Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Virtual Network Manager vereenvoudigt het beheer van connectiviteit, beveiliging, routering en meer in uw Azure-netwerkomgeving. Connectiviteitsconfiguraties, waaronder mesh- en hub-and-spoke-topologieën, helpen u bij het optimaliseren van de netwerkprestaties en connectiviteit op de schaal van uw organisatie. In dit artikel worden functies behandeld zoals grootschalige verbonden groepen en wereldwijde mesh-connectiviteit, samen met use cases en instellingen voor elke topologie.
Connectiviteitsconfiguratie
Met connectiviteitsconfiguraties kunt u verschillende netwerktopologieën maken en onderhouden op basis van uw netwerkbehoeften. U hebt twee topologieën waaruit u kunt kiezen: mesh en hub-and-spoke. De instellingen van uw connectiviteitsconfiguratie definiëren connectiviteit tussen uw virtuele netwerken. U definieert de virtuele netwerken waarvoor u verbinding wilt maken via netwerkgroepen. Uw connectiviteitsconfiguratie gebruikt vervolgens de netwerkgroepen om connectiviteit tot stand te brengen, zoals beschreven door de gewenste topologie tussen de virtuele netwerken in de netwerkgroepen.
Als u bestaande peerings verwijderen inschakelt voor uw connectiviteitsconfiguratie, verwijdert Azure Virtual Network Manager alle peerings die niet overeenkomen met de inhoud van deze connectiviteitsconfiguratie, zelfs als u deze peerings handmatig hebt gemaakt nadat u de configuratie hebt geïmplementeerd. Als u een virtueel netwerk verwijdert uit een netwerkgroep die in de configuratie wordt gebruikt, verwijdert uw Exemplaar van Azure Virtual Network Manager alleen de connectiviteit die is gemaakt.
Wanneer u een connectiviteitsconfiguratie implementeert, brengt Azure Virtual Network Manager bidirectionele connectiviteit tot stand via peerings van virtuele netwerken (voor hub-and-spoke-topologieën) of via verbonden groepen (voor mesh-topologieën) tussen virtuele netwerken. Deze verbinding wordt tot stand gebracht op basis van de instellingen die u definieert en netwerkgroepen die zijn opgenomen in uw connectiviteitsconfiguratie.
Mesh-topologie
Een mesh-topologie definieert connectiviteit tussen elk virtueel netwerk in de netwerkgroep. Alle virtuele lidnetwerken zijn verbonden en kunnen verkeer bidirectioneel doorgeven aan elkaar.
Een veelvoorkomend gebruiksscenario van een mesh-topologie is het toestaan van virtuele spoke-netwerken in een hub-and-spoke-topologie om rechtstreeks met elkaar te communiceren zonder het verkeer via het virtuele hubnetwerk te routeren. Deze aanpak vermindert de latentie die anders kan voortvloeien uit routering van verkeer via een router in de hub. Daarnaast kunt u beveiliging en toezicht houden op de directe verbindingen tussen virtuele spoke-netwerken door beveiligingsbeheerdersregels te implementeren in Azure Virtual Network Manager of regels voor netwerkbeveiligingsgroepen. Verkeer kan ook worden bewaakt en vastgelegd met behulp van stroomlogboeken voor virtuele netwerken.
Standaard is de mesh-topologie die is gedefinieerd in uw connectiviteitsconfiguratie een regionale mesh, wat betekent dat alleen virtuele netwerken in dezelfde regio met elkaar kunnen communiceren. U kunt een globale mesh-optie inschakelen in uw connectiviteitsconfiguratie om connectiviteit tussen virtuele netwerken in alle Azure-regio's tot stand te brengen.
Notitie
Adresruimten van virtuele netwerken kunnen overlappen in een mesh-configuratie, in tegenstelling tot peerings van virtuele netwerken, maar verkeer tussen de subnetten met overlappende adresruimten wordt verwijderd omdat routering niet-deterministisch is.
Achter de schermen: verbonden groep
Wanneer u een mesh-topologie maakt of directe connectiviteit inschakelt in een hub-and-spoke-topologie, maakt u een nieuwe connectiviteitsconstructie die exclusief is voor Azure Virtual Network Manager. Deze constructie wordt een verbonden groep genoemd. Virtuele netwerken in een verbonden groep kunnen met elkaar communiceren, net zoals handmatig verbonden virtuele netwerken. Wanneer u de effectieve routes voor een netwerkinterface bekijkt, ziet u een volgend hoptype ConnectedGroup. Virtuele netwerken die zijn verbonden in een verbonden groep, hebben geen peeringconfiguratie die wordt vermeld onder Peerings voor het virtuele netwerk. Deze verbonden groep stelt Azure Virtual Network Manager in staat om een grotere schaal van virtuele netwerkconnectiviteit te ondersteunen dan traditionele peerings voor virtuele netwerken.
