Общие сведения о Виртуальной глобальной сети Azure

Виртуальная глобальная сеть Azure — это сетевая служба, которая объединяет разные возможности сетевого взаимодействия, обеспечения безопасности и маршрутизации в единый рабочий интерфейс. Среди основных функций:

• подключение к ветви (с помощью автоматизации подключений устройств-партнеров виртуальной глобальной сети, таких как SD-WAN или VPN CPE);
• VPN-подключение "сеть — сеть";
• VPN-подключение типа "точка — сеть" удаленного пользователя;
• частное подключение (ExpressRoute);
• внутриоблачное подключение (транзитное подключение для виртуальных сетей);
• межсоединение ExpressRoute по VPN-сети;
• маршрутизация, Брандмауэр Azure и шифрование для частного подключения.

Чтобы начать работу с Виртуальной глобальной сетью, не обязательно иметь все эти возможности для применения. Можно начать только с одного сценария применения и подстраивать свою сеть по мере ее развития.

Виртуальная глобальная сеть использует звездообразную архитектуру со встроенными возможностями масштабирования и контроля производительности ветвей (устройства SD-WAN/VPN), пользователей (клиенты Azure VPN, OpenVPN или IKEv2), каналов ExpressRoute и виртуальных сетей. Она обеспечивает глобальную сетевую архитектуру транзитной сети, где размещенная в облаке сеть "концентратор" обеспечивает транзитивное подключение между конечными точками, которые могут быть распределены по разным типам "периферийных узлов".

Регионы Azure выступают в роли концентраторов, к которым можно подключиться. Все эти концентраторы соединяются в Виртуальную глобальную сеть уровня "Стандартный" по схеме "каждый с каждым", что позволяет легко использовать магистральную платформу Майкрософт для организации взаимодействия периферийных устройств в любых сочетаниях.

Для периферийных устройств SD-WAN и VPN пользователи могут вручную настроить подключение к Azure в Виртуальной глобальной сети Azure или применить виртуальное решение партнера Виртуальной глобальной сети (SD-WAN/VPN). Вы можете ознакомится со списком партнеров, поддерживающих автоматизацию подключения с использованием Виртуальной глобальной сети Azure (возможность экспортировать в Azure сведения об устройстве, скачивать соответствующую конфигурацию Azure и устанавливать подключения). Дополнительные сведения см. в статье Virtual WAN partners and virtual hub locations (Партнеры Виртуальной глобальной сети и расположения виртуальных концентраторов).

Виртуальная глобальна сеть обеспечивает следующие преимущества.

• Интегрированные решения для подключения в концентраторе и периферийных устройствах: автоматизация конфигурации типа "сеть — сеть" и подключения между локальными сайтами и центром Azure.
• Автоматическая настройка и конфигурация периферийных зон. Непрерывно подключайте виртуальные сети и рабочие нагрузки к концентратору Azure.
• Интуитивно понятное устранение неполадок. Вы можете просмотреть сквозной поток в Azure, а затем использовать эти сведения для выполнения необходимых действий.

Архитектура

Дополнительные сведения об архитектуре Виртуальной глобальной сети и переходе на Виртуальную глобальную сеть см. в следующих статьях:

• Архитектура Виртуальной глобальной сети
• Архитектура глобальной транзитной сети

Доступные регионы и расположения Azure

Список доступных регионов и расположений см. в статье Партнеры, регионы и расположения Виртуальной глобальной сети.

Ресурсы Виртуальной глобальной сети

Чтобы настроить виртуальную глобальную сеть "узел — узел", необходимо создать следующие ресурсы.

• Виртуальная глобальная сеть: Ресурс виртуальной глобальной сети представляет собой виртуальную наложение сети Azure и представляет собой коллекцию нескольких ресурсов. Он содержит ссылки на все виртуальные концентраторы, которые необходимо иметь в глобальной виртуальной сети. Виртуальная глобальная сеть изолированы друг от друга и не могут содержать общий концентратор. Виртуальные концентраторы в разных виртуальных WAN не взаимодействуют друг с другом.

• Концентратор. Виртуальный концентратор — это виртуальная сеть, управляемая Microsoft. Концентратор содержит различные конечные точки служб для обеспечения возможности подключения. Из локальной сети (vpnsite) можно подключаться к VPN-шлюзу внутри виртуального концентратора, подключать каналы ExpressRoute к виртуальному концентратору или даже подключать мобильных пользователей к шлюзу типа "точка — сеть" в виртуальном концентраторе. Этот концентратор является ядром вашей сети в регионе. В одном регионе можно создать несколько виртуальных концентраторов.

  Шлюз концентратора отличается от виртуального сетевого шлюза, который используется для служб ExpressRoute и VPN-шлюз. Например, при использовании Виртуальной глобальной сети, не нужно создавать подключение типа "сеть — сеть" от локального компьютера непосредственно к виртуальной сети. Вместо этого создается подключение типа "сеть — сеть" к концентратору. Трафик всегда направляется через шлюз концентратора. Это значит, что виртуальным сетям не требуется их собственные шлюзы виртуальных сетей. Использование Виртуальной глобальной сети позволяет легко использовать масштабирование виртуальных сетей через виртуальный концентратор и виртуальный шлюз концентратора.

