Konfiguracja łączności w usłudze Azure Virtual Network Manager

W tym artykule przedstawiono różne typy konfiguracji, które można utworzyć i wdrożyć przy użyciu usługi Azure Virtual Network Manager. Obecnie dostępne są dwa typy konfiguracji: Łączność i Administratorzy zabezpieczeń.

Konfiguracja łączności

Konfiguracje łączności umożliwiają tworzenie różnych topologii sieci na podstawie potrzeb sieci. Masz dwie topologie do wyboru, sieć siatki i piastę i szprychę. Łączność między sieciami wirtualnymi jest definiowana w ustawieniach konfiguracji.

Topologia sieci siatki

Sieć siatki to topologia, w której wszystkie sieci wirtualne w grupie sieciowej są połączone ze sobą. Wszystkie sieci wirtualne są połączone i mogą przekazywać ruch dwukierunkowo do siebie.

Typowym przypadkiem użycia topologii sieci siatki jest umożliwienie niektórym sieciom wirtualnym szprych w topologii piasty i szprych bezpośrednio komunikować się ze sobą bez ruchu przechodzącego przez sieć wirtualną koncentratora. Takie podejście zmniejsza opóźnienie, które w przeciwnym razie może wynikać z routingu ruchu przez router w koncentratonie. Ponadto można zachować bezpieczeństwo i nadzór nad bezpośrednimi połączeniami między sieciami szprych, implementując reguły sieciowych grup zabezpieczeń lub reguły administracyjne zabezpieczeń w usłudze Azure Virtual Network Manager. Ruch można również monitorować i rejestrować przy użyciu dzienników przepływu sieci wirtualnej.

Domyślnie siatka jest siatką regionalną, dlatego tylko sieci wirtualne w tym samym regionie mogą komunikować się ze sobą. Globalne siatki można włączyć w celu ustanowienia łączności sieci wirtualnych we wszystkich regionach świadczenia usługi Azure. Sieć wirtualna może być częścią maksymalnie dwóch połączonych grup. Przestrzenie adresowe sieci wirtualnej mogą nakładać się na konfigurację siatki, w przeciwieństwie do komunikacji równorzędnej sieci wirtualnych. Jednak ruch do określonych nakładających się podsieci jest porzucony, ponieważ routing nie jest deterministyczny.

Połączona grupa

Podczas tworzenia topologii siatki lub bezpośredniej łączności w topologii piasty i szprych tworzona jest nowa konstrukcja łączności o nazwie Połączona grupa. Sieci wirtualne w połączonej grupie mogą komunikować się ze sobą tak jak w przypadku ręcznego łączenia sieci wirtualnych. Gdy spojrzysz na obowiązujące trasy dla interfejsu sieciowego, zobaczysz typ następnego przeskoku ConnectedGroup. Sieci wirtualne połączone ze sobą w połączonej grupie nie mają konfiguracji komunikacji równorzędnej wymienionej w obszarze Komunikacja równorzędna dla sieci wirtualnej.

Uwaga

• Jeśli masz sprzeczne podsieci w co najmniej dwóch sieciach wirtualnych, zasoby w tych podsieciach nie będą mogły komunikować się ze sobą, nawet jeśli są częścią tej samej sieci siatki.
• Sieć wirtualna może być częścią maksymalnie dwóch konfiguracji siatki.

Topologia gwiazdy

Piasta i szprycha to topologia sieci, w której masz sieć wirtualną wybraną jako sieć wirtualną piasty. Ta sieć wirtualna uzyskuje dwukierunkową komunikację równorzędną z każdą siecią wirtualną szprych w konfiguracji. Ta topologia jest przydatna w przypadku, gdy chcesz odizolować sieć wirtualną, ale nadal chce mieć łączność z typowymi zasobami w sieci wirtualnej koncentratora.

W tej konfiguracji masz ustawienia, które można włączyć, takie jak bezpośrednia łączność między sieciami wirtualnymi szprych. Domyślnie ta łączność dotyczy tylko sieci wirtualnych w tym samym regionie. Aby zezwolić na łączność w różnych regionach świadczenia usługi Azure, musisz włączyć usługę Global Mesh. Możesz również włączyć tranzyt bramy , aby zezwolić sieciom wirtualnym szprych na korzystanie z bramy sieci VPN lub usługi ExpressRoute wdrożonej w centrum.

Łączność bezpośrednia

Włączenie łączności bezpośredniej powoduje utworzenie nakładki połączonej grupy na szczycie topologii piasty i szprych, która zawiera szprychy sieci wirtualne danej grupy. Bezpośrednia łączność pozwala sieci wirtualnej szprychy komunikować się bezpośrednio z innymi sieciami wirtualnymi w swojej grupie szprych, ale nie z sieciami wirtualnymi w innych szprychach.