Notitie
Een virtueel netwerk kan deel uitmaken van maximaal twee verbonden groepen, wat betekent dat het deel kan uitmaken van maximaal twee mesh-topologieën.
Grootschalige privé-eindpunten inschakelen in verbonden azure Virtual Network Manager-groepen
Met de functie voor grootschalige privé-eindpunten van Azure Virtual Network Manager in de functie verbonden groep kunt u de netwerkcapaciteit uitbreiden. Gebruik de volgende stappen om deze functie in te schakelen voor ondersteuning van maximaal 20.000 privé-eindpunten in de verbonden groep.
Elk virtueel netwerk in de verbonden groep voorbereiden
Bekijk de limieten voor het virtuele netwerk voor privé-eindpunten verhogen voor gedetailleerde richtlijnen voor het verhogen van deze limieten. Als u deze functie inschakelt of uitschakelt, wordt een eenmalige verbinding opnieuw ingesteld. Voer deze wijzigingen uit tijdens een onderhoudsvenster.
Configureer in elk virtueel netwerk binnen uw verbonden groep het beleid voor privé-eindpuntnetwerken op één van de volgende opties: of
Enabled. Deze instelling zorgt ervoor dat uw virtuele netwerken gereed zijn om de functionaliteit voor privé-eindpunten op grote schaal te ondersteunen. Zie Limieten voor virtuele privé-eindpunten verhogen voor gedetailleerde richtlijnen.
Mesh-topologie configureren voor privé-eindpunten op grote schaal
In deze stap configureert u de mesh-topologie-instellingen van de connectiviteitsconfiguratie voor uw verbonden groep om grootschalige privé-eindpunten in te schakelen. Deze stap omvat het selecteren van de juiste opties in Azure Portal en het verifiëren van de configuratie.
Zoek en schakel in uw mesh-connectiviteitsconfiguratie het selectievakje in voor privé-eindpunten op grote schaal inschakelen. Met deze optie wordt de functie voor hoge schaal voor uw verbonden groep geactiveerd.
Controleer of elk virtueel netwerk in uw hele mesh (verbonden groep) is geconfigureerd met grootschalige privé-eindpunten. Azure Portal valideert de instellingen in de hele groep. Als u later een virtueel netwerk toevoegt zonder de grootschalige configuratie, kan het niet communiceren met privé-eindpunten in andere virtuele netwerken.
Nadat u hebt gecontroleerd of alle virtuele netwerken correct zijn geconfigureerd, implementeert u de connectiviteitsconfiguratie. Met deze stap voltooit u de installatie van uw grootschalige verbonden groep.
Connectiviteit op grote schaal inschakelen in verbonden groepen met Azure Virtual Network Manager
Met de uitgebreide connectiviteitsfunctie van Azure Virtual Network Manager in de functie verbonden groepen kunt u de netwerkcapaciteit uitbreiden. Als u deze functie wilt gebruiken, registreert u de preview-functie 'AllowHighScaleConnectedGroup' (u vindt deze met de weergavenaam 'High Scale Connected Group inschakelen'). Met deze functie kan een verbonden groep in de ondersteunde regio's maximaal 5000 virtuele netwerken bevatten.
Hub-and-spoke-topologie
Een hub-and-spoke-topologie definieert connectiviteit tussen een geselecteerd virtueel hubnetwerk en spoke-virtuele netwerken die lid zijn van een of meer geselecteerde spoke-netwerkgroepen. Het virtuele hubnetwerk wordt bidirectioneel gekoppeld aan de virtuele netwerkleden van elke spoke-netwerkgroep in de configuratie. Deze topologie is handig voor het isoleren van een virtueel netwerk, maar het behouden van connectiviteit met algemene resources in het virtuele hubnetwerk.
In deze configuratie kunt u instellingen inschakelen, zoals directe connectiviteit tussen virtuele spoke-netwerken die deel uitmaken van dezelfde spoke-netwerkgroep. Deze connectiviteit wordt standaard alleen tot stand gebracht voor virtuele netwerken in dezelfde regio. Als u connectiviteit tussen verschillende Azure-regio's wilt toestaan, moet u de globale mesh-instelling voor de spoke-netwerkgroep inschakelen. U kunt ook gateway-transit inschakelen zodat de virtuele spoke-netwerken gebruik kunnen maken van de VPN- of ExpressRoute-gateway die is ingezet in het virtuele hubnetwerk.
Directe connectiviteit inschakelen
Wanneer u directe connectiviteit inschakelt voor een spoke-netwerkgroep, creëert u een mesh en daarmee een verbonden groep over alle virtuele netwerken binnen die spoke-netwerkgroep bovenop uw hub-and-spoke-topologie. Met directe connectiviteit kan een virtueel netwerk rechtstreeks communiceren met andere virtuele netwerken binnen de spoke-netwerkgroep, maar er is geen verbinding mogelijk met virtuele netwerken in andere spoke-netwerkgroepen.
