Łączenie usług za pomocą komunikacji równorzędnej sieci wirtualnych

  • 8 min

Komunikację równorzędną sieci wirtualnych można używać do bezpośredniego łączenia sieci wirtualnych platformy Azure. W przypadku łączenia sieci wirtualnych za pomocą komunikacji równorzędnej maszyny wirtualne w tych sieciach mogą komunikować się ze sobą tak, jakby były w tej samej sieci.

W przypadku wirtualnych sieci równorzędnych ruch między maszynami wirtualnymi jest kierowany przez sieć platformy Azure. Ruch używa tylko prywatnych adresów IP. Nie jest zależny od łączności internetowej, bram ani połączeń szyfrowanych. Ruch jest zawsze prywatny i korzysta z zalet dużej przepustowości oraz niskiego opóźnienia sieci szkieletowej platformy Azure.

Podstawowy diagram dwóch sieci wirtualnych połączonych za pomocą komunikacji równorzędnej sieci wirtualnych.

Dwa typy połączeń komunikacji równorzędnej są tworzone w taki sam sposób:

  • Komunikacja równorzędna sieci wirtualnych łączy sieci wirtualne w tym samym regionie usługi Azure, np. dwie sieci wirtualne w regionie Europa Północna.
  • Globalna komunikacja równorzędna sieci wirtualnych łączy sieci wirtualne, które znajdują się w różnych regionach usługi Azure, np. sieć wirtualną w regionie Europa Północna i sieć wirtualną w regionie Europa Zachodnia.

Komunikacja równorzędna sieci wirtualnych nie wpływa ani nie zakłóca żadnych zasobów, które zostały już wdrożone w sieciach wirtualnych. W przypadku korzystania z komunikacji równorzędnej sieci wirtualnych należy wziąć pod uwagę kluczowe funkcje zdefiniowane w poniższych sekcjach.

Połączenia dwustronne

Podczas tworzenia połączenia komunikacji równorzędnej sieci wirtualnej za pomocą programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure zostanie utworzony tylko jedna strona komunikacji równorzędnej. Aby ukończyć konfigurację komunikacji równorzędnej sieci wirtualnych, należy skonfigurować komunikację równorzędną w odwrotnym kierunku w celu nawiązania łączności. Podczas tworzenia połączenia komunikacji równorzędnej sieci wirtualnych za pośrednictwem witryny Azure Portal konfiguracja obu stron zostanie ukończona w tym samym czasie.

Przypomina to sposób łączenia razem dwóch przełączników sieciowych. Możesz podłączyć do każdego przełącznika, a może skonfigurować niektóre ustawienia, aby przełączniki mogły się komunikować. Komunikacja równorzędna sieci wirtualnych wymaga podobnych połączeń w każdej sieci wirtualnej. Połączenia dwustronne zapewniają tę funkcjonalność.

Komunikacja równorzędna sieci wirtualnych między subskrypcjami

Można używać komunikacji równorzędnej sieci wirtualnych nawet wtedy, gdy obie sieci wirtualne należą do różnych subskrypcji. Ta konfiguracja może być konieczna w przypadku fuzji i przejęć lub połączenia sieci wirtualnych w subskrypcjach zarządzanych przez różne działy. Sieci wirtualne mogą znajdować się w różnych subskrypcjach, a subskrypcje mogą używać tych samych lub różnych dzierżaw firmy Microsoft Entra.

Podczas korzystania z komunikacji równorzędnej sieci wirtualnych między subskrypcjami, może się okazać, że administrator jednej subskrypcji nie administruje subskrypcją sieci równorzędnej. Administrator może nie być w stanie skonfigurować obu końców połączenia. Aby połączyć sieci wirtualne, gdy obie subskrypcje znajdują się w różnych dzierżawach firmy Microsoft Entra, administratorzy każdej subskrypcji muszą przyznać administratorowi Network Contributor subskrypcji równorzędnej rolę w sieci wirtualnej.

Przechodniość

Komunikacja równorzędna sieci wirtualnych nie jest przechodnia. Tylko sieci wirtualne, które mają bezpośrednio skonfigurowaną komunikację równorzędną, mogą komunikować się ze sobą. Sieci wirtualne nie mogą komunikować się z elementami równorzędnymi swoich elementów równorzędnych.

Załóżmy na przykład, że trzy sieci wirtualne (A, B, C) są równorzędne w następujący sposób: A <-> B <-> C. Zasoby w A nie mogą komunikować się z zasobami w języku C, ponieważ ruch nie może być przesyłany przez sieć wirtualną B. Jeśli potrzebujesz komunikacji między siecią wirtualną A i siecią wirtualną C, musisz jawnie za pomocą komunikacji równorzędnej tych dwóch sieci wirtualnych.

