Konfiguracje łączności w usłudze Azure Virtual Network Manager

Usługa Azure Virtual Network Manager upraszcza zarządzanie łącznością sieci wirtualnej i zabezpieczeniami w środowisku platformy Azure. Konfiguracje łączności, w tym topologie siatki i piasty i szprych, ułatwiają optymalizowanie wydajności i zabezpieczeń sieci. W tym artykule opisano funkcje, takie jak grupy połączone na dużą skalę i globalna łączność siatki, a także przypadki użycia i kroki konfiguracji dla każdej topologii.

Konfiguracja łączności

Konfiguracje łączności umożliwiają tworzenie różnych topologii sieci na podstawie potrzeb sieci. Istnieją dwie topologie do wyboru: sieć siatki i sieć piasty i szprych. Łączność między sieciami wirtualnymi jest definiowana w ustawieniach konfiguracji.

Topologia sieci siatki

Sieć siatki to topologia, w której wszystkie sieci wirtualne w grupie sieciowej są połączone ze sobą. Wszystkie sieci wirtualne są połączone i mogą przekazywać ruch dwukierunkowo do siebie.

Typowym przypadkiem użycia topologii sieci siatki jest umożliwienie niektórym sieciom wirtualnym szprych w topologii piasty i szprych bezpośrednio komunikować się ze sobą bez ruchu przechodzącego przez sieć wirtualną koncentratora. Takie podejście zmniejsza opóźnienie, które w przeciwnym razie może wynikać z routingu ruchu przez router w koncentratonie. Ponadto można zachować bezpieczeństwo i nadzór nad bezpośrednimi połączeniami między sieciami szprych, implementując reguły sieciowych grup zabezpieczeń lub reguły administracyjne zabezpieczeń w usłudze Azure Virtual Network Manager. Ruch można również monitorować i rejestrować przy użyciu dzienników przepływu sieci wirtualnej.

Domyślnie siatka jest siatką regionalną, dlatego tylko sieci wirtualne w tym samym regionie mogą komunikować się ze sobą. Globalne siatki można włączyć w celu ustanowienia łączności sieci wirtualnych we wszystkich regionach świadczenia usługi Azure. Sieć wirtualna może być częścią maksymalnie dwóch połączonych grup. Przestrzenie adresowe sieci wirtualnej mogą nakładać się na konfigurację siatki, w przeciwieństwie do komunikacji równorzędnej sieci wirtualnych. Jednak ruch do konkretnych nakładających się podsieci jest odrzucany, ponieważ routing jest niedeterministyczny.

Połączona grupa

Podczas tworzenia topologii siatki lub bezpośredniej łączności w topologii piasty i szprych tworzona jest nowa konstrukcja łączności o nazwie Połączona grupa. Sieci wirtualne w połączonej grupie mogą komunikować się ze sobą tak samo jak ręcznie połączone sieci wirtualne. Gdy spojrzysz na obowiązujące trasy dla interfejsu sieciowego, zobaczysz typ następnego przeskoku ConnectedGroup. Sieci wirtualne połączone ze sobą w połączonej grupie nie mają konfiguracji komunikacji równorzędnej wymienionej w obszarze Komunikacja równorzędna dla sieci wirtualnej.

Uwaga

Jeśli masz sprzeczne podsieci w co najmniej dwóch sieciach wirtualnych, zasoby w tych podsieciach nie mogą komunikować się ze sobą, nawet jeśli są częścią tej samej sieci siatki. Sieć wirtualna może być częścią maksymalnie dwóch konfiguracji siatki.

Włączanie grup połączonych prywatnych punktów końcowych o dużej skali w usłudze Azure Virtual Network Manager

Ważne

Funkcja grupy połączonej z prywatnym punktem końcowym usługi Azure Virtual Network Manager o dużej skali jest dostępna w wersji zapoznawczej. Jest ona dostępna w następujących regionach w wersji zapoznawczej:

• Wschodnie stany USA 2 EUAP
• Centralna część USA — EUAP
• Central Zachodnich Stanów USA
• Azja Wschodnia
• Południe Wielkiej Brytanii
• Wschodnie USA

Ta wersja zapoznawcza jest udostępniana bez umowy dotyczącej poziomu usług i nie zalecamy korzystania z niej w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą nie być obsługiwane lub mogą mieć ograniczone możliwości. Aby uzyskać więcej informacji, zobacz Warunki dodatkowe korzystania z testowych wersji Microsoft Azure.

