Konfigurace připojení v Azure Virtual Network Manageru (Preview)
V tomto článku se dozvíte o různých typech konfigurací, které můžete vytvořit a nasadit pomocí nástroje Azure Virtual Network Manager. Existují dva typy konfigurací, které jsou aktuálně k dispozici: připojení a Správci zabezpečení.
Důležité
Azure Virtual Network Manager je momentálně ve verzi Public Preview. Tato verze Preview se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro úlohy v produkčním prostředí. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.
Konfigurace připojení
Konfigurace připojení umožňují vytvářet různé síťové topologie podle potřeb vaší sítě. Máte dvě topologie, ze kterých si můžete vybrat, síť sítě a střed a paprsek. Site mezi virtuálními sítěmi se definují v rámci nastavení konfigurace.
Topologie sítě s mřížkou
Síť sítě je topologie, ve které jsou všechny virtuální sítě ve skupině sítě vzájemně propojené. Všechny virtuální sítě jsou připojené a můžou vzájemně projít provoz. Ve výchozím nastavení se jedná o oblastní síť, proto mohou vzájemně komunikovat pouze virtuální sítě ve stejné oblasti. Globální síť je možné povolit pro navázání připojení virtuálních sítí napříč všemi oblastmi Azure. Virtuální síť může být součástí až pěti připojených skupin. Adresní prostory virtuální sítě se nemůžou překrývat s konfigurací, jinak se vaše prostředky nemůžou vzájemně komunikovat kvůli konfliktům v síti.
Připojená skupina
Při vytváření topologie sítě se vytvoří nový konstruktor pro připojení s názvem připojená skupina. Virtuální sítě v připojené skupině můžou vzájemně komunikovat stejným způsobem, jako kdybyste museli propojit virtuální sítě dohromady ručně. Když se podíváte na efektivní trasy síťového rozhraní, zobrazí se typ dalšího segmentu připojené. Virtuální síť propojená v připojené skupině nebude mít konfiguraci partnerského vztahu uvedená v seznamu partnerských vztahů pro virtuální síť.
Poznámka
- Pokud máte ve dvou nebo více virtuálních sítích konfliktní podsítě, prostředky v těchto podsítích nebudou moci vzájemně komunikovat ani v případě, že jsou součástí stejné sítě sítí.
- Virtuální síť může být součástí až dvou konfigurací sítě.
Topologie hvězdicové architektury
Rozbočovač a paprsek je síťová topologie, ve které máte vybranou virtuální síť jako virtuální síť centrální sítě. Tato virtuální síť dostane v konfiguraci obousměrně partnerský vztah se všemi virtuálními sítěmi paprsků. Tato topologie je užitečná, když chcete izolovat virtuální síť, ale přesto chcete, aby měla připojení ke společným prostředkům ve virtuální síti rozbočovače.
V této konfiguraci máte nastavení, které můžete povolit, jako je přímé připojení mezi virtuálními sítěmi paprsků. Ve výchozím nastavení je toto připojení pouze pro virtuální sítě ve stejné oblasti. Pokud chcete povolit připojení v různých oblastech Azure, budete muset povolit globální síť. Můžete taky povolit přenos brány a povolit tak virtuálním sítím paprsků používat bránu VPN nebo ExpressRoute nasazenou v centru.
Přímé připojení
Při povolení přímého připojení se vytvoří připojená skupina , která obsahuje virtuální sítě paprsků se stejnou oblastí. Toto připojení je vytvořeno pouze pro virtuální sítě ve stejné skupině sítě.
Například vytvoříte dvě síťové skupiny. Povolíte přímé připojení pro skupinu produkční sítě, ale ne pro skupinu test Network. Tato možnost nastaví pouze virtuální sítě ve skupině produkční sítě, aby komunikovaly s jiným, ale nikoli těmi ve skupině test Network.
Viz příklad diagramu níže:
Když se podíváte na efektivní trasy k virtuálnímu počítači, trasa mezi virtuálními sítěmi rozbočovače a paprsky bude mít typ dalšího segmentu směrování VNetPeering nebo GlobalVNetPeering. Trasy mezi virtuálními sítěmi paprsků se zobrazí s typem dalšího segmentu Connected. Pomocí výše uvedeného příkladu by měla skupina připojení jenom skupina produkční sítě, protože má povoleno přímé připojení .
Poznámka
Adresní prostor sítě rozbočovače se přidá do připojené služby, pokud je povolené přímé připojení . Proto pokud se partnerský vztah virtuální sítě mezi centrem a virtuální sítí s paprsky nezdaří, může i nadále komunikovat s propojenou službou.
Případy použití
Povolení přímého připojení mezi virtuálními sítěmi koncových uzlů může být užitečné, když chcete mít síťové virtuální zařízení nebo běžnou službu ve virtuální síti centrální sítě, ale k rozbočovači nemusí být vždycky přistup. Místo toho ale potřebujete, aby vaše virtuální sítě rozbočovače v síťové skupině komunikovaly navzájem. V porovnání s tradičními sítěmi hub a paprsků Tato topologie vylepšuje výkon odebráním dalšího směrování prostřednictvím virtuální sítě rozbočovače.
Globální síť
Globální síť je nutná, pokud chcete, aby virtuální sítě rozbočovače komunikovaly mezi různými oblastmi. Toto připojení je omezené na virtuální síť ve stejné skupině sítí. Pokud chcete povolit připojení k virtuálním sítím v různých oblastech, budete muset Povolit připojení k síti v různých oblastech pro skupinu síť. Připojení vytvořená mezi virtuálními sítěmi paprsků jsou v připojené skupině.
Použít centrum jako bránu
Další možností, kterou můžete povolit v konfiguraci centra a paprsků, je použití centra jako brány. Toto nastavení umožní, aby všechny virtuální sítě ve skupině síť používaly bránu VPN nebo ExpressRoute ve virtuální síti rozbočovače k předávání provozu. Podívejte se na téma brány a místní připojení.
Když nasadíte topologii hub a paprsků z Azure Portal, je ve výchozím nastavení pro virtuální sítě rozbočovače ve skupině síť standardně povolená možnost použít centrum jako bránu . Azure Virtual Network Manager se pokusí vytvořit partnerské připojení virtuální sítě mezi centrem a virtuální sítí paprsků ve skupině prostředků. Pokud brána ve virtuální síti rozbočovače neexistuje, vytvoření partnerského vztahu z virtuální sítě paprsku do centra se nezdaří. Připojení partnerského vztahu z rozbočovače k paprsku bude stále vytvořeno bez navázání připojení.
Poznámka
Pokud povolíte přímé připojení pro síťovou skupinu paprsků, bude centrum zahrnuto i do připojené skupiny. Proto i v případě, že připojení partnerských vztahů z paprsků k rozbočovači není vytvořeno, mohou virtuální sítě paprsků komunikovat s virtuální sítí rozbočovače prostřednictvím připojené skupiny.
Další kroky
- Vytvořte instanci služby Azure Virtual Network Manager .
- Přečtěte si o nasazeních konfigurací v Azure Virtual Network Manageru.
- Naučte se blokovat síťový provoz s konfigurací SecurityAdmin.