Azure 虚拟网络管理器简化了跨 Azure 环境的虚拟网络连接和安全性的管理。 连接配置(包括网格和中心辐射型拓扑)可帮助你优化网络性能和安全性。 本文介绍大规模连接组和全局网格连接等功能,以及每个拓扑的用例和配置步骤。
连接配置
使用 连接 配置,可以根据网络需求创建不同的网络拓扑。 有两种拓扑结构可供选择:网格网络和中心辐射型网络。 虚拟网络之间的连接是在配置设置中定义的。
网格网络拓扑
在网格网络拓扑中,网络组中的所有虚拟网络都相互连接。 所有虚拟网络相互连接,并且可以彼此双向传送流量。
网格网络拓扑的常见用例是允许中心辐射型拓扑中的一些辐射虚拟网络直接相互通信,而无需流量通过中心虚拟网络。 此方法可减少因通过中心内的路由器路由流量而导致的延迟。 此外,还可以通过在 Azure Virtual Network Manager 中实施网络安全组规则或安全管理规则来维护辐射网络之间的直接连接的安全性并对其进行监督。 还可以使用虚拟网络流日志监视和记录流量。
默认情况下,网格是区域性的网格,因此只有同一区域中的虚拟网络才能相互通信。 可以启用全局网格,以跨所有 Azure 区域建立虚拟网络的连接。 一个虚拟网络最多可以作为两个互连组的一部分。 与在虚拟网络对等互连中不同,虚拟网络地址空间在网格配置中不能重叠。 但流向特定重叠子网的流量会被丢弃,因为路由是非确定性的。
连接的组
在中心辐射型拓扑中创建网格拓扑或直接连接时,会创建一个名为“连接组”的新连接构造。 连接的组中的虚拟网络可以相互通信,就像手动连接的虚拟网络一样。 查看网络接口的有效路由时,你会看到下一个跃点类型“ConnectedGroup”。 在连接的组中连接在一起的虚拟网络的对等互连配置不会在虚拟网络的“对等互连”下列出。
注意
如果两个或更多个虚拟网络中有冲突的子网,即使这些子网属于同一网格网络的一部分,这些子网中的资源 也无法 相互通信。 一个虚拟网络最多可以作为两个网格配置的一部分。
在 Azure Virtual Network Manager 中启用高度缩放专用终结点连接组
重要
Azure 虚拟网络管理器的大规模专用终结点连接组功能处于预览状态。 预览版期间,它在以下区域中可用:
- 东美国 2 EUAP
- 美国中部 EUAP
- 美国中西部
- 东亚
- 英国南部
- 美国东部
此预览版在提供时没有附带服务级别协议,我们不建议将其用于生产工作负荷。 某些功能可能不受支持或者受限。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款。
Azure 虚拟网络管理器的大规模连接组功能允许扩展网络容量。 使用以下步骤启用此功能,以支持整个连接组中最多 20,000 个专用终结点:
准备连接组中的每个虚拟网络
有关 提高专用终结点 虚拟网络限制的详细指南,请参阅“增加专用终结点虚拟网络限制”。 启用或禁用此功能会启动一次性连接重置。 建议在维护时段内执行这些更改。
为包含 Azure Virtual Network Manager 实例或连接组中虚拟网络的每个订阅注册
Microsoft.Network/EnableMaxPrivateEndpointsVia64kPath功能标志。重要
此注册对于解锁扩展专用终结点容量至关重要。 有关详细信息,请参阅 如何启用 Azure 预览版功能文档。
在连接的组中的每个虚拟网络内,将专用终结点网络策略配置为
Enabled或RouteTableEnabled之一。 此设置可确保虚拟网络已准备好支持大规模专用终结点功能。 有关详细指南,请参阅 “提高专用终结点虚拟网络限制”。
为大规模专用终结点配置网格连接
在此步骤中,你将为连接组配置网格连接设置,以启用大规模的专用终端节点。 此步骤涉及在 Azure 门户中选择适当的选项并验证配置。
在网格连接配置中,找到并选中“ 启用专用终结点高缩放”复选框。 此选项可为连接组激活高度缩放功能。
验证是否为连接组中的每个虚拟网络配置了高度缩放专用终结点。 Azure 门户验证整个组的设置。 如果以后添加了不带大规模配置的虚拟网络,则无法与其他虚拟网络中的专用终结点通信。