Tranzyt przez bramę

Możesz nawiązać połączenie z siecią lokalną z równorzędnej sieci wirtualnej, jeśli włączysz tranzyt bramy z sieci wirtualnej, która ma bramę sieci VPN. Tranzyt przez bramę umożliwia łączność lokalną bez wdrażania bram sieci wirtualnych we wszystkich sieciach wirtualnych. Ta metoda może zmniejszyć całkowity koszt i złożoność sieci. Korzystając z komunikacji równorzędnej sieci wirtualnych z tranzytem bramy, można skonfigurować pojedynczą sieć wirtualną jako sieć piasty. Połącz tę sieć piasty z lokalnym centrum danych i udostępnij jej bramę sieci wirtualnej węzłom równorzędnym.

Aby włączyć tranzyt bramy, skonfiguruj opcję Zezwalaj na tranzyt bramy w sieci wirtualnej koncentratora, w której jest wdrażane połączenie bramy z siecią lokalną. Należy również skonfigurować opcję Użyj zdalnych bram we wszystkich sieciach wirtualnych szprych.

Uwaga

Jeśli chcesz włączyć opcję Użyj zdalnych bram w komunikacji równorzędnej sieci szprychy, nie możesz wdrożyć bramy sieci wirtualnej w sieci wirtualnej szprychy.

Nakładające się przestrzenie adresowe

Przestrzenie adresowe IP połączonych sieci na platformie Azure i między platformą Azure i siecią lokalną nie mogą się nakładać. Ta reguła jest również prawdziwa w przypadku równorzędnych sieci wirtualnych. Podczas planowania projektu sieci należy pamiętać o tej regule. W sieciach łączonych za pośrednictwem komunikacji równorzędnej sieci wirtualnych, sieci VPN lub usługi ExpressRoute przypisz różne przestrzenie adresowe, które się nie nakładają.

Diagram przedstawiający porównanie nakładających się i nienakładających się adresów sieciowych.

Alternatywne metody łączności

Komunikacja równorzędna sieci wirtualnych to najmniej złożony sposób łączenia sieci wirtualnych. Inne metody skupiają się głównie na łączności między sieciami lokalnymi i sieciami platformy Azure, a nie połączeniami między sieciami wirtualnymi.

Możesz również połączyć sieci wirtualne za pośrednictwem obwodu usługi ExpressRoute. Usługa ExpressRoute to dedykowane, prywatne połączenie między lokalnym centrum danych i siecią szkieletową platformy Azure. Sieci wirtualne połączone z obwodem usługi ExpressRoute są częścią tej samej domeny routingu i mogą się komunikować między sobą. Połączenia usługi ExpressRoute nie odbywają się za pośrednictwem publicznej sieci Internet, więc komunikacja z usługami platformy Azure jest tak bezpieczna, jak to tylko możliwe.

Sieci VPN korzystają z Internetu do łączenia lokalnego centrum danych z siecią szkieletową platformy Azure za pośrednictwem szyfrowanego tunelu. Można używać konfiguracji typu lokacja-lokacja do łączenia ze sobą sieci wirtualnych za pośrednictwem bram sieci VPN. Bramy sieci VPN mają większe opóźnienie niż konfiguracje komunikacji równorzędnej sieci wirtualnych. Są one bardziej złożone i mogą kosztować więcej do zarządzania.

Gdy sieci wirtualne są połączone zarówno za pośrednictwem bramy, jak i komunikacji równorzędnej sieci wirtualnych, ruch odbywa się za pośrednictwem konfiguracji komunikacji równorzędnej.

Kiedy wybrać komunikację równorzędną sieci wirtualnych

Komunikacja równorzędna sieci wirtualnych może być dobrym sposobem, aby umożliwić łączność sieciową między usługami, które znajdują się w różnych sieciach wirtualnych. Komunikacja równorzędna sieci wirtualnych powinna być pierwszą wyborem w przypadku konieczności zintegrowania sieci wirtualnych platformy Azure. Implementacja i wdrażanie jest łatwa i dobrze działa w różnych regionach i subskrypcjach.

Komunikacja równorzędna może nie być najlepszą opcją, jeśli masz istniejące połączenia sieci VPN lub usługi ExpressRoute lub usługi za podstawowymi modułami równoważenia obciążenia platformy Azure, do których można uzyskać dostęp z równorzędnej sieci wirtualnej. W tych przypadkach należy zbadać alternatywne rozwiązania.