Как настроить пиринг подсети

Пиринг подсети относится к методу подключения двух виртуальных сетей путем связывания адресных пространств подсети, а не всех адресных пространств виртуальной сети. Он позволяет пользователям указать, какие подсети должны участвовать в пиринге между локальными и удаленными виртуальными сетями.

Пиринг подсети — это добавленная гибкость, основанная на пиринге виртуальной сети. Пользователи получают возможность выбрать определенные подсети, которые должны быть объединены в пиринговое соединение между виртуальными сетями. Пользователи могут указать или ввести список подсетей в виртуальных сетях, которые они хотят объединить в пиринг. В отличие от этого, в обычном пиринге виртуальных сетей все адресное пространство и подсети между виртуальными сетями получают пиринг.

В отношении использования пиринга подсетей применяются следующие ограничения:

• Список разрешений подписки. Чтобы использовать эту функцию, необходимо зарегистрировать подписку, в которой требуется настроить пиринг подсети. Заполните эту форму , чтобы зарегистрировать подписку.

• Доступность. Эта функция доступна во всех регионах, однако ее можно настроить только с помощью Terraform, PowerShell, API, CLI и шаблона ARM.

Предпосылки

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

• Зарегистрируйте подписку в рамках указанного процесса, чтобы разрешить подписку для доступа к этой функции.

Настройка пиринга подсети

• Для этой статьи требуется Azure CLI версии 2.31.0 или более поздней. Если вы используете Azure Cloud Shell, последняя версия уже установлена.

В существующем процессе создания пиринга виртуальной сети вводятся несколько новых необязательных параметров. Это описание и ссылка каждого из них:

Появились новые необязательные параметры:

• --peer-complete-vnet
  Этот параметр позволит пользователям выбрать пиринг подсети. По умолчанию для этого параметра задано значение true, что означает, что все виртуальные сети пиринговые (все адресные пространства и подсети). Чтобы использовать пиринг подсети, этот параметр должен иметь значение false.
  Принятые значения: 0, 1, f, false, n, no, t, true, y, да
  Значение по умолчанию: True

• --local-subnet-names
  Этот параметр позволяет пользователям вводить имена локальных подсетей, которые они хотят соединить с удаленными подсетями при активации пиринга, устанавливая параметр 'peer-complete-vnet' на 0.

• --remote-subnet-names
  Этот параметр позволит пользователям вводить имена удаленных подсетей, с которыми они хотят осуществить пиринг с локальными подсетями, при условии включения пиринга подсетей и установив параметр «peer-complete-vnet» на 0.

• --enable-only-ipv6
  Этот параметр позволит пользователям настраивать пиринг подсети только через адресное пространство IPv6 (для подсетей с двумя стеками). По умолчанию для этого параметра задано значение false. Пиринг выполняется по протоколу IPv4 по умолчанию. Если задано значение true, пиринг выполняется через IPv6 в двух подсетях стека.
  Принятые значения: 0, 1, f, false, n, no, t, true, y, да

az network vnet peering create --name
                               --remote-vnet
                               --resource-group
                               --vnet-name
                               [--allow-forwarded-traffic {0, 1, f, false, n, no, t, true, y, yes}]
                               [--allow-gateway-transit {0, 1, f, false, n, no, t, true, y, yes}]
                               [--allow-vnet-access {0, 1, f, false, n, no, t, true, y, yes}]
                               [--no-wait {0, 1, f, false, n, no, t, true, y, yes}]
                               [--use-remote-gateways {0, 1, f, false, n, no, t, true, y, yes}]
	                           [--peer-complete-vnet {0, 1(default), f, false, n, no, t, true, y, yes}]
                               [--enable-only-ipv6 {0(default), 1, f, false, n, no, t, true, y, yes}]  
                               [--local-subnet-names] 
                               [--remote-subnet-names] 

1. Используйте az group create для создания группы ресурсов с именем test-rg в расположении eastus2 .

   az group create \
       --name test-rg \
       --location eastus2
   

2. Используйте az network vnet create для создания двух виртуальных сетей vnet-1 и vnet-2.

   az network vnet create \
       --name vnet-1 \
       --resource-group test-rg \
       --location eastus2 \
       --address-prefix 10.0.0.0/16 && \
   az network vnet create \
       --name vnet-2 \
       --resource-group test-rg \
       --location eastus2 \
       --address-prefix 10.1.0.0/16
   

