你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Virtual Network Manager 中的连接配置

  • 项目

本文介绍可以使用 Azure Virtual Network Manager 创建和部署的各种配置。 目前可以使用两种类型的配置:“连接”和“安全管理”

重要

Azure Virtual Network Manager 现已正式发布,可用于 Virtual Network Manager、中心和分支连接配置以及具有安全管理员规则的安全配置。 网格连接配置仍以公共预览版提供。

此预览版在提供时没有附带服务级别协议,不建议将其用于生产工作负荷。 某些功能可能不受支持或者受限。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款

连接配置

使用“连接”配置可以根据网络需求创建不同的网络拓扑。 有两种拓扑可供选择:“网格网络”和“中心辐射”。 虚拟网络之间的连接是在配置设置中定义的。

网格网络拓扑

在网格网络拓扑中,网络组中的所有虚拟网络都相互连接。 所有虚拟网络相互连接,并且可以彼此双向传送流量。 默认情况下,网格是区域性的网格,因此只有同一区域中的虚拟网络才能相互通信。 可以启用全局网格来建立跨所有 Azure 区域的虚拟网络连接。 一个虚拟网络最多可以作为两个互连组的一部分。 与在虚拟网络对等互连中不同,虚拟网络地址空间在网格配置中不能重叠。 但流向特定重叠子网的流量会被丢弃,因为路由是非确定性的。

网格网络拓扑示意图。

连接的组

创建网格拓扑时,会创建一个称作“互连组”的新连接构造。 互连组中的虚拟网络可以相互通信,就如同手动将虚拟网络连接到了一起。 查看网络接口的有效路由时,你会看到下一个跃点类型“ConnectedGroup”。 在连接的组中连接在一起的虚拟网络的对等互连配置不会在虚拟网络的“对等互连”下列出

注意

  • 如果两个或更多个虚拟网络中存在有冲突的子网,则这些子网中的资源将无法相互通信,即使它们是同一网格网络的一部分,也是如此
  • 一个虚拟网络最多可以作为两个网格配置的一部分

中心和辐射拓扑

在中心辐射型网络拓扑中,有一个虚拟网络已选作中心虚拟网络。 此虚拟网络与配置中的每个支路虚拟网络已建立双向对等互连。 如果你想要隔离某个虚拟网络,但仍希望它连接到中心虚拟网络中的公用资源,则此拓扑非常有用。

中心辐射型拓扑的关系图。

在此配置中,可以启用某些设置,例如支路虚拟网络之间的直接连接。 默认情况下,此连接仅用于同一区域中的虚拟网络。 若要允许跨不同 Azure 区域进行连接,需要启用全局网格。 还可以启用网关传输,以允许支路虚拟网络使用部署在中心内的 VPN 或 ExpressRoute 网关

直接连接

启用“直接连接”会在中心和辐射拓扑上创建已连接组的重叠,其中包含给定组的辐射虚拟网络。 通过使用“直接连接”,辐射 VNet 可以直接与其辐射组中的其他 VNet 通信,但不能与其他辐射中的 VNet 通信。

假设你要创建两个网络组。 可为“生产”网络组启用直接连接,但不为“测试”网络组启用直接连接。 此设置仅允许“生产”网络组中的虚拟网络相互通信,但不允许“测试”网络组中的虚拟网络相互通信

使用两个网络组的中心辐射型拓扑示意图。

查看 VM 上的有效路由时,中心和支路虚拟网络之间的路由将具有下一个跃点类型“VNetPeering”或“GlobalVNetPeering”。 支路虚拟网络之间的路由将显示为具有下一个跃点类型“ConnectedGroup”。 使用上面的示例,只有“生产”网络组具有“ConnectedGroup”,因为它启用了“直接连接”

使用拓扑视图发现网络组拓扑

为了帮助你了解你的网络组的拓扑,Azure Virtual Network Manager 提供了一个“拓扑视图”,它显示了网络组与其成员虚拟网络之间的连接。 可以使用以下步骤在创建连接配置期间查看你的网络组的拓扑:

  1. 导航到“配置”页并创建一个连接配置。
  2. 在“拓扑”选项卡上,选择所需的拓扑类型,将一个或多个网络组添加到拓扑,然后配置其他所需的连接设置。
  3. 选择“预览拓扑”选项卡,测试拓扑视图并查看你的配置的当前连接。
  4. 完成连接配置的创建。

注意

拓扑视图仅在 Azure 门户中创建连接配置期间可用。 创建配置后,无法再查看拓扑。

用例

如果你想要在中心虚拟网络中使用 NVA 或通用服务,但不需要一直访问中心,则在支路虚拟网络之间启用直接连接可能有帮助。 但是,需要网络组中的支路虚拟网络相互通信。 与传统的中心辐射型网络相比,此拓扑可以通过中心虚拟网络消除额外的跃点,从而提高了性能。

全局网格

与网格一样,这些与辐射连接的组可以配置为区域或全局。 如果你希望支路虚拟网络能够跨区域相互通信,则需要使用全局网格。 此连接仅限于同一网络组中的虚拟网络。 要跨区域为虚拟网络启用连接,需要为网络组启用跨区域的网格连接。 在支路虚拟网络之间创建的连接位于互连组

使用中心作为网关

可以在中心辐射型配置中启用的另一个选项是将中心用作网关。 通过此设置,网络组中的所有虚拟网络都可以使用中心虚拟网络中的 VPN 或 ExpressRoute 网关来传递流量。 请参阅网关和本地连接

从 Azure 门户部署中心辐射型拓扑时,默认将为网络组中的支路虚拟网络启用“使用中心作为网关”。 Azure Virtual Network Manager 会尝试在资源组中的中心和辐射虚拟网络之间创建虚拟网络对等互连。 如果中心虚拟网络中不存在网关,则从辐射虚拟网络到中心的对等互连创建操作将会失败。 在未建立连接的情况下,仍会创建从中心到支路的对等连接。

后续步骤