Partnerský vztah virtuálních sítí
Partnerský vztah virtuálních sítí umožňuje bezproblémově propojit virtuální sítě v prostředí služby Azure Stack Hub. Virtuální sítě se zobrazují jako virtuální sítě pro účely připojení. Provoz mezi virtuálními počítači používá základní infrastrukturu SDN. Podobně jako provoz mezi virtuálními počítači ve stejné síti se provoz směruje pouze přes privátní síť Azure Stack Hub.
Azure Stack Hub nepodporuje globální partnerský vztah, protože se na ně nevztahuje koncept "oblastí".
Výhody použití peeringu virtuálních sítí jsou následující:
- Připojení s nízkou latencí a velkou šířkou pásma mezi prostředky v různých virtuálních sítích v rámci stejného razítka služby Azure Stack Hub.
- Schopnost prostředků v jedné virtuální síti komunikovat s prostředky v jiné virtuální síti v rámci stejného razítka služby Azure Stack Hub.
- Možnost přenášet data mezi virtuálními sítěmi napříč různými předplatnými v rámci stejného Microsoft Entra tenanta.
- Žádný výpadek prostředků ve virtuálních sítích při vytváření partnerského vztahu ani po jeho vytvoření.
Provoz mezi partnerskými virtuálními sítěmi je privátní. Provoz mezi virtuálními sítěmi se udržuje ve vrstvě infrastruktury. Komunikace mezi virtuálními sítěmi nevyžaduje veřejný internet, brány ani šifrování.
Připojení
U partnerských virtuálních sítí se prostředky v obou virtuálních sítích můžou přímo připojit k prostředkům v partnerské virtuální síti.
Latence sítě mezi virtuálními počítači v partnerských virtuálních sítích ve stejné oblasti je stejná jako latence v rámci jedné virtuální sítě. Propustnost sítě závisí na šířce pásma, která je pro daný virtuální počítač povolená na základě jeho velikosti. S partnerským vztahem zde nejsou žádná další omezení týkající se šířky pásma.
Provoz mezi virtuálními počítači v partnerských virtuálních sítích se směruje přímo přes vrstvu SDN, nikoli přes bránu nebo přes veřejný internet.
Skupiny zabezpečení sítě můžete použít v obou virtuálních sítích a blokovat tak přístup k jiným virtuálním sítím nebo podsítím. Při konfiguraci partnerského vztahu virtuálních sítí otevřete nebo zavřete pravidla skupiny zabezpečení sítě mezi virtuálními sítěmi. Pokud otevřete úplné připojení mezi partnerskými virtuálními sítěmi, můžete pomocí skupin zabezpečení sítě blokovat nebo odepřít konkrétní přístup. Výchozí možností je úplné připojení. Další informace o skupinách zabezpečení sítě najdete v tématu Skupiny zabezpečení.
Řetězení služeb
Řetězení služeb umožňuje směrovat provoz z jedné virtuální sítě do virtuálního zařízení nebo brány v partnerské síti prostřednictvím tras definovaných uživatelem.
Pokud chcete povolit řetězení služeb, nakonfigurujte trasy definované uživatelem, které jako IP adresu dalšího segmentu směrování ukazují na virtuální počítače v partnerských virtuálních sítích.
Můžete nasadit hvězdicové sítě, kde centrální virtuální síť hostuje součásti infrastruktury, jako je síťové virtuální zařízení nebo brána VPN. Všechny uvedené virtuální sítě pak můžou vytvořit partnerský vztah s centrální virtuální sítí. Provoz prochází síťovými virtuálními zařízeními nebo branami VPN v centrální virtuální síti.
Partnerský vztah virtuální sítě umožňuje, aby dalším segmentem směrování v uživatelsky definované trase byla IP adresa virtuálního počítače v partnerské virtuální síti. Další informace o uživatelsky definovaných trasách najdete v přehledu uživatelsky definovaných tras. Informace o vytvoření hvězdicové síťové topologie najdete v tématu Hvězdicová síťová topologie v Azure.
Brány a místní připojení
Každá virtuální síť, včetně virtuální sítě v partnerském vztahu, může mít svou vlastní bránu. Virtuální síť se může pomocí své brány připojit k místní síti. Projděte si dokumentaci ke službě Azure Stack Hub Virtual Network Gateway.
Bránu v partnerské virtuální síti můžete také nakonfigurovat jako tranzitní bod do místní sítě. V tomto případě virtuální síť, která používá vzdálenou bránu, nemůže mít vlastní bránu. Virtuální síť má pouze jednu bránu. Brána je místní nebo vzdálená brána v partnerské virtuální síti, jak je znázorněno na následujícím obrázku:
Před povolením možností UseRemoteGateways v partnerském vztahu musí být v bráně VPN vytvořen objekt Connection.
