Konfigurace připojení ve službě Azure Virtual Network Manager
V tomto článku se dozvíte o různých typech konfigurací, které můžete vytvořit a nasadit pomocí Azure Virtual Network Manageru. Aktuálně jsou k dispozici dva typy konfigurací: Připojení a správci zabezpečení.
Konfigurace připojení
Konfigurace připojení umožňují vytvářet různé síťové topologie na základě potřeb vaší sítě. Máte dvě topologie, ze kterých si můžete vybrat, síť sítě a hvězdicovou síť. Připojení mezi virtuálními sítěmi je definováno v nastavení konfigurace.
Síťová topologie sítě
Síť sítě je topologie, ve které jsou všechny virtuální sítě ve skupině sítí vzájemně propojené. Všechny virtuální sítě jsou připojené a můžou mezi sebou předávat obousměrný provoz.
Běžným případem použití síťové topologie sítě je umožnit některým paprskovým virtuálním sítím v hvězdicové topologii přímo komunikovat bez provozu procházející virtuální sítí rozbočovače. Tento přístup snižuje latenci, která by jinak mohla mít za následek směrování provozu přes směrovač v centru. Kromě toho můžete udržovat zabezpečení a dohled nad přímými připojeními mezi paprskovými sítěmi implementací pravidel skupin zabezpečení sítě nebo pravidel správy zabezpečení ve službě Azure Virtual Network Manager. Provoz je také možné monitorovat a zaznamenávat pomocí protokolů toku virtuální sítě.
Ve výchozím nastavení je síť oblastí, takže mezi sebou můžou komunikovat jenom virtuální sítě ve stejné oblasti. Globální síť je možné povolit pro navázání připojení virtuálních sítí napříč všemi oblastmi Azure. Virtuální síť může být součástí až dvou připojených skupin. Adresní prostory virtuální sítě se můžou překrývat v konfiguraci sítě, na rozdíl od partnerských vztahů virtuálních sítí. Přenosy do konkrétních překrývajících se podsítí se ale zahodí, protože směrování není deterministické.
Připojená skupina
Když vytvoříte síťovou topologii nebo přímé připojení v hvězdicové topologii, vytvoří se nová konstrukce připojení s názvem Připojená skupina. Virtuální sítě v připojené skupině spolu můžou vzájemně komunikovat stejně jako kdybyste chtěli propojit virtuální sítě ručně. Když se podíváte na efektivní trasy pro síťové rozhraní, uvidíte typ dalšího segmentu směrování ConnectedGroup. Virtuální sítě propojené společně v připojené skupině nemají konfiguraci partnerského vztahu uvedenou v části Partnerské vztahy pro virtuální síť.
Poznámka:
- Pokud máte konfliktní podsítě ve dvou nebo více virtuálních sítích, prostředky v těchto podsítích nebudou moct vzájemně komunikovat, i když jsou součástí stejné sítě sítě.
- Virtuální síť může být součástí až dvou konfigurací sítě.
Hvězdicová topologie
Hvězdicová topologie je síťová topologie, ve které máte jako virtuální síť centra vybranou virtuální síť. Tato virtuální síť získá obousměrný partnerský vztah se každou paprskovou virtuální sítí v konfiguraci. Tato topologie je užitečná, když chcete izolovat virtuální síť, ale přesto chcete, aby měla připojení k běžným prostředkům v centrální virtuální síti.
V této konfiguraci máte nastavení, která můžete povolit, například přímé připojení mezi paprskovými virtuálními sítěmi. Ve výchozím nastavení je toto připojení pouze pro virtuální sítě ve stejné oblasti. Pokud chcete povolit připojení napříč různými oblastmi Azure, musíte povolit globální síť. Můžete také povolit průchod bránou , aby paprskové virtuální sítě mohly používat bránu VPN nebo ExpressRoute nasazenou v centru.
Pokud je tato kontrola zaškrtnutá, všechny partnerské vztahy, které neodpovídají obsahu této konfigurace, mohou být odebrány, i když byly tyto partnerské vztahy vytvořeny ručně po nasazení této konfigurace. Pokud odeberete virtuální síť ze skupiny sítě použité v konfiguraci, váš virtuální správce odebere jenom partnerské vztahy, které vytvořil.