Funkcja połączonej grupy usługi Azure Virtual Network Manager na dużą skalę umożliwia rozszerzenie pojemności sieci. Wykonaj następujące kroki, aby umożliwić tej funkcji obsługę maksymalnie 20 000 prywatnych punktów końcowych w połączonej grupie:

Przygotuj każdą sieć wirtualną w połączonej grupie

1. Zapoznaj się z artykułem Zwiększanie limitów sieci wirtualnej prywatnego punktu końcowego , aby uzyskać szczegółowe wskazówki dotyczące zwiększania limitów sieci wirtualnej prywatnego punktu końcowego. Włączenie lub wyłączenie tej funkcji inicjuje jednorazowe resetowanie połączenia. Zaleca się wykonanie tych zmian podczas okna serwisowego.

2. Zarejestruj flagę funkcji Microsoft.Network/EnableMaxPrivateEndpointsVia64kPath dla każdej subskrypcji zawierającej instancję usługi Azure Virtual Network Manager lub sieć wirtualną w Twojej połączonej grupie.

   Ważne

   Ta rejestracja jest niezbędna do odblokowania rozszerzonej pojemności prywatnego punktu końcowego. Aby uzyskać więcej informacji, zobacz Dokumentację dotyczącą włączania funkcji platformy Azure w wersji zapoznawczej.

3. W każdej sieci wirtualnej w połączonej grupie skonfiguruj zasady sieci prywatnego punktu końcowego na wartość Enabled lub RouteTableEnabled. To ustawienie zapewnia, że sieci wirtualne są gotowe do obsługi funkcji prywatnych punktów końcowych o dużej skali. Aby uzyskać szczegółowe wskazówki, zobacz Zwiększanie limitów sieci wirtualnej prywatnego punktu końcowego.

Konfigurowanie łączności siatki dla prywatnych punktów końcowych o dużej skali

W tym kroku skonfigurujesz ustawienia połączeń siatkowych dla swojej połączonej grupy, aby umożliwić działanie prywatnych punktów końcowych w dużej skali. Ten krok obejmuje wybranie odpowiednich opcji w witrynie Azure Portal i zweryfikowanie konfiguracji.

1. W konfiguracji łączności siatki znajdź i zaznacz pole wyboru Włącz prywatne punkty końcowe w dużej skali. Ta opcja aktywuje funkcję o dużej skali dla połączonej grupy.

2. Sprawdź, czy każda sieć wirtualna w połączonej grupie jest skonfigurowana z prywatnymi punktami końcowymi o dużej skali. Witryna Azure Portal weryfikuje ustawienia w całej grupie. Jeśli sieć wirtualna bez konfiguracji o dużej skali zostanie dodana później, nie może komunikować się z prywatnymi punktami końcowymi w innych sieciach wirtualnych.

3. Po sprawdzeniu, czy wszystkie sieci wirtualne są prawidłowo skonfigurowane, wdróż ustawienia. Spowoduje to sfinalizowanie konfiguracji połączonej grupy o dużej skali.

Topologia gwiazdy

Piasta i szprycha to topologia sieci, w której masz sieć wirtualną wybraną jako sieć wirtualną piasty. Ta sieć wirtualna uzyskuje dwukierunkową komunikację równorzędną z każdą siecią wirtualną szprych w konfiguracji. Ta topologia jest przydatna w przypadku, gdy chcesz odizolować sieć wirtualną, ale nadal chce mieć łączność z typowymi zasobami w sieci wirtualnej koncentratora.

W tej konfiguracji masz ustawienia, które można włączyć, takie jak bezpośrednia łączność między sieciami wirtualnymi szprych. Domyślnie ta łączność dotyczy tylko sieci wirtualnych w tym samym regionie. Aby zezwolić na łączność w różnych regionach świadczenia usługi Azure, musisz włączyć usługę Global Mesh. Możesz również włączyć tranzyt bramy , aby zezwolić sieciom wirtualnym szprych na korzystanie z bramy sieci VPN lub usługi ExpressRoute wdrożonej w centrum.

Jeśli to pole jest zaznaczone, wszystkie komunikacje równorzędne, które nie pasują do zawartości tej konfiguracji, można usunąć, nawet jeśli te komunikacje równorzędne zostały utworzone ręcznie po wdrożeniu tej konfiguracji. Jeśli usuniesz sieć wirtualną z grupy sieciowej używanej w konfiguracji, menedżer wirtualny usunie tylko te połączenia równorzędne, które zostały utworzone.

Włączanie łączności bezpośredniej

Włączenie łączności bezpośredniej powoduje utworzenie nakładki połączonej grupy na szczycie topologii piasty i szprych, która zawiera szprychy sieci wirtualne danej grupy. Bezpośrednia łączność pozwala sieci wirtualnej szprychy komunikować się bezpośrednio z innymi sieciami wirtualnymi w swojej grupie szprych, ale nie z sieciami wirtualnymi w innych szprychach.

