Komunikacja równorzędna sieci wirtualnej

Komunikacja równorzędna sieci wirtualnych umożliwia bezproblemowe łączenie dwóch lub większej liczby sieci wirtualnych na platformie Azure. Sieci wirtualne są wyświetlane jako jedno dla celów łączności. Ruch między maszynami wirtualnymi w równorzędnych sieciach wirtualnych korzysta z infrastruktury szkieletowej firmy Microsoft. Podobnie jak ruch między maszynami wirtualnymi w tej samej sieci, ruch jest kierowany tylko przez sieć prywatną firmy Microsoft.

Platforma Azure obsługuje następujące typy komunikacji równorzędnej:

  • Komunikacja równorzędna sieci wirtualnych: łączenie sieci wirtualnych w tym samym regionie świadczenia usługi Azure.
  • Globalna komunikacja równorzędna sieci wirtualnych: łączenie sieci wirtualnych w różnych regionach świadczenia usługi Azure.

Korzystanie z wirtualnych sieci równorzędnych, lokalnych lub globalnych, zapewnia m.in. następujące korzyści:

  • Połączenie o małych opóźnieniach i dużej przepustowości między zasobami w różnych sieciach wirtualnych.
  • Możliwość komunikacji zasobów w jednej sieci wirtualnej z zasobami w innej sieci wirtualnej.
  • Możliwość transferu danych między sieciami wirtualnymi w subskrypcjach platformy Azure, dzierżawach usługi Azure Active Directory, modelach wdrażania i regionach świadczenia usługi Azure.
  • Możliwość komunikacji równorzędnej sieci wirtualnych utworzonych za pośrednictwem usługi Azure Resource Manager.
  • Możliwość komunikacji równorzędnej sieci wirtualnej utworzonej za pomocą Resource Manager do jednej utworzonej za pośrednictwem klasycznego modelu wdrażania. Aby dowiedzieć się więcej na temat modeli wdrażania platformy Azure, zapoznaj się z artykułem Understand Azure deployment models (Informacje na temat modeli wdrażania platformy Azure).
  • Brak przestojów zasobów w sieci wirtualnej podczas tworzenia komunikacji równorzędnej albo po utworzeniu komunikacji równorzędnej.

Ruch sieciowy między wirtualnymi sieciami równorzędnymi jest prywatny. Ruch między sieciami wirtualnymi jest utrzymywany w sieci szkieletowej firmy Microsoft. Do komunikacji między sieciami wirtualnymi nie jest wymagany publiczny Internet, bramy ani szyfrowanie.

Łączność

W przypadku równorzędnych sieci wirtualnych zasoby w obu sieciach wirtualnych mogą łączyć się bezpośrednio z zasobami w równorzędnej sieci wirtualnej.

Opóźnienie sieciowe między maszynami wirtualnymi w równorzędnych sieciach wirtualnych w tym samym regionie jest takie samo jak opóźnienie w pojedynczej sieci wirtualnej. Przepływność sieci zależy od przepustowości dozwolonej dla maszyny wirtualnej proporcjonalnie do jej rozmiaru. Nie ma żadnych dodatkowych ograniczeń przepustowości w obrębie komunikacji równorzędnej.

Ruch między maszynami wirtualnymi w równorzędnych sieciach wirtualnych odbywa się bezpośrednio za pomocą infrastruktury sieci szkieletowej firmy Microsoft, a nie przy użyciu bramy lub publicznego Internetu.

Sieciowe grupy zabezpieczeń można zastosować w sieci wirtualnej, aby zablokować dostęp do innych sieci wirtualnych lub podsieci. Podczas konfigurowania komunikacji równorzędnej sieci wirtualnych otwórz lub zamknij reguły sieciowej grupy zabezpieczeń między sieciami wirtualnymi. Jeśli otworzysz pełną łączność między równorzędną sieciami wirtualnymi, możesz zastosować sieciowe grupy zabezpieczeń w celu blokowania lub odmowy określonego dostępu. Pełna łączność jest opcją domyślną. Aby dowiedzieć się więcej na temat sieciowych grup zabezpieczeń, zobacz Grupy zabezpieczeń.

