Włączanie łączności między sieciami wirtualnymi za pomocą komunikacji równorzędnej

  • 6 min

Organizacje z operacjami na dużą skalę często muszą tworzyć połączenia między różnymi częściami infrastruktury sieci wirtualnej. Komunikacja równorzędna sieci wirtualnych umożliwia bezproblemowe łączenie oddzielnych sieci wirtualnych z optymalną wydajnością sieci, niezależnie od tego, czy znajdują się w tym samym regionie platformy Azure (komunikacja równorzędna sieci wirtualnych) lub w różnych regionach (globalna komunikacja równorzędna sieci wirtualnych). Ruch sieciowy między wirtualnymi sieciami równorzędnymi jest prywatny. Sieci wirtualne są wyświetlane jako jedna dla celów łączności. Ruch między maszynami wirtualnymi w równorzędnych sieciach wirtualnych korzysta z infrastruktury szkieletowej firmy Microsoft, a w komunikacji między sieciami wirtualnymi nie jest wymagany publiczny Internet, bramy ani szyfrowanie.

Komunikacja równorzędna między sieciami wirtualnymi umożliwia bezproblemowe połączenie dwóch sieci wirtualnych platformy Azure. Po nawiązaniu połączenia równorzędnego sieci wirtualne są traktowane jako jedna sieć. Istnieją dwa typy komunikacji równorzędnej sieci wirtualnych.

  • Regionalna komunikacja równorzędna sieci wirtualnych łączy sieci wirtualne platformy Azure w tym samym regionie.
  • Globalna komunikacja równorzędna sieci wirtualnych łączy sieci wirtualne platformy Azure w różnych regionach. Podczas tworzenia globalnej komunikacji równorzędnej równorzędne sieci wirtualne mogą istnieć w dowolnym regionie chmury publicznej platformy Azure lub regionach chmury w Chinach, ale nie w regionach chmury dla instytucji rządowych. Sieci wirtualne można łączyć równorzędnie tylko w tym samym regionie w regionach chmury platformy Azure Government.

Ilustracja przedstawiająca sieć VNet1 w regionie 1 oraz sieci VNet2 i VNet3 w regionie 2. Sieci VNet2 i VNet3 są połączone z regionalną komunikacją równorzędną sieci wirtualnych. Sieci VNet1 i VNet2 są połączone z globalną komunikacją równorzędną sieci wirtualnych

Korzystanie z wirtualnych sieci równorzędnych, lokalnych lub globalnych, zapewnia m.in. następujące korzyści:

  • Połączenie o małych opóźnieniach i dużej przepustowości między zasobami w różnych sieciach wirtualnych.
  • Możliwość stosowania sieciowych grup zabezpieczeń w sieci wirtualnej w celu blokowania dostępu do innych sieci wirtualnych lub podsieci.
  • Możliwość przesyłania danych między sieciami wirtualnymi w subskrypcjach platformy Azure, dzierżawach firmy Microsoft Entra, modelach wdrażania i regionach świadczenia usługi Azure.
  • Możliwość komunikacji równorzędnej sieci wirtualnych utworzonych za pośrednictwem usługi Azure Resource Manager.
  • Możliwość komunikacji równorzędnej z siecią wirtualną utworzoną za pomocą usługi Resource Manager do jednej utworzonej za pośrednictwem klasycznego modelu wdrażania.
  • Podczas tworzenia komunikacji równorzędnej lub po utworzeniu komunikacji równorzędnej nie jest wymagany żaden przestój zasobów w sieci wirtualnej.

Na poniższym diagramie przedstawiono scenariusz, w którym zasoby w sieci wirtualnej firmy Contoso i zasoby w sieci wirtualnej firmy Fabrikam muszą się komunikować. Subskrypcja Contoso w regionie Zachodnie stany USA jest połączona z subskrypcją Fabrikam w regionie Wschodnie stany USA.

Diagram przedstawia scenariusz, w którym zasoby w sieci wirtualnej firmy Contoso i zasoby w sieci wirtualnej firmy Fabrikam muszą się komunikować.

Tabele routingu pokazują trasy znane zasobom w każdej subskrypcji. W poniższej tabeli routingu przedstawiono trasy znane firmie Contoso, a ostatnim wpisem jest wpis globalna komunikacja równorzędna sieci wirtualnych do podsieci Fabrikam 10.10.26.0/24.

Tabele routingu pokazują trasy znane zasobom w każdej subskrypcji. W poniższej tabeli routingu przedstawiono trasy znane firmie Contoso

W poniższej tabeli routingu przedstawiono trasy znane firmie Fabrikam. Ponownie ostatnim wpisem jest wpis globalna komunikacja równorzędna sieci wirtualnych, tym razem do podsieci Contoso 10.17.26.0/24.

Tabela tras znana firmie Fabrikam

Konfigurowanie komunikacji równorzędnej sieci wirtualnych

Poniżej przedstawiono procedurę konfigurowania komunikacji równorzędnej sieci wirtualnych. Zwróć uwagę, że będą potrzebne dwie sieci wirtualne. Aby przetestować komunikację równorzędną, potrzebna będzie maszyna wirtualna w każdej sieci. Początkowo maszyny wirtualne nie będą mogły komunikować się, ale po skonfigurowaniu komunikacja będzie działać. Krok, który jest nowy, polega na skonfigurowaniu komunikacji równorzędnej sieci wirtualnych.

