Connectiviteitsconfiguratie in Azure Virtual Network Manager (preview)

In dit artikel vindt u informatie over de verschillende typen configuraties die u kunt maken en implementeren met behulp van Azure Virtual Network Manager. Er zijn momenteel twee typen configuraties beschikbaar: Connectiviteits- en beveiligingsbeheerders.

Connectiviteitsconfiguratie

Met connectiviteitsconfiguraties kunt u verschillende netwerkologieën maken op basis van uw netwerkbehoeften. U kunt kiezen uit twee topologies: een mesh-netwerk en een hub en spoke. Er worden verbindingsviteiten tussen virtuele netwerken gedefinieerd binnen de configuratie-instellingen.

Mesh-netwerktopologie

Een mesh-netwerk is een topologie waarin alle virtuele netwerken in de netwerkgroep met elkaar zijn verbonden. Alle virtuele netwerken zijn verbonden en kunnen verkeer in twee richtingen aan elkaar doorgeven. Standaard is de mesh een regionale mesh, waardoor alleen virtuele netwerken in dezelfde regio met elkaar kunnen communiceren. Globale mesh kan worden ingeschakeld voor het tot stand brengen van connectiviteit van virtuele netwerken in alle Azure-regio's. Een virtueel netwerk kan deel uitmaken van maximaal vijf verbonden groepen. Adresruimten van virtuele netwerken mogen elkaar niet overlappen in een configuratie, anders kunnen uw resources niet met elkaar communiceren vanwege netwerkconflicten.

Verbonden groep

Wanneer u een mesh-topologie maakt, wordt er een nieuwe verbindingsconse gemaakt met de naam Verbonden groep. Virtuele netwerken in een verbonden groep kunnen met elkaar communiceren, net zoals als u virtuele netwerken handmatig met elkaar zou verbinden. Wanneer u de effectieve routes voor een netwerkinterface bekijkt, ziet u een volgend hoptype van ConnectedGroup. Virtueel netwerk dat is verbonden in een verbonden groep, heeft geen peeringconfiguratie die wordt vermeld onder Peerings voor het virtuele netwerk.

Hub and spoke-topologie

Een hub-and-spoke is een netwerktopologie waarin u een virtueel netwerk hebt geselecteerd als het virtuele hubnetwerk. Dit virtuele netwerk wordt in twee richtingen via peering verbonden met elk virtueel spoke-netwerk in de configuratie. Deze topologie is handig voor wanneer u een virtueel netwerk wilt isoleren, maar toch verbinding wilt hebben met algemene resources in het virtuele hubnetwerk.

In deze configuratie hebt u instellingen die u kunt inschakelen, zoals directe connectiviteit tussen virtuele spoke-netwerken. Standaard is deze connectiviteit alleen voor virtuele netwerken in dezelfde regio. Als u connectiviteit tussen verschillende Azure-regio's wilt toestaan, moet u Global mesh inschakelen. U kunt gateway-overdracht ook inschakelen zodat virtuele spoke-netwerken de VPN- of ExpressRoute-gateway kunnen gebruiken die in de hub is geïmplementeerd.

Directe connectiviteit

Als u Directe connectiviteit inschakelen, maakt u een verbonden groep die virtuele spoke-netwerken met dezelfde regio bevat. Deze verbinding wordt alleen tot stand gebracht voor virtuele netwerken in dezelfde netwerkgroep.

U maakt bijvoorbeeld twee netwerkgroepen. U kunt directe connectiviteit inschakelen voor de netwerkgroep Productie, maar niet voor de netwerkgroep Testen. Met deze optie kunnen alleen virtuele netwerken in de netwerkgroep Productie met elkaar communiceren, maar niet met de netwerken in de netwerkgroep Testen.

Zie het onderstaande voorbeelddiagram:

Wanneer u effectieve routes op een VM bekijkt, heeft de route tussen de hub en de virtuele spoke-netwerken het volgende hoptype van VNetPeering of GlobalVNetPeering. Routes tussen virtuele spokes-netwerken worden met het 'volgende hoptype' van ConnectedGroup weer geven. In het bovenstaande voorbeeld heeft alleen de netwerkgroep Productie een ConnectedGroup, omdat directe connectiviteit is ingeschakeld.

Gebruiksvoorbeelden

Het inschakelen van directe connectiviteit tussen virtuele spokes-netwerken kan handig zijn als u een NVA of een algemene service in het virtuele hubnetwerk wilt hebben, maar de hub niet altijd toegankelijk hoeft te zijn. Maar u hebt uw virtuele spoke-netwerken in de netwerkgroep nodig om met elkaar te communiceren. Vergeleken met traditionele hub- en spoke-netwerken verbetert deze topologie de prestaties door de extra hop via het virtuele hubnetwerk te verwijderen.

Global Mesh

Globale mesh is vereist als u wilt dat uw virtuele spoke-netwerken met elkaar communiceren tussen regio's. Deze connectiviteit is beperkt tot een virtueel netwerk in dezelfde netwerkgroep. Als u connectiviteit voor virtuele netwerken tussen regio's wilt inschakelen, moet u mesh-connectiviteit tussen regio's inschakelen voor de netwerkgroep. Verbindingen die zijn gemaakt tussen virtuele spokes-netwerken, maken gebruik van een verbonden groep.

Hub als gateway gebruiken

Een andere optie die u kunt inschakelen in een hub-and-spoke-configuratie is het gebruik van de hub als gateway. Met deze instelling kunnen alle virtuele netwerken in de netwerkgroep de VPN- of ExpressRoute-gateway in het virtuele hubnetwerk gebruiken om verkeer door te geven. Zie Gateways en on-premises connectiviteit.

Wanneer u een hub en spoke-topologie implementeert vanuit de Azure Portal, wordt de hub als gateway gebruiken standaard ingeschakeld voor de virtuele spoke-netwerken in de netwerkgroep. Azure Virtual Network Manager probeert een peeringverbinding voor een virtueel netwerk te maken tussen de hub en het virtuele netwerk spokes in de resourcegroep. Als de gateway niet bestaat in het virtuele hubnetwerk, mislukt het maken van de peering van het virtuele spoke-netwerk naar de hub. De peeringverbinding van de hub naar de spoke wordt nog steeds gemaakt zonder een tot stand gebrachte verbinding.

Volgende stappen

• Een Azure Virtual Network Manager-exemplaar maken.
• Meer informatie over configuratie-implementaties in Azure Virtual Network Manager.
• Meer informatie over het blokkeren van netwerkverkeer met een SecurityAdmin-configuratie.