3. Используйте az network vnet subnet create для создания подсети с несколькими префиксами.

   az network vnet subnet create \
   --name subnet-1 \
   --resource-group test-rg \
   --vnet-name vnet-1 \
   --address-prefix 10.0.1.0/24 && \
   az network vnet subnet create \
       --name subnet-2 \
       --resource-group test-rg \
       --vnet-name vnet-1 \
       --address-prefix 10.0.2.0/24 && \
   az network vnet subnet create \
       --name subnet-3 \
       --resource-group test-rg \
       --vnet-name vnet-2 \
       --address-prefix 10.1.1.0/24 && \
   az network vnet subnet create \
       --name subnet-4 \
       --resource-group test-rg \
       --vnet-name vnet-2 \
       --address-prefix 10.1.2.0/24
   

4. Создав необходимые подсети, предположим, что мы хотим подключить только подсеть-1 из виртуальной сети-1 и подсеть-3 из виртуальной сети-2 вместо пиринга всей виртуальной сети. Для этого мы используем описанные выше необязательные параметры, чтобы достичь цели.
   Для этого мы запускаем команду создать пиринг виртуальной сети с необязательными параметрами.

   az network vnet peering create --name vnet-1_to_vnet-2
                                  --resource-group test-rg
                                  --vnet-name vnet-1
                                  --remote-vnet vnet-2
                                  --allow-forwarded-traffic 
                                  --allow-gateway-transit 
                                  --allow-vnet-access 
                                  --peer-complete-vnet false
                                  --local-subnet-names subnet-1
                                  --remote-subnet-names subnet-3
   az network vnet peering create --name vnet-2_to_vnet-1
                                  --resource-group test-rg
                                  --vnet-name vnet-2
                                  --remote-vnet vnet-1
                                  --allow-forwarded-traffic 
                                  --allow-gateway-transit 
                                  --allow-vnet-access 
                                  --peer-complete-vnet false
                                  --local-subnet-names subnet-3
                                  --remote-subnet-names subnet-1
   

   Добавление новой подсети в пиринг

   az network vnet peering update --name vnet-1_to_vnet-2
                                  --resource-group test-rg
                                  --vnet-name vnet-1
                                  --local-subnet-names subnet-1 subnet-2
   az network vnet peering update --name vnet-2_to_vnet-1
                                  --resource-group test-rg
                                  --vnet-name vnet-2
                                  --remote-subnet-names subnet-3 subnet-4
   

   Удалите подсети из пиринга

   az network vnet peering update --name vnet-1_to_vnet-2
                                  --resource-group test-rg
                                  --vnet-name vnet-1
                                  --local-subnet-names subnet-1
   az network vnet peering update --name vnet-2_to_vnet-1
                                  --resource-group test-rg
                                  --vnet-name vnet-2
                                  --remote-subnet-names subnet-3
   

   Синхронизация пирингов

   az network vnet peering sync --name vnet-1_to_vnet-2
                                --resource-group test-rg
                                --vnet-name vnet-1
   az network vnet peering sync --name vnet-2_to_vnet-1
                                --resource-group test-rg
                                --vnet-name vnet-2
   

   Показать пиринги

   az network vnet peering show --name vnet-1_to_vnet-2
                                --resource-group test-rg
                                --vnet-name vnet-1
   az network vnet peering show --name vnet-2_to_vnet-1
                                --resource-group test-rg
                                --vnet-name vnet-2
   

Проверки и ограничения пиринговых подключений подсети

На следующей схеме отображаются проверки, выполненные при настройке пиринга подсети и текущих ограничений.

1. Участвующие подсети должны быть уникальными и должны принадлежать уникальным адресным пространствам.

   • Например, в пиринге виртуальной сети A и виртуальной сети C (иллюстрированная на рисунке черной стрелкой) виртуальная сеть A не может подсеть через подсеть 1, подсеть 2 и подсеть 3 с любой из подсетей в виртуальной сети C, так как эти подсети виртуальной сети A принадлежат 10.1.0.0.0/16, которое также присутствует в виртуальной сети C.
   • Однако подсеть 4 виртуальной сети A (10.0.1.0/24) может взаимодействовать по схеме одноранговой сети с подсетью 5 в виртуальной сети C (10.6.1.0/24), так как эти подсети уникальны в различных виртуальных сетях, и они принадлежат к уникальным адресным пространствам. Подсеть 4 принадлежит 10.0.0.0/16 адресного пространства в виртуальной сети А и подсети 5 принадлежит 10.6.0.0/16 в виртуальной сети C.

