Propojení virtuálních sítí
Propojení virtuálních sítí umožňuje bezproblémové propojení virtuálních sítí v prostředí Azure Stack Hubu. Virtuální sítě se jeví jako jedna pro účely připojení. Provoz mezi virtuálními počítači používá základní infrastrukturu SDN. Stejně jako provoz mezi virtuálními počítači ve stejné síti se provoz směruje jenom přes privátní síť azure Stack Hubu.
Azure Stack Hub nepodporuje globální partnerský vztah, protože koncept oblastí se nevztahuje.
Výhody používání propojení virtuálních sítí jsou následující:
- Připojení s nízkou latencí a velkou šířkou pásma mezi prostředky v různých virtuálních sítích v rámci stejného razítka služby Azure Stack Hub.
- Schopnost prostředků v jedné virtuální síti komunikovat s prostředky v jiné virtuální síti v rámci stejného razítka služby Azure Stack Hub.
- Možnost přenášet data mezi virtuálními sítěmi napříč různými předplatnými ve stejném tenantovi Microsoft Entra.
- Při vytváření partnerského vztahu ani po vytvoření partnerského vztahu nedojde k výpadkům prostředků ve virtuální síti.
Síťový provoz mezi partnerskými virtuálními sítěmi je privátní. Provoz mezi virtuálními sítěmi se uchovává ve vrstvě infrastruktury. Komunikace mezi virtuálními sítěmi nevyžaduje veřejný internet, brány ani šifrování.
Připojení
V případě partnerských virtuálních sítí se prostředky v obou virtuálních sítích můžou přímo připojit k prostředkům v partnerské virtuální síti.
Latence sítě mezi virtuálními počítači v partnerských virtuálních sítích ve stejné oblasti je stejná jako latence v rámci jedné virtuální sítě. Propustnost sítě je založená na šířce pásma, která je pro virtuální počítač povolená, a to v poměru k jeho velikosti. V rámci peerování neexistuje žádné další omezení šířky pásma.
Provoz mezi virtuálními počítači v partnerských virtuálních sítích se směruje přímo přes vrstvu SDN, ne přes bránu nebo přes veřejný internet.
Skupiny zabezpečení sítě můžete použít buď ve virtuální síti, abyste zablokovali přístup k jiným virtuálním sítím nebo podsítím. Při konfiguraci partnerského vztahu virtuálních sítí otevřete nebo zavřete pravidla skupiny zabezpečení sítě mezi virtuálními sítěmi. Pokud otevřete úplné připojení mezi partnerskými virtuálními sítěmi, můžete použít skupiny zabezpečení sítě k blokování nebo odepření konkrétního přístupu. Výchozí možností je úplné připojení. Další informace o skupinách zabezpečení sítě najdete v tématu Skupiny zabezpečení.
Řetězení služeb
Řetězení služeb umožňuje směrovat provoz z jedné virtuální sítě na virtuální zařízení nebo bránu v partnerské síti prostřednictvím uživatelsky definovaných tras.
Pokud chcete povolit řetězení služeb, nakonfigurujte trasy definované uživatelem, které odkazují na virtuální počítače v partnerských virtuálních sítích jako další přeskok IP adresa.
Můžete nasadit sítě typu hub-and-spoke, kde centrální virtuální síť hostuje komponenty infrastruktury, jako je síťové virtuální zařízení nebo brána VPN. Všechny paprskové virtuální sítě pak můžou navázat spojení s virtuální sítí centra. Provoz prochází síťovými virtuálními zařízeními nebo bránami VPN v centrální virtuální síti.
Propojení virtuálních sítí umožňuje, aby další skok v trasě definované uživatelem byla IP adresa virtuálního počítače v propojené virtuální síti. Další informace o trasách definovaných uživatelem najdete v tématu Přehled tras definovaných uživatelem. Informace o vytvoření hvězdicové síťové topologie najdete v tématu Hvězdicová síťová topologie v Azure.
Brány a lokální připojení
Každá virtuální síť, včetně partnerské virtuální sítě, může mít svou vlastní bránu. Virtuální síť může použít svou bránu pro připojení k místní síti. Projděte si dokumentaci ke službě Azure Stack Hub Virtual Network Gateway.
Bránu v propojené virtuální síti můžete také nakonfigurovat jako tranzitní bod do sítě v místě instalace. V takovém případě nemůže mít virtuální síť, která používá vzdálenou bránu, vlastní bránu. Virtuální síť má pouze jednu bránu. Brána je buď místní, nebo vzdálená brána v partnerské virtuální síti, jak je znázorněno na následujícím obrázku:
Všimněte si, že objekt připojení musí být vytvořen v bráně VPN před povolením možnosti UseRemoteGateways v peeringu.