• Виртуальное сетевое подключение концентратора. Ресурс виртуального сетевого подключения концентратора используется для беспрепятственного подключения концентратора к виртуальной сети. Одна виртуальная сеть может быть подключена только к одному виртуальному концентратору.

• Подключение "концентратор — концентратор". Концентраторы подключены друг к другу в виртуальной глобальной сети. Это означает, что ветвь, пользователь или виртуальная сеть, подключенные к локальному концентратору, могут обмениваться данными с другой ветвью или виртуальной сетью, используя полностью облачную архитектуру подключенных концентраторов. Вы также можете подключить виртуальные сети в концентраторе через виртуальный концентратор, а также виртуальные сети через концентратор, используя платформу подключения "концентратор — концентратор".

• Таблица маршрутизации концентратора. Можно создать маршрут виртуального концентратора и применить его к таблице маршрутизации виртуального концентратора. В эту таблицу можно добавить несколько маршрутов.

Дополнительные ресурсы Виртуальной глобальной сети

• Сайт: этот ресурс используется только для подключений типа "сеть — сеть". Ресурс узла vpnsite. Он представляет локальное VPN-устройство и его параметры. При работе с участником Виртуальной глобальной сети экспорт информации в Azure осуществляется автоматически.

Типы виртуальных глобальных сетей

Существует два типа виртуальных WAN: "Базовый" и "Стандартный". В следующей таблице показаны доступные конфигурации для каждого типа.

Тип Виртуальной глобальной сети	Тип концентратора	Доступные конфигурации
Базовая	Базовая	VPN только типа "сеть — сеть"
Стандартные	Стандартные	ExpressRoute VPN пользователя (P2S) VPN типа "сеть — сеть" Передача данных между концентраторами и виртуальными сетями через виртуальный концентратор Брандмауэр Azure NVA в виртуальной глобальной сети

Примечание.

Вы можете перейти с уровня "Базовый" на уровень "Стандартный", но не обратно.

Действия по обновлению виртуальной глобальной сети см. в статье Обновление виртуальной глобальной сети с уровня "Базовый" на уровень "Стандартный".

Подключение

VPN-подключения типа "сеть —сеть"

Вы можете подключаться к ресурсам в Azure через подключение "сеть — сеть" по протоколу IPsec/IKE (IKEv2). Дополнительные сведения см. в статье Руководство. Создание подключения "сеть — сеть" с помощью Виртуальной глобальной сети Azure.

Для этого типа подключения требуется VPN-устройство или устройство партнера Виртуальной глобальной сети. Партнерские решения для Виртуальной глобальной сети позволяют автоматизировать подключения, чтобы экспортировать в Azure сведения об устройстве, скачивать конфигурации Azure и подключаться к концентратору Виртуальной глобальной сети Azure. Список доступных партнеров и расположений см. в статье Партнеры, регионы и расположения Виртуальной глобальной сети. Если ваш поставщик устройств VPN или SD-WAN отсутствует в списке по указанной ссылке, инструкции по настройке подключения см. в статье Руководство. Создание подключения "сеть — сеть" с помощью Виртуальной глобальной сети Azure.

Пользовательские VPN-подключения (точка — сеть)

Вы можете подключаться к своим ресурсам в Azure, используя подключение IPsec/IKE (IKEv2) или OpenVPN. Этот тип подключения требует, чтобы VPN-клиент был настроен на клиентском компьютере. Дополнительные сведения см. в разделе Создание подключения типа "точка — сеть".

Подключения ExpressRoute

ExpressRoute позволяет подключать локальные сети владельца Azure по частному подключению. Сведения о том, как создать подключение, см. в руководстве Руководство. Создание связи ExpressRoute с помощью Виртуальной глобальной сети Azure (предварительная версия).

Шифрование трафика ExpressRoute

Виртуальная глобальная сеть Azure поддерживает шифрование трафика ExpressRoute. Эта методика обеспечивает зашифрованную передачу данных между локальными сетями и виртуальными сетями Azure через ExpressRoute без выхода в Интернет и использования общедоступных IP-адресов. Дополнительные сведения см. в статье Шифрование ExpressRoute: использование IPsec через ExpressRoute для Виртуальной глобальной сети.

Подключения между концентраторами и виртуальными сетями

Виртуальную сеть Azure можно подключить к виртуальному концентратору. Дополнительные сведения см. в разделе Подключение виртуальной сети к концентратору.

Транзитное подключение

Транзитное подключение между виртуальными сетями

Виртуальная глобальная сеть поддерживает транзитное подключение между виртуальными сетями. Виртуальные сети обмениваются данными с виртуальным концентратором через сетевое подключение. Транзитное подключение между виртуальными сетями в Виртуальной глобальной сети уровня "Стандартный" обеспечивается за счет маршрутизатора в каждом виртуальном концентраторе. Экземпляр этого маршрутизатора создается при создании виртуального концентратора.