U maakt bijvoorbeeld twee netwerkgroepen en neemt deze op als spoke-netwerkgroepen in uw hub-and-spoke-connectiviteitsconfiguratie. U schakelt directe connectiviteit in voor de productienetwerkgroep, maar niet voor de testnetwerkgroep. Met deze installatie wordt het virtuele hubnetwerk verbonden met alle virtuele netwerken in de netwerkgroepen Productie en Testen , maar alleen virtuele netwerken in de productienetwerkgroep kunnen met elkaar communiceren. De virtuele netwerken van deproductienetwerkgroep hebben geen verbinding met de virtuele netwerken van de testnetwerkgroep en de virtuele netwerken van de testnetwerkgroep hebben geen connectiviteit tussen zichzelf (tenzij u ook directe connectiviteit inschakelt voor de testnetwerkgroep).
Wanneer u effectieve routes op een virtuele machine bekijkt, heeft de route tussen de hub en de spoke virtuele netwerken het volgende hoptype VNetPeering of GlobalVNetPeering. Routes tussen virtuele spoke-netwerken worden weergegeven met het volgende hoptype ConnectedGroup. In het voorbeeld productie en test heeft alleen de productienetwerkgroep een ConnectedGroup omdat er directe connectiviteit is ingeschakeld.
Directe connectiviteit tussen virtuele spoke-netwerken kan handig zijn als u een netwerk virtueel apparaat (NVA) of een algemene service in het virtuele hubnetwerk wilt hebben, maar het is niet noodzakelijk om altijd toegang te hebben tot het hubnetwerk om vertrouwde virtuele spoke-netwerken met elkaar te laten communiceren. Vergeleken met traditionele hub-and-spoke-netwerken verbetert deze topologie de prestaties door de extra hop via het virtuele hubnetwerk te verwijderen.
Globaal netwerk
Net als bij de mesh-topologie is een spoke-netwerkgroep met directe connectiviteit standaard geconfigureerd als regionaal. U kunt global mesh inschakelen wanneer u wilt dat de virtuele netwerken van uw spoke-netwerkgroep met elkaar communiceren tussen regio's. Deze connectiviteit is beperkt tot virtuele netwerken in dezelfde netwerkgroep. Als u deze wereldwijde mesh-connectiviteit wilt inschakelen voor virtuele netwerken in verschillende regio's, moet u mesh-connectiviteit tussen regio's inschakelen voor de netwerkgroep. Verbindingen die zijn gemaakt tussen virtuele spoke-netwerken, bevinden zich in een verbonden groep.
Hub gebruiken als gateway
Een andere optie die u kunt inschakelen in een hub-and-spoke-configuratie is om de hub als gateway te gebruiken. Met deze instelling kunnen alle virtuele netwerken in de spoke-netwerkgroep de VPN- of ExpressRoute-gateway in het virtuele hubnetwerk gebruiken om verkeer door te geven. Zie Gateways en on-premises connectiviteit.
Wanneer u een hub-and-spoke-topologie implementeert vanuit Azure Portal, is de optie Hub als gateway gebruiken standaard ingeschakeld voor de virtuele spoke-netwerken in de netwerkgroep. Azure Virtual Network Manager probeert een peeringverbinding voor een virtueel netwerk te maken tussen het virtuele hubnetwerk en virtuele netwerken in de spoke-netwerkgroepen. Als u deze optie inschakelt, maar er geen gateway in het virtuele hubnetwerk bestaat, mislukt het maken van de peering van het virtuele spoke-netwerk naar de hub. De peeringverbinding van de hub naar de spoke wordt nog steeds gecreëerd zonder dat er een bestaande verbinding nodig is.
De netwerkgroeptopologie detecteren met de topologieweergave
Azure Virtual Network Manager biedt een topologieweergave die de connectiviteit tussen netwerkgroepen en hun lid-virtuele netwerken weergeeft, zodat u inzicht krijgt in de topologie van uw netwerkgroep. U kunt de topologie van uw connectiviteitsconfiguratie bekijken tijdens het maken van uw connectiviteitsconfiguratie met de volgende stappen:
Ga naar de pagina Configuraties en maak een connectiviteitsconfiguratie .
Selecteer op het tabblad Topologie het gewenste topologietype , voeg een of meer netwerkgroepen toe aan de topologie en configureer andere gewenste connectiviteitsinstellingen.
Selecteer het tabblad Topologie weergeven om de huidige connectiviteit van uw configuratie visueel te controleren.
Voltooi het maken van uw connectiviteitsconfiguratie.
