Povolení připojení mezi virtuálními sítěmi s využitím partnerského vztahu

  • 6 min

Organizace s velkými operacemi budou často muset vytvářet připojení mezi různými částmi infrastruktury virtuální sítě. Partnerský vztah virtuálních sítí umožňuje bezproblémově připojit samostatné virtuální sítě s optimálním výkonem sítě, ať už jsou ve stejné oblasti Azure (partnerské vztahy virtuálních sítí) nebo v různých oblastech (globální partnerský vztah virtuálních sítí). Provoz mezi partnerskými virtuálními sítěmi je privátní. Virtuální sítě se zobrazují jako virtuální sítě pro účely připojení. Provoz mezi virtuálními počítači v partnerských virtuálních sítích používá páteřní infrastrukturu Microsoftu a při komunikaci mezi virtuálními sítěmi se nevyžaduje žádný veřejný internet, brány ani šifrování.

Partnerské vztahy virtuálních sítí umožňují bezproblémové propojení dvou virtuálních sítí Azure. Po navázání partnerského vztahu se virtuální sítě pro účely připojení jeví jako jedna síť. Existují dva typy partnerského vztahu virtuálních sítí.

  • Partnerské vztahy virtuálních sítí v jednotlivých oblastech propojují virtuální sítě Azure ve stejné oblasti.
  • Globální partnerský vztah virtuálních sítí propojuje virtuální sítě Azure v různých oblastech. Při vytváření globálního partnerského vztahu můžou partnerské virtuální sítě existovat v jakékoli oblasti veřejného cloudu Azure nebo v oblastech cloudu Čína, ale ne v cloudových oblastech státní správy. V cloudových oblastech Azure Government můžete propojit jenom virtuální sítě ve stejné oblasti.

Obrázek znázorňující virtuální síť VNet1 v oblastech 1 a VNet2 a VNet3 v oblasti 2 Sítě VNet2 a VNet3 jsou propojené s regionálním partnerským vztahem virtuálních sítí. Sítě VNet1 a VNet2 jsou propojené s globálním partnerským vztahem virtuálních sítí.

Mezi výhody partnerských vztahů virtuálních sítí (místních i globálních) patří:

  • Nízká latence a velká šířka pásma při propojení prostředků v různých virtuálních sítích.
  • Možnost použít skupiny zabezpečení sítě ve virtuální síti k blokování přístupu k jiným virtuálním sítím nebo podsítím.
  • Možnost přenášet data mezi virtuálními sítěmi napříč předplatnými Azure, tenanty Microsoft Entra, modely nasazení a oblastmi Azure.
  • Možnost peeringu virtuálních sítí vytvořených prostřednictvím Azure Resource Manageru
  • Možnost vytvoření partnerského vztahu virtuální sítě vytvořené prostřednictvím Resource Manageru k virtuální síti vytvořené prostřednictvím modelu nasazení Classic.
  • Při vytváření partnerského vztahu nebo po vytvoření partnerského vztahu se nevyžaduje žádný výpadek prostředků ve virtuální síti.

Následující diagram znázorňuje scénář, ve kterém musí komunikovat prostředky ve virtuální síti Contoso a prostředky ve virtuální síti Fabrikam. Předplatné Contoso v oblasti USA – západ je připojené k předplatnému Fabrikam v oblasti USA – východ.

Diagram znázorňuje scénář, ve kterém musí komunikovat prostředky ve virtuální síti Contoso a prostředky ve virtuální síti Fabrikam.

Směrovací tabulky zobrazují trasy známé prostředkům v každém předplatném. Následující směrovací tabulka ukazuje trasy známé pro Contoso, přičemž poslední položkou je položka globálního partnerského vztahu virtuálních sítí do podsítě Fabrikam 10.10.26.0/24.

Směrovací tabulky zobrazují trasy známé prostředkům v jednotlivých předplatných. Následující směrovací tabulka ukazuje trasy známé pro Contoso.

Následující směrovací tabulka ukazuje trasy známé pro Fabrikam. Poslední položkou je položka globálního partnerského vztahu virtuálních sítí, tentokrát do podsítě Contoso 10.17.26.0/24.

Směrovací tabulka známá pro Fabrikam

Konfigurace partnerského vztahu virtuálních sítí

Tady je postup konfigurace partnerského vztahu virtuálních sítí. Všimněte si, že budete potřebovat dvě virtuální sítě. K otestování partnerského vztahu budete potřebovat virtuální počítač v každé síti. Na začátku nebudou virtuální počítače moct komunikovat, ale po konfiguraci komunikace bude fungovat. Novým krokem je konfigurace partnerského vztahu virtuálních sítí.