Zmienianie rozmiaru adresu sieci wirtualnych platformy Azure, które są równorzędne

Możesz zmienić rozmiar adresu sieci wirtualnych platformy Azure, które są równorzędne bez ponoszenia żadnych przestojów. Ta funkcja jest przydatna w przypadku konieczności zwiększenia lub zmiany rozmiaru sieci wirtualnych na platformie Azure po skalowaniu obciążeń. Dzięki tej funkcji istniejące komunikacje równorzędne w sieci wirtualnej nie muszą być usuwane przed dodaniem lub usunięciem prefiksu adresu w sieci wirtualnej. Ta funkcja może działać zarówno dla przestrzeni adresowych IPv4, jak i IPv6.

Uwaga:

Ta funkcja nie obsługuje następujących scenariuszy, jeśli sieć wirtualna do zaktualizowania jest za pomocą komunikacji równorzędnej:

  • Klasyczna sieć wirtualna
  • Zarządzana sieć wirtualna, taka jak koncentrator VWAN platformy Azure

Tworzenie łańcuchów usług

Łańcuch usług umożliwia kierowanie ruchu z jednej sieci wirtualnej do urządzenia wirtualnego lub bramy w sieci równorzędnej za pośrednictwem tras zdefiniowanych przez użytkownika.

Aby włączyć łańcuch usług, skonfiguruj trasy zdefiniowane przez użytkownika, które wskazują maszyny wirtualne w równorzędnych sieciach wirtualnych jako adres IP następnego przeskoku . Trasy zdefiniowane przez użytkownika mogą również wskazywać bramy sieci wirtualnej w celu włączenia łańcucha usług.

Sieci piasty i szprych można wdrażać, gdzie sieć wirtualna piasty hostuje składniki infrastruktury, takie jak wirtualne urządzenie sieciowe lub brama sieci VPN. Następnie wszystkie sieci wirtualne typu gwiazda można połączyć za pomocą komunikacji równorzędnej z centralną siecią wirtualną. Ruch przepływa przez wirtualne urządzenia sieciowe lub bramy sieci VPN w sieci wirtualnej koncentratora.

Wirtualne sieci równorzędne umożliwiają użycie kolejnego przeskoku w trasie zdefiniowanej przez użytkownika jako adresu IP maszyny wirtualnej w wirtualnej sieci równorzędnej lub bramie sieci VPN. Nie można kierować między sieciami wirtualnymi przy użyciu trasy zdefiniowanej przez użytkownika, która określa bramę usługi Azure ExpressRoute jako typ następnego przeskoku. Aby dowiedzieć się więcej o trasach definiowanych przez użytkownika, zobacz User-defined routes overview (Omówienie tras definiowanych przez użytkownika). Aby dowiedzieć się, jak utworzyć topologię sieci piasty i szprych, zobacz Topologia sieci piasty i szprych na platformie Azure.

Bramy i łączność lokalna

Każda sieć wirtualna, w tym równorzędna sieć wirtualna, może mieć własną bramę. Sieć wirtualna może używać bramy do nawiązywania połączenia z siecią lokalną. Można również skonfigurować połączenia między sieciami wirtualnymi przy użyciu bram, nawet w przypadku równorzędnych sieci wirtualnych.

Podczas konfigurowania obu opcji połączenia między sieciami wirtualnymi ruch między sieciami wirtualnymi przepływa przez konfigurację komunikacji równorzędnej. Ruch korzysta z sieci szkieletowej platformy Azure.

Bramę można również skonfigurować w równorzędnej sieci wirtualnej jako punkt tranzytowy do sieci lokalnej. W takim przypadku sieć wirtualna korzystająca z bramy zdalnej nie może mieć własnej bramy. Sieć wirtualna ma tylko jedną bramę. Brama jest lokalną lub zdalną bramą w równorzędnej sieci wirtualnej, jak pokazano na poniższym diagramie:

przesyłanie w równorzędnych sieciach wirtualnych

Komunikacja równorzędna sieci wirtualnych i globalna komunikacja równorzędna sieci wirtualnych obsługują tranzyt bramy.

