Anslutningskonfiguration i Azure Virtual Network Manager
I den här artikeln får du lära dig mer om de olika typer av konfigurationer som du kan skapa och distribuera med Azure Virtual Network Manager. Det finns för närvarande två typer av konfigurationer: Anslutnings- och säkerhetsadministratörer.
Anslutningskonfiguration
Med anslutningskonfigurationer kan du skapa olika nätverkstopologier baserat på dina nätverksbehov. Du har två topologier att välja mellan, ett nätnätverk och en hubb och eker. Anslutningen mellan virtuella nätverk definieras i konfigurationsinställningarna.
Nätnätverkstopologi
Ett nätnätverk är en topologi där alla virtuella nätverk i nätverksgruppen är anslutna till varandra. Alla virtuella nätverk är anslutna och kan skicka trafik dubbelriktad till varandra.
Ett vanligt användningsfall för en nätnätverkstopologi är att tillåta att vissa virtuella ekernätverk i en nav- och ekertopologi kommunicerar direkt till varandra utan att trafiken går via det virtuella hubbnätverket. Den här metoden minskar svarstiden som annars kan bero på routning av trafik via en router i hubben. Dessutom kan du upprätthålla säkerhet och tillsyn över direkta anslutningar mellan ekernätverk genom att implementera regler för nätverkssäkerhetsgrupper eller administrativa säkerhetsregler i Azure Virtual Network Manager. Trafik kan också övervakas och registreras med hjälp av virtuella nätverksflödesloggar.
Som standard är nätet ett regionalt nät, och därför kan endast virtuella nätverk i samma region kommunicera med varandra. Globala nät kan aktiveras för att upprätta anslutningar för virtuella nätverk i alla Azure-regioner. Ett virtuellt nätverk kan ingå i upp till två anslutna grupper. Adressutrymmen för virtuella nätverk kan överlappa varandra i en nätkonfiguration, till skillnad från i peerings för virtuella nätverk. Trafiken till de specifika överlappande undernäten tas dock bort eftersom routningen är icke-deterministisk.
Ansluten grupp
När du skapar en nättopologi eller direktanslutning i nav- och ekertopologin skapas en ny anslutningskonstruktion med namnet Ansluten grupp. Virtuella nätverk i en ansluten grupp kan kommunicera med varandra precis som om du skulle ansluta virtuella nätverk manuellt. När du tittar på de effektiva vägarna för ett nätverksgränssnitt visas en nästa hopptyp av ConnectedGroup. Virtuella nätverk som är anslutna tillsammans i en ansluten grupp har ingen peeringkonfiguration som anges under Peerings för det virtuella nätverket.
Kommentar
- Om du har motstridiga undernät i två eller flera virtuella nätverk kan resurser i dessa undernät inte kommunicera med varandra även om de ingår i samma nätnätverk.
- Ett virtuellt nätverk kan ingå i upp till två mesh-konfigurationer.
Topologi med nav och ekrar
En hub-and-spoke är en nätverkstopologi där du har valt ett virtuellt nätverk som det virtuella hubbnätverket. Det här virtuella nätverket peerkopplas dubbelriktad med varje virtuellt ekernätverk i konfigurationen. Den här topologin är användbar när du vill isolera ett virtuellt nätverk men ändå vill att det ska ha anslutning till vanliga resurser i det virtuella hubbnätverket.
I den här konfigurationen har du inställningar som du kan aktivera, till exempel direktanslutning mellan virtuella ekernätverk. Som standard är den här anslutningen endast för virtuella nätverk i samma region. Om du vill tillåta anslutning mellan olika Azure-regioner måste du aktivera Global mesh. Du kan också aktivera gatewayöverföring så att virtuella ekernätverk kan använda VPN- eller ExpressRoute-gatewayen som distribueras i hubben.
Direktanslutning
Om du aktiverar direktanslutning skapas ett överlägg av en ansluten grupp ovanpå din hubb- och ekertopologi, som innehåller virtuella ekernätverk i en viss grupp. Med direktanslutning kan ett virtuellt ekernätverk kommunicera direkt med andra virtuella nätverk i dess ekergrupp, men inte till virtuella nätverk i andra ekrar.