Důležité
Azure Stack Hub konfiguruje systémové trasy na základě podsítí partnerských virtuálních sítí, nikoli z předpony adresy virtuální sítě. To se liší od implementace Azure. Pokud chcete přepsat výchozí systémové trasy, jako je scénář popsaný v tématu Scénář: Směrování provozu přes síťové virtuální zařízení (NVA) nebo hvězdicovou topologii sítě v Azure, ve kterých chcete směrovat provoz do síťového virtuálního zařízení nebo zařízení brány firewall, musíte vytvořit položku trasy pro každou podsíť v rámci virtuální sítě.
Konfigurace peeringu virtuálních sítí
Povolit přístup k virtuální síti: Povolení komunikace mezi virtuálními sítěmi umožňuje prostředkům připojeným k oběma virtuálním sítím vzájemně komunikovat se stejnou šířkou pásma a stejnou latencí, jako kdyby byly připojené ke stejné virtuální síti. Veškerá komunikace mezi prostředky v těchto dvou virtuálních sítích se směruje přes interní vrstvu SDN.
Jedním z důvodů, proč nepovolit síťový přístup, může být scénář, kdy jste vytvořili partnerský vztah virtuální sítě s jinou virtuální sítí, ale občas chcete zakázat tok provozu mezi těmito dvěma virtuálními sítěmi. Možná zjistíte, že povolení nebo zakázání je pohodlnější než odstranění a opětovné vytvoření partnerských vztahů. Pokud je toto nastavení zakázané, přenosy mezi partnerskými virtuálními sítěmi neprotékají.
Povolit přesměrovaný provoz: Zaškrtnutím tohoto políčka povolíte tok provozu přesměrovaného síťovým virtuálním zařízením ve virtuální síti (která nepochází z virtuální sítě) do této virtuální sítě prostřednictvím partnerského vztahu. Představte si například tři virtuální sítě s názvy Spoke1, Spoke2 a Hub. Mezi jednotlivými paprskovými virtuálními sítěmi a virtuální sítí centra existuje partnerský vztah, ale partnerské vztahy mezi paprskovými virtuálními sítěmi neexistují. Síťové virtuální zařízení je nasazené ve virtuální síti centra a trasy definované uživatelem se použijí na každou paprskovou virtuální síť, která směruje provoz mezi podsítěmi prostřednictvím síťového virtuálního zařízení. Pokud toto políčko není zaškrtnuté pro partnerský vztah mezi jednotlivými paprsky virtuální sítě a virtuální sítí centra, provoz neprochází mezi virtuálními sítěmi paprsků, protože centrum nepřesměrovává provoz mezi virtuálními sítěmi. Povolení této funkce sice umožňuje přesměrovaný provoz prostřednictvím partnerského vztahu, ale nevytváří žádné trasy definované uživatelem ani síťová virtuální zařízení. Trasy definované uživatelem a síťová virtuální zařízení se vytvářejí samostatně. Seznamte se s trasami definovanými uživatelem. Toto nastavení nemusíte kontrolovat, pokud se provoz přesměrováává mezi virtuálními sítěmi prostřednictvím VPN Gateway.
Povolit průchod bránou: Toto políčko zaškrtněte, pokud máte k této virtuální síti připojenou bránu virtuální sítě a chcete povolit průchod provozu z partnerské virtuální sítě přes bránu. Tato virtuální síť může být například připojená k místní síti prostřednictvím brány virtuální sítě. Zaškrtnutím tohoto políčka povolíte tok provozu z partnerské virtuální sítě přes bránu připojenou k této virtuální síti do místní sítě. Pokud toto políčko zaškrtnete, partnerský virtuální síť nemůže mít nakonfigurovanou bránu. Při nastavování partnerského vztahu z druhé virtuální sítě s touto virtuální sítí musí být zaškrtnuté políčko Použít vzdálené brány . Pokud toto políčko nezaškrtnete (výchozí nastavení), provoz z partnerské virtuální sítě stále proudí do této virtuální sítě, ale nemůže procházet bránou virtuální sítě připojenou k této virtuální síti.
Použití vzdálených bran: Toto políčko zaškrtněte, pokud chcete povolit tok provozu z této virtuální sítě přes bránu virtuální sítě připojené k virtuální síti, se kterou máte partnerský vztah. Například virtuální síť, se kterou spolupracujete, má připojenou bránu VPN, která umožňuje komunikaci s místní sítí. Zaškrtnutím tohoto políčka povolíte tok provozu z této virtuální sítě přes bránu VPN připojenou k partnerské virtuální síti. Pokud toto políčko zaškrtnete, musí být k partnerské virtuální síti připojená brána virtuální sítě a zaškrtnuté políčko Povolit průchod bránou . Pokud toto políčko nezaškrtnete (výchozí nastavení), provoz z partnerské virtuální sítě může do této virtuální sítě stále proudit, ale nemůže procházet bránou virtuální sítě připojenou k této virtuální síti.