Маршрутизатор концентратора может иметь четыре состояния маршрутизации: "Подготовлено", "Подготовка", "Сбой" и "Нет". Состояние маршрутизации отображается на портале Azure на странице виртуального концентратора.

• Состояние Нет указывает на то, что виртуальный концентратор не подготовил маршрутизатор. Это может произойти, если вы используете Виртуальную глобальную сеть типа Базовый или если виртуальный концентратор был развернут до того, как служба стала доступной.
• Состояние Сбой указывает на сбой во время создания экземпляра. Чтобы создать экземпляр или сбросить настройки маршрутизатора, найдите параметр Сброс маршрутизатор на странице обзора виртуальных концентраторов на портале Azure.

Каждый маршрутизатор виртуального концентратора поддерживает общую пропускную способность до 50 Гбит/с.

Подключение между виртуальными сетями по умолчанию в общем поддерживает до 2000 рабочих нагрузок виртуальных машин во всех виртуальных сетях, подключенных к одному виртуальному концентратору. Единицы инфраструктуры концентратора можно настроить для поддержки дополнительных виртуальных машин. Дополнительные сведения о единицах инфраструктуры концентратора приведены в разделе Параметры концентратора.

Транзитное подключение между VPN и ExpressRoute

Виртуальная глобальная сеть поддерживает транзитное подключение между VPN и ExpressRoute. Это означает, что удаленные пользователи или сайты, подключенные к VPN, могут взаимодействовать с сайтами, подключенными к ExpressRoute. Также неявно предполагается, что флаг подключения между ветвями установлен, а для подключений VPN и ExpressRoute поддерживается протокол BGP. Этот флаг можно найти в параметрах Виртуальной глобальной сети Azure на портале Azure. Все управление маршрутами осуществляется маршрутизатором виртуального концентратора, который также обеспечивает транзитное подключение между виртуальными сетями.

Настраиваемая маршрутизация

Виртуальная глобальная сеть обеспечивает расширенные возможности маршрутизации. Сюда входит возможность настраивать пользовательские таблицы маршрутизации, оптимизировать маршрутизацию виртуальных сетей путем связывания и распространения маршрутов, логически группировать таблицы маршрутизации с использованием меток, а также упрощать сценарии использования многочисленных сетевых виртуальных устройств и маршрутизации общих служб.

Пиринг глобальной виртуальной сети

Пиринг глобальной виртуальной сети предоставляет механизм подключения двух виртуальных сетей в разных регионах. В Виртуальной глобальной сети подключения виртуальной сети обеспечивают обмен данными между виртуальными сетями и виртуальными концентраторами. Пользователю не нужно явно настраивать пиринг глобальной виртуальной сети. За использование виртуальных сетей, подключенных к виртуальному концентратору в одном регионе, взимается плата за пиринг виртуальных сетей. За использование виртуальных сетей, подключенных к виртуальному концентратору в разных регионах, взимается плата за пиринг глобальной виртуальной сети.

Таблицы маршрутов

Таблицы маршрутов теперь поддерживают связывание и распространение. В предварительно созданной таблице маршрутизации эти функции отсутствуют. Если у вас есть предварительно созданные маршруты в таблице маршрутов концентратора и вы хотите использовать новые возможности, учитывайте следующее:

• Пользователи Виртуальной глобальной сети ценовой категории "Стандартный" с предварительно созданными маршрутами в виртуальном концентраторе. Если у вас есть предварительно созданные маршруты в разделе маршрутизации для концентратора на портале Azure, сначала удалите их, а затем попытайтесь создать новые таблицы маршрутизации (они доступны в соответствующем разделе для концентратора на портале Azure). Рекомендуется выполнить шаг удаления для всех концентраторов в виртуальной глобальной сети.

• Пользователи Виртуальной глобальной сети уровня "Базовый" с предварительно созданными маршрутами в виртуальном концентраторе. Если у вас есть предварительно созданные маршруты в разделе маршрутизации для концентратора на портале Azure, сначала удалите их, а затем обновите Виртуальную глобальную сеть категории "Базовый" до категории "Стандартный". См. статью Обновление Виртуальной глобальной сети с уровня "Базовый" до уровня "Стандартный". Рекомендуется выполнить шаг удаления для всех концентраторов в виртуальной глобальной сети.

Вопросы и ответы

Часто задаваемые вопросы см. в разделе Вопросы и ответы о Виртуальной глобальной сети.

Предварительные версии и новые возможности?

• Сведения о последних выпусках, предварительных версиях, ограничениях предварительной версии, известных проблемах и устаревших функциях см. в статье "Новые возможности"?
• Подпишитесь на RSS-канал и просмотрите последние обновления компонентов Виртуальная глобальная сеть на странице Виртуальная глобальная сеть Azure Обновления.

Следующие шаги

• Руководство. Создание подключения "сеть — сеть" с помощью Виртуальной глобальной сети Azure

• Модуль Learn: введение в Виртуальную глобальную сеть Azure