Du kan till exempel skapa två nätverksgrupper. Du aktiverar direktanslutning för gruppen Produktionsnätverk men inte för testnätverksgruppen. Den här konfigurationen tillåter endast att virtuella nätverk i gruppen Produktionsnätverk kommunicerar med varandra, men inte med dem i testnätverksgruppen.
När du tittar på effektiva vägar på en virtuell dator har vägen mellan hubben och de virtuella ekernätverken nästa hopptyp för VNetPeering eller GlobalVNetPeering. Vägar mellan virtuella ekrar visas med nästa hopptyp av ConnectedGroup. Med exemplet ovan skulle endast produktionsnätverksgruppen ha en ConnectedGroup eftersom direktanslutning är aktiverad.
Identifiera nätverksgrupptopologi med topologivyn
För att hjälpa dig att förstå topologin för din nätverksgrupp tillhandahåller Azure Virtual Network Manager en topologivy som visar anslutningen mellan nätverksgrupper och deras virtuella medlemsnätverk. Du kan visa topologin för din nätverksgrupp när du skapar anslutningskonfigurationen med följande steg:
- Gå till sidan Konfigurationer och skapa en anslutningskonfiguration.
- På fliken Topologi väljer du önskad topologityp, lägger till en eller flera nätverksgrupper i topologin och konfigurerar andra önskade anslutningsinställningar.
- Välj fliken Förhandsgranskningstopologi för att testa topologivyn och granska konfigurationens aktuella anslutning.
- Slutför skapandet av anslutningskonfigurationen.
Du kan granska den aktuella topologin för en nätverksgrupp genom att välja Visualisering under Inställningar på nätverksgruppens informationssida. Vyn visar anslutningen mellan de virtuella medlemsnätverken i nätverksgruppen.
Användningsfall
Att aktivera direkt anslutning mellan virtuella ekrar kan vara användbart när du vill ha en NVA eller en gemensam tjänst i det virtuella hubbnätverket, men hubben behöver inte alltid nås. Men i stället behöver du dina virtuella ekernätverk i nätverksgruppen för att kommunicera med varandra. Jämfört med traditionella nav- och ekernätverk förbättrar den här topologin prestandan genom att ta bort det extra hoppet via det virtuella hubbnätverket.
Globalt nät
Precis som mesh kan dessa ekeranslutna grupper konfigureras som regionala eller globala. Globalt nät krävs när du vill att dina virtuella ekernätverk ska kommunicera med varandra mellan regioner. Den här anslutningen är begränsad till virtuella nätverk i samma nätverksgrupp. Om du vill aktivera anslutning för virtuella nätverk mellan regioner måste du aktivera mesh-anslutning mellan regioner för nätverksgruppen. Anslutningar som skapas mellan virtuella ekrar finns i en ansluten grupp.
Använda hubben som en gateway
Ett annat alternativ som du kan aktivera i en hub-and-spoke-konfiguration är att använda hubben som en gateway. Med den här inställningen kan alla virtuella nätverk i nätverksgruppen använda VPN- eller ExpressRoute-gatewayen i det virtuella hubbnätverket för att skicka trafik. Se Gatewayer och lokala anslutningar.
När du distribuerar en hubb- och ekertopologi från Azure-portalen aktiveras använd hubb som gateway som standard för de virtuella ekernätverken i nätverksgruppen. Azure Virtual Network Manager försöker skapa en peering-anslutning för virtuella nätverk mellan hubben och det virtuella ekernätverket i resursgruppen. Om gatewayen inte finns i det virtuella hubbnätverket misslyckas skapandet av peering från det virtuella ekernätverket till hubben. Peering-anslutningen från hubben till ekern skapas fortfarande utan en upprättad anslutning.
Nästa steg
- Distribuera en Azure Virtual Network Manager-instans med Terraform.
- Läs mer om konfigurationsdistributioner i Azure Virtual Network Manager.
- Lär dig hur du blockerar nätverkstrafik med en säkerhetsadministratörskonfiguration.