Соединение служб с помощью пиринга виртуальных сетей

  • 8 мин

Пиринг позволяет напрямую подключать виртуальные сети Azure друг к другу. Если виртуальные сети подключены с использованием пиринга, виртуальные машины в этих сетях могут взаимодействовать друг с другом, как если бы они были в одной сети.

При использовании одноранговых виртуальных сетей трафик между виртуальными машинами направляется через сеть Azure. Для этого используются только частные IP-адреса. Подключение к Интернету, шлюзы или зашифрованные соединения не применяются. Трафик всегда является закрытым и использует преимущества высокой пропускной способности и низкой задержки магистральной сети Azure.

Базовая схема двух виртуальных сетей, соединенных с помощью пиринга.

Существует два типа пиринговых соединений, которые создаются одинаково.

  • Пиринг виртуальных сетей служит для соединения виртуальных сетей в одном регионе Azure, например двух виртуальных сетей в Северной Европе.
  • Глобальный пиринг виртуальных сетей служит для соединения виртуальных сетей, которые находятся в разных регионах Azure, например виртуальной сети в Северной Европе и виртуальной сети в Западной Европе.

Пиринг между виртуальными сетями не влияет на ресурсы, которые уже развернуты в виртуальных сетях. При использовании пиринга виртуальной сети рассмотрите основные функции, определенные в следующих разделах.

Взаимные соединения

При создании пирингового подключения между виртуальными сетями с использованием Azure PowerShell или Azure CLI создается только одна сторона пиринга. Чтобы завершить настройку пиринга виртуальной сети, необходимо настроить пиринг в обратном направлении, чтобы установить подключение. При создании пирингового подключения виртуальной сети через портал Azure конфигурация обеих сторон выполняется одновременно.

Представьте, как бы вы соединили два сетевых коммутатора. Вы можете подключить кабель к каждому коммутатору и, возможно, настроить некоторые параметры, чтобы коммутаторы могли взаимодействовать. Чтобы организовать пиринг виртуальных сетей, нужно создать аналогичные соединения в каждой виртуальной сети. Такая возможность обеспечивается взаимными соединениями.

Пиринг между виртуальными сетями в разных подписках

Пиринг виртуальных сетей можно использовать даже в том случае, если обе виртуальные сети находятся в разных подписках. Эта настройка может потребоваться для слияния и приобретения или подключения виртуальных сетей в подписках, которыми управляют разные отделы. Виртуальные сети могут находиться в разных подписках, а подписки могут использовать те же или разные клиенты Microsoft Entra.

При использовании пиринга между виртуальными сетями в разных подписках может оказаться, что администратор одной подписки не управляет подпиской другой сети. В результате он не может настроить оба конца соединения. Чтобы пиринговать виртуальные сети, если обе подписки находятся в разных клиентах Microsoft Entra, администраторы каждой подписки должны предоставить администратору Network Contributor одноранговой подписки роль в своей виртуальной сети.

Транзитивность

Пиринг виртуальных сетей является нетранзитивным. Обмен данными возможен только между виртуальными сетями с прямой пиринговой связью. Опосредованное пиринговое взаимодействие невозможно.

Предположим, между тремя виртуальными сетями (A, B, C) установлено пиринговое соединение по схеме A <-> B <-> C. Ресурсы в сети A не могут взаимодействовать с ресурсами в сети C, так как трафик не может проходить через виртуальную сеть B. Если вам требуется обмен данными между виртуальными сетями A и C, необходимо явно создать пиринг между ними.

Транзит через шлюз

Вы можете подключиться к локальной сети из одноранговой виртуальной сети, если включить транзит шлюза из виртуальной сети с VPN-шлюзом. Транзит через шлюз обеспечивает локальное соединение без необходимости развертывать шлюзы виртуальной сети для всех виртуальных сетей. Этот метод обходится дешевле в общем и упрощает сеть. Используя пиринг между виртуальными сетями с транзитным шлюзом, можно настроить одну виртуальную сеть в качестве центральной. Подключите эту центральную сеть к локальным центрам данных, чтобы сети использовали шлюз совместно.

Чтобы включить транзит шлюза, настройте параметр "Разрешить транзит шлюза" в виртуальной сети концентратора, где развернуто подключение шлюза к локальной сети. Кроме того, настройте параметр Использовать удаленные шлюзы во всех периферийных виртуальных сетях.

Примечание.

Если вы хотите включить параметр Использовать удаленные шлюзы в пиринговом соединении периферийной сети, вы не сможете развернуть шлюз виртуальной сети в периферийной виртуальной сети.

Перекрывающиеся адресные пространства

Ip-адреса подключенных сетей в Azure и между Azure и локальной сетью не могут перекрываться. Это правило также верно для одноранговых виртуальных сетей. Не забывайте об этом правиле, когда проектируете структуру сети. Сетям, которые вы соединяете с помощью пиринга виртуальных сетей, VPN или ExpressRoute, нужно назначить разные диапазоны адресов, которые не перекрываются.

Схема сравнения перекрывающихся и неперекрывающихся сетевых адресов.

Альтернативные методы соединения

Пиринг между виртуальными сетями — это самый простой способ установить подключение между виртуальными сетями. Другие методы направлены, в основном, на соединение между локальными сетями и сетями Azure, а не на соединение виртуальных сетей друг с другом.

Соединить виртуальные сети можно также с помощью канала ExpressRoute. ExpressRoute — это выделенное частное соединение между локальным центром данных и магистральной сетью Azure. Виртуальные сети, подключенные к каналу ExpressRoute, входят в один домен маршрутизации и могут взаимодействовать друг с другом. Подключения ExpressRoute не осуществляются через общедоступный Интернет, поэтому взаимодействие со службами Azure происходит максимально безопасно.

Виртуальные частные сети (VPN) используют Интернет для подключения локального центра данных к магистральной сети Azure через зашифрованный туннель. С помощью VPN-шлюзов можно соединять виртуальные сети друг с другом в конфигурации "узел-узел". Задержка при использовании VPN-шлюзов больше, чем при пиринге виртуальных сетей. Этот метод сложнее и может обходиться дороже.

Если виртуальные сети подключены с помощью шлюза и пиринга, трафик проходит через конфигурацию пиринга.

Когда следует выбирать пиринг виртуальных сетей

Пиринг виртуальных сетей может быть отличным решением для обеспечения сетевых соединений между службами в разных виртуальных сетях. Пиринг между виртуальными сетями должен быть первым выбором, когда необходимо интегрировать виртуальные сети Azure. Это легко реализовать и развернуть, и он хорошо работает в разных регионах и подписках.

Пиринг может оказаться не лучшим вариантом, если у вас есть существующие подключения VPN или ExpressRoute либо службы за базовыми подсистемами балансировки нагрузки Azure, доступ к которым будет осуществляться из пиринговой виртуальной сети. В таких случаях следует найти более подходящее решение.