  1. Utwórz dwie sieci wirtualne.
  2. Komunikacja równorzędna sieci wirtualnych.
  3. Tworzenie maszyn wirtualnych w każdej sieci wirtualnej.
  4. Przetestuj komunikację między maszynami wirtualnymi.

Aby skonfigurować komunikację równorzędną, użyj strony Dodawanie komunikacji równorzędnej . Należy wziąć pod uwagę tylko kilka opcjonalnych parametrów konfiguracji.

Zrzut ekranu przedstawiający stronę konfiguracji komunikacji równorzędnej sieci wirtualnych.

Uwaga

Po dodaniu komunikacji równorzędnej w jednej sieci wirtualnej druga konfiguracja sieci wirtualnej zostanie automatycznie dodana.

Tranzyt bramy i Połączenie ivity

Gdy sieci wirtualne są równorzędne, należy skonfigurować bramę sieci VPN w równorzędnej sieci wirtualnej jako punkt tranzytowy. W takim przypadku równorzędna sieć wirtualna używa bramy zdalnej do uzyskania dostępu do innych zasobów. Jedna sieć wirtualna może mieć tylko jedną bramę. Tranzyt bramy jest obsługiwany zarówno w przypadku komunikacji równorzędnej sieci wirtualnych, jak i globalnej komunikacji równorzędnej sieci wirtualnych.

Jeśli zezwalasz na tranzyt bramy, sieć wirtualna może komunikować się z zasobami spoza komunikacji równorzędnej. Na przykład brama podsieci może:

  • Użyj sieci VPN typu lokacja-lokacja, aby nawiązać połączenie z siecią lokalną.
  • Użyj połączenia sieć wirtualna-sieć wirtualna z inną siecią wirtualną.
  • Użyj sieci VPN typu punkt-lokacja, aby nawiązać połączenie z klientem.

W tych scenariuszach tranzyt bramy umożliwia równorzędnym sieciom wirtualnym udostępnianie bramy i uzyskiwanie dostępu do zasobów. Oznacza to, że nie trzeba wdrażać bramy sieci VPN w równorzędnej sieci wirtualnej.

Uwaga

Sieciowe grupy zabezpieczeń można stosować w sieci wirtualnej, aby zablokować dostęp do innych sieci wirtualnych lub podsieci. Podczas konfigurowania wirtualnych sieci równorzędnych można otwierać i zamykać reguły grupy zabezpieczeń sieci między sieciami wirtualnymi.

Używanie łańcucha usług do kierowania ruchu do bramy

Załóżmy, że chcesz kierować ruch z sieci wirtualnej firmy Contoso do określonego wirtualnego urządzenia sieciowego (WUS). Utwórz trasy zdefiniowane przez użytkownika, aby kierować ruch z sieci wirtualnej firmy Contoso do urządzenia WUS w sieci wirtualnej firmy Fabrikam. Ta technika jest nazywana łańcuchem usług.

Aby włączyć tworzenie łańcuchów usług, dodaj trasy zdefiniowane przez użytkownika wskazujące maszyny wirtualne w równorzędnej sieci wirtualnej jako adres IP następnego przeskoku. Trasy zdefiniowane przez użytkownika mogą również wskazywać bramy sieci wirtualnej.

Sieci wirtualne platformy Azure można wdrożyć w topologii piasty i szprych z siecią wirtualną piasty działającą jako centralny punkt łączności ze wszystkimi sieciami wirtualnymi szprych. Sieć wirtualna piasty hostuje składniki infrastruktury, takie jak urządzenie WUS, maszyny wirtualne i brama sieci VPN. Wszystkie sieci wirtualne będące szprychami są równorzędne z siecią wirtualną piasty. Ruch przepływa przez wirtualne urządzenia sieciowe lub bramy sieci VPN w sieci wirtualnej koncentratora. Zalety korzystania z konfiguracji piasty i szprych obejmują oszczędności kosztów, przekroczenie limitów subskrypcji i izolację obciążenia.

Na poniższym diagramie przedstawiono scenariusz, w którym sieć wirtualna piasty hostuje bramę sieci VPN, która zarządza ruchem do sieci lokalnej, umożliwiając kontrolowaną komunikację między siecią lokalną a równorzędnymi sieciami wirtualnymi platformy Azure.

Konfiguracja piasty i szprych — komunikacja równorzędna contoso i Fabrikam z siecią wirtualną koncentratora. Sieć wirtualna koncentratora zawiera urządzenie WUS, maszyny wirtualne i bramę sieci VPN połączoną z siecią lokalną.

Wybierz najlepszą odpowiedź na każde z poniższych pytań. Następnie wybierz pozycję Sprawdź odpowiedzi.

Sprawdź swoją wiedzę

1.

Gdy jeden z nich potrzebuje zasobów w jednej sieci wirtualnej do komunikowania się z zasobami w podsieci w innej sieci wirtualnej. Której funkcji sieci platformy Azure należy użyć?

2.

Jakie zmiany występują w równorzędnych sieciach wirtualnych podczas konfigurowania globalnej komunikacji równorzędnej?