Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Virtual Network Manager förenklar hanteringen av anslutningar, säkerhet, routning med mera i din Azure-nätverksmiljö. Anslutningskonfigurationer, inklusive mesh- och hub-and-spoke-topologier, hjälper dig att optimera nätverksprestanda och nätverksanslutningar i organisationens skala. Den här artikeln beskriver funktioner som storskaliga anslutna grupper och global mesh-anslutning, tillsammans med användningsfall och inställningar för varje topologi.
Anslutningskonfiguration
Med anslutningskonfigurationer kan du skapa och underhålla olika nätverkstopologier baserat på dina nätverksbehov. Du har två topologier att välja mellan: mesh och hub-and-spoke. Anslutningen mellan dina virtuella nätverk definieras av anslutningskonfigurationens inställningar. Du definierar de virtuella nätverk som du vill upprätta anslutning för via nätverksgrupper. Anslutningskonfigurationen använder sedan nätverksgrupperna för att upprätta en anslutning enligt beskrivningen i din önskade topologi bland de virtuella nätverken i nätverksgrupperna.
Om du har aktiverat borttagning av befintliga peerings för anslutningskonfigurationen kan eventuella peerings som inte matchar innehållet i den här anslutningskonfigurationen tas bort, även om dessa peerings skapades manuellt efter att konfigurationen har distribuerats. Om du tar bort ett virtuellt nätverk från en nätverksgrupp som används i konfigurationen tar Azure Virtual Network Manager-instansen bara bort anslutningen som den skapade.
När du distribuerar en anslutningskonfiguration upprättar Azure Virtual Network Manager dubbelriktad kommunikation via peering för virtuella nätverk (som används i hub-and-spoke-topologier) eller via anslutna grupper (som används i nättopologier) mellan virtuella nätverk. Den här anslutningen upprättas enligt de inställningar som du definierar och nätverksgrupper som ingår i anslutningskonfigurationen.
Nättopologi
En nättopologi definierar anslutningen mellan varje virtuellt nätverk i nätverksgruppen. Alla virtuella medlemsnätverk är anslutna och kan skicka trafik dubbelriktad till varandra.
Ett vanligt användningsfall för en nättopologi är att tillåta att virtuella ekernätverk i en topologi med nav och eker kommunicerar direkt till varandra utan att dirigera trafiken via det virtuella hubbnätverket. Den här metoden minskar svarstiden som annars kan bero på routning av trafik via en router i hubben. Dessutom kan du upprätthålla säkerhet och tillsyn över de direkta anslutningarna mellan virtuella ekernätverk genom att implementera säkerhetsadministratörsregler i Azure Virtual Network Manager eller regler för nätverkssäkerhetsgrupp. Trafik kan också övervakas och registreras med hjälp av virtuella nätverksflödesloggar.
Som standard är nättopologin som definieras i anslutningskonfigurationen ett regionalt nät, vilket innebär att endast virtuella nätverk i samma region kan kommunicera med varandra. Du kan aktivera ett globalt mesh-alternativ i anslutningskonfigurationen för att upprätta anslutningar mellan virtuella nätverk i alla Azure-regioner.
Kommentar
Adressutrymmen för virtuella nätverk kan överlappa varandra i en mesh-konfiguration, till skillnad från i peerings för virtuella nätverk, men trafiken mellan undernäten med överlappande adressutrymmen tas bort eftersom routningen inte är icke-terministisk.
I bakgrunden: uppkopplad grupp
När du skapar en nättopologi eller aktiverar direktanslutning i en topologi med nav och eker skapas en ny anslutningskonstruktion som är exklusiv för Azure Virtual Network Manager. Den här konstruktionen kallas för en ansluten grupp. Virtuella nätverk i en ansluten grupp kan kommunicera med varandra precis som manuellt anslutna virtuella nätverk. När du ser de effektiva vägarna för ett nätverksgränssnitt visas en nästa hopptyp av ConnectedGroup. Virtuella nätverk som är anslutna tillsammans i en ansluten grupp har ingen peeringkonfiguration som anges under Peerings för det virtuella nätverket. Den här anslutna gruppen gör det möjligt för Azure Virtual Network Manager att stödja en högre skala av anslutning till virtuella nätverk än traditionella peerings för virtuella nätverk.
Kommentar
Ett virtuellt nätverk kan ingå i upp till två anslutna grupper, vilket innebär att det kan ingå i upp till två nättopologier.
