

Ebben a lépésben konfigurálja a kapcsolatkonfiguráció hálótopológiabeállításait a csatlakoztatott csoport számára a nagy léptékű privát végpontok engedélyezéséhez. Ez a lépés a megfelelő beállítások kiválasztását és a konfiguráció ellenőrzését foglalja magában az Azure Portalon.

1. A mesh-kapcsolat konfigurációjában keresse meg és jelölje be a privát végpontok nagy léptékű engedélyezése jelölőnégyzetet. Ez a beállítás aktiválja a csatlakoztatott csoport nagy léptékű funkcióját.

2. Ellenőrizze, hogy a teljes háló (csatlakoztatott csoport) összes virtuális hálózata nagy méretű privát végpontokkal van-e konfigurálva. Az Azure Portal ellenőrzi a teljes csoport beállításait. Ha később a nagy léptékű konfiguráció nélkül ad hozzá virtuális hálózatot, az nem tud kommunikálni más virtuális hálózatok privát végpontjaival.

3. Miután ellenőrizte, hogy az összes virtuális hálózat megfelelően van-e konfigurálva, telepítse a kapcsolati konfigurációt. Ez a lépés véglegesíti a nagy léptékű csatlakoztatott csoport beállítását.

Megjegyzés

A nagy méretű privát végpontok hálótopológiája nem támogatott, ha a háló virtuális hálózatai átfedésben vannak az IP-címekkel.

Nagy léptékű kapcsolat engedélyezése az Azure Virtual Network Managerhez csatlakoztatott csoportokban

Az Azure Virtual Network Manager nagy léptékű kapcsolati funkciója a csatlakoztatott csoport funkcióban lehetővé teszi a hálózati kapacitás bővítését. A funkció használatához engedélyezze az "AllowHighScaleConnectedGroup" előnézet funkciót (a "Nagy léptékű csatlakoztatott csoport engedélyezése" megjelenítési nevével). Ez a funkció lehetővé teszi, hogy a támogatott régiókban egy csatlakoztatott csoport legfeljebb 5000 virtuális hálózatot tartalmazzon.

Küllős topológia

A küllős topológia a kijelölt küllős virtuális hálózatok közötti kapcsolatot határozza meg, amelyek egy vagy több kiválasztott küllős hálózati csoport tagjai. A kiválasztott központ lehet egy központi virtuális hálózat vagy egy Virtual WAN hub.

• Ha egy központi virtuális hálózatot választ ki, Azure Virtual Network Manager virtuális hálózati társviszonyokat hoz létre a központ és az egyes küllős virtuális hálózatok között.
• Ha kiválaszt egy Virtual WAN-központot, az Azure Virtual Network Manager létrehozza vagy frissíti a Virtual WAN virtuális hálózati kapcsolatait a központ és mindegyik peremhálózat között.

Ez a topológia hasznos a virtuális hálózatok elkülönítéséhez, miközben fenntartja a kapcsolatot a központi központban található gyakori erőforrásokhoz.

Virtual WAN hub használata központként

Important

Az Azure Virtual WAN hub használata Azure Virtual Network Manager küllős kapcsolati konfigurációkban jelenleg előzetes verzióban érhető el. Az előzetes verzióban a funkció funkciói, elérhetősége és egyéb aspektusai a visszajelzések alapján változhatnak.

Ez az előzetes verzió szolgáltatásszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott. Előfordulhat, hogy bizonyos funkciók nem támogatottak, vagy korlátozott képességekkel rendelkeznek. Csak a következő Azure régiókban érhető el:

• USA nyugati középső régiója
• Ausztrália középső régiója
• Délkelet-Ausztrália
• Dél-Brazília
• Közép-Kanada
• Észak-Európa
• Dél-Franciaország
• Északkelet-Németország
• Középnyugat-Németország
• Közép-India
• Nyugat-India
• Kelet-Japán
• Korea középső régiója
• Malajzia déli régiója
• Malajzia nyugati régiója
• Közép-Mexikó
• Nyugat-Norvégia
• Közép-Katar
• Dél-Afrika északi régiója
• Közép-Svédország
• Nyugat-Svájc
• Tajvan északi régiója
• Egyesült Arab Emírségek középső régiója
• USA keleti régiója
• USA nyugati régiója
• USA 2. nyugati régiója

További információkért lásd: Microsoft Azure Previews Kiegészítő Felhasználási Feltételek.

