Поделиться через

Конфигурации подключения в Azure Virtual Network Manager

Диспетчер виртуальных сетей Azure упрощает управление подключением к виртуальной сети и безопасностью в среде Azure. Конфигурации подключения, включая топологии сетки и концентраторов и периферийных узлов, помогают оптимизировать производительность сети и безопасность. В этой статье рассматриваются такие функции, как высокомасштабируемые подключенные группы и глобальное подключение к сетке, а также варианты использования и этапы настройки для каждой топологии.

Конфигурация подключения

С помощью конфигураций подключения можно создавать различные топологии сети в зависимости от потребностей сети. Вы можете выбрать две топологии: сеть сетки и сеть концентратора и периферийной сети. Подключение между виртуальными сетями определяется в параметрах конфигурации.

Топология сети сетки

Сеть сетки — это топология, в которой все виртуальные сети в группе сети подключены друг к другу. Все виртуальные сети подключены и могут передавать трафик в двунаправленном направлении друг другу.

Распространенный вариант использования топологии сети сетки — разрешить некоторым периферийным виртуальным сетям в концентраторе и периферийной топологии напрямую взаимодействовать друг с другом без трафика, проходящих через виртуальную сеть концентратора. Этот подход снижает задержку, которая может привести к маршрутизации трафика через маршрутизатор в концентраторе. Кроме того, вы можете поддерживать безопасность и надзор за прямыми подключениями между периферийными сетями, реализуя правила групп безопасности сети или административные правила безопасности в Azure виртуальная сеть Manager. Трафик также можно отслеживать и записывать с помощью журналов потоков виртуальной сети.

По умолчанию сетка — это региональная сетка, поэтому только виртуальные сети в одном регионе могут взаимодействовать друг с другом. Глобальная сетка может быть включена для установления подключения виртуальных сетей во всех регионах Azure. Виртуальная сеть может быть частью до двух подключенных групп. Адресные пространства виртуальной сети могут перекрываться в конфигурации сетки, в отличие от пирингов виртуальных сетей. Однако трафик к конкретным перекрывающимся подсетям удаляется, так как маршрутизация недетерминирована.

Снимок экрана: схема топологии сети сетки с виртуальными сетями, подключенными в двунаправленной сетке.

Подключенная группа

При создании топологии сетки или прямого подключения в концентраторе и периферийной топологии создается новая конструкция подключения с именем "Подключенная группа". Виртуальные сети в подключенной группе могут взаимодействовать друг с другом так же, как и подключенные вручную виртуальные сети. При просмотре эффективных маршрутов сетевого интерфейса вы увидите тип следующего прыжка ConnectedGroup. Виртуальные сети, подключенные вместе в подключенной группе, не имеют конфигурации пиринга, указанной в разделе пиринга для виртуальной сети.

Примечание.

Если у вас есть конфликтующие подсети в двух или нескольких виртуальных сетях, ресурсы в этих подсетях не могут взаимодействовать друг с другом, даже если они входят в одну сеть сетки. Виртуальная сеть может быть частью до двух конфигураций сетки.

Включите высокомасштабные частные конечные точки, подключенные к группам в менеджере виртуальных сетей Azure.

Это важно

Функция подключения частной конечной точки с высокой масштабируемостью Диспетчера виртуальных сетей Azure в группе доступна в предварительной версии. Он доступен в следующих регионах во время предварительной версии:

  • Восток США 2 EUAP
  • Центральная часть США (EUAP)
  • Центральный регион западного США
  • Восточная Азия
  • Юг Соединённого Королевства
  • Восток США

Эта предварительная версия предоставляется без соглашения об уровне обслуживания, и мы не рекомендуем использовать её для производственных нагрузок. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены. Для получения дополнительной информации см. Дополнительные условия использования для предварительных версий Microsoft Azure.

Функция высокомасштабируемой подключенной группы Диспетчера виртуальных сетей Azure позволяет расширить емкость сети. Выполните следующие действия, чтобы включить эту функцию для поддержки до 2000 частных конечных точек в подключенной группе:

Подготовьте каждую виртуальную сеть в подключенной группе

  1. Ознакомьтесь с подробными рекомендациями по увеличению ограничений виртуальной сети частной конечной точки . Включение или отключение этой функции инициирует одноразовый сброс подключения. Рекомендуется выполнить эти изменения во время периода обслуживания.

  2. Зарегистрируйте флаг функционала Microsoft.Network/EnableMaxPrivateEndpointsVia64kPath для каждой подписки, содержащей экземпляр Azure Virtual Network Manager или виртуальную сеть в группе подключенных сетей.

    Это важно

    Эта регистрация необходима для активации расширенных возможностей частной конечной точки. Дополнительные сведения см. в документации о включении функций предварительной версии Azure.

  3. В каждой виртуальной сети в вашей подключенной группе настройте политики сети частной конечной точки в положение Enabled или RouteTableEnabled. Этот параметр гарантирует, что виртуальные сети готовы к поддержке функций высокомасштабируемых частных конечных точек. Подробные инструкции см. в разделе "Увеличение ограничений виртуальной сети частной конечной точки".

Настройка подключения сетки для высокомасштабируемых частных конечных точек

На этом шаге вы настроите параметры подключения сетки для подключенной группы, чтобы включить высокомасштабируемые частные конечные точки. Этот шаг включает выбор соответствующих параметров на портале Azure и проверку конфигурации.

  1. В конфигурации сетевого соединения найдите и установите флажок для включения частных конечных точек высокого масштаба. Этот параметр активирует функцию высокого масштаба для подключенной группы.