Důležitý
Azure Stack Hub konfiguruje systémové trasy na základě podsítí partnerských virtuálních sítí, nikoli předpony adresy virtuální sítě. To se liší od implementace Azure. Pokud chcete přepsat systémové výchozí trasy, například ve scénářích popsaných v Scénáři: Směrování provozu přes síťové virtuální zařízení (NVA) nebo topologii hub-spoke sítě v Azure, kde chcete směrovat provoz na síťové virtuální zařízení nebo firewall, musíte pro každou podsíť v rámci virtuální sítě vytvořit položku trasy.
Konfigurace propojení virtuálních sítí
Povolit přístup k virtuální síti: Povolení komunikace mezi virtuálními sítěmi umožňuje prostředkům připojeným k jedné virtuální síti vzájemně komunikovat se stejnou šířkou pásma a latencí, jako kdyby byly připojené ke stejné virtuální síti. Veškerá komunikace mezi prostředky ve dvou virtuálních sítích se směruje přes interní vrstvu SDN.
Jedním z důvodů, proč nepovolit přístup k síti, může být scénář, kdy jste propojili virtuální síť s jinou virtuální sítí, ale příležitostně chcete zablokovat tok dat mezi oběma virtuálními sítěmi. Povolení nebo zakázání může být pohodlnější než odstranění a opětovné vytváření partnerských vztahů. Pokud je toto nastavení zakázané, provoz neprochází mezi partnerskými virtuálními sítěmi.
Povolit přesměrovaný provoz: Toto políčko zaškrtněte, pokud chcete povolit přenosy přesměrované síťovým virtuálním zařízením ve virtuální síti (které nepocházejí z virtuální sítě) do této virtuální sítě prostřednictvím partnerského vztahu. Představte si například tři virtuální sítě s názvem Spoke1, Spoke2 a Hub. Mezi každou paprskovou virtuální sítí a centrální virtuální sítí existuje propojení, ale mezi paprskovými virtuálními sítěmi propojení neexistují. Síťové virtuální zařízení je nasazené ve virtuální síti centra a trasy definované uživatelem se použijí pro každou paprskovou virtuální síť, která směruje provoz mezi podsítěmi přes síťové virtuální zařízení. Pokud není zaškrtnuto toto políčko pro peering mezi každou paprskovou virtuální sítí a centrální virtuální sítí, provoz mezi paprskovými virtuálními sítěmi neprochází, protože centrální síť nepředává provoz mezi virtuálními sítěmi. Když tuto funkci povolíte, umožní se přesměrovaný provoz prostřednictvím partnerského vztahu, ale nevytvoří uživatelsky definované trasy ani síťová virtuální zařízení. Trasy definované uživatelem a síťová virtuální zařízení se vytvářejí samostatně. Přečtěte si o trasách definovaných uživatelem. Toto nastavení nemusíte kontrolovat, pokud je provoz přesměrován mezi virtuálními sítěmi prostřednictvím brány VPN.
Povolit průchod bránou: Toto políčko zaškrtněte, pokud máte k této virtuální síti připojenou bránu virtuální sítě a chcete povolit průchod provozu z partnerské virtuální sítě přes bránu. Tato virtuální síť může být například připojena k místní síti prostřednictvím brány virtuální sítě. Zaškrtnutím tohoto políčka povolíte průchod provozu z partnerské virtuální sítě přes bránu připojenou k této virtuální síti do místní sítě. Pokud toto políčko zaškrtnete, partnerská virtuální síť nemůže mít nakonfigurovanou bránu. Při nastavování partnerského vztahu z druhé virtuální sítě do této virtuální sítě musí být zaškrtnuté políčko Použít vzdálené brány. Pokud toto políčko ponecháte nezaškrtnuté (výchozí), provoz z partnerské virtuální sítě stále proudí do této virtuální sítě, ale nemůže projít bránou virtuální sítě připojenou k této virtuální síti.
Používat vzdálené brány: Toto políčko zaškrtněte, pokud chcete povolit provoz z této virtuální sítě protékat přes bránu virtuální sítě připojenou k virtuální síti, se kterou spolupracujete. Například virtuální síť, se kterou spolupracujete, má připojenou bránu VPN, která umožňuje komunikaci s místní sítí. Zaškrtnutím tohoto políčka povolíte průchod provozu z této virtuální sítě přes bránu VPN připojenou k partnerské virtuální síti. Pokud toto políčko zaškrtnete, musí mít partnerská virtuální síť připojenou bránu virtuální sítě a musí mít zaškrtnuté políčko Povolit Průchod Bránou. Pokud toto políčko ponecháte nezaškrtnuté (výchozí), provoz z partnerské virtuální sítě může do této virtuální sítě stále docházet, ale nemůže procházet bránou virtuální sítě připojenou k této virtuální síti.