Ha egy küllős kapcsolatkonfigurációban egy Virtual WAN központot választ, Azure Virtual Network Manager csatlakoztatja a kiválasztott küllős hálózati csoportok virtuális hálózatait a Virtual WAN központhoz, és alkalmazza a kiválasztott kapcsolati szabályzatot.

A Azure portálon való konfigurálásához hozzon létre egy küllős kapcsolati konfigurációt, válasszon ki egy Virtual WAN hubot, válasszon vagy hozzon létre egy kapcsolati szabályzatot, és vegyen fel egy vagy több küllős hálózati csoportot. Ezután telepítse a konfigurációt a módosítások alkalmazásához.

Ebben a konfigurációban engedélyezheti az olyan beállításokat, mint a küllős virtuális hálózatok közötti közvetlen kapcsolat , amelyek ugyanahhoz a küllős hálózati csoporthoz tartoznak. Alapértelmezés szerint ez a kapcsolat csak az ugyanabban a régióban lévő virtuális hálózatokhoz jön létre. A különböző Azure-régiók közötti kapcsolat engedélyezéséhez engedélyeznie kell a küllős hálózati csoport globális hálóbeállítását . Engedélyezheti az átjáró-átvitelt is annak érdekében, hogy a csatolt virtuális hálózatok használhassák a VPN- vagy ExpressRoute-átjárót, amely a központi virtuális hálózaton van üzembe helyezve.

Közvetlen kapcsolat engedélyezése

Ha engedélyezi egy küllős hálózati csoport közvetlen kapcsolódását, akkor létrehoz egy hálót, így a központi és küllős topológia tetején egy csatlakoztatott csoportot hoz létre a kérdéses küllős hálózati csoport virtuális hálózatai között. A közvetlen kapcsolat lehetővé teszi, hogy a virtuális hálózatok közvetlenül kommunikáljanak a küllős hálózati csoport más virtuális hálózataival, de nem engedélyezi a más küllős hálózati csoportokban lévő virtuális hálózatokkal való kapcsolatot.

Létrehozhat például két hálózati csoportot, és küllős hálózati csoportként is belefoglalhatja őket a küllős kapcsolat konfigurációjába. Engedélyezi a közvetlen kapcsolatot az Éles hálózati csoporthoz, a Teszt hálózati csoporthoz nem. Ez a beállítás összekapcsolja a központi virtuális hálózatot az éles és tesztelési hálózati csoportok összes virtuális hálózatával, de csak az Éles hálózati csoport virtuális hálózatai kommunikálhatnak egymással. Az éles hálózati csoport virtuális hálózatai nem rendelkeznek kapcsolattal a teszthálózati csoport virtuális hálózataival, és a teszthálózati csoport virtuális hálózatai nem rendelkeznek egymás közötti kapcsolattal (kivéve, ha engedélyezi a közvetlen kapcsolatot a teszthálózati csoport számára).

Ha egy virtuális gépen érvényes útvonalakat tekint meg, a központ és a küllős virtuális hálózatok közötti útvonal a VNetPeering vagy a GlobalVNetPeering következő ugrási típusával rendelkezik. A küllős virtuális hálózatok közötti útvonalak a ConnectedGroup következő ugrási típusával jelennek meg. ** Az éles és a teszt példában csak az éles hálózati csoport rendelkezik Kapcsolódó csoporttal, mert a közvetlen kapcsolat engedélyezett.

A küllős virtuális hálózatok közötti közvetlen kapcsolat akkor lehet hasznos, ha hálózati virtuális berendezést (NVA- vagy általános szolgáltatást) szeretne használni a központi virtuális hálózaton, de a központot nem kell mindig elérni ahhoz, hogy megbízható küllős virtuális hálózatok kommunikálhassanak egymással. A hagyományos küllős hálózatokhoz képest ez a topológia javítja a teljesítményt azáltal, hogy eltávolítja a többlet ugrást a központi virtuális hálózaton.

