Настройка подключения в Диспетчере виртуальная сеть Azure

В этой статье вы узнаете о различных типах конфигураций, которые можно создавать и развертывать с помощью Azure виртуальная сеть Manager. В настоящее время доступны два типа конфигураций: подключение и администраторы безопасности.

Конфигурация подключения

Конфигурации подключения позволяют создавать различные топологии сети в зависимости от потребностей сети. У вас есть две топологии для выбора, сети сетки и концентратора и периферийных узлов. Подключение между виртуальными сетями определяется в параметрах конфигурации.

Топология сети сетки

Сеть сетки — это топология, в которой все виртуальные сети в группе сети подключены друг к другу. Все виртуальные сети подключены и могут передавать трафик в двунаправленном направлении друг другу.

Распространенный вариант использования топологии сети сетки — разрешить некоторым периферийным виртуальным сетям в концентраторе и периферийной топологии напрямую взаимодействовать друг с другом без трафика, проходящих через виртуальную сеть концентратора. Этот подход снижает задержку, которая может привести к маршрутизации трафика через маршрутизатор в концентраторе. Кроме того, вы можете поддерживать безопасность и надзор за прямыми подключениями между периферийными сетями, реализуя правила групп безопасности сети или административные правила безопасности в Azure виртуальная сеть Manager. Трафик также можно отслеживать и записывать с помощью журналов потоков виртуальной сети.

По умолчанию сетка — это региональная сетка, поэтому только виртуальные сети в одном регионе могут взаимодействовать друг с другом. Глобальная сетка может быть включена для установления подключения виртуальных сетей во всех регионах Azure. Виртуальная сеть может быть частью до двух подключенных групп. Адресные пространства виртуальной сети могут перекрываться в конфигурации сетки, в отличие от пирингов виртуальных сетей. Однако трафик к конкретным перекрывающимся подсетям удаляется, так как маршрутизация не детерминирована.

Подключенная группа

При создании топологии сетки или прямого подключения в концентраторе и периферийной топологии создается новая конструкция подключения с именем "Подключенная группа". Виртуальные сети в подключенной группе могут взаимодействовать друг с другом так же, как при подключении виртуальных сетей вручную. При просмотре эффективных маршрутов сетевого интерфейса вы увидите тип следующего прыжка ConnectedGroup. Виртуальные сети, подключенные вместе в подключенной группе, не имеют конфигурации пиринга, указанной в разделе пиринга для виртуальной сети.

Примечание.

• Если у вас есть конфликтующие подсети в двух или нескольких виртуальных сетях, ресурсы в этих подсетях не смогут взаимодействовать друг с другом, даже если они входят в одну сеть сетки.
• Виртуальная сеть может быть частью до двух конфигураций сетки.

Звездообразная топология

Концентратор и периферийный — это топология сети, в которой у вас есть виртуальная сеть, выбранная в качестве виртуальной сети концентратора. Эта виртуальная сеть получает двунаправленный пиринг с каждой периферийной виртуальной сетью в конфигурации. Эта топология полезна, если вы хотите изолировать виртуальную сеть, но по-прежнему хотите, чтобы она была подключена к общим ресурсам в центральной виртуальной сети.

В этой конфигурации вы можете включить такие параметры, как прямое подключение между периферийными виртуальными сетями . По умолчанию это подключение предназначено только для виртуальных сетей в одном регионе. Чтобы разрешить подключение между различными регионами Azure, необходимо включить глобальную сетку. Вы также можете включить транзит шлюза , чтобы позволить периферийным виртуальным сетям использовать VPN или шлюз ExpressRoute, развернутый в концентраторе.

При проверке все пиринги, которые не соответствуют содержимому этой конфигурации, могут быть удалены, даже если эти пиринги были созданы вручную после развертывания этой конфигурации. При удалении виртуальной сети из сетевой группы, используемой в конфигурации, виртуальный менеджер удаляет только созданные пиринги.