Přímé připojení
Povolení přímého připojení vytvoří překryvnou propojenou skupinu nad hvězdicovou topologií, která obsahuje paprskové virtuální sítě dané skupiny. Přímé připojení umožňuje paprskové virtuální síti komunikovat přímo s jinými virtuálními sítěmi ve skupině paprsků, ale ne s virtuálními sítěmi v jiných paprskech.
Například vytvoříte dvě skupiny sítě. Povolíte přímé připojení pro produkční skupinu sítě, ale ne pro testovací skupinu sítě. Toto nastavení umožňuje, aby virtuální sítě ve skupině produkční sítě vzájemně komunikují, ale ne s virtuálními sítěmi ve skupině testovací sítě.
Když se podíváte na efektivní trasy na virtuálním počítači, trasa mezi centrem a paprskovými virtuálními sítěmi bude mít typ dalšího segmentu směrování VNetPeering nebo GlobalVNetPeering. Trasy mezi virtuálními sítěmi paprsků se zobrazí s typem dalšího segmentu směrování ConnectedGroup. Ve výše uvedeném příkladu by měla pouze skupina produkční sítě připojenou skupinu, protože má povolené přímé připojení.
Zjišťování topologie skupin sítě pomocí zobrazení topologie
Azure Virtual Network Manager vám pomůže pochopit topologii vaší skupiny sítí a zobrazí zobrazení topologie, které ukazuje připojení mezi skupinami sítě a jejich členskými virtuálními sítěmi. Topologii vaší skupiny sítě můžete zobrazit během vytváření konfigurace připojení pomocí následujícího postupu:
- Přejděte na stránku Konfigurace a vytvořte konfiguraci připojení.
- Na kartě Topologie vyberte požadovaný typ topologie, přidejte do topologie jednu nebo více skupin sítě a nakonfigurujte další požadovaná nastavení připojení.
- Výběrem karty Náhled topologie otestujte zobrazení topologie a zkontrolujte aktuální připojení konfigurace.
- Dokončete vytvoření konfigurace připojení.
Aktuální topologii skupiny sítě můžete zkontrolovat výběrem možnosti Vizualizace v části Nastavení na stránce podrobností skupiny sítě. Zobrazení ukazuje připojení mezi členskými virtuálními sítěmi ve skupině sítí.
Případy použití
Povolení přímého připojení mezi virtuálními sítěmi paprsků může být užitečné, pokud chcete mít síťové virtuální zařízení nebo běžnou službu v centrální virtuální síti, ale centrum nemusí být vždy přístupné. K vzájemné komunikaci mezi sebou ale potřebujete paprskové virtuální sítě ve skupině sítí. V porovnání s tradičními hvězdicovými sítěmi tato topologie zlepšuje výkon odebráním dalšího segmentu směrování přes virtuální síť centra.
Globální síť
Podobně jako sítě můžou být tyto paprskové propojené skupiny nakonfigurované jako regionální nebo globální. Globální síť se vyžaduje, když chcete, aby vaše paprskové virtuální sítě vzájemně komunikují napříč oblastmi. Toto připojení je omezené na virtuální síť ve stejné skupině sítí. Pokud chcete povolit připojení pro virtuální sítě napříč oblastmi, musíte povolit síťové připojení napříč oblastmi pro síťovou skupinu. Připojení vytvořená mezi virtuálními sítěmi paprsků jsou ve skupině Připojeno.
Použití centra jako brány
Další možností, kterou můžete povolit v konfiguraci hvězdicové architektury, je použití centra jako brány. Toto nastavení umožňuje všem virtuálním sítím ve skupině sítě používat bránu VPN nebo ExpressRoute v centrální virtuální síti k předávání provozu. Viz část Brány a místní připojení.
Když nasadíte hvězdicovou topologii z webu Azure Portal, povolí se ve výchozím nastavení centrum Use jako brána pro paprskové virtuální sítě ve skupině sítí. Azure Virtual Network Manager se pokusí vytvořit připojení partnerského vztahu virtuální sítě mezi centrem a virtuální sítí paprsků ve skupině prostředků. Pokud brána ve virtuální síti centra neexistuje, vytvoření partnerského vztahu z paprskové virtuální sítě do centra selže. Připojení peeringu z centra k paprsku se stále vytvoří bez navázání připojení.
Další kroky
- Nasaďte instanci Azure Virtual Network Manageru pomocí Terraformu.
- Seznamte se s nasazeními konfigurace ve službě Azure Virtual Network Manager.
- Zjistěte, jak blokovat síťový provoz pomocí konfigurace správce zabezpečení.