Aktivera storskaliga privata slutpunkter i Azure Virtual Network Manager-anslutna grupper
Azure Virtual Network Manager:s storskaliga privata slutpunktsfunktion i den anslutna gruppfunktionen ger dig möjlighet att utöka din nätverkskapacitet. Använd följande steg för att aktivera den här funktionen för att stödja upp till 20 000 privata slutpunkter i den anslutna gruppen.
Förbereda varje virtuellt nätverk i den anslutna gruppen
Läs Öka gränserna för virtuella privata slutpunkter för virtuella nätverk för detaljerad vägledning om hur du höjer dessa gränser. Om du aktiverar eller inaktiverar den här funktionen initieras en engångsanslutningsåterställning. Vi rekommenderar att du utför dessa ändringar under en underhållsperiod.
I varje virtuellt nätverk i den anslutna gruppen konfigurerar du principerna för privat slutpunktsnätverk till antingen
EnabledellerRouteTableEnabled. Den här inställningen säkerställer att dina virtuella nätverk är redo att stödja funktionen för privata slutpunkter i hög skala. Detaljerad vägledning finns i Öka gränserna för virtuella nätverk för privata slutpunkter.
Konfigurera meshtopologi för privata slutpunkter i hög skala
I det här steget konfigurerar du anslutningskonfigurationens nättopologiinställningar för din anslutna grupp för att aktivera privata slutpunkter i hög skala. Det här steget innebär att välja lämpliga alternativ i Azure-portalen och verifiera konfigurationen.
Leta upp och markera kryssrutan Aktivera privata slutpunkter i hög skala i din mesh-anslutningskonfiguration. Det här alternativet aktiverar den storskaliga funktionen för din anslutna grupp.
Kontrollera att varje virtuellt nätverk i hela ditt nät (ansluten grupp) har konfigurerats med privata slutpunkter i hög skala. Azure-portalen verifierar inställningarna i hela gruppen. Om ett virtuellt nätverk utan den storskaliga konfigurationen läggs till senare kan det inte kommunicera med privata slutpunkter i andra virtuella nätverk.
När du har kontrollerat att alla virtuella nätverk är korrekt konfigurerade distribuerar du anslutningskonfigurationen. Det här steget slutför konfigurationen av din storskaliga anslutna grupp.
Aktivera storskalig anslutning i Azure Virtual Network Manager-anslutna grupper
Azure Virtual Network Manager:s funktion för högskalig anslutning i den anslutna gruppfunktionen ger dig möjlighet att utöka din nätverkskapacitet. Om du vill använda den här funktionen registrerar du förhandsgranskningsfunktionen "AllowHighScaleConnectedGroup" (du hittar den med visningsnamnet "Aktivera högskala ansluten grupp"). Med den här funktionen kan en ansluten grupp i de regioner som stöds innehålla upp till 5 000 virtuella nätverk.
Topologi för nav och eker
En topologi med nav och eker definierar anslutningen mellan ett valt virtuellt navnätverk och virtuella ekernätverk som är medlemmar i en eller flera valda ekernätverksgrupper. Det virtuella hubbnätverket kopplas ihop i båda riktningarna med varje ekers nätverksgrupps virtuella nätverksmedlemmar i konfigurationen. Den här topologin är användbar för att isolera ett virtuellt nätverk men ändå upprätthålla anslutningen till vanliga resurser i det virtuella hubbnätverket.
I den här konfigurationen har du inställningar som du kan aktivera, till exempel direktanslutning mellan virtuella ekernätverk som tillhör samma ekernätverksgrupp. Som standard upprättas den här anslutningen endast för virtuella nätverk i samma region. Om du vill tillåta anslutning mellan olika Azure-regioner måste du aktivera den globala nätinställningen för ekernätverksgruppen. Du kan också aktivera gatewaytransit så att virtuella talnätverk kan använda VPN- eller ExpressRoute-gatewayen som är distribuerad i det virtuella hubbnätverket.
Aktivera direktanslutning
Om du aktiverar direktanslutning för en ekernätverksgrupp skapas ett nät (och därmed en ansluten grupp) över ekernätverksgruppens virtuella nätverk ovanpå din topologi med nav och eker. Direktanslutning gör att ett virtuellt nätverk kan kommunicera direkt med andra virtuella nätverk i sin ekernätverksgrupp, men aktiverar inte anslutning med virtuella nätverk i andra ekernätverksgrupper.