Globális háló

A mesh topológiához hasonlóan a közvetlen kapcsolattal rendelkező küllős hálózati csoport alapértelmezés szerint regionálisként van konfigurálva. Engedélyezheti a globális hálózatot, amikor azt szeretné, hogy a kifutó hálózati csoport virtuális hálózatai kommunikáljanak egymással a különböző régiók között. Ez a kapcsolat az ugyanabban a hálózati csoportban lévő virtuális hálózatokra korlátozódik. Ha régiók közötti virtuális hálózatokhoz szeretné engedélyezni ezt a globális hálókapcsolatot, engedélyeznie kell a hálókapcsolatot a régiók között a hálózati csoport számára. A küllős virtuális hálózatok között létrehozott kapcsolatok egy csatlakoztatott csoportban találhatók.

Hub használata átjáróként

A hub-and-spoke konfigurációban egy másik engedélyezhető lehetőség, hogy a központot átjáróként használja. Ezzel a beállítással a küllős hálózati csoport összes virtuális hálózata használhatja a vpn-t vagy az ExpressRoute-átjárót a központi virtuális hálózaton a forgalom átviteléhez. Lásd: Átjárók és helyszíni rendszerek közötti kapcsolat.

Ha küllős topológiát helyez üzembe az Azure Portalról, a Központ használata átjáróként beállítás alapértelmezés szerint engedélyezve van a hálózati csoport küllős virtuális hálózatai számára. Az Azure Virtual Network Manager virtuális hálózati társviszony-létesítési kapcsolatot próbál létrehozni a központi virtuális hálózat és a sugár hálózati csoportok virtuális hálózatai között. Ha engedélyezi ezt a beállítást, de egy átjáró nem létezik a központi virtuális hálózaton, a küllős virtuális hálózat és a központ közötti társviszony létrehozása meghiúsul. A központ és a küllő közötti hálózati kapcsolat továbbra is létrejön anélkül, hogy ténylegesen létre lenne hozva.

Hálózati csoporttopológia felderítése Topológia nézetben

A hálózati csoport topológiájának megértéséhez az Azure Virtual Network Manager egy topológianézetet biztosít, amely megjeleníti a hálózati csoportok és tag virtuális hálózataik közötti kapcsolatot. A kapcsolatkonfiguráció létrehozása során a következő lépésekkel tekintheti meg a kapcsolatkonfiguráció topológiáját :

1. Lépjen a Konfigurációk lapra, és hozzon létre egy kapcsolati konfigurációt.

2. A Topológia lapon válassza ki a kívánt topológiatípust, vegyen fel egy vagy több hálózati csoportot a topológiába, és konfiguráljon más kívánt csatlakozási beállításokat.

3. Válassza a Topológia megtekintése lapot a konfiguráció aktuális kapcsolatának vizuális áttekintéséhez.

4. Fejezze be a kapcsolatkonfiguráció létrehozását.

A kapcsolatkonfigurációk aktuális topológiáját a konfiguráció részletes lapján a Beállítások területen a Topológia megtekintése lehetőség kiválasztásával tekintheti át. A nézet a kapcsolatkonfiguráció részét képező virtuális hálózatok közötti kapcsolatot jeleníti meg.

Hogyan kerülhetjük el a hálózatok átfedő címzéseit

Alapértelmezés szerint az Azure Virtual Network Manager lehetővé teszi az átfedésben lévő címeket egy hálós hálózaton belül. Ha két azonos címtérrel rendelkező virtuális hálózatot ad hozzá egy hálóhálózathoz, a rendszer eltávolítja az átfedésben lévő címteret a hálóból, így a címtérben lévő erőforrásokkal való kommunikáció nem működik. Ez az eltávolítás azért történik, mert amikor a rendszer forgalmat küld erre a címtartományra, az Azure Virtual Network Manager nem tudja meghatározni, hogy melyik virtuális hálózat fogadja a forgalmat. Bár ez a viselkedés védi a háló integritását, kimaradásokat okozhat, ha új, egymást átfedő virtuális hálózatot ad hozzá egy meglévő hálóhoz.