Vzdálené brány nemůžete použít, pokud už máte bránu ve virtuální síti nakonfigurovanou.
Oprávnění
Ujistěte se, že při vytváření partnerských vztahů s virtuálními sítěmi v různých předplatných v rámci stejných tenantů Microsoft Entra mají účty přiřazenou alespoň roli Přispěvatel sítě.
Důležité
Azure Stack Hub nepodporuje partnerský vztah virtuálních sítí v různých předplatných a v různých tenantech Microsoft Entra. Podporuje partnerský vztah virtuálních sítí mezi virtuálními sítěmi v různých předplatných, pokud tato předplatná patří do stejného Microsoft Entra tenanta. To se liší od implementace Azure.
Nejčastější dotazy k peeringu virtuálních sítí
Co je partnerský vztah virtuálních sítí?
Partnerský vztah virtuálních sítí umožňuje propojit virtuální sítě. Připojení VNet Peeringu mezi virtuálními sítěmi umožňuje privátní směrování provozu mezi virtuálními sítěmi přes adresy IPv4. Virtuální počítače v partnerských virtuálních sítích spolu můžou komunikovat, jako by byly ve stejné síti. Připojení peeringu virtuálních sítí je také možné vytvořit napříč několika předplatnými v rámci stejného tenanta Microsoft Entra.
Podporuje Azure Stack Hub globální partnerský vztah virtuálních sítí?
Azure Stack Hub nepodporuje globální partnerský vztah, protože se na ně nevztahuje koncept "oblastí".
Ve které aktualizaci služby Azure Stack Hub bude k dispozici partnerský vztah virtuálních sítí?
Partnerský vztah virtuálních sítí je ve službě Azure Stack Hub dostupný od aktualizace 2008.
Můžu vytvořit partnerský vztah virtuální sítě ve službě Azure Stack Hub s virtuální sítí v Azure?
Ne, partnerský vztah mezi Azure a službou Azure Stack Hub se v tuto chvíli nepodporuje.
Můžu vytvořit partnerský vztah virtuální sítě ve službě Azure Stack Hub1 s virtuální sítí ve službě Azure Stack Hub2?
Ne, partnerský vztah je možné vytvořit pouze mezi virtuálními sítěmi v jednom systému Azure Stack Hub. Další informace o tom, jak propojit dvě virtuální sítě z různých razítek, najdete v tématu Vytvoření připojení virtuální sítě k virtuální síti ve službě Azure Stack Hub.
Můžu povolit partnerský vztah, pokud moje virtuální sítě patří do předplatných v rámci různých tenantů Microsoft Entra?
No. Pokud vaše předplatná patří do různých tenantů Microsoft Entra, není možné vytvořit partnerský vztah virtuálních sítí. Jedná se o konkrétní omezení služby Azure Stack Hub.
Můžu vytvořit partnerský vztah virtuální sítě s virtuální sítí v jiném předplatném?
Ano. Virtuální sítě můžete propojit mezi různými předplatnými, pokud patří do stejného tenanta Microsoft Entra.
Existují nějaká omezení šířky pásma pro připojení peeringu?
No. Partnerský vztah virtuálních sítí neukládá žádná omezení šířky pásma. Šířka pásma je omezená jenom virtuálním počítačem nebo výpočetním prostředkem.
Moje připojení peeringu virtuálních sítí je ve stavu Inicializováno , proč se nemůžu připojit?
Pokud je vaše připojení peeringu ve stavu Inicializováno , znamená to, že jste vytvořili jenom jeden odkaz. Aby bylo možné navázat úspěšné připojení, musí být vytvořeno obousměrné propojení. Pokud například chcete vytvořit partnerský vztah virtuální sítě A k virtuální síti B, musí být vytvořeno propojení z virtuální sítě A na virtuální síť B a z virtuální sítě B na virtuální síť A. Vytvořením obou propojení se stav změní na Připojeno.
Moje připojení partnerského vztahu virtuálních sítí je v odpojeném stavu. Proč nemůžu vytvořit připojení peeringu?
Pokud je připojení partnerského vztahu virtuálních sítí v odpojeném stavu, znamená to, že jedno z vytvořených propojení bylo odstraněno. Pokud chcete znovu navázat připojení peeringu, odstraňte propojení a vytvořte ho znovu.
Je provoz peeringu virtuálních sítí šifrovaný?
No. Provoz mezi prostředky v partnerských virtuálních sítích je privátní a izolovaný. Zůstane zcela ve vrstvě SDN systému Azure Stack Hub.
Pokud vytvořím partnerský vztah virtuální sítě A s virtuální sítí B a VNet B a VNet C, znamená to, že virtuální sítě A a virtuální sítě C jsou v partnerském vztahu?
No. Tranzitivní partnerský vztah se nepodporuje. Musíte vytvořit partnerský vztah virtuální sítě A a virtuální sítě C.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro