konfigurace Připojení ivity v Azure Virtual Network Manageru

  • Článek

V tomto článku se dozvíte o různých typech konfigurací, které můžete vytvořit a nasadit pomocí Azure Virtual Network Manageru. Aktuálně jsou k dispozici dva typy konfigurací: Připojení ivity a Správa zabezpečení.

Důležité

Azure Virtual Network Manager je obecně dostupný pro konfigurace připojení hvězdicové architektury a konfigurace zabezpečení s pravidly správce zabezpečení. Konfigurace připojení sítě zůstávají ve verzi Public Preview.

Tato verze Preview se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro úlohy v produkčním prostředí. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.

konfigurace Připojení ivity

konfigurace Připojení ivity umožňují vytvářet různé síťové topologie na základě potřeb vaší sítě. Máte dvě topologie, ze kterých si můžete vybrat, síť sítě a hvězdicovou síť. Připojení ivity mezi virtuálními sítěmi je definována v nastavení konfigurace.

Síťová topologie sítě

Síť sítě je topologie, ve které jsou všechny virtuální sítě ve skupině sítí vzájemně propojené. Všechny virtuální sítě jsou připojené a můžou mezi sebou předávat obousměrný provoz.

Běžným případem použití síťové topologie sítě je umožnit některým paprskovým virtuálním sítím v hvězdicové topologii přímo komunikovat bez provozu procházející virtuální sítí rozbočovače. Tento přístup snižuje latenci, která by jinak mohla mít za následek směrování provozu přes směrovač v centru. Kromě toho můžete udržovat zabezpečení a dohled nad přímými připojeními mezi paprskovými sítěmi implementací pravidel skupin zabezpečení sítě nebo pravidel správy zabezpečení ve službě Azure Virtual Network Manager. Provoz je také možné monitorovat a zaznamenávat pomocí protokolů toku virtuální sítě.

Ve výchozím nastavení je síť oblastí, takže mezi sebou můžou komunikovat jenom virtuální sítě ve stejné oblasti. Globální síť je možné povolit pro navázání připojení virtuálních sítí napříč všemi oblastmi Azure. Virtuální síť může být součástí až dvou připojených skupin. Adresní prostory virtuální sítě se můžou překrývat v konfiguraci sítě, na rozdíl od partnerských vztahů virtuálních sítí. Přenosy do konkrétních překrývajících se podsítí se ale zahodí, protože směrování není deterministické.

Diagram síťové topologie sítě

skupina Připojení

Když vytvoříte síťovou topologii nebo přímé připojení v hvězdicové topologii, vytvoří se nový konstruktor připojení s názvem Připojení ed group. Virtuální sítě v připojené skupině spolu můžou vzájemně komunikovat stejně jako kdybyste chtěli propojit virtuální sítě ručně. Když se podíváte na efektivní trasy pro síťové rozhraní, uvidíte typ dalšího segmentu směrování Připojení edGroup. Virtuální sítě propojené společně v připojené skupině nemají konfiguraci partnerského vztahu uvedenou v části Partnerské vztahy pro virtuální síť.

Poznámka:

  • Pokud máte konfliktní podsítě ve dvou nebo více virtuálních sítích, prostředky v těchto podsítích nebudou moct vzájemně komunikovat, i když jsou součástí stejné sítě sítě.
  • Virtuální síť může být součástí až dvou konfigurací sítě.

Hvězdicová topologie

Hvězdicová topologie je síťová topologie, ve které máte jako virtuální síť centra vybranou virtuální síť. Tato virtuální síť získá obousměrný partnerský vztah se každou paprskovou virtuální sítí v konfiguraci. Tato topologie je užitečná, když chcete izolovat virtuální síť, ale přesto chcete, aby měla připojení k běžným prostředkům v centrální virtuální síti.

Diagram hvězdicové topologie

V této konfiguraci máte nastavení, která můžete povolit, například přímé připojení mezi paprskovými virtuálními sítěmi. Ve výchozím nastavení je toto připojení pouze pro virtuální sítě ve stejné oblasti. Pokud chcete povolit připojení napříč různými oblastmi Azure, musíte povolit globální síť. Můžete také povolit průchod bránou , aby paprskové virtuální sítě mohly používat bránu VPN nebo ExpressRoute nasazenou v centru.