Du kan till exempel skapa två nätverksgrupper och inkludera dem som spoke-nätverksgrupper i din hub-and-spoke-anslutningskonfiguration. Du aktiverar direktanslutning för gruppen Produktionsnätverk men inte för testnätverksgruppen. Den här konfigurationen ansluter det virtuella hubbnätverket till alla virtuella nätverk i nätverksgrupperna Produktion och Test , men tillåter bara att virtuella nätverk i gruppen Produktionsnätverk kommunicerar med varandra. Produktionsnätverksgruppens virtuella nätverk har ingen anslutning till testnätverksgruppens virtuella nätverk och testnätverksgruppens virtuella nätverk har inte någon anslutning sinsemellan (såvida inte direktanslutning också är aktiverad för testnätverksgruppen).
När du tittar på effektiva rutter på en virtuell maskin har rutten mellan hubben och de virtuella ekernätverken nästa hopptyp VNetPeering eller GlobalVNetPeering. Rutter mellan virtuella ekernätverk visas med nästa hopptyp ConnectedGroup. Med exemplet Produktion och test skulle endast produktionsnätverksgruppen ha en ConnectedGroup eftersom den har direktanslutning aktiverad.
Direktanslutning mellan spoke-virtuella nätverk kan vara till hjälp när du vill ha en nätverksvirtuell apparat (NVA) eller en allmän tjänst i det virtuella hubbnätverket, utan att alltid behöva nå hubben för att betrodda spoke-virtuella nätverk ska kunna kommunicera med varandra. Jämfört med traditionella hub-and-spoke-nätverk förbättrar den här topologin prestandan genom att ta bort det extra hoppet via det virtuella hubbnätverket.
Globalt nät
Precis som med mesh-topologin konfigureras en spoke-nätverksgrupp med aktiverad direktanslutning som regional standardinställning. Du kan aktivera global mesh när du vill att spoke-nätverksgruppens virtuella nätverk ska kunna kommunicera med varandra över regioner. Den här anslutningen är begränsad till virtuella nätverk i samma nätverksgrupp. Om du vill aktivera den här globala nätanslutningen för virtuella nätverk mellan regioner måste du aktivera mesh-anslutning mellan regioner för nätverksgruppen. Anslutningar som skapas mellan virtuella ekernätverk finns i en ansluten grupp.
Använda hubben som en gateway
Ett annat alternativ som du kan aktivera i en hub-and-spoke-konfiguration är att använda hubben som en gateway. Med den här inställningen kan alla virtuella nätverk i spoke-nätverksgruppen använda VPN- eller ExpressRoute-gatewayen i det virtuella hubbnätverket för att dirigera trafik. Se Gatewayer och lokala anslutningar.
När du distribuerar en topologi med nav och eker från Azure-portalen aktiveras alternativet Använd hubb som gateway som standard för de virtuella ekernätverken i nätverksgruppen. Azure Virtual Network Manager försöker skapa en peeringanslutning för virtuella nätverk mellan det virtuella hubbnätverket och virtuella nätverk i spoke-nätverksgrupperna. Om det här alternativet är aktiverat och en gateway inte finns i det virtuella hubbnätverket, misslyckas skapandet av peering från det virtuella ekernätverket till hubben. Peering-anslutningen från hubben till ekern skapas fortfarande utan en upprättad anslutning.
Identifiera nätverksgrupptopologi med topologivyn
För att hjälpa dig att förstå topologin för din nätverksgrupp tillhandahåller Azure Virtual Network Manager en topologivy som visar anslutningen mellan nätverksgrupper och deras virtuella medlemsnätverk. Du kan visa topologin för anslutningskonfigurationen när du skapar anslutningskonfigurationen med följande steg:
Gå till sidan Konfigurationer och skapa en anslutningskonfiguration.
På fliken Topologi väljer du önskad topologityp, lägger till en eller flera nätverksgrupper i topologin och konfigurerar andra önskade anslutningsinställningar.
Välj fliken Visa topologi för att visuellt granska konfigurationens aktuella anslutning.
Slutför skapandet av anslutningskonfigurationen.
Du kan granska den aktuella topologin för en anslutningskonfiguration genom att välja Visa topologi under Inställningar på konfigurationens informationssida. Vyn visar anslutningen mellan de virtuella nätverken i den här anslutningskonfigurationen.
Nästa steg
- Lär dig hur du skapar en mesh-anslutningskonfiguration.
- Lär dig hur du skapar en anslutningskonfiguration för hub-and-spoke.
- Skapa en säker hub-och-spoke-topologi i denna handledning.
- Lär dig hur du distribuerar en hub-and-spoke-topologi med Azure Firewall.
- Förstå konfigurationsdistributioner för att effektivt hantera dina nätverksinställningar.
- Blockera oönskad nätverkstrafik med hjälp av säkerhetsadministratörskonfigurationer.
- Distribuera Azure Virtual Network Manager med Terraform för att snabbt konfigurera din miljö.