Пиринг между виртуальными сетями
Пиринг между виртуальными сетями позволяет эффективно соединить две Виртуальные сети Azure. После создания пиринговой связи две виртуальные сети выглядят как одна сеть в плане подключения. Точно так же трафик между виртуальными машинами в одноранговых виртуальных сетях использует магистральную инфраструктуру Майкрософт. Как и трафик между виртуальными машинами в одной сети, трафик направляется только через частную сеть корпорации Майкрософт. По умолчанию виртуальная сеть может быть пиринговой с до 500 других виртуальных сетей. Используя конфигурацию подключения Диспетчера виртуальная сеть Azure, можно увеличить это ограничение до 1000 виртуальных сетей в одну виртуальную сеть. Это позволяет, например, создавать топологию концентратора и периферийной сети с 1000 периферийными виртуальными сетями и создавать сетку из 1000 периферийных виртуальных сетей, где все периферийные виртуальные сети напрямую связаны.
Azure поддерживает следующие типы пиринга:
Пиринг между виртуальными сетями. Подключение виртуальных сетей в одном регионе Azure.
Глобальный пиринг между виртуальными сетями позволяет подключать виртуальные сети между регионами Azure.
Преимущества пиринговой связи между виртуальными сетями (как локальной, так и глобальной):
подключение между ресурсами в разных виртуальных сетях, характеризующееся низкой задержкой и высокой пропускной способностью;
Возможность взаимодействия ресурсов в одной виртуальной сети с ресурсами в другой виртуальной сети.
Возможность передачи данных между виртуальными сетями между подписками Azure, клиентами Microsoft Entra, моделями развертывания и регионами Azure.
Возможность одноранговой связи между виртуальными сетями, созданными с помощью Azure Resource Manager.
Возможность одноранговой связи виртуальной сети, созданной с помощью Resource Manager с сетью, созданной с помощью классической модели развертывания. Дополнительные сведения о моделях развертывания Azure см. в статье Развертывание с помощью Azure Resource Manager и классическое развертывание: сведения о моделях развертывания и состоянии ресурсов.
Отсутствие задержки при доступе к ресурсам в любой виртуальной сети при создании пиринга или после его создания.
Сетевой трафик между одноранговыми виртуальными сетями является закрытым. Трафик между виртуальными сетями хранится в магистральной сети Майкрософт. При обмене данными между виртуальными сетями не требуется общий доступ к Интернету, шлюзы или шифрование.
Подключение
После создания пиринговой связи между виртуальными сетями ресурсы в одной виртуальной сети могут напрямую подключаться к ресурсам в связанной виртуальной сети.
Задержки в сети между виртуальными машинами в пиринговых виртуальных сетях такие же, как и в пределах одной виртуальной сети. Пропускная способность сети зависит от пропускной способности виртуальной машины, которая пропорциональна ее размеру. Дополнительные ограничения пропускной способности при пиринге не применяются.
Трафик между виртуальными машинами в пиринговых виртуальных сетях передается напрямую через магистральную инфраструктуру Майкрософт, а не через шлюз или Интернет.
Чтобы заблокировать доступ к другим виртуальным сетям или подсетям, в любой виртуальной сети можно, при желании, использовать группы безопасности сети. При настройке пиринга между виртуальными сетями можно открыть или закрыть правила группы безопасности сети между виртуальными сетями. Если вы откроете полное подключение между одноранговыми виртуальными сетями, можно применить группы безопасности сети, чтобы заблокировать или запретить конкретный доступ. По умолчанию используется полное подключение. Дополнительные сведения о группах безопасности сети см. в разделе Группы безопасности.
Изменение размера диапазона адресов виртуальных сетей Azure с пиринговым подключением
Вы можете изменять размер диапазона адресов для виртуальных сетей Azure с пиринговым подключением без простоев в работе используемого диапазона адресов. Эта функция полезна, когда вам нужно изменить размер диапазона адресов виртуальных сетей после масштабирования рабочих нагрузок. После изменения размера адресного пространства одноранговые узлы должны синхронизироваться с новыми изменениями адресного пространства. Изменение размера одинаково применимо для адресных пространств форматов IPv4 и IPv6.