Přímé připojení

Povolení přímého připojení vytvoří překryvnou propojenou skupinu nad hvězdicovou topologií, která obsahuje paprskové virtuální sítě dané skupiny. Přímé připojení umožňuje paprskové virtuální síti komunikovat přímo s jinými virtuálními sítěmi ve skupině paprsků, ale ne s virtuálními sítěmi v jiných paprskech.

Například vytvoříte dvě skupiny sítě. Povolíte přímé připojení pro produkční skupinu sítě, ale ne pro testovací skupinu sítě. Toto nastavení umožňuje, aby virtuální sítě ve skupině produkční sítě vzájemně komunikují, ale ne s virtuálními sítěmi ve skupině testovací sítě.

Diagram hvězdicové topologie se dvěma skupinami sítě

Když se podíváte na efektivní trasy na virtuálním počítači, trasa mezi centrem a paprskovými virtuálními sítěmi bude mít typ dalšího segmentu směrování VNetPeering nebo GlobalVNetPeering. Trasy mezi virtuálními sítěmi paprsků se zobrazí s typem dalšího segmentu směrování Připojení edGroup. U výše uvedeného příkladu by měla pouze skupina produkční sítě Připojení edGroup, protože má povolené přímé připojení.

Zjišťování topologie skupin sítě pomocí zobrazení topologie

Azure Virtual Network Manager vám pomůže pochopit topologii vaší skupiny sítí a zobrazí zobrazení topologie, které ukazuje připojení mezi skupinami sítě a jejich členskými virtuálními sítěmi. Topologii vaší skupiny sítě můžete zobrazit během vytváření konfigurace připojení pomocí následujícího postupu:

  1. Přejděte na stránku Konfigurace a vytvořte konfiguraci připojení.
  2. Na kartě Topologie vyberte požadovaný typ topologie, přidejte do topologie jednu nebo více skupin sítě a nakonfigurujte další požadovaná nastavení připojení.
  3. Výběrem karty Náhled topologie otestujte zobrazení topologie a zkontrolujte aktuální připojení konfigurace.
  4. Dokončete vytvoření konfigurace připojení.

Poznámka:

Zobrazení topologie je k dispozici pouze při vytváření konfigurace připojení na webu Azure Portal. Po vytvoření konfigurace už nemůžete topologii zobrazit.

Případy použití

Povolení přímého připojení mezi virtuálními sítěmi paprsků může být užitečné, pokud chcete mít síťové virtuální zařízení nebo běžnou službu v centrální virtuální síti, ale centrum nemusí být vždy přístupné. K vzájemné komunikaci mezi sebou ale potřebujete paprskové virtuální sítě ve skupině sítí. V porovnání s tradičními hvězdicovými sítěmi tato topologie zlepšuje výkon odebráním dalšího segmentu směrování přes virtuální síť centra.

Globální síť

Podobně jako sítě můžou být tyto paprskové propojené skupiny nakonfigurované jako regionální nebo globální. Globální síť se vyžaduje, když chcete, aby vaše paprskové virtuální sítě vzájemně komunikují napříč oblastmi. Toto připojení je omezené na virtuální síť ve stejné skupině sítí. Pokud chcete povolit připojení pro virtuální sítě napříč oblastmi, musíte povolit síťové připojení napříč oblastmi pro síťovou skupinu. Připojení iony vytvořené mezi virtuálními sítěmi paprsků jsou v Připojení skupiny.

Použití centra jako brány

Další možností, kterou můžete povolit v konfiguraci hvězdicové architektury, je použití centra jako brány. Toto nastavení umožňuje všem virtuálním sítím ve skupině sítě používat bránu VPN nebo ExpressRoute v centrální virtuální síti k předávání provozu. Viz Brány a místní připojení.

Když nasadíte hvězdicovou topologii z webu Azure Portal, povolí se ve výchozím nastavení centrum Use jako brána pro paprskové virtuální sítě ve skupině sítí. Azure Virtual Network Manager se pokusí vytvořit připojení partnerského vztahu virtuální sítě mezi centrem a virtuální sítí paprsků ve skupině prostředků. Pokud brána ve virtuální síti centra neexistuje, vytvoření partnerského vztahu z paprskové virtuální sítě do centra selže. Připojení peeringu z centra k paprsku se stále vytvoří bez navázání připojení.

Další kroky

  • Nasaďte instanci Azure Virtual Network Manageru pomocí Terraformu.
  • Seznamte se s nasazeními konfigurace ve službě Azure Virtual Network Manager.
  • Zjistěte, jak blokovat síťový provoz pomocí konfigurace správce zabezpečení.