Konfiguration der Konnektivität in Azure Virtual Network Manager

  • Artikel

In diesem Artikel erfahren Sie mehr über die verschiedenen Arten von Konfigurationen, die Sie mit Azure Virtual Network Manager erstellen und bereitstellen können. Derzeit sind zwei Arten von Konfigurationen verfügbar: Konnektivität und Sicherheitsadmins.

Wichtig

Azure Virtual Network Manager ist allgemein für Virtual Network Manager, Hub-and-Spoke-Konnektivitätskonfigurationen und Sicherheitskonfigurationen mit Sicherheitsadministratorregeln verfügbar. Gitterkonnektivitätskonfigurationen verbleiben in der öffentlichen Vorschau.

Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Konfiguration der Konnektivität

Die Connectivity-Konfigurationen ermöglichen es Ihnen, verschiedene Netzwerktopologien zu erstellen, die auf Ihren Netzanforderungen basieren. Sie haben zwei Topologien zur Auswahl, ein Maschennetz und ein Hub and Spoke. Die Verbindungen zwischen den virtuellen Netzwerken werden in den Konfigurationseinstellungen festgelegt.

Topologie des Maschennetzes

Ein Mesh-Netz ist eine Topologie, in der alle virtuellen Netze in der Netzgruppe miteinander verbunden sind . Alle virtuellen Netze sind miteinander verbunden und können den Datenverkehr bidirektional weiterleiten. Standardmäßig ist das Netz ein regionales Netz, so dass nur virtuelle Netze in derselben Region miteinander kommunizieren können. Global Mesh kann aktiviert werden, um Konnektivität von virtuellen Netzwerken über alle Azure-Regionen hinweg herzustellen. Ein virtuelles Netzwerk kann Teil von bis zu zwei verbundenen Gruppen sein. Die Adressräume virtueller Netzwerke können sich in einer Meshkonfiguration überschneiden, bei Peering virtueller Netzwerke jedoch nicht. Der Datenverkehr zu den spezifischen überlappenden Subnetzen wird jedoch verworfen, da das Routing nicht deterministisch ist.

Diagramm einer Mesh-Netz-Topologie.

Verbundene Gruppe

Wenn Sie eine Mesh-Topologie erstellen, wird ein neues Konnektivitätskonstrukt namens Verbundene Gruppe erstellt. Virtuelle Netze in einer verbundenen Gruppe können miteinander kommunizieren, genauso wie wenn Sie virtuelle Netze manuell miteinander verbinden würden. Wenn Sie sich die effektiven Routen für eine Netzwerkschnittstelle ansehen, werden Sie einen Next-Hop-Typ von Verbundene Gruppe sehen. Für virtuelle Netzwerke, die in einer verbundenen Gruppe zusammengefasst sind, ist unter Peerings keine Peering-Konfiguration für das virtuelle Netz aufgeführt.

Hinweis

  • Wenn Sie konkurrierende Subnetze in zwei oder mehr virtuellen Netzwerken haben, können die Ressourcen in diesen Subnetzen nicht miteinander kommunizieren, selbst wenn sie Teil desselben Mesh-Netzwerks sind .
  • Ein virtuelles Netzwerk kann Teil von bis zu zwei Meshkonfigurationen sein.

Hub-Spoke-Topologie

Eine Hub-and-Spoke-Topologie ist eine Netzwerktopologie, bei der Sie ein virtuelles Netzwerk als virtuelles Hub-Netzwerk ausgewählt haben. Dieses virtuelle Netz wird bidirektional mit jedem virtuellen Speichennetz in der Konfiguration abgeglichen. Diese Topologie ist nützlich, wenn Sie ein virtuelles Netzwerk isolieren möchten, aber dennoch eine Konnektivität zu gemeinsamen Ressourcen im virtuellen Hub-Netzwerk wünschen.

Diagramm: Hub-and-Spoke-Topologie.

In dieser Konfiguration können Sie Einstellungen wie die direkte Konnektivität zwischen virtuellen Speichennetzen aktivieren. Standardmäßig gilt diese Konnektivität nur für virtuelle Netze in derselben Region. Um Konnektivität über verschiedene Azure-Regionen hinweg zu ermöglichen, müssen Sie Globales Mesh aktivieren. Sie können auch den Gateway-Transit aktivieren, damit virtuelle Spoke-Netzwerke das im Hub installierte VPN- oder ExpressRoute-Gateway verwenden können.

Direkte Konnektivität

Durch Aktivieren der direkten Verbindung wird eine Überlagerung einer verknüpften Gruppe in Ihrer Hub-and-Spoke-Topologie erstellt, die virtuelle Spoke-Netzwerke einer bestimmten Gruppe enthält. Die direkte Konnektivität ermöglicht es einem Spoke-VNet, direkt mit anderen VNets in seiner Spoke-Gruppe zu kommunizieren, aber nicht mit VNets in anderen Spokes.