Można na przykład utworzyć dwie grupy sieciowe. Włącz bezpośrednią łączność dla grupy sieci produkcyjnej , ale nie dla grupy sieci Test. Ta konfiguracja umożliwia tylko sieciom wirtualnym w grupie sieci produkcyjnej komunikowanie się ze sobą, ale nie z sieciami w grupie testowej sieci.

Gdy spojrzysz na aktualne trasy na maszynie wirtualnej, trasa między centrum a sieciami wirtualnymi szprychowymi będzie miała typ następnego przeskoku VNetPeering lub GlobalVNetPeering. Trasy między sieciami wirtualnymi szprych będą wyświetlane z typem następnego przeskoku ConnectedGroup. W przykładzie Produkcyjnym/Testowym tylko grupa sieci produkcyjna będzie miała grupę ConnectedGroup , ponieważ ma włączoną łączność bezpośrednią .

Odnajdywanie topologii grup sieci za pomocą widoku topologii

Aby ułatwić zrozumienie topologii grupy sieciowej, usługa Azure Virtual Network Manager udostępnia widok topologii, który pokazuje łączność między grupami sieciowymi a sieciami wirtualnymi należącymi do niej. Topologię grupy sieciowej można wyświetlić podczas tworzenia konfiguracji łączności, wykonując następujące czynności:

1. Przejdź do strony Konfiguracje i utwórz konfigurację łączności.

2. Na karcie Topologia wybierz żądany typ topologii, dodaj co najmniej jedną grupę sieciową do topologii i skonfiguruj inne żądane ustawienia łączności.

3. Wybierz kartę Topologia wersji zapoznawczej, aby przetestować widok topologii i przejrzeć bieżącą łączność konfiguracji.

4. Ukończ tworzenie konfiguracji łączności.

Bieżącą topologię grupy sieciowej można przejrzeć, wybierając pozycję Wizualizacja w obszarze Ustawienia na stronie szczegółów grupy sieciowej. Widok przedstawia łączność między sieciami wirtualnymi składowymi w grupie sieci.

Przypadki użycia

Włączenie bezpośredniej łączności między sieciami wirtualnymi szprych może być przydatne, gdy chcesz mieć urządzenie wirtualne sieci (NVA) lub wspólną usługę w węźle sieci wirtualnej, ale nie jest konieczne, aby węzeł był zawsze dostępny. Jednak raczej potrzebujesz sieci wirtualnych szprych w grupie sieci, aby komunikować się ze sobą. W porównaniu z tradycyjnymi sieciami piasty i szprych ta topologia poprawia wydajność, usuwając dodatkowy przeskok przez sieć wirtualną piasty.

Siatka globalna

Podobnie jak siatka, te połączone szprychy grupy można skonfigurować jako regionalne lub globalne. Siatka globalna jest wymagana, gdy chcesz, aby sieci wirtualne będące szprychami komunikowały się ze sobą między regionami. Ta łączność jest ograniczona do sieci wirtualnej w tej samej grupie sieci. Aby włączyć łączność dla sieci wirtualnych w różnych regionach, należy włączyć łączność siatki między regionami dla grupy sieci. Połączenia utworzone między sieciami wirtualnymi szprych znajdują się w grupie Połączone.

Używanie koncentratora jako bramy

Inną opcją, którą można włączyć w konfiguracji piasty i szprych, jest użycie koncentratora jako bramy. To ustawienie umożliwia wszystkim sieciom wirtualnym w grupie sieci używanie bramy sieci VPN lub usługi ExpressRoute w sieci wirtualnej koncentratora do przekazywania ruchu. Zobacz Bramy i łączność lokalna.

Podczas wdrażania topologii piasty i szprych w witrynie Azure Portal domyślnie dla sieci wirtualnych szprych w grupie sieciowych jest włączona opcja Użyj koncentratora jako bramy . Usługa Azure Virtual Network Manager próbuje utworzyć połączenie komunikacji równorzędnej sieci wirtualnej między piastą a siecią wirtualną szprych w grupie zasobów. Jeśli brama nie istnieje w sieci wirtualnej koncentratora, tworzenie komunikacji równorzędnej z sieci wirtualnej będącej szprychą kończy się niepowodzeniem. Połączenie komunikacji równorzędnej z piasty do szprychy będzie nadal tworzone bez ustanowionego połączenia.

Następne kroki

• Wdróż Azure Virtual Network Manager przy użyciu narzędzia Terraform, aby szybko skonfigurować środowisko.
• Omówienie wdrożeń konfiguracji w celu efektywnego zarządzania ustawieniami sieci.
• Blokuj niepożądany ruch sieciowy przy użyciu konfiguracji administratora zabezpieczeń.