Прямое подключение

Включение прямого подключения создает наложение подключенной группы на вершине концентратора и периферийной топологии, которая содержит периферийные виртуальные сети определенной группы. Прямое подключение позволяет периферийной виртуальной сети напрямую взаимодействовать с другими виртуальными сетями в своей периферийной группе, но не к виртуальным сетям в других периферийных узлах.

Например, вы создаете две сетевые группы. Вы можете включить прямое подключение для рабочей группы сети, но не для тестовой сетевой группы. Эта настройка позволяет только виртуальным сетям в рабочей группе сети взаимодействовать друг с другом, но не с ними в группе тестовой сети.

При просмотре эффективных маршрутов на виртуальной машине маршрут между концентратором и периферийными виртуальными сетями будет иметь тип следующего прыжка виртуальной сети VNetPeering или GlobalVNetPeering. Маршруты между периферийными виртуальными сетями будут отображаться с типом следующего прыжка ConnectedGroup. В приведенном выше примере только группа рабочих сетей будет иметь подключенную группу , так как она включает прямое подключение .

Обнаружение топологии группы сети с помощью представления топологии

Чтобы понять топологию группы сети, Диспетчер виртуальная сеть Azure предоставляет представление топологии, показывающее подключение между группами сети и их виртуальными сетями-членами. Топологию группы сети можно просмотреть во время создания конфигурации подключения, выполнив следующие действия.

1. Перейдите на страницу "Конфигурации" и создайте конфигурацию подключения.
2. На вкладке топологии выберите нужный тип топологии, добавьте одну или несколько групп сети в топологию и настройте другие нужные параметры подключения.
3. Перейдите на вкладку "Предварительная версия топологии", чтобы проверить представление топологии и проверить текущее подключение конфигурации.
4. Завершите создание конфигурации подключения.

Вы можете просмотреть текущую топологию сетевой группы, выбрав "Визуализация " в разделе "Параметры " на странице сведений о группе сети. В представлении показано подключение между виртуальными сетями-членами в группе сети.

Случаи использования

Включение прямого подключения между периферийными виртуальными сетями может оказаться полезным, если требуется NVA или общая служба в виртуальной сети концентратора, но к концентратору не требуется всегда обращаться. Но вместо этого вам нужны периферийные виртуальные сети в группе сети для взаимодействия друг с другом. По сравнению с традиционными сетями концентратора и периферийных сетей эта топология повышает производительность, удаляя дополнительный прыжок через виртуальную сеть концентратора.

Глобальная сетка

Как и сетка, эти подключенные группы могут быть настроены как региональные или глобальные. Глобальная сетка требуется, если вы хотите, чтобы периферийные виртуальные сети взаимодействовали друг с другом между регионами. Это подключение ограничено виртуальной сетью в той же группе сети. Чтобы включить подключение для виртуальных сетей в разных регионах, необходимо включить подключение сетки между регионами для группы сети. Подключения, созданные между периферийными виртуальными сетями, находятся в подключенной группе.

Использовать концентратор в качестве шлюза

Другой вариант, который можно включить в конфигурации концентратора и периферийной сети, — использовать концентратор в качестве шлюза. Этот параметр позволяет всем виртуальным сетям в группе сети использовать VPN или шлюз ExpressRoute в виртуальной сети концентратора для передачи трафика. См. статью Использование шлюзов для локального подключения.

При развертывании концентратора и периферийной топологии из портал Azure центр Use в качестве шлюза включен по умолчанию для периферийных виртуальных сетей в группе сети. Диспетчер виртуальная сеть Azure пытается создать пиринг между концентратором и периферийной виртуальной сетью в группе ресурсов. Если шлюз не существует в центральной виртуальной сети, создание пиринга из периферийной виртуальной сети в концентратор завершается ошибкой. Пиринговое подключение из концентратора к периферийной сети по-прежнему будет создано без установленного подключения.

Следующие шаги

• Разверните экземпляр Azure виртуальная сеть Manager с помощью Terraform.
• Сведения о развертываниях конфигурации в Azure виртуальная сеть Manager.
• Узнайте, как заблокировать сетевой трафик с помощью конфигурации администратора безопасности.