Peering de Rede Virtual

O espreitamento de rede virtual permite-lhe conectar perfeitamente redes virtuais num ambiente Azure Stack Hub. As redes virtuais aparecem como uma para fins de conectividade. O tráfego entre máquinas virtuais utiliza a infraestrutura SDN subjacente. Tal como o tráfego entre máquinas virtuais na mesma rede, o tráfego só é encaminhado através da rede privada Azure Stack Hub.

O Azure Stack Hub não apoia o espreitamento global, uma vez que o conceito de "regiões" não se aplica.

Os benefícios da utilização do espreitamento da rede virtual são os seguintes:

  • Uma ligação de baixa latência e largura de banda alta entre os recursos em redes virtuais diferentes.
  • A capacidade de recursos numa rede virtual para comunicar com recursos numa rede virtual diferente.
  • A capacidade de transferir dados entre redes virtuais através de diferentes subscrições e Azure Ative Directory inquilinos.
  • Sem períodos de indisponibilidade para recursos em qualquer rede virtual durante ou após a criação do peering.

O tráfego de rede entre redes virtuais em modo de peering é privado. O tráfego entre redes virtuais é mantido na camada de infraestrutura. Não é necessária internet pública, gateways ou encriptação na comunicação entre redes virtuais.

Conectividade

Para redes virtuais espreitadas, os recursos em qualquer uma das redes virtuais podem conectar-se diretamente com recursos na rede virtual espreitada.

A latência de rede entre máquinas virtuais em redes virtuais no modo de peering na mesma região é igual à latência numa rede virtual individual. O débito de rede baseia-se na largura de banda que é permitida para a máquina virtual proporcionalmente ao respetivo tamanho. Não existe qualquer restrição adicional na largura de banda no peering.

O tráfego entre máquinas virtuais em redes virtuais é encaminhado diretamente através da camada SDN, não através de um portal ou através da internet pública.

Pode aplicar grupos de segurança de rede em qualquer rede virtual para bloquear o acesso a outras redes virtuais ou sub-redes. Ao configurar o olhar de rede virtual, abra ou feche as regras do grupo de segurança de rede entre as redes virtuais. Se abrir a conectividade total entre redes virtuais, pode aplicar grupos de segurança de rede para bloquear ou negar acesso específico. A conectividade completa é a opção padrão. Para saber mais sobre grupos de segurança de rede, consulte os grupos de Segurança.

Encadeamento de serviços

O acorrentado de serviço permite-lhe direcionar o tráfego de uma rede virtual para um aparelho virtual ou gateway numa rede espreitada através de rotas definidas pelo utilizador.

Para permitir o acorrente de serviço, configurar rotas definidas pelo utilizador que apontam para máquinas virtuais em redes virtuais espreitadas como o próximo endereço IP de lúpulo.

Pode implementar redes de hub e spoke, onde a rede virtual do hub acolhe componentes de infraestrutura, como um aparelho virtual de rede ou gateway VPN. Todas as redes virtuais “spoke” podem, então, configurar o peering com a rede virtual do concentrador. O tráfego flui através de aparelhos virtuais de rede ou gateways VPN na rede virtual do hub.

O espreitamento de rede virtual permite que o próximo salto numa rota definida pelo utilizador seja o endereço IP de uma máquina virtual na rede virtual espreitada. Para saber mais sobre as rotas definidas pelo utilizador, veja Descrição geral das rotas definidas pelo utilizador. Para aprender a criar um hub e falar topologia de rede, consulte a topologia da rede falada por Hub em Azure.

Gateways e conetividade no local

Cada rede virtual, incluindo uma rede virtual espreitada, pode ter o seu próprio portal. Uma rede virtual pode usar a sua porta de entrada para se ligar a uma rede no local. Por favor, reveja a documentação virtual do Gateway de rede.

Também pode configurar o gateway na rede virtual espreitada como ponto de trânsito para uma rede no local. Neste caso, a rede virtual que está a usar um gateway remoto não pode ter o seu próprio portal. Uma rede virtual tem apenas uma porta de entrada. O gateway é um gateway local ou remoto na rede virtual espreguidado, como mostra a seguinte figura:

Topologia de gateway VPN

Note que um objeto de ligação deve ser criado no gateway VPN antes de permitir as opções UseRemoteGateways no espreitamento.

