Share via

Azure 虛擬網絡 Manager 中的 連線 ivity 組態

  • 發行項

在本文中,您將瞭解您可以使用 Azure 虛擬網絡 Manager 建立和部署的不同組態類型。 目前有兩種類型的組態可供使用:連線 ivitySecurity 管理員

重要

Azure 虛擬網絡 Manager 通常適用於具有安全性系統管理員規則的中樞與輪輻連線設定和安全性設定。 網格聯機設定仍為公開預覽狀態。

此預覽版本是在沒有服務等級協定的情況下提供,不建議用於生產工作負載。 可能不支援特定功能,或可能已經限制功能。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款

連線 ivity 設定

連線ivity設定可讓您根據網路需求建立不同的網路拓撲。 您有兩個 拓撲可供選擇,網狀網路 和中 樞和輪輻。 虛擬網路之間的 連線 性定義於組態設定內。

網格網路拓撲

網狀網路是一種拓撲,其中網路群組中的所有虛擬網路彼此連線。 所有虛擬網路都已連線,而且可以雙向將流量傳遞至彼此。

網狀網路拓撲的常見使用案例是允許中樞和輪輻拓撲中的某些輪輻虛擬網路彼此直接通訊,而不需要流量通過中樞虛擬網路。 此方法可減少因透過中樞路由器路由傳送流量所造成的延遲。 此外,您可以在 Azure 虛擬網絡 Manager 中實作網路安全組規則或安全性系統管理規則,以維護輪輻網路之間的直接連線安全性與監督。 您也可以使用虛擬網路流量記錄來監視和記錄流量。

根據預設,網狀結構是區域網格,因此只有相同區域中的虛擬網路可以彼此通訊。 全域網格 可以啟用,以在所有 Azure 區域建立虛擬網路的連線能力。 虛擬網路最多可是兩個連線群組的一部分。 虛擬網路位址空間可以在網格組態中重疊,與虛擬網路對等互連不同。 不過,會卸除特定重迭子網的流量,因為路由不具決定性。

網狀網路拓撲的圖表。

連線 群組

當您在中樞和輪輻拓撲中建立網格拓撲或直接連線時,會建立稱為 連線 群組的新聯機建構。 線上群組中的虛擬網路可以彼此通訊,就像您手動將虛擬網路連線在一起一樣。 當您查看網路介面的有效路由時,您會看到 連線 edGroup下一個躍點類型。 線上群組中聯機在一起的虛擬網路沒有虛擬網路的對等互連設定列在虛擬網路的對等互連之下

注意

  • 如果您在兩個或多個虛擬網路中有衝突的子網,即使這些子網屬於相同網狀網路的一部分,這些子網 中的資源也無法 彼此通訊。
  • 虛擬網路最多可是兩個網狀組態的一部分。

中樞與輪幅拓撲 \(部分機器翻譯\)

中樞輪輻是一種網路拓撲,其中您已將虛擬網路選取為中樞虛擬網路。 此虛擬網路會與組態中的每個輪輻虛擬網路進行雙向對等互連。 當您想要隔離虛擬網路,但仍想要連線到中樞虛擬網路中的常見資源時,此拓撲很有用。

中樞和輪輻拓撲的圖表。

在此組態中,您可以啟用設定,例如 輪輻虛擬網路之間的直接連線 。 根據預設,此聯機僅適用於相同區域中的虛擬網路。 若要允許跨不同 Azure 區域的連線,您必須啟用 全域網格。 您也可以啟用 閘道 傳輸,以允許輪輻虛擬網路使用部署在中樞的 VPN 或 ExpressRoute 閘道。

直接連線

啟用直接連線會在中樞和輪輻拓撲頂端建立已連線群組的重疊,其中包含指定群組的輪輻虛擬網路。 直接連線可讓輪輻 VNet 直接與其輪輻群組中的其他 VNet 通訊,但無法與其他輪輻中的 VNet 通訊。

例如,您會建立兩個網路群組。 您可以啟用生產網路群組的直接連線,但不啟用測試網路群組的直接連線。 此設定只允許生產網路群組中的虛擬網路彼此通訊,但不允許測試網路群組中的虛擬網路進行通訊。

具有兩個網路群組的中樞和輪輻拓撲圖表。

當您查看 VM 上的有效路由時,中樞與輪輻虛擬網路之間的路由將會有下一個躍點類型 VNetPeering 或 GlobalVNetPeering。 輪輻虛擬網路之間的路由會顯示為 連線 edGroup 的下一個躍點類型。 在上述範例中,只有生產網路群組會有 連線 edGroup,因為它已啟用直接連線

使用拓撲檢視探索網路群組拓撲

為了協助您了解網路群組的拓撲,Azure 虛擬網絡 管理員提供拓撲檢視,顯示網路群組與其成員虛擬網路之間的連線。 您可以在建立連線設定期間,使用下列步驟來檢視網路群組的拓撲:

  1. 流覽至 [ 組態 ] 頁面並建立連線設定。
  2. 在 [ 拓撲] 索引標籤上,選取您想要的 拓撲類型、將一或多個網路群組新增至拓撲,以及設定其他所需的連線設定。
  3. 選取 [ 預覽拓撲] 索引 標籤,以測試拓撲檢視,並檢閱您設定的目前連線能力。
  4. 完成連線設定的建立。

注意

只有在 Azure 入口網站 中建立連線設定時,才能使用拓撲檢視。 建立組態之後,您就無法再檢視拓撲。

使用案例

當您想要在中樞虛擬網路中擁有 NVA 或一般服務,但中樞不需要一律存取時,啟用輪輻虛擬網路之間的直接聯機會很有説明。 但您需要網路群組中的輪輻虛擬網路彼此通訊。 相較於傳統中樞和輪輻網路,此拓撲可藉由透過中樞虛擬網路移除額外的躍點來改善效能。

全域網格

如同網格,這些輪輻聯機群組可以設定為區域或全域。 當您想要輪輻虛擬網路跨區域彼此通訊時,需要全域網格。 此連線僅限於相同網路群組中的虛擬網路。 若要啟用跨區域的虛擬網路連線,您必須 啟用網路群組跨區域的 網格連線。 在輪輻虛擬網路之間建立的 連線連線 群組

使用中樞作為閘道

您可以在中樞輪輻組態中啟用的另一個選項是使用中樞作為閘道。 此設定可讓網路群組中的所有虛擬網路使用中樞虛擬網路中的 VPN 或 ExpressRoute 閘道來傳遞流量。 請參閱 閘道和內部部署連線

當您從 Azure 入口網站 部署中樞和輪輻拓撲時,網路群組中的輪輻虛擬網路預設會啟用使用中樞作為網關。 Azure 虛擬網絡 Manager 會嘗試建立中樞與資源群組中支點虛擬網路之間的虛擬網路對等互連連線。 如果中樞虛擬網路中沒有網關,則從輪輻虛擬網路到中樞的對等互連建立會失敗。 從中樞到輪輻的對等互連連線仍會在未建立連線的情況下建立。

下一步