Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Important
Использование концентратора Виртуальная глобальная сеть Azure в конфигурациях подключения Диспетчер виртуальных сетей Azure концентратора и периферийных узлов в настоящее время находится в предварительной версии. Хотя в предварительной версии, функциональные возможности, доступность и другие аспекты этой функции могут измениться в ответ на отзывы.
Эта предварительная версия предоставляется без соглашения об уровне обслуживания и не рекомендуется для рабочих нагрузок. Некоторые функции могут не поддерживаться или иметь ограниченные возможности.
Для получения дополнительной информации см. Дополнительные условия использования для предварительных версий Microsoft Azure.
Overview
Диспетчер виртуальных сетей Azure может использовать центр Виртуальная глобальная сеть в качестве концентратора для топологий центральной сети. Это позволяет динамически группировать ваши виртуальные сети Azure в группы сетей и развертывать конфигурации подключений для подключения групп сетей к концентратору Виртуальная глобальная сеть.
Конфигурации подключений Virtual Network Manager также назначают ваши сетевые группы политике подключений концентратора Виртуальная глобальная сеть, обеспечивая, чтобы все подключения к концентратору Виртуальная глобальная сеть имели одинаковую конфигурацию маршрутизации. Политики подключения управляют следующими параметрами подключения виртуальная сеть:
- Включите интернет-безопасность: если Виртуальная глобальная сеть настроен для маршрутизации интернет-трафика через брандмауэр или сетевое виртуальное устройство (NVA), управление тем, будет ли маршрут по умолчанию (0.0.0.0.0/0) объявляться в периферийных виртуальных сетях.
- Карты маршрутов: назначьте, какие карты маршрутов применяются к подключениям виртуальной сети.
- Конфигурация маршрутизации: укажите, из какой таблицы маршрутов Виртуальная глобальная сеть подключение к виртуальной сети получает маршруты и в какие таблицы маршрутов виртуальная сеть распространяет маршруты.
Подробные инструкции по использованию этой интеграции см. в статье Configure Виртуальная глобальная сеть hub for Network Manager.
Основные рекомендации по взаимодействию Виртуальная глобальная сеть и Network Manager
В следующей таблице перечислены важные действия и ограничения, которые следует учитывать при использовании Диспетчер виртуальных сетей Azure с Виртуальная глобальная сеть.
| Area | Рассмотрение | Guidance |
|---|---|---|
| Область действия хаба | Одна сетевая группа и политика подключения Virtual Network Manager могут быть применены только к одному концентратору Виртуальная глобальная сеть. | Чтобы управлять подключением к нескольким центрам Виртуальная глобальная сеть, создайте отдельные сетевые группы и политики подключения для каждого концентратора. |
| Обновления политики подключения | Диспетчер виртуальных сетей позволяет обновить политику подключения к Виртуальная глобальная сеть, используемую конфигурацией подключения. | Измените текущую связанную политику подключения, чтобы немедленно применить изменения маршрутизации ко всем виртуальным сетям в сетевой группе, или назначьте другую политику подключения, чтобы поэтапно подготовить и развернуть изменения. |
| Удаление членов группы сети | Удаление виртуальной сети из группы сети, подключенной к Виртуальная глобальная сеть, отключает виртуальную сеть от концентратора Виртуальная глобальная сеть. | Перед удалением виртуальной сети из сетевой группы убедитесь, что подключение концентратора также должно быть удалено. |
| Существующие созданные пользователем подключения | Если существующее пользовательское подключение Виртуальная глобальная сеть виртуальной сети добавляется в группу сети, подключенную к концентратору Виртуальная глобальная сеть, Virtual Network Manager сохраняет созданное пользователем подключение. Удаление виртуальной сети из группы сети не удаляет исходное созданное пользователем подключение. | Удалите созданные пользователем подключения вручную, если их нужно удалить. |
| Прямое подключение | Virtual Network Manager может включить прямое подключение между виртуальными сетями в группе сети, подключенной к концентратору Виртуальная глобальная сеть, формируя подключенную группу или сетку. При включении трафик между виртуальными сетями в группе сетей маршрутизируется напрямую между виртуальными сетями, минуя концентратор Виртуальная глобальная сеть. | Конфигурации подключённой группы и ячеистой сети имеют приоритет над намерением маршрутизации или конфигурациями маршрутизации, которые направляют трафик между виртуальными сетями в решение безопасности, развернутое в концентраторе Виртуальная глобальная сеть. |
| Атрибуты маршрутизации для политики подключения Виртуальная глобальная сеть | Свойства, управляемые политиками подключения, переопределяют конфликтующие параметры, настроенные непосредственно на отдельных Виртуальная глобальная сеть подключениях. | Дополнительные сведения см. в политике подключения . |
| Принудительное подключение | Конфигурации подключений в Virtual Network Manager не требуют настройки однорангового подключения или подключения к концентратору Виртуальная глобальная сеть. Подключения виртуальной сети, созданные с помощью Virtual Network Manager, можно удалить. | Virtual Network Manager автоматически пытается повторно подключить виртуальную сеть к центру Виртуальная глобальная сеть при следующем развертывании конфигурации подключения в регионе периферийной виртуальной сети. |
Известные проблемы
В следующей таблице описываются известные проблемы с интеграцией Virtual Network Manager и Виртуальная глобальная сеть.