Importante

O Azure Stack Hub configura as rotas do sistema com base nas sub-redes de redes virtuais espreitadas, e não no prefixo de endereço de rede virtual. Isto é diferente da implementação do Azure. Se pretender anular as rotas predefinidas do sistema, como o cenário descrito no Cenário: Encaminhar o tráfego através de um Aparelho Virtual de Rede (NVA) ou topologia de rede de linhas hub em Azure,em que pretende encaminhar o tráfego para um aparelho NVA ou firewall, tem de criar uma entrada de rota para cada sub-rede dentro da rede virtual.

Configuração de peering de rede virtual

Permitir o acesso à rede virtual: Permitir a comunicação entre redes virtuais permite que os recursos ligados a redes virtuais comuniquem entre si com a mesma largura de banda e latência como se estivessem ligados à mesma rede virtual. Toda a comunicação entre recursos nas duas redes virtuais é encaminhada através da camada interna de SDN.

Uma das razões para não permitir o acesso à rede pode ser um cenário em que tenha espreitado uma rede virtual com outra rede virtual, mas ocasionalmente pretende desativar o fluxo de tráfego entre as duas redes virtuais. Pode achar que permitir/desativar é mais conveniente do que eliminar e recriar os seus pares. Quando esta definição é desativada, o tráfego não flui entre as redes virtuais espreitadas.

Permitir o tráfego reencaminhado: Verifique esta caixa para permitir que o tráfego reencaminhado por um aparelho virtual de rede numa rede virtual (que não tenha origem na rede virtual) flua para esta rede virtual através de um espreitamento. Por exemplo, considere três redes virtuais chamadas Spoke1, Spoke2 e Hub. Existe um perspeção entre cada rede virtual falada e a rede virtual Hub, mas os seus pares não existem entre as redes virtuais faladas. Um aparelho virtual de rede é implantado na rede virtual Hub, e as rotas definidas pelo utilizador são aplicadas a cada rede virtual falada que encaminha o tráfego entre as sub-redes através do aparelho virtual de rede. Se esta caixa de verificação não for verificada para o espreitamento entre cada rede virtual falada e a rede virtual do hub, o tráfego não flui entre as redes virtuais faladas porque o hub não está a encaminhar o tráfego entre as redes virtuais. Ao mesmo tempo que permite que esta capacidade permita o tráfego reencaminhado através do espreitamento, não cria rotas definidas pelo utilizador ou aparelhos virtuais de rede. As rotas definidas pelo utilizador e os aparelhos virtuais de rede são criados separadamente. Saiba mais sobre as rotas definidas pelo utilizador. Não é necessário verificar esta definição se o tráfego é reencaminhado entre redes virtuais através de um Gateway VPN.

Permitir o trânsito de gateway: Verifique esta caixa se tiver um gateway de rede virtual ligado a esta rede virtual, e pretenda permitir que o tráfego da rede virtual espreitada flua através do gateway. Por exemplo, esta rede virtual pode ser anexada a uma rede no local através de um gateway de rede virtual. A verificação desta caixa permite que o tráfego da rede virtual espreitada flua através do gateway ligado a esta rede virtual para a rede no local. Se verificar esta caixa, a rede virtual espreitada não pode ter uma porta de entrada configurada. A rede virtual espreitada deve ter a caixa de gateways remotos de Utilização verificada ao configurar o espreitamento da outra rede virtual para esta rede virtual. Se deixar esta caixa desmarcada (o padrão), o tráfego da rede virtual esprevada ainda flui para esta rede virtual, mas não pode fluir através de um gateway de rede virtual ligado a esta rede virtual.