Można na przykład utworzyć dwie grupy sieciowe. Włącz bezpośrednią łączność dla grupy sieci produkcyjnej , ale nie dla grupy sieci Test. Ta konfiguracja umożliwia tylko sieciom wirtualnym w grupie sieci produkcyjnej komunikowanie się ze sobą, ale nie z sieciami w grupie testowej sieci.

Gdy spojrzysz na obowiązujące trasy na maszynie wirtualnej, trasa między piastą a sieciami wirtualnymi szprych będzie miała typ następnego przeskoku sieci wirtualnejPeering lub GlobalVNetPeering. Trasy między sieciami wirtualnymi szprych będą wyświetlane z typem następnego przeskoku ConnectedGroup. W powyższym przykładzie tylko grupa sieci produkcyjna będzie miała grupę ConnectedGroup, ponieważ ma włączoną łączność bezpośrednią.

Odnajdywanie topologii grup sieci za pomocą widoku topologii

Aby ułatwić zrozumienie topologii grupy sieciowej, usługa Azure Virtual Network Manager udostępnia widok topologii, który pokazuje łączność między grupami sieciowymi a sieciami wirtualnymi należącymi do niej. Topologię grupy sieciowej można wyświetlić podczas tworzenia konfiguracji łączności, wykonując następujące czynności:

1. Przejdź do strony Konfiguracje i utwórz konfigurację łączności.
2. Na karcie Topologia wybierz żądany typ topologii, dodaj co najmniej jedną grupę sieciową do topologii i skonfiguruj inne żądane ustawienia łączności.
3. Wybierz kartę Topologia wersji zapoznawczej, aby przetestować widok topologii i przejrzeć bieżącą łączność konfiguracji.
4. Ukończ tworzenie konfiguracji łączności.

Bieżącą topologię grupy sieciowej można przejrzeć, wybierając pozycję Wizualizacja w obszarze Ustawienia na stronie szczegółów grupy sieciowej. Widok przedstawia łączność między sieciami wirtualnymi składowymi w grupie sieci.

Przypadki użycia

Włączenie bezpośredniej łączności między sieciami wirtualnymi szprych może być przydatne, gdy chcesz mieć urządzenie WUS lub wspólną usługę w sieci wirtualnej piasty, ale nie trzeba zawsze uzyskiwać do tego dostępu. Jednak raczej potrzebujesz sieci wirtualnych szprych w grupie sieci, aby komunikować się ze sobą. W porównaniu z tradycyjnymi sieciami piasty i szprych ta topologia poprawia wydajność, usuwając dodatkowy przeskok przez sieć wirtualną piasty.

Siatka globalna

Podobnie jak siatka, te połączone szprychy grupy można skonfigurować jako regionalne lub globalne. Siatka globalna jest wymagana, gdy chcesz, aby sieci wirtualne będące szprychami komunikowały się ze sobą między regionami. Ta łączność jest ograniczona do sieci wirtualnej w tej samej grupie sieci. Aby włączyć łączność dla sieci wirtualnych w różnych regionach, należy włączyć łączność siatki między regionami dla grupy sieci. Połączenia utworzone między sieciami wirtualnymi szprych znajdują się w grupie Połączone.

Używanie koncentratora jako bramy

Inną opcją, którą można włączyć w konfiguracji piasty i szprych, jest użycie koncentratora jako bramy. To ustawienie umożliwia wszystkim sieciom wirtualnym w grupie sieci używanie bramy sieci VPN lub usługi ExpressRoute w sieci wirtualnej koncentratora do przekazywania ruchu. Zobacz Bramy i łączność lokalna.

Podczas wdrażania topologii piasty i szprych w witrynie Azure Portal domyślnie dla sieci wirtualnych szprych w grupie sieciowych jest włączona opcja Użyj koncentratora jako bramy . Usługa Azure Virtual Network Manager próbuje utworzyć połączenie komunikacji równorzędnej sieci wirtualnej między piastą a siecią wirtualną szprych w grupie zasobów. Jeśli brama nie istnieje w sieci wirtualnej koncentratora, tworzenie komunikacji równorzędnej z sieci wirtualnej będącej szprychą kończy się niepowodzeniem. Połączenie komunikacji równorzędnej z piasty do szprychy będzie nadal tworzone bez ustanowionego połączenia.

Następne kroki

• Wdrażanie wystąpienia usługi Azure Virtual Network Manager przy użyciu programu Terraform.
• Dowiedz się więcej o wdrożeniach konfiguracji w usłudze Azure Virtual Network Manager.
• Dowiedz się, jak blokować ruch sieciowy przy użyciu konfiguracji administratora zabezpieczeń.