| Проблема | Description | Смягчение последствий |
|---|---|---|
| Существующие (созданные пользователем) подключения Виртуальная глобальная сеть виртуальная сеть не перемещаются из одного виртуального концентратора в другой. | Если виртуальная сеть уже имеет созданное пользователем подключение к концентратору Виртуальная глобальная сеть, Virtual Network Manager отдает приоритет существующему созданному пользователем подключению и сохраняет его. Если конфигурация подключения позже предназначена для другого концентратора Виртуальная глобальная сеть, Диспетчер виртуальных сетей Azure продолжает определять приоритет существующего подключения и не перемещает существующее подключение к новому концентратору. | Вручную переместите существующее подключение к виртуальной сети из исходного концентратора Виртуальная глобальная сеть в целевой концентратор Виртуальная глобальная сеть. |
| Частные конечные точки с высокой масштабируемостью | Если в виртуальных сетях, подключенных к одному концентратору Виртуальная глобальная сеть, развернуто более 4000 частных конечных точек, это может повлиять на подключение Приватный канал, проходящее через этот концентратор, как из виртуальной сети, так и из локальной инфраструктуры. Дополнительные сведения см. в разделе Использование Приватный канал в Виртуальная глобальная сеть. | Убедитесь, что количество частных конечных точек во всех виртуальных сетях, подключенных к одному Виртуальная глобальная сеть концентратору, не превышает 4000. |
| Медленная загрузка политики подключения на портале Azure. | Интерфейс политики подключения в Диспетчер виртуальных сетей Azure выполняет несколько проверок, прежде чем разрешить пользователям назначать политику подключения конфигурации подключения Network Manager. | Предоставьте дополнительное время для загрузки Azure портала перед повтором операции. |
Кроме того, для получения дополнительной информации об ограничениях и особенностях политики подключения см. раздел известные проблемы политики подключения.
Случаи использования
В следующих разделах описаны некоторые распространенные варианты использования Virtual Network Manager с Виртуальная глобальная сеть.
Массовое подключение виртуальных сетей к концентратору Виртуальная глобальная сеть
Конфигурации Virtual Network Manager для подключения позволяют определить группу сетей, где Виртуальная глобальная сеть выступает в качестве сетевого концентратора. Это подключает все виртуальные сети в группе сетей к вашему концентратору Виртуальная глобальная сеть параллельно. Предварительно определенная конфигурация маршрутизации автоматически применяется ко всем периферийным виртуальным сетям в группе сети.
Все подключения к виртуальной сети автоматически координируются Virtual Network Manager.
Используйте Политика Azure для динамического подключения виртуальных сетей к Виртуальная глобальная сеть
Реализуйте Политика Azure в подписке для автоматического подключения новых виртуальных сетей к Виртуальная глобальная сеть и применения правильных конфигураций маршрутизации. Это позволяет ускорить сборку, автоматив подключение новой рабочей нагрузки и сетевой доступ.
Обновления конфигурации пакетной маршрутизации в масштабе
интеграция уровня управления Virtual Network Manager и Виртуальная глобальная сеть позволяет отправлять критически важные параметры конфигурации во все виртуальные сети в группе сети в виде одной полностью параллельной операции.
Параллелизация обновлений значительно сокращает продолжительность окон обслуживания, необходимых для внесения изменений в сеть и, при необходимости, их отката, а также позволяет вносить масштабные изменения без зависимости от подхода «инфраструктура как код» или CI/CD-конвейеров.
Добавочное развертывание и управление
Virtual Network Manager позволяет сегментировать сеть на более точные домены обновлений, постепенно применяя изменения к подключениям виртуальной сети Виртуальная глобальная сеть. Можно создавать отдельные группы сетей для каждой среды, например для тестовой среды, среды разработки и продуктивной среды, или по регионам. Затем можно применить политики подключения к каждой группе сети или региону Azure независимо, что позволяет протестировать изменения в меньшем подмножестве сети, прежде чем применять их глобально. Это помогает свести к минимуму радиус взрыва любой потенциальной неправильной конфигурации и обеспечить стабильность сети.
Пиринг сетки для прямого подключения для сценариев выборочной проверки
Правила маршрутизации трафика и политики маршрутизации позволяют клиентам Виртуальная глобальная сеть настраивать весь частный трафик (между виртуальными сетями и локальной инфраструктурой) на проверку межсетевым экраном в концентраторе Виртуальная глобальная сеть.
В некоторых высоконагруженных приложениях или приложениях, чувствительных к задержкам, таких как ночные обновления базы данных, проверка трафика с помощью межсетевого экрана нового поколения, развернутого в концентраторе Виртуальная глобальная сеть, снижает пропускную способность, увеличивает задержку и повышает затраты. Чтобы разрешить трафику между виртуальными сетями проходить в обход проверки, включите прямое подключение, чтобы создать ячеистую сеть между виртуальными сетями в группе сетей.
Реализация правил администратора безопасности для упрощения развертывания и управления списками управления доступом в большом масштабе
Определите сетевые группы, чтобы подключить виртуальные сети типа spoke к Виртуальная глобальная сеть, а затем используйте правила администрирования безопасности для создания и развертывания списков управления доступом (ACL) для spoke-сетей Виртуальная глобальная сеть. Правила администратора безопасности предлагают простой способ настройки нескольких уровней защиты от внешних угроз вместе с брандмауэрами следующего поколения в центре Виртуальная глобальная сеть.
