Dela via

Anslutningskonfigurationer i Azure Virtual Network Manager

Azure Virtual Network Manager förenklar hanteringen av anslutning och säkerhet för virtuella nätverk i din Azure-miljö. Anslutningskonfigurationer, inklusive mesh- och hub-and-spoke-topologier, hjälper dig att optimera nätverksprestanda och säkerhet. Den här artikeln beskriver funktioner som storskaliga anslutna grupper och global mesh-anslutning, tillsammans med användningsfall och konfigurationssteg för varje topologi.

Anslutningskonfiguration

Med Anslutningskonfigurationer kan du skapa olika nätverkstopologier baserat på dina nätverksbehov. Du har två topologier att välja mellan: ett nätnätverk och ett nav- och ekernätverk. Anslutningen mellan virtuella nätverk definieras i konfigurationsinställningarna.

Nätnätverkstopologi

Ett nätnätverk är en topologi där alla virtuella nätverk i nätverksgruppen är anslutna till varandra. Alla virtuella nätverk är anslutna och kan skicka trafik dubbelriktad till varandra.

Ett vanligt användningsfall för en nätnätverkstopologi är att tillåta att vissa virtuella ekernätverk i en nav- och ekertopologi kommunicerar direkt till varandra utan att trafiken går via det virtuella hubbnätverket. Den här metoden minskar svarstiden som annars kan bero på routning av trafik via en router i hubben. Dessutom kan du upprätthålla säkerhet och tillsyn över direkta anslutningar mellan ekernätverk genom att implementera regler för nätverkssäkerhetsgrupper eller administrativa säkerhetsregler i Azure Virtual Network Manager. Trafik kan också övervakas och registreras med hjälp av virtuella nätverksflödesloggar.

Som standard är nätet ett regionalt nät, och därför kan endast virtuella nätverk i samma region kommunicera med varandra. Globala nät kan aktiveras för att upprätta anslutningar för virtuella nätverk i alla Azure-regioner. Ett virtuellt nätverk kan ingå i upp till två anslutna grupper. Adressutrymmen för virtuella nätverk kan överlappa varandra i en nätkonfiguration, till skillnad från i peerings för virtuella nätverk. Trafiken till de specifika överlappande undernäten tas dock bort eftersom routningen är icke-terministisk.

Skärmbild av ett nätverkstopologidiagram som visar virtuella nätverk som är anslutna i ett tvåvägs nät.

Ansluten grupp

När du skapar en nättopologi eller direktanslutning i nav- och ekertopologin skapas en ny anslutningskonstruktion med namnet Ansluten grupp. Virtuella nätverk i en ansluten grupp kan kommunicera med varandra precis som manuellt anslutna virtuella nätverk. När du tittar på de effektiva vägarna för ett nätverksgränssnitt visas en nästa hopptyp av ConnectedGroup. Virtuella nätverk som är anslutna tillsammans i en ansluten grupp har ingen peeringkonfiguration som anges under Peerings för det virtuella nätverket.

Kommentar

Om du har motstridiga undernät i två eller flera virtuella nätverk kan resurser i dessa undernät inte kommunicera med varandra även om de ingår i samma nätnätverk. Ett virtuellt nätverk kan ingå i upp till två mesh-konfigurationer.

Aktivera högskaliga grupper med privata slutpunkter i Azure Virtual Network Manager

Viktigt!

Azure Virtual Network Manager:s högskalig privata slutpunktsansluten gruppfunktion är i förhandsversion. Den är tillgänglig i följande regioner under förhandsversionen:

  • Östra USA 2 EUAP
  • Centrala USA EUAP
  • Västra Central-USA
  • Östasien
  • UK South (Södra Storbritannien)
  • östra USA

Den här förhandsversionen tillhandahålls utan ett serviceavtal och vi rekommenderar det inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.