Az Azure Virtual Network Manager olyan mechanizmust biztosít, amely megakadályozza a hálón belüli átfedésben lévő IP-címtereket.

Használja a ConnectedGroupAddressOverlap tulajdonságot

A kapcsolati konfiguráció tartalmaz egy tulajdonságot – ConnectedGroupAddressOverlap:

• Alapértelmezett: Engedélyezett
• Nem kötelező beállítás: Letiltva

A tulajdonság Disallowedbeállításakor az Azure Virtual Network Manager szigorú, nem átfedésmentes címtereket kényszerít ki a csatlakoztatott virtuális hálózatokon.

Mi történik a Letiltás engedélyezésekor?

A tulajdonság Disallowedbeállításakor az Azure Virtual Network Manager ellenőrzi azokat a címmódosításokat, amelyek hatással lehetnek a háló kapcsolatára.

Virtuális hálózat hozzáadása hálóhoz

Az Azure Virtual Network Manager automatikusan ellenőrzi, hogy az új virtuális hálózat címtere nem fedi-e át a meglévő tagokat. Ha átfedést észlel, nem adja hozzá a virtuális hálózatot a hálóhoz.

Címtér frissítése vagy peering hozzáadása

Az Azure Virtual Network Manager ellenőrzi azokat a frissítéseket, amelyek hatással lehetnek a háló teljes címterére, hogy ne okozzon átfedést. A módosítások közé tartozik például a hálós virtuális hálózat címterének frissítése, társviszony létrehozása egy hálótag virtuális hálózathoz, vagy a címtér módosítása egy társhálózaton.

Peering kényszerítése az Azure Virtual Network Manager használatával

Az Azure Virtual Network Manager lehetővé teszi a társviszony-létesítési kapcsolatok kikényszerítését a hálózati topológiában az erősebb irányítás és megfelelőség érdekében. Az Azure Virtual Network Manageren kívül nem törölhet vagy módosíthat összeköttetéseket a szigorítás biztosítása miatt. Mind az új, mind a meglévő peerings-ekre vonatkozik a hub-and-spoke topológián belül.

Küllős kapcsolati konfiguráció létrehozása társviszony-kényszerítéssel

A társviszony-létesítés kényszerítéséhez engedélyeznie kell a társviszony-kényszerítési beállítást küllős kapcsolati konfiguráció létrehozásakor:

Metódus	Utasítások
Azure Portál	Jelölje be az Együttműködés kényszerítése jelölőnégyzetet a konfiguráció során.
Azure CLI / Egyéb ügyfelek	Állítsa be a tulajdonságot peeringEnforcementconnectivityCapabilities a következőre Enforced: .

A kapcsolati konfiguráció üzembe helyezése

A konfiguráció létrehozása és üzembe helyezése után:

• Az Azure Virtual Network Manager által létrehozott, vagy a topológián belüli meglévő ügyfél-kapcsolatok érvénybe lépnek.
• Ha egy társviszony egynél több topológiához tartozik, a kényszerítettként megjelölt konfiguráció kikényszeríti ezt a társviszony-létesítést.

Társviszony-létesítési kényszerítés eltávolítása

A kényszerítés eltávolítása:

1. Frissítse a kapcsolati konfigurációt a következőre Unenforced: .
2. Telepítse újra a konfigurációt.

Következő lépések

• Tanulja meg, hogyan hozhat létre hálózati kapcsolati konfigurációt.
• Megtudhatja, hogyan hozhat létre hub-and-spoke típusú kapcsolati konfigurációt.
• Ebben az oktatóanyagban biztonságos küllős topológiát hozhat létre.
• Megtudhatja, hogyan helyezhet üzembe küllős topológiát az Azure Firewall használatával.
• A hálózati beállítások hatékony kezelése érdekében megismerheti a konfigurációs telepítéseket.
• Tiltsa le a nem kívánt hálózati forgalmat biztonsági rendszergazdai konfigurációkkal.
• Az Azure Virtual Network Manager üzembe helyezése a Terraform használatával a környezet gyors beállításához.