Vzdálené brány nemůžete použít, pokud už máte ve virtuální síti nakonfigurovanou bránu.
Dovolení
Ujistěte se, že při vytváření propojení s virtuálními sítěmi (VNETS) v různých předplatných v rámci stejných tenantů Microsoft Entra mají účty přiřazenou alespoň roli přispěvatele sítě.
Důležitý
Azure Stack Hub nepodporuje propojování VNET mezi virtuálními sítěmi v různých předplatných a různých tenantech Microsoft Entra. Podporuje partnerské propojení VNET mezi virtuálními sítěmi na různých předplatných, pokud tato předplatná patří stejnému tenantu Microsoft Entra. To se liší od implementace Azure.
Často kladené otázky k propojení virtuálních sítí
Co je propojení virtuálních sítí?
Propojení virtuálních sítí umožňuje připojit virtuální sítě. Připojení sítového partnerství mezi virtuálními sítěmi umožňuje směrovat provoz mezi nimi soukromě přes adresy IPv4. Virtuální počítače v partnerských virtuálních sítích spolu můžou vzájemně komunikovat, jako by byly ve stejné síti. Připojení partnerského vztahu virtuální sítě je také možné vytvořit napříč několika předplatnými ve stejném tenantu Microsoft Entra.
Podporuje Azure Stack Hub globální propojení VNET?
Azure Stack Hub nepodporuje globální partnerský vztah, protože koncept oblastí se nevztahuje.
Na které aktualizaci služby Azure Stack Hub bude k dispozici propojování virtuálních sítí?
Možnost propojování virtuálních sítí je ve službě Azure Stack Hub k dispozici od aktualizace 2008.
Můžu propojit svou virtuální síť v Azure Stack Hub s virtuální sítí v Azure?
Ne, peerování mezi Azure a Azure Stack Hub není v této době podporováno.
Můžu propojit svou virtuální síť v Azure Stack Hub1 s virtuální sítí v Azure Stack Hub2?
Ne, propojení je možné vytvořit pouze mezi virtuálními sítěmi v jednom systému Azure Stack Hub. Další informace o připojení dvou virtuálních sítí z různých instancí najdete v kapitole Vytvoření připojení virtuální sítě k virtuální síti ve službě Azure Stack Hub.
Můžu povolit propojení, pokud moje virtuální sítě patří k předplatným v různých tenantech Microsoft Entra?
Ne. Pokud vaše předplatná patří do různých tenantů Microsoft Entra, není možné navázat propojování sítí VNet. Jedná se o konkrétní omezení služby Azure Stack Hub.
Můžu propojit svou virtuální síť s virtuální sítí v jiném předplatném?
Ano. Můžete propojit virtuální sítě napříč různými předplatnými, pokud patří do stejného tenanta Microsoft Entra.
Existují nějaká omezení šířky pásma pro peeringová připojení?
Ne. Propojení virtuálních sítí neomezuje šířku pásma. Šířka pásma je omezená pouze virtuálním počítačem nebo výpočetním prostředkem.
Moje peeringové připojení virtuální sítě je ve stavu iniciováno, proč se nemohu připojit?
Pokud je připojení peeringu ve stavu iniciované, znamená to, že jste vytvořili jenom jeden odkaz. Aby bylo možné navázat úspěšné připojení, musí být vytvořen obousměrný odkaz. Například pokud chcete propojit virtuální síť A s virtuální sítí B, musí být vytvořeno propojení z virtuální sítě A do virtuální sítě B a z virtuální sítě B do virtuální sítě A. Vytvořením obou propojení se změní stav na Připojená.
Proč nemohu vytvořit peeringové připojení, když je moje připojení peeringu virtuálních sítí ve stavu Odpojeno?
Pokud je připojení partnerského vztahu virtuální sítě ve stavu Odpojeno, znamená to, že bylo odstraněno jedno z vytvořených propojení. Pokud chcete znovu vytvořit připojení peeringu, odstraňte propojení a vytvořte ho znovu.
Je provoz peeringu virtuálních sítí šifrovaný?
Ne. Provoz mezi prostředky v partnerských virtuálních sítích je soukromý a izolovaný. Zůstane zcela ve vrstvě SDN systému Azure Stack Hub.
Pokud propojím virtuální síť A s virtuální sítí B a virtuální síť B s virtuální sítí C, znamená to, že virtuální sítě A a C jsou propojené?
Ne. Tranzitivní propojování není podporováno. Musíte vytvořit partnerský vztah mezi VNet A a VNet C.
Další kroky
- o službě Azure Virtual Network
- Přehled tras definovaných uživatelem
- hvězdicová síťová topologie v Azure