Med Azure Virtual Network Manager:s funktion för anslutna grupper i hög skala kan du utöka din nätverkskapacitet. Använd följande steg för att aktivera den här funktionen för att stödja upp till 20 000 privata slutpunkter i den anslutna gruppen:

Förbereda varje virtuellt nätverk i den anslutna gruppen

  1. Granska Begränsningar för privata slutpunkter i virtuella nätverk för mer information om hur du ökar dessa gränser. Om du aktiverar eller inaktiverar den här funktionen initieras en engångsanslutningsåterställning. Vi rekommenderar att du utför dessa ändringar under en underhållsperiod.

  2. Registrera funktionsflaggan Microsoft.Network/EnableMaxPrivateEndpointsVia64kPath för varje prenumeration som innehåller en Azure Virtual Network Manager-instans eller ett virtuellt nätverk i din anslutna grupp.

    Viktigt!

    Den här registreringen är viktig för att låsa upp den utökade privata slutpunktskapaciteten. Mer information finns i Så här aktiverar du dokumentation om Azure Preview-funktioner.

  3. I varje virtuellt nätverk i den anslutna gruppen konfigurerar du principerna för privat slutpunktsnätverk till antingen Enabled eller RouteTableEnabled. Den här inställningen säkerställer att dina virtuella nätverk är redo att stödja funktionen för privata slutpunkter i hög skala. Detaljerad vägledning finns i Öka gränserna för virtuella nätverk för privata slutpunkter.

Konfigurera mesh-anslutning för privata slutpunkter i hög skala

I det här steget konfigurerar du mesh-anslutningsinställningarna för din anslutna grupp för att aktivera privata slutpunkter i hög skala. Det här steget innebär att välja lämpliga alternativ i Azure-portalen och verifiera konfigurationen.

  1. Leta upp och markera kryssrutan Aktivera privata slutpunkter i hög skala i din mesh-anslutningskonfiguration. Det här alternativet aktiverar funktionen för hög skala för din anslutna grupp.

  2. Kontrollera att alla virtuella nätverk i den anslutna gruppen har konfigurerats med privata slutpunkter i hög skala. Azure-portalen verifierar inställningarna i hela gruppen. Om ett virtuellt nätverk utan den storskaliga konfigurationen läggs till senare kan det inte kommunicera med privata slutpunkter i andra virtuella nätverk.

  3. När du har kontrollerat att alla virtuella nätverk är korrekt konfigurerade distribuerar du inställningarna. Detta slutför konfigurationen av din storskaliga anslutna grupp.

Topologi med nav och ekrar

En hub-and-spoke är en nätverkstopologi där du har valt ett virtuellt nätverk som det virtuella hubbnätverket. Det här virtuella nätverket peerkopplas dubbelriktad med varje virtuellt ekernätverk i konfigurationen. Den här topologin är användbar när du vill isolera ett virtuellt nätverk men ändå vill att det ska ha anslutning till vanliga resurser i det virtuella hubbnätverket.

Skärmbild av ett nav- och ekertopologidiagram som visar ett virtuellt navnätverk som är anslutet till flera ekernätverk.

I den här konfigurationen har du inställningar som du kan aktivera, till exempel direktanslutning mellan virtuella ekernätverk. Som standard är den här anslutningen endast för virtuella nätverk i samma region. Om du vill tillåta anslutning mellan olika Azure-regioner måste du aktivera Global mesh. Du kan också aktivera gatewayöverföring så att virtuella ekernätverk kan använda VPN- eller ExpressRoute-gatewayen som distribueras i hubben.

Om det är markerat kan eventuella peerings som inte matchar innehållet i den här konfigurationen tas bort, även om dessa peerings skapades manuellt efter att den här konfigurationen har distribuerats. Om du tar bort ett virtuellt nätverk från en nätverksgrupp som används i konfigurationen tar den virtuella hanteraren bara bort peerings som skapats.

Aktivera direktanslutning

Om du aktiverar direktanslutning skapas ett överlappande lager av en ansluten grupp ovanpå din hubb- och ekertopologi, som innehåller ekervirtuella nätverk i en viss grupp. Med direktanslutning kan ett virtuellt ekernätverk kommunicera direkt med andra virtuella nätverk i dess ekergrupp, men inte till virtuella nätverk i andra ekrar.