Изменение размера можно выполнять для адресов следующими способами.
Изменение префикса диапазона адресов для существующего диапазона адресов (например, 10.1.0.0/16 вместо 10.1.0.0/18).
Добавление диапазонов адресов в виртуальную сеть.
Удаление диапазонов адресов из виртуальной сети.
Изменение размера адресного пространства поддерживается между клиентами
Синхронизация одноранговых узлов виртуальной сети может выполняться с помощью портал Azure или Azure PowerShell. Мы рекомендуем выполнять синхронизацию после каждой операции изменения диапазона адресов, а не один раз после нескольких операций изменения размера. Сведения о том, как правильно изменить диапазон адресов для пиринговой виртуальной сети см. в статье Обновление диапазона адресов для пиринговой виртуальной сети.
Внимание
Эта функция не поддерживает сценарии, если у обновляемой виртуальной сети есть пиринговое подключение к:
- классической виртуальной сети;
Цепочка служб
Цепочка служб позволяет направлять трафик из одной виртуальной сети на виртуальное устройство или шлюз в одноранговой сети через определенные пользователем маршруты.
Чтобы включить цепочку служб, настройте определяемые пользователем маршруты, указывающие, какие виртуальные машины в одноранговых виртуальных сетях используются для IP-адреса следующего прыжка. Определяемые пользователем маршруты также могут указывать на шлюзы виртуальной сети для включения цепочки служб.
Можно развернуть сети со звездообразным подключением, в которых в центральной виртуальной сети размещаются компоненты инфраструктуры, например виртуальный сетевой модуль или VPN-шлюз. Все остальные виртуальные сети ("лучи") могут подключаться по пиринговой связи к центральной виртуальной сети. Трафик проходит через виртуальные сетевые модули или VPN-шлюзы в центральной виртуальной сети.
В определяемой пользователем таблице маршрутизации можно указать для следующего прыжка IP-адрес виртуальной машины, входящей в пиринговую виртуальную сеть, или VPN-шлюз. Однако перемещение между виртуальными сетями невозможно, если в определяемой пользователем таблице маршрутизации для следующего прыжка указан шлюз Azure ExpressRoute. Дополнительные сведения об определяемых пользователем маршрутах см. в статье Определяемые пользователем маршруты и IP-пересылка. Сведения о создании топологии с центральной и периферийной сетью см. в Топология с центральной и периферийной сетью в Azure.
Использование шлюзов для локального подключения
Каждая виртуальная сеть, включая одноранговую виртуальную сеть, может иметь собственный шлюз. Виртуальная сеть может использовать свой шлюз для подключения к локальной сети. С помощью шлюзов также можно настроить подключение между виртуальными сетями, даже если для них установлена пиринговая связь.
Если для виртуальных сетей настроены оба типа подключения, трафик между виртуальными сетями проходит через пиринговую связь. Трафик использует магистраль Azure.
Можно также использовать шлюз в одной из этих одноранговых сетей в качестве транзитного пункта при подключении к локальной сети. В этом случае виртуальная сеть, использующая удаленный шлюз, не может иметь свой собственный. Виртуальная сеть может иметь только один шлюз, шлюз должен быть локальным или удаленным шлюзом в одноранговой виртуальной сети, как показано на следующей схеме:
Как пиринг между виртуальными сетями, так и пиринг между глобальными виртуальными сетями поддерживают транзитный шлюз.
Транзит через шлюз между виртуальными сетями, созданными с помощью разных моделей развертывания, поддерживается. Шлюз должен находиться в виртуальной сети, в модели Resource Manager. См. дополнительные сведения о настройке VPN-шлюза для передачи данных с помощью пиринга между виртуальными сетями.
При использовании одноранговых виртуальных сетей, совместно использующих одно подключение Azure ExpressRoute, трафик между ними проходит через отношение пиринга. Этот трафик использует магистральную сеть Azure. Вы по-прежнему можете использовать в каждой виртуальной сети локальные шлюзы для подключения к локальному каналу. Или настройте транзит через общий шлюз для локального подключения.