U kunt de huidige topologie van een connectiviteitsconfiguratie bekijken door topologie weergeven te selecteren onder Instellingen op de pagina met details van de configuratie. In de weergave ziet u de connectiviteit tussen de virtuele netwerken die deel uitmaken van deze connectiviteitsconfiguratie.
Hoe overlappende adressen in een mesh te voorkomen
Azure Virtual Network Manager staat standaard overlappende adressen binnen een mesh-netwerk toe. Als u twee virtuele netwerken met dezelfde adresruimte aan een mesh-netwerk toevoegt, wordt de overlappende adresruimte verwijderd uit de mesh, zodat communicatie met resources in die adresruimte niet werkt. Deze verwijdering treedt op omdat wanneer verkeer naar die adresruimte wordt verzonden, Azure Virtual Network Manager niet kan bepalen welk virtueel netwerk het verkeer moet ontvangen. Hoewel dit gedrag de integriteit van de mesh beschermt, kan dit leiden tot storingen als u een nieuw overlappend virtueel netwerk toevoegt aan een bestaande mesh.
Azure Virtual Network Manager biedt een mechanisme om overlappende IP-adresruimten binnen een mesh te voorkomen.
De eigenschap ConnectedGroupAddressOverlap gebruiken
De connectiviteitsconfiguratie bevat een eigenschap : ConnectedGroupAddressOverlap
- Standaard: toegestaan
- Optionele instelling: niet toegestaan
Wanneer u deze eigenschap Disallowedinstelt op, dwingt Azure Virtual Network Manager strikte niet-overlappende adresruimten af voor verbonden virtuele netwerken.
Wat gebeurt er wanneer u Niet toegestaan inschakelt?
Wanneer u de eigenschap Disallowedinstelt, valideert Azure Virtual Network Manager adreswijzigingen die van invloed kunnen zijn op de connectiviteit in een mesh.
Een virtueel netwerk toevoegen aan een mesh
Azure Virtual Network Manager controleert automatisch of de adresruimte van het nieuwe virtuele netwerk niet overlapt met bestaande leden. Als er een overlap wordt gedetecteerd, wordt het virtuele netwerk niet toegevoegd aan de mesh.
Adresruimte bijwerken of peering toevoegen
Azure Virtual Network Manager valideert elke update die van invloed kan zijn op de totale adresruimte van een mesh om ervoor te zorgen dat er geen overlapping wordt geïntroduceerd. Voorbeelden van wijzigingen zijn het bijwerken van de adresruimte van een virtueel mesh-netwerk, het maken van een peering naar een virtueel netwerk dat lid is van een mesh of het wijzigen van de adresruimte in een gekoppeld virtueel netwerk.
Peering afdwingen met behulp van Azure Virtual Network Manager
Met Azure Virtual Network Manager kunt u peeringrelaties binnen uw netwerktopologie afdwingen voor sterkere governance en naleving. Handhaving zorgt ervoor dat u peerings buiten Azure Virtual Network Manager niet kunt verwijderen of wijzigen. Het is van toepassing op zowel nieuwe als bestaande peerings binnen de hub-and-spoke-topologie.
Een hub-and-spoke-connectiviteitsconfiguratie met peering-verplichting maken
Als u peering wilt afdwingen, moet u de optie peering afdwingen inschakelen bij het maken van een hub-and-spoke-connectiviteitsconfiguratie:
| Methode | Aanwijzingen |
|---|---|
| Azure-portal | Schakel het selectievakje Peering afdwingen in tijdens de configuratie. |
| Azure CLI/andere clients | Stel de eigenschap peeringEnforcement onder connectivityCapabilities in op Enforced. |
De connectiviteitsconfiguratie implementeren
Nadat u deze configuratie hebt gemaakt en geïmplementeerd:
- Alle peerings die zijn gemaakt door Azure Virtual Network Manager of bestaande klantpeeringen binnen de topologie worden afgedwongen.
- Als een peering deel uitmaakt van meer dan één topologie, dwingt elke configuratie die is gemarkeerd als afgedwongen, die peering af.
Hoe de afdwinging op peering te verwijderen
Handhaving verwijderen
- Werk de connectiviteitsconfiguratie bij naar
Unenforced. - Implementeer de configuratie opnieuw.
Volgende stappen
- Meer informatie over het maken van een mesh-connectiviteitsconfiguratie.
- Meer informatie over het maken van een hub-and-spoke-connectiviteitsconfiguratie.
- Maak in deze zelfstudie een beveiligde hub-and-spoke-topologie.
- Meer informatie over het implementeren van een hub-and-spoke-topologie met Azure Firewall.
- Meer informatie over configuratie-implementaties om uw netwerkinstellingen effectief te beheren.
- Blokkeer ongewenst netwerkverkeer met behulp van beveiligingsbeheerdersconfiguraties.
- Implementeer Azure Virtual Network Manager met behulp van Terraform om snel uw omgeving in te stellen.