Tranzyt bramy między sieciami wirtualnymi utworzonymi za pomocą różnych modeli wdrażania jest obsługiwany. Brama musi znajdować się w sieci wirtualnej w modelu Resource Manager. Aby dowiedzieć się więcej na temat przesyłania danych za pomocą bramy, zobacz Konfigurowanie bramy sieci VPN na potrzeby przesyłania danych w komunikacji równorzędnej sieci wirtualnej.

Gdy równorzędne sieci wirtualne współużytkują pojedyncze połączenie usługi Azure ExpressRoute, ruch między nimi przechodzi przez relację komunikacji równorzędnej. Ten ruch korzysta z sieci szkieletowej platformy Azure. Użytkownicy mogą nadal korzystać z bram lokalnych w poszczególnych sieciach wirtualnych, aby łączyć się z obwodem lokalnym. W przeciwnym razie możesz użyć bramy udostępnionej i skonfigurować tranzyt na potrzeby łączności lokalnej.

Rozwiązywanie problemów

Aby potwierdzić, że sieci wirtualne są równorzędne, możesz sprawdzić obowiązujące trasy. Sprawdź trasy dla interfejsu sieciowego w dowolnej podsieci w sieci wirtualnej. Jeśli istnieje komunikacja równorzędna w sieci wirtualnej, wszystkie podsieci w tej sieci wirtualnej mają trasy z typem następnego przeskoku Komunikacja równorzędna sieci wirtualnych dla każdej przestrzeni adresowej w każdej równorzędnej sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Diagnozowanie problemu z routingiem maszyn wirtualnych.

Możesz również rozwiązywać problemy z łącznością z maszyną wirtualną w równorzędnej sieci wirtualnej przy użyciu usługi Azure Network Watcher. Sprawdzanie łączności umożliwia sprawdzenie, jak ruch jest kierowany z interfejsu sieciowego źródłowej maszyny wirtualnej do docelowego interfejsu sieciowego maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z połączeniami z usługą Azure Network Watcher przy użyciu Azure Portal.

Możesz również wypróbować rozwiązywanie problemów z komunikacją równorzędną sieci wirtualnych.

Ograniczenia dla równorzędnych sieci wirtualnych

Następujące ograniczenia mają zastosowanie tylko wtedy, gdy sieci wirtualne są globalnie połączone za pomocą sieci równorzędnych:

Aby uzyskać więcej informacji, zobacz Wymagania i ograniczenia. Aby dowiedzieć się więcej o obsługiwanej liczbie komunikacji równorzędnej, zobacz Limity sieci.

Uprawnienia

Aby dowiedzieć się więcej o uprawnieniach wymaganych do utworzenia komunikacji równorzędnej sieci wirtualnej, zobacz Uprawnienia.

Cennik

Istnieje nominalna opłata za ruch przychodzący i wychodzący korzystający z połączenia komunikacji równorzędnej sieci wirtualnej. Aby uzyskać więcej informacji, zobacz cennik Virtual Network.

Tranzyt bramy to właściwość komunikacji równorzędnej, która umożliwia sieci wirtualnej korzystanie z bramy sieci VPN/ExpressRoute w równorzędnej sieci wirtualnej. Tranzyt bramy działa zarówno w przypadku połączeń między lokalizacjami, jak i siecią. Ruch do bramy (ruch przychodzący lub wychodzący) w równorzędnej sieci wirtualnej powoduje naliczanie opłat za komunikację równorzędną sieci wirtualnych w sieci wirtualnej będącej szprychą (lub sieci wirtualnej innej niż brama). Aby uzyskać więcej informacji, zobacz VPN Gateway cennik opłat za bramę sieci VPN i cennik bramy usługi ExpressRoute dla opłat za bramę usługi ExpressRoute.

Uwaga

Poprzednia wersja tego dokumentu stwierdziła, że opłaty za komunikację równorzędną sieci wirtualnych nie będą stosowane w sieci wirtualnej szprych (lub sieci wirtualnej innej niż brama) z tranzytem bramy. Teraz odzwierciedla dokładne ceny na stronę cennika.

Następne kroki