  1. Vytvořte dvě virtuální sítě.
  2. Vytvoření partnerského vztahu mezi virtuálními sítěmi
  3. Vytvořte virtuální počítače v každé virtuální síti.
  4. Otestujte komunikaci mezi virtuálními počítači.

Ke konfiguraci partnerského vztahu použijte stránku Přidat partnerský vztah . Je potřeba zvážit pouze několik volitelných parametrů konfigurace.

Snímek obrazovky se stránkou konfigurace partnerského vztahu virtuálních sítí

Poznámka:

Když přidáte partnerský vztah do jedné virtuální sítě, přidá se automaticky druhá konfigurace virtuální sítě.

Průchod bránou a Připojení ivity

Když jsou virtuální sítě v partnerském vztahu, nakonfigurujete bránu VPN v partnerské virtuální síti jako tranzitní bod. V tomto případě partnerská virtuální síť používá vzdálenou bránu k získání přístupu k jiným prostředkům. Virtuální síť může mít pouze jednu bránu. Průchod bránou se podporuje pro partnerský vztah virtuálních sítí i pro globální partnerský vztah virtuálních sítí.

Když povolíte průchod bránou, může virtuální síť komunikovat s prostředky mimo partnerský vztah. Například brána podsítě může:

  • K připojení k místní síti použijte síť VPN typu site-to-site.
  • Použijte připojení typu VNet-to-VNet k jiné virtuální síti.
  • Připojení k klientovi pomocí sítě VPN typu point-to-site.

V těchto scénářích průchod bránou umožňuje partnerským virtuálním sítím sdílet bránu a získat přístup k prostředkům. To znamená, že v partnerské virtuální síti nemusíte nasazovat bránu VPN.

Poznámka:

Skupiny zabezpečení sítě je možné použít buď ve virtuální síti, aby se blokoval přístup k jiným virtuálním sítím nebo podsítím. Při konfiguraci partnerského vztahu virtuálních sítí můžete otevřít nebo zavřít pravidla skupiny zabezpečení sítě mezi virtuálními sítěmi.

Použití řetězení služeb ke směrování provozu do brány

Předpokládejme, že chcete směrovat provoz z virtuální sítě Contoso na konkrétní síťové virtuální zařízení (NVA). Vytvořte trasy definované uživatelem pro směrování provozu z virtuální sítě Contoso do síťového virtuálního zařízení ve virtuální síti Fabrikam. Tato technika se označuje jako řetězení služeb.

Pokud chcete povolit řetězení služeb, přidejte trasy definované uživatelem odkazující na virtuální počítače v partnerské virtuální síti jako IP adresu dalšího segmentu směrování. Trasy definované uživatelem můžou také odkazovat na brány virtuální sítě.

Virtuální sítě Azure je možné nasadit v hvězdicové topologii, přičemž virtuální síť centra funguje jako centrální bod připojení ke všem paprskovým virtuálním sítím. Centrální virtuální síť hostuje komponenty infrastruktury, jako je síťové virtuální zařízení, virtuální počítače a brána VPN. Všechny paprskové virtuální sítě jsou v partnerském vztahu s virtuální sítí centra. Provoz prochází síťovými virtuálními zařízeními nebo bránami VPN v centrální virtuální síti. Mezi výhody použití hvězdicové konfigurace patří úspora nákladů, překročení limitů předplatného a izolace úloh.

Následující diagram znázorňuje scénář, ve kterém je virtuální síť centra hostitelem brány VPN, která spravuje provoz do místní sítě a umožňuje řízenou komunikaci mezi místní sítí a partnerskými virtuálními sítěmi Azure.

Konfigurace hvězdicového centra – Contoso a Fabrikam peer to Hub VNet. Virtuální síť centra obsahuje síťové virtuální zařízení, virtuální počítače a bránu VPN Gateway připojenou k místní síti.

Na každou z následujících otázek zvolte nejlepší odpověď. Pak vyberte, že chcete zkontrolovat odpovědi.

Kontrola znalostí

1.

Pokud je potřeba, aby prostředky v jedné virtuální síti komunikují s prostředky v podsíti v jiné virtuální síti. Kterou síťovou funkci Azure byste měli použít?

2.

Ke kterým změnám dochází v partnerských virtuálních sítích při konfiguraci globálního partnerského vztahu?