验证是否已正确配置所有虚拟网络后,请部署设置。 高度缩放连接组的设置到此完成。
中心和辐射拓扑
在中心辐射型网络拓扑中,有一个虚拟网络已选作中心虚拟网络。 此虚拟网络与配置中的每个支路虚拟网络已建立双向对等互连。 如果你想要隔离某个虚拟网络,但仍希望它连接到中心虚拟网络中的公用资源,则此拓扑非常有用。
在此配置中,可以启用某些设置,例如支路虚拟网络之间的直接连接。 默认情况下,此连接仅用于同一区域中的虚拟网络。 若要允许跨不同 Azure 区域进行连接,需要启用全局网格。 还可以启用网关传输,以允许支路虚拟网络使用部署在中心内的 VPN 或 ExpressRoute 网关。
如果选中,则任何与此配置内容不匹配的对等互连都可能被删除,即使这些对等互连是在部署此配置后手动创建的。 如果从配置中使用的网络组中删除虚拟网络,那么虚拟管理器仅会删除它自己创建的对等互连。
启用直接连接
启用直接连接将在中心和分支拓扑之上创建一个连接组覆盖层,其中包含指定组的分支虚拟网络。 直接连接允许分支虚拟网络直接与其分支组中的其他 VNet 通信,但无法与其他分支组中的 VNet 通信。
假设你要创建两个网络组。 可为“生产”网络组启用直接连接,但不为“测试”网络组启用直接连接。 此设置仅允许“生产”网络组中的虚拟网络相互通信,但不允许“测试”网络组中的虚拟网络相互通信。
在查看虚拟机上的有效路由时,中心和分支虚拟网络之间的路由的下一个跃点类型为 VNetPeering 或 GlobalVNetPeering。 支路虚拟网络之间的路由将显示为具有下一个跃点类型“ConnectedGroup”。 使用 生产/测试 示例,只有 生产 网络组才具有 ConnectedGroup ,因为它已启用 直接连接 。
使用拓扑视图发现网络组拓扑
为了帮助你了解你的网络组的拓扑,Azure Virtual Network Manager 提供了一个“拓扑视图”,它显示了网络组与其成员虚拟网络之间的连接。 可以使用以下步骤在创建连接配置期间查看你的网络组的拓扑:
导航到“配置”页并创建一个连接配置。
在“拓扑”选项卡上,选择所需的拓扑类型,将一个或多个网络组添加到拓扑,然后配置其他所需的连接设置。
选择“预览拓扑”选项卡,测试拓扑视图并查看你的配置的当前连接。
完成连接配置的创建。
可以通过在网络组的详细信息页中的“设置” 下选择“可视化”来查看网络组的当前拓扑。 该视图显示网络组中成员虚拟网络之间的连接。
用例
在分支虚拟网络之间启用直接连接很有帮助,尤其是当你希望在中心虚拟网络中使用网络虚拟设备 (NVA) 或公共服务,但又不需要始终访问中心时。 但是,需要网络组中的支路虚拟网络相互通信。 与传统的中心辐射型网络相比,此拓扑可以通过中心虚拟网络消除额外的跃点,从而提高了性能。
全局网格
与网格一样,这些与辐射连接的组可以配置为区域或全局。 如果你希望支路虚拟网络能够跨区域相互通信,则需要使用全局网格。 此连接仅限于同一网络组中的虚拟网络。 要跨区域为虚拟网络启用连接,需要为网络组启用跨区域的网格连接。 在支路虚拟网络之间创建的连接位于互连组中。
使用中心作为网关
可以在中心辐射型配置中启用的另一个选项是将中心用作网关。 通过此设置,网络组中的所有虚拟网络都可以使用中心虚拟网络中的 VPN 或 ExpressRoute 网关来传递流量。 请参阅网关和本地连接。
从 Azure 门户部署中心辐射型拓扑时,默认将为网络组中的支路虚拟网络启用“使用中心作为网关”。 Azure Virtual Network Manager 会尝试在资源组中的中心和辐射虚拟网络之间创建虚拟网络对等互连。 如果中心虚拟网络中不存在网关,则从辐射虚拟网络到中心的对等互连创建操作将会失败。 在未建立连接的情况下,仍会创建从中心到支路的对等连接。
后续步骤
- 使用 Terraform 部署 Azure 虚拟网络管理器 以快速设置环境。
- 了解配置部署 以有效管理网络设置。
- 使用安全管理员配置阻止不需要的网络流量。