Устранение неполадок
Чтобы убедиться в том, что виртуальные сети являются одноранговыми, можно проверить действующие маршруты. Проверьте маршруты сетевого интерфейса любой подсети в виртуальной сети. Если пиринг между виртуальными сетями настроен, все подсети виртуальной сети будут иметь маршруты со следующим прыжком типа Пиринг виртуальных сетей для каждого адресного пространства в каждой пиринговой виртуальной сети. Дополнительные сведения см. в статье Диагностика проблем с маршрутизацией виртуальных машин.
Чтобы устранить неполадки подключения к виртуальной машине в одноранговой виртуальной сети, используйте службу "Наблюдатель за сетями" Azure. Проверка подключения позволяет увидеть, как трафик направляется из сетевого интерфейса исходящей виртуальной машины к сетевому интерфейсу конечной виртуальной машины. Дополнительные сведения см. в Устранение неполадок подключений с помощью службы "Наблюдатель за сетями Azure" с использованием портала Microsoft Azure.
Также см. статью Об устранении неполадок с пирингом между виртуальными сетями.
Ограничения для одноранговых виртуальных сетей
Следующие ограничения применяются только в том случае, если виртуальные сети глобально пиринговые:
Ресурсы в одной виртуальной сети не могут взаимодействовать с внешним IP-адресом базовой подсистемы балансировки нагрузки (внутренней или общедоступной) в глобально одноранговой виртуальной сети.
Некоторые службы, использующие базовую подсистему балансировки нагрузки, не работают над пирингом глобальной виртуальной сети. Дополнительные сведения см. в Каковы ограничения, связанные с глобальным пирингом виртуальных сетей и подсистемами балансировки нагрузки?
Пиринги виртуальных сетей нельзя выполнять как часть операции виртуальной PUT
сети.
Дополнительные сведения см. в разделе Требования и ограничения. Дополнительные сведения о поддерживаемом числе пиринга см. в разделе ограничения сети.
Разрешения
Дополнительные сведения о разрешениях, необходимых для создания пирингового подключения между виртуальными сетями, см. в разделе Разрешения.
Цены
За входящий и исходящий трафик по пиринговой связи между виртуальными сетями взимается номинальная плата. Дополнительные сведения см. в статье Цены на виртуальную сеть Microsoft Azure.
Транзитный шлюз — это свойство пиринга, которое позволяет виртуальной сети использовать шлюз VPN или ExpressRoute в одноранговой виртуальной сети. Транзитный шлюз работает как для подключений между разными расположениями, так и для подключений между сетями. Трафик к шлюзу (входящего трафика или исходящего трафика) в одноранговой виртуальной сети взимается плата за пиринг между виртуальными сетями в периферийной виртуальной сети (или виртуальной сети без VPN-шлюза). Дополнительные по оплате за шлюз ExpressRoute см. в информации по оплате за VPN-шлюз и ценах на шлюз ExpressRoute в статье Цены на VPN-шлюз.
Примечание.
В предыдущей версии этого документа было указано, что плата за пиринг между виртуальными сетями не применима в периферийной виртуальной сети (или виртуальной сети без шлюза) с транзитом шлюза. Теперь она отражает точную цену на странице цен.
Следующие шаги
Можно создавать пиринг между двумя виртуальными сетями. Сети могут принадлежать к одной и той же подписке, различным моделям развертывания в одной подписке или к разным подпискам. Изучите руководство одного из следующих сценариев:
Модель развертывания Azure Отток подписок Обе — диспетчер ресурсов Та же Разные Одна — диспетчер ресурсов, вторая — классическая Та же Разные Сведения о создании топологии с центральной и периферийной сетью см. в Топология с центральной и периферийной сетью в Azure.
Дополнительные сведения о параметрах пиринга виртуальной сети см. в статье Создание, изменение или удаление пиринга между виртуальными сетями.
Ответы на распространенные вопросы по пирингу виртуальных сетей и пирингу глобальных виртуальных сетей см. в разделе Пиринг между виртуальными сетями.