Propojení služeb pomocí peeringu virtuálních sítí
Peering virtuálních sítí můžete použít k přímému propojení virtuálních sítí Azure. Když k propojení virtuálních sítí použijete peering, virtuální počítače v těchto sítích můžou vzájemně komunikovat, jako by byly ve stejné síti.
U partnerských virtuálních sítí se provoz mezi virtuálními počítači směruje přes síť Azure. Komunikace používá jen privátní IP adresy. Nespoléhá se na připojení k internetu, brány nebo šifrovaná připojení. Komunikace je vždy privátní a využívá velkou šířkou pásma a nízkou latenci, které nabízí páteřní síť Azure.
Oba dva typy připojení peeringu jsou vytvořené stejným způsobem:
- Peering virtuálních sítí propojuje virtuální sítě ve stejné oblasti Azure, například dvě virtuální sítě v oblasti Severní Evropa.
- Globální peering virtuálních sítí propojuje virtuální sítě, které se nacházejí v různých oblastech Azure, například virtuální síť v oblasti Severní Evropa a virtuální síť v oblasti Západní Evropa.
Partnerský vztah virtuálních sítí neovlivňuje ani nenarušuje žádné prostředky, které jsou už nasazené ve vašich virtuálních sítích. Při použití partnerského vztahu virtuálních sítí zvažte klíčové funkce definované v následujících částech.
Reciproční propojení
Když vytvoříte připojení partnerského vztahu virtuálních sítí pomocí Azure PowerShellu nebo Azure CLI, vytvoří se jenom jedna strana partnerského vztahu. Pokud chcete dokončit konfiguraci partnerského vztahu virtuálních sítí, musíte nakonfigurovat partnerský vztah v opačném směru, aby bylo možné navázat připojení. Když vytvoříte připojení peeringu virtuálních sítí prostřednictvím webu Azure Portal, konfigurace obou stran se dokončí současně.
Představte si, jak vzájemně propojíte dva síťové přepínače. Kabel můžete připojit ke každému přepínači a možná nakonfigurovat některá nastavení tak, aby přepínače mohly komunikovat. Peering virtuálních sítí vyžaduje podobná připojení v každé virtuální síti. Tuto funkci zajišťují reciproční připojení.
Peering virtuálních sítí napříč předplatnými
Peering virtuálních sítí můžete použít i v případě, že se obě virtuální sítě nacházejí v různých předplatných. Toto nastavení může být nezbytné pro fúze a akvizice nebo pro propojení virtuálních sítí v předplatných, která spravují různá oddělení. Virtuální sítě můžou být v různých předplatných a předplatná můžou používat stejné nebo různé tenanty Microsoft Entra.
Když používáte peering virtuálních sítí napříč předplatnými, můžete zjistit, že správce jednoho předplatného nespravuje předplatné partnerské sítě. Správce nemusí být schopen nakonfigurovat oba konce propojení. Pokud chcete propojit virtuální sítě v případě, že jsou obě předplatná v různých tenantech Microsoft Entra, musí správci každého předplatného udělit správci Network Contributor partnerského předplatného roli ve své virtuální síti.
Tranzitivita
Peering virtuálních sítí není tranzitivní. Komunikovat spolu můžou jen virtuální sítě, které jsou propojené pomocí peeringu přímo. Virtuální sítě nemůžou komunikovat s partnerskými partnery.
Předpokládejme například, že vaše tři virtuální sítě (A, B, C) jsou v partnerském vztahu: A <–> B <–> C. Prostředky v A nemůžou komunikovat s prostředky v jazyce C, protože provoz nemůže procházet přes virtuální síť B. Pokud potřebujete komunikaci mezi virtuální sítí A a virtuální sítí C, musíte mezi těmito dvěma virtuálními sítěmi explicitně vytvořit partnerský vztah.
Průchod bránou
Pokud povolíte průchod bránou z virtuální sítě s bránou, která má bránu VPN Gateway, můžete se připojit k místní síti. Když použijete průchod bránou, můžete umožnit místní připojení bez nasazení bran virtuálních sítí do všech vašich virtuálních sítí. Tato metoda může snížit celkové náklady a složitost sítě. Pomocí partnerského vztahu virtuálních sítí s průchodem bránou můžete nakonfigurovat jednu virtuální síť jako centrální síť. Tuto centrální síť můžete připojit k místnímu datovému centru a její bránu virtuální sítě sdílet s partnery.
Pokud chcete povolit průchod bránou, nakonfigurujte možnost Povolit průchod bránou ve virtuální síti centra, kde je nasazené připojení brány k místní síti. Nakonfigurujte také v každé koncové virtuální síti možnost Používat vzdálené brány.
Poznámka:
Pokud chcete v peeringu koncové sítě povolit možnost Používat vzdálené brány, nemůžete v dané koncové virtuální síti nasadit bránu virtuální sítě.
Překrývající se adresní prostory
Adresní prostory IP adres připojených sítí v Azure a mezi Azure a vaší místní sítí se nemůžou překrývat. Toto pravidlo platí také pro partnerské virtuální sítě. Při plánování návrhu sítě mějte toto pravidlo na paměti. U všech sítí, které propojíte prostřednictvím peeringu virtuálních sítí, sítě VPN nebo služby ExpressRoute, přiřaďte různé adresní prostory, které se nepřekrývají.
Alternativní způsoby propojení
Partnerský vztah virtuálních sítí je nejméně složitý způsob, jak propojit virtuální sítě. Jiné způsoby se soustředí spíše na propojení místních sítí a sítí Azure než na propojení mezi virtuálními sítěmi.
Virtuální sítě můžete také propojit prostřednictvím okruhu ExpressRoute. ExpressRoute je vyhrazené privátní propojení mezi místním datovým centrem a páteřní sítí Azure. Virtuální sítě, které jsou připojené k okruhu ExpressRoute, jsou součástí stejné domény směrování a můžou vzájemně komunikovat. Připojení ExpressRoute nepoužívají veřejný internet, takže vaše komunikace se službami Azure je maximálně zabezpečená.
Sítě VPN propojují místní datové centrum s páteřní sítí Azure prostřednictvím šifrovaného tunelu přes internet. Použitím konfigurace typu site-to-site můžete virtuální sítě propojit přes brány VPN. Brány VPN mají vyšší latenci než konfigurace s peeringem virtuálních sítí. Jsou složitější a jejich správa může být nákladnější.
Pokud jsou virtuální sítě propojené přes bránu i peering virtuálních sítí, prochází komunikace přes konfiguraci peeringu.
Kdy zvolit peering virtuálních sítí
Peering virtuálních sítí může být skvělý způsob, jak umožnit propojení sítí mezi službami, které jsou v různých virtuálních sítích. Partnerský vztah virtuálních sítí by měl být vaší první volbou, když potřebujete integrovat virtuální sítě Azure. Je snadné implementovat a nasadit a funguje dobře napříč oblastmi a předplatnými.
Partnerský vztah nemusí být vaší nejlepší volbou, pokud máte stávající připojení VPN nebo ExpressRoute za službami Azure Basic Load Balancers, ke kterým by se přistupovalo z partnerské virtuální sítě. V takových případech byste měli prozkoumat jiné alternativy.