2. Между двумя виртуальными сетями может быть только одна пиринговая связь. Если вы хотите добавить или удалить подсети из ссылки пиринга, необходимо обновить ту же ссылку пиринга. Установление нескольких эксклюзивных пирингов между наборами подсетей невозможно.
   Не удается изменить заданный тип ссылки пиринга. Если между виртуальной сетью A и виртуальной сетью B существует пиринг между виртуальной сетью А и виртуальной сетью B, а пользователь хочет изменить его на пиринг подсети, необходимо удалить существующую пиринговую связь виртуальной сети, а новый пиринг должен быть создан с необходимыми параметрами для пиринга подсети и наоборот.

3. Число подсетей, которые могут быть частью пиринговой связи, должно быть меньше или равно 400 (200 ограничение от каждой локальной и удаленной стороны).

   • Например, в канале взаимного подключения виртуальной сети A и виртуальной сети B (обозначенном синей стрелкой) общее количество подсетей, участвующих в пиринге, составляет 4 (две из виртуальной сети A и две из виртуальной сети B). Это число должно быть <=400.

4. В текущем выпуске (функция остается за флагом подписки), маршрут от непиринговой подсети к пиринговой подсети существует - В текущем сценарии виртуальные сети A и B находятся в процессе пиринга. Несмотря на то, что подсеть 2 с стороны виртуальной сети A не находится в пиринге, она все же будет иметь маршрут для подсети 1 и подсети 2 в виртуальной сети B.

   • В пиринге виртуальных сетей для виртуальной сети А и виртуальной сети B клиент ожидает, что только подсеть 1 и подсеть 3 из виртуальной сети А будут иметь маршруты для подсети 1 и подсети 2 в удаленной виртуальной сети B. Однако, подсеть 2 и подсеть 4 (из локальной виртуальной сети А, которая не участвует в пиринге) также имеют маршруты для подсети 1 и подсети 2 на удаленной стороне (виртуальная сеть B), что означает, что непирингуемые подсети могут отправлять пакеты на конечный узел в пиринговой подсети, хотя пакет отбрасывается и не достигает виртуальной машины.

   • Рекомендуется, чтобы пользователи применяли NSGs к подсетям-участникам, чтобы разрешить трафик только из одноранговых подсетей и адресных пространств. Это ограничение будет удалено после выхода версии GA.

5. Пиринг подсети и AVNM

   • Подключенная группа
     Если две виртуальные сети подключены в 'Connected Group', и если пиринг подсетей настроен через эти две виртуальные сети, пиринг подсетей имеет приоритет, и подключение между непиринговыми подсетями прекращается.
   • Конфигурация подключения AVNM
     AVNM сегодня не может различать соединение между виртуальными сетями и соединение между подсетями. Если пиринг на уровне подсети существует между виртуальной сетью A и виртуальной сетью B, а затем пользователь AVNM пытается установить пиринг виртуальной сети между виртуальной сетью A и виртуальной сетью B через некоторые конфигурации подключения AVNM (развертывание по модели "концентратор и периферия"), AVNM будет считать, что пиринг между виртуальными сетями A и B уже существует и проигнорирует новый запрос на пиринг. Мы рекомендуем пользователям соблюдать осторожность, используя пиринговое подключение к подсетям и AVNM в таких конфликтующих сценариях.

Дальнейшие действия

Пиринг подсети помогает лучше сохранить пространство IPv4, позволяя повторно использовать адресные пространства в подсетях, которые не должны быть пиринговыми. Кроме того, он предотвращает ненужную экспозицию всего адресного пространства виртуальной сети через шлюзы в локальных средах. Для пиринга только с использованием IPv6 можно дополнительно настроить пиринг по протоколу IPv6 только для подсетей с поддержкой дуального стека или только для подсетей IPv6. Изучите эти возможности и сообщите нам, есть ли здесь отзывы и предложения.

Дополнительные сведения об пиринге см. в статье об пиринге виртуальной сети.