  2. Убедитесь, что каждая виртуальная сеть в подключенной группе настроена с масштабируемыми частными конечными точками. Портал Azure проверяет параметры всей группы. Если виртуальная сеть без высокомасштабируемой конфигурации добавляется позже, она не может взаимодействовать с частными конечными точками в других виртуальных сетях.

  3. После проверки правильной настройки всех виртуальных сетей разверните параметры. Это завершает настройку вашей высокомасштабируемой подключенной группы.

Звездообразная топология

Концентратор и периферийный — это топология сети, в которой у вас есть виртуальная сеть, выбранная в качестве виртуальной сети концентратора. Эта виртуальная сеть получает двунаправленный пиринг с каждой периферийной виртуальной сетью в конфигурации. Эта топология полезна, если вы хотите изолировать виртуальную сеть, но по-прежнему хотите, чтобы она была подключена к общим ресурсам в центральной виртуальной сети.

Снимок экрана: схема топологии концентратора и периферийной топологии с виртуальной сетью концентратора, подключенной к нескольким периферийным сетям.

В этой конфигурации вы можете включить такие параметры, как прямое подключение между периферийными виртуальными сетями . По умолчанию это подключение предназначено только для виртуальных сетей в одном регионе. Чтобы разрешить подключение между различными регионами Azure, необходимо включить глобальную сетку. Вы также можете включить транзит шлюза , чтобы позволить периферийным виртуальным сетям использовать VPN или шлюз ExpressRoute, развернутый в концентраторе.

Если установлен флажок, все пиринги, которые не соответствуют содержимому этой конфигурации, можно удалить, даже если эти пиринги были созданы вручную после развертывания этой конфигурации. При удалении виртуальной сети из группы сети, используемой в конфигурации, виртуальный менеджер удаляет только созданные пиринги.

Включение прямого подключения

Включение прямого подключения создает наложение подключенной группы на вершине концентратора и периферийной топологии, которая содержит периферийные виртуальные сети определенной группы. Прямое подключение позволяет периферийной виртуальной сети напрямую взаимодействовать с другими виртуальными сетями в своей периферийной группе, но не к виртуальным сетям в других периферийных узлах.

Например, вы создаете две сетевые группы. Вы можете включить прямое подключение для рабочей группы сети, но не для тестовой сетевой группы. Эта настройка позволяет только виртуальным сетям в рабочей группе сети взаимодействовать друг с другом, но не с ними в группе тестовой сети.

Снимок экрана: топология концентратора и периферийной топологии с двумя группами сети.

При просмотре эффективных маршрутов на виртуальной машине маршрут между концентратором и периферийными виртуальными сетями будет иметь следующим типом перехода VNetPeering или GlobalVNetPeering. Маршруты между периферийными виртуальными сетями будут отображаться с типом следующего прыжка ConnectedGroup. В примере Production/Test только группа Производственная сетей будет иметь ConnectedGroup, потому что у нее прямая связь включена.

Обнаружение топологии группы сети с помощью представления топологии

Чтобы понять топологию группы сети, Диспетчер виртуальная сеть Azure предоставляет представление топологии, показывающее подключение между группами сети и их виртуальными сетями-членами. Топологию группы сети можно просмотреть во время создания конфигурации подключения, выполнив следующие действия.

  1. Перейдите на страницу "Конфигурации" и создайте конфигурацию подключения.

  2. На вкладке топологии выберите нужный тип топологии, добавьте одну или несколько групп сети в топологию и настройте другие нужные параметры подключения.

  3. Перейдите на вкладку "Предварительная версия топологии", чтобы проверить представление топологии и проверить текущее подключение конфигурации.

  4. Завершите создание конфигурации подключения.

Вы можете просмотреть текущую топологию сетевой группы, выбрав "Визуализация " в разделе "Параметры " на странице сведений о группе сети. В представлении показано подключение между виртуальными сетями-членами в группе сети.

Снимок экрана: окно визуализации с топологией сетевой группы.

Случаи использования

Активирование прямого подключения между периферийными виртуальными сетями может быть полезным, если вы хотите иметь сетевое виртуальное устройство (NVA) или общую службу в виртуальной сети концентратора, но к концентратору не требуется постоянный доступ. Но вместо этого вам нужны периферийные виртуальные сети в группе сети для взаимодействия друг с другом. По сравнению с традиционными сетями концентратора и периферийных сетей эта топология повышает производительность, удаляя дополнительный прыжок через виртуальную сеть концентратора.

Глобальная сетка

Как и сетка, эти подключенные группы могут быть настроены как региональные или глобальные. Глобальная сетка требуется, если вы хотите, чтобы периферийные виртуальные сети взаимодействовали друг с другом между регионами. Это подключение ограничено виртуальной сетью в той же группе сети. Чтобы включить подключение для виртуальных сетей в разных регионах, необходимо включить подключение сетки между регионами для группы сети. Подключения, созданные между периферийными виртуальными сетями, находятся в подключенной группе.

Использовать концентратор в качестве шлюза

Другой вариант, который можно включить в конфигурации концентратора и периферийной сети, — использовать концентратор в качестве шлюза. Этот параметр позволяет всем виртуальным сетям в группе сети использовать VPN или шлюз ExpressRoute в виртуальной сети концентратора для передачи трафика. См. статью Использование шлюзов для локального подключения.

При развертывании концентратора и периферийной топологии из портал Azure центр Use в качестве шлюза включен по умолчанию для периферийных виртуальных сетей в группе сети. Диспетчер виртуальная сеть Azure пытается создать пиринг между концентратором и периферийной виртуальной сетью в группе ресурсов. Если шлюз не существует в центральной виртуальной сети, создание пиринга из периферийной виртуальной сети в концентратор завершается ошибкой. Пиринговое подключение из концентратора к периферийной сети по-прежнему будет создано без установленного подключения.

Следующие шаги