Sie erstellen zum Beispiel zwei Netzwerkgruppen. Sie aktivieren die direkte Konnektivität für die Netzwerkgruppe Production, aber nicht für die Netzwerkgruppe Test. Bei dieser Einrichtung können nur die virtuellen Netzwerke der Netzwerkgruppe Production miteinander kommunizieren, nicht aber die der Netzwerkgruppe Test.

Diagramm einer Hub-and-Spoke-Topologie mit zwei Netzgruppen

Wenn Sie sich die effektiven Routen auf einer VM ansehen, hat die Route zwischen dem Hub und den virtuellen Spoke-Netzwerken den nächsten Hop-Typ VNetPeering oder GlobalVNetPeering. Routen zwischen virtuellen Speichen-Netzwerken werden mit dem nächsten Sprungtyp ConnectedGroup angezeigt. Im obigen Beispiel würde nur die Netzwerkgruppe Production eine ConnectedGroup besitzen, da dafür die direkte Verbindung aktiviert wurde.

Ermitteln der Netzwerkgruppentopologie mit Topology View

Um Ihnen dabei zu helfen, die Topologie Ihrer Netzwerkgruppe zu verstehen, bietet Azure Virtual Network Manager eine Topologieansicht, die die Konnektivität zwischen Netzwerkgruppen und ihren virtuellen Mitgliedsnetzwerken zeigt. Sie können die Topologie Ihrer Netzwerkgruppe während des Erstellens Ihrer Konnektivitätskonfiguration mit den folgenden Schritten anzeigen:

  1. Navigieren Sie zur Seite Konfigurationen, und erstellen Sie eine Konnektivitätskonfiguration.
  2. Wählen Sie auf der Registerkarte Topologie Ihren gewünschten Topologietyp aus, fügen Sie der Topologie eine oder mehrere Netzwerkgruppen hinzu, und konfigurieren Sie weitere gewünschte Verbindungseinstellungen.
  3. Wählen Sie die Registerkarte Topologievorschau aus, um die Topologieansicht auszuprobieren, und überprüfen Sie die aktuelle Konnektivität Ihrer Konfiguration.
  4. Schließen Sie die Erstellung Ihrer Konnektivitätskonfiguration ab.

Hinweis

Die Topologieansicht ist nur während der Erstellung Ihrer Konnektivitätskonfiguration im Azure-Portal verfügbar. Nachdem die Konfiguration erstellt wurde, können Sie die Topologie nicht mehr anzeigen.

Anwendungsfälle

Die Aktivierung der direkten Konnektivität zwischen virtuellen Speichen-Netzwerken kann hilfreich sein, wenn Sie eine NVA oder einen gemeinsamen Dienst im virtuellen Hub-Netzwerk haben möchten, aber nicht immer auf den Hub zugegriffen werden muss. Vielmehr müssen Ihre virtuellen Speichen-Netzwerke in der Netzwerkgruppe miteinander kommunizieren. Im Vergleich zu herkömmlichen Hub-and-Spoke-Netzwerken verbessert diese Topologie die Leistung, da der zusätzliche Hop durch das virtuelle Hub-Netzwerk entfällt.

Globales Mesh

Wie auch ein Mesh können diese verbundenen Spoke-Gruppen als regional oder global konfiguriert werden. Global Mesh ist erforderlich, wenn Sie möchten, dass Ihre virtuellen Speichen-Netzwerke über Regionen hinweg miteinander kommunizieren. Diese Konnektivität ist auf virtuelle Netzwerke in derselben Netzwerkgruppe beschränkt. Zum Aktivieren von regionsübergreifender Konnektivität für virtuelle Netzwerke müssen Sie für die Netzwerkgruppe Meshkonnektivität regionsübergreifend aktivieren. Verbindungen, die zwischen virtuellen Speichen-Netzwerken erstellt werden, befinden sich in einer Verbundenen Gruppe.

Hub als Gateway verwenden

Eine weitere Option, die Sie in einer Hub-and-Spoke-Konfiguration aktivieren können, ist die Verwendung des Hubs als Gateway. Mit dieser Einstellung können alle virtuellen Netzwerke in der Netzwerkgruppe das VPN- oder ExpressRoute-Gateway im virtuellen Netzwerk des Hubs zur Weiterleitung von Datenverkehr verwenden. Siehe Gateways und ortsgebundene Konnektivität.

Wenn Sie eine Hub- und Spoke-Topologie über das Azure-Portal bereitstellen, ist die Option Hub als Gateway verwenden standardmäßig für die virtuellen Spoke-Netzwerke in der Netzwerkgruppe aktiviert. Azure Virtual Network Manager versucht, in der Ressourcengruppe eine virtuelle Netzwerk-Peering-Verbindung zwischen den virtuellen Netzwerken von Hub und Spoke herzustellen. Wenn das Gateway im virtuellen Netzwerk des Hubs nicht vorhanden ist, schlägt die Erstellung des Peerings vom virtuellen Spoke-Netzwerk zum Hub fehl. Die Peering-Verbindung vom Hub zur Speiche wird auch ohne bestehende Verbindung hergestellt.

Nächste Schritte