Utilize gateways remotos: Verifique esta caixa para permitir que o tráfego desta rede virtual flua através de um gateway de rede virtual ligado à rede virtual com a qual está a espreitar. Por exemplo, a rede virtual com a qual está a espreitar tem um gateway VPN ligado que permite a comunicação a uma rede no local. A verificação desta caixa permite que o tráfego desta rede virtual flua através do gateway VPN ligado à rede virtual. Se verificar esta caixa, a rede virtual espreitada deve ter um gateway de rede virtual ligado à sua e deve ter a caixa de trânsito de gateway de acesso verificada. Se deixar esta caixa desmarcada (o padrão), o tráfego da rede virtual perspetivo ainda pode fluir para esta rede virtual, mas não pode fluir através de um gateway de rede virtual ligado a esta rede virtual.

Não é possível utilizar gateways remotos se já tiver um portal configurado na sua rede virtual.

Permissões

Certifique-se de que ao criar espreitas com VNETs em diferentes subscrições e inquilinos AD Azure, as contas têm o papel de Contribuinte atribuído. Além disso, não existe capacidade de interface de utilizador para espreitar entre diferentes inquilinos AD Azure. Pode utilizar o Azure CLI e o PowerShell para criar os seus pares.

O espreitamento da rede virtual frequentemente fez perguntas (FAQ)

O que é o olhar da rede Virtual?

O espreitamento de rede virtual permite-lhe ligar redes virtuais. Uma ligação de observação VNet entre redes virtuais permite-lhe encaminhar o tráfego entre eles de forma privada através de endereços IPv4. As máquinas virtuais nos VNets espreitados podem comunicar-se umas com as outras como se estivessem dentro da mesma rede. As ligações de peering VNet também podem ser criadas em várias subscrições.

O Azure Stack Hub suporta o olhar global do VNET?

O Azure Stack Hub não apoia o espreitamento global, uma vez que o conceito de "regiões" não se aplica.

Em que atualização do Azure Stack Hub estará disponível o olhar virtual da rede?

O espreitamento de rede virtual está disponível no Azure Stack Hub a partir da atualização de 2008.

Posso espreitar a minha rede virtual no Azure Stack Hub para uma rede virtual em Azure?

Não, espreitar entre o hub Azure e a Azure Stack não é suportado neste momento.

Posso espreitar a minha rede virtual no Azure Stack Hub1 para uma rede virtual no Azure Stack Hub2?

Não, o espreitamento só pode ser criado entre redes virtuais num sistema Azure Stack Hub. Para obter mais informações sobre como ligar duas redes virtuais de diferentes selos, consulte estabelecer uma ligação VNET a VNET no Azure Stack Hub.

Posso permitir que as minhas redes virtuais pertençam a assinaturas dentro de diferentes Azure Ative Directory inquilinos?

Sim. É possível estabelecer a VNet Peering se as suas subscrições pertencerem a diferentes Azure Ative Directory inquilinos. Pode fazê-lo através do PowerShell ou do CLI. O portal ainda não está suportado.

Posso espreitar a minha rede virtual com uma rede virtual numa subscrição diferente?

Sim. Pode espreitar redes virtuais através de subscrições.

Existem limitações de largura de banda para as ligações de espreitar?

N.º O espreitamento de rede virtual não impõe restrições à largura de banda. A largura de banda é limitada apenas pelo VM ou pelo recurso compute.

A minha ligação de observação virtual da rede está num estado iniciado, porque não posso ligar-me?

Se a sua ligação de observação estiver num estado iniciado, significa que criou apenas um link. Deve ser criada uma ligação bidirecional para estabelecer uma ligação bem sucedida. Por exemplo, para peer VNet A a VNet B, deve ser criada uma ligação de VNet A para VNet B, e de VNet B a VNet A. A criação de ambas as ligações altera o estado para Connected.

A minha ligação de observação de rede virtual está num estado desligado, por que não posso criar uma ligação de espreitar?

Se a sua ligação de observação de rede virtual estiver num estado desligado, significa que um dos links criados foi eliminado. Para restabelecer uma ligação de espreitar, elimine o link e recrie-o.

A rede virtual está a espreitar o tráfego?

N.º O tráfego entre recursos em redes virtuais é privado e isolado. Permanece completamente na camada SDN do sistema Azure Stack Hub.

Se eu colega de VNet A a VNet B e eu colega vNet B a VNet C, isso significa que vNet A e VNet C são espreitados?

N.º O espreitamento transitório não é suportado. Você deve espreitar VNet A e VNet C.

Passos seguintes