Du kan till exempel skapa två nätverksgrupper. Du aktiverar direktanslutning för gruppen Produktionsnätverk men inte för testnätverksgruppen. Den här konfigurationen tillåter endast att virtuella nätverk i gruppen Produktionsnätverk kommunicerar med varandra, men inte med dem i testnätverksgruppen.

Skärmbild av en nav- och ekertopologi med två nätverksgrupper.

När du tittar på effektiva rutter på en virtuell maskin har rutten mellan hubben och de virtuella ekernätverken nästa hopptyp VNetPeering eller GlobalVNetPeering. Vägar mellan virtuella ekrar visas med nästa hopptyp av ConnectedGroup. Med exemplet Produktion/Test skulle endast produktionsnätverksgruppen ha en ConnectedGroup eftersom direktanslutning är aktiverad.

Identifiera nätverksgrupptopologi med topologivyn

För att hjälpa dig att förstå topologin för din nätverksgrupp tillhandahåller Azure Virtual Network Manager en topologivy som visar anslutningen mellan nätverksgrupper och deras virtuella medlemsnätverk. Du kan visa topologin för din nätverksgrupp när du skapar anslutningskonfigurationen med följande steg:

  1. Gå till sidan Konfigurationer och skapa en anslutningskonfiguration.

  2. På fliken Topologi väljer du önskad topologityp, lägger till en eller flera nätverksgrupper i topologin och konfigurerar andra önskade anslutningsinställningar.

  3. Välj fliken Förhandsgranskningstopologi för att testa topologivyn och granska konfigurationens aktuella anslutning.

  4. Slutför skapandet av anslutningskonfigurationen.

Du kan granska den aktuella topologin för en nätverksgrupp genom att välja Visualisering under Inställningar på nätverksgruppens informationssida. Vyn visar anslutningen mellan de virtuella medlemsnätverken i nätverksgruppen.

Skärmbild av visualiseringsfönstret som visar topologin för nätverksgruppen.

Användningsfall

Att aktivera direkt anslutning mellan virtuella nätverk med ekrar kan vara användbart när du vill ha en virtuell nätverksinstallation (NVA) eller en vanlig tjänst i det virtuella hubbnätverket, men hubben behöver inte alltid nås. Men i stället behöver du dina virtuella ekernätverk i nätverksgruppen för att kommunicera med varandra. Jämfört med traditionella nav- och ekernätverk förbättrar den här topologin prestandan genom att ta bort det extra hoppet via det virtuella hubbnätverket.

Globalt nät

Precis som mesh kan dessa ekeranslutna grupper konfigureras som regionala eller globala. Globalt nät krävs när du vill att dina virtuella ekernätverk ska kommunicera med varandra mellan regioner. Den här anslutningen är begränsad till virtuella nätverk i samma nätverksgrupp. Om du vill aktivera anslutning för virtuella nätverk mellan regioner måste du aktivera mesh-anslutning mellan regioner för nätverksgruppen. Anslutningar som skapas mellan virtuella ekrar finns i en ansluten grupp.

Använda hubben som en gateway

Ett annat alternativ som du kan aktivera i en hub-and-spoke-konfiguration är att använda hubben som en gateway. Med den här inställningen kan alla virtuella nätverk i nätverksgruppen använda VPN- eller ExpressRoute-gatewayen i det virtuella hubbnätverket för att skicka trafik. Se Gatewayer och lokala anslutningar.

När du distribuerar en hubb- och ekertopologi från Azure Portal aktiveras använd hubb som gateway som standard för de virtuella ekernätverken i nätverksgruppen. Azure Virtual Network Manager försöker skapa en peering-anslutning för virtuella nätverk mellan hubben och det virtuella ekernätverket i resursgruppen. Om gatewayen inte finns i det virtuella hubbnätverket misslyckas skapandet av peering från det virtuella ekernätverket till hubben. Peering-anslutningen från hubben till ekern skapas fortfarande utan en upprättad anslutning.

Nästa steg