Włączanie łączności między sieciami wirtualnymi za pomocą komunikacji równorzędnej

Ukończone

Organizacje z operacjami na dużą skalę tworzą połączenia między różnymi częściami infrastruktury sieci wirtualnej. Komunikacja równorzędna sieci wirtualnych umożliwia bezproblemowe łączenie oddzielnych sieci wirtualnych z optymalną wydajnością sieci, niezależnie od tego, czy znajdują się w tym samym regionie platformy Azure (komunikacja równorzędna sieci wirtualnych) lub w różnych regionach (globalna komunikacja równorzędna sieci wirtualnych). Ruch sieciowy między wirtualnymi sieciami równorzędnymi jest prywatny. Sieci wirtualne są wyświetlane jako jedna dla celów łączności. Ruch między maszynami wirtualnymi w równorzędnych sieciach wirtualnych korzysta z infrastruktury szkieletowej firmy Microsoft, a w komunikacji między sieciami wirtualnymi nie jest wymagany publiczny Internet, bramy ani szyfrowanie.

Komunikacja równorzędna między sieciami wirtualnymi umożliwia bezproblemowe połączenie dwóch sieci wirtualnych platformy Azure. Po nawiązaniu połączenia równorzędnego sieci wirtualne są traktowane jako jedna sieć. Istnieją dwa typy komunikacji równorzędnej sieci wirtualnych.

• Regionalna komunikacja równorzędna sieci wirtualnych łączy sieci wirtualne platformy Azure w tym samym regionie.
• Globalna komunikacja równorzędna sieci wirtualnych łączy sieci wirtualne platformy Azure w różnych regionach. Równorzędne sieci wirtualne mogą istnieć w dowolnym regionie chmury publicznej platformy Azure lub w regionach chmury w Chinach, ale nie w regionach chmury dla instytucji rządowych. Sieci wirtualne można łączyć równorzędnie tylko w tym samym regionie w regionach chmury platformy Azure Government.

Korzystanie z wirtualnych sieci równorzędnych, lokalnych lub globalnych, zapewnia m.in. następujące korzyści:

• Połączenie o małych opóźnieniach i dużej przepustowości między zasobami w różnych sieciach wirtualnych.
• Możliwość stosowania sieciowych grup zabezpieczeń w sieci wirtualnej w celu blokowania dostępu do innych sieci wirtualnych lub podsieci.
• Możliwość przesyłania danych między sieciami wirtualnymi w subskrypcjach platformy Azure, dzierżawach firmy Microsoft Entra, modelach wdrażania i regionach świadczenia usługi Azure.
• Możliwość komunikacji równorzędnej sieci wirtualnych utworzonych za pośrednictwem usługi Azure Resource Manager.
• Możliwość komunikacji równorzędnej z siecią wirtualną utworzoną za pomocą usługi Resource Manager do jednej utworzonej za pośrednictwem klasycznego modelu wdrażania.
• Podczas tworzenia komunikacji równorzędnej lub po utworzeniu komunikacji równorzędnej nie jest wymagany żaden przestój zasobów w sieci wirtualnej.

Na poniższym diagramie przedstawiono scenariusz, w którym zasoby w sieci wirtualnej firmy Contoso i zasoby w sieci wirtualnej firmy Fabrikam muszą się komunikować. Subskrypcja Contoso w regionie Zachodnie stany USA jest połączona z subskrypcją Fabrikam w regionie Wschodnie stany USA.

Tabele routingu pokazują trasy znane zasobom w każdej subskrypcji. W poniższej tabeli routingu przedstawiono trasy znane firmie Contoso, a ostatnim wpisem jest wpis globalna komunikacja równorzędna sieci wirtualnych do podsieci Fabrikam 10.10.26.0/24.

W poniższej tabeli routingu przedstawiono trasy znane firmie Fabrikam. Ponownie ostatnim wpisem jest wpis globalna komunikacja równorzędna sieci wirtualnych, tym razem do podsieci Contoso 10.17.26.0/24.

Konfigurowanie komunikacji równorzędnej sieci wirtualnych

Poniżej przedstawiono procedurę konfigurowania komunikacji równorzędnej sieci wirtualnych. Zwróć uwagę, że potrzebujesz dwóch sieci wirtualnych. Aby przetestować komunikację równorzędną, potrzebna jest maszyna wirtualna w każdej sieci. Początkowo maszyny wirtualne nie będą mogły komunikować się, ale po skonfigurowaniu komunikacja działa. Krok, który jest nowy, polega na skonfigurowaniu komunikacji równorzędnej sieci wirtualnych.

1. Utwórz dwie sieci wirtualne.
2. Komunikacja równorzędna sieci wirtualnych.
3. Tworzenie maszyn wirtualnych w każdej sieci wirtualnej.
4. Przetestuj komunikację między maszynami wirtualnymi.

Aby skonfigurować komunikację równorzędną, użyj strony Dodawanie komunikacji równorzędnej . Należy wziąć pod uwagę tylko kilka opcjonalnych parametrów konfiguracji.

Uwaga

Po dodaniu komunikacji równorzędnej w jednej sieci wirtualnej druga konfiguracja sieci wirtualnej zostanie automatycznie dodana.

Tranzyt bramy i łączność

Gdy sieci wirtualne są równorzędne, należy skonfigurować bramę sieci VPN w równorzędnej sieci wirtualnej jako punkt tranzytowy. W takim przypadku równorzędna sieć wirtualna używa bramy zdalnej do uzyskania dostępu do innych zasobów. Jedna sieć wirtualna może mieć tylko jedną bramę. Tranzyt bramy jest obsługiwany zarówno w przypadku komunikacji równorzędnej sieci wirtualnych, jak i globalnej komunikacji równorzędnej sieci wirtualnych.

Jeśli zezwalasz na tranzyt bramy, sieć wirtualna może komunikować się z zasobami spoza komunikacji równorzędnej. Na przykład brama podsieci może:

• Użyj sieci VPN typu lokacja-lokacja, aby nawiązać połączenie z siecią lokalną.
• Użyj połączenia sieć wirtualna-sieć wirtualna z inną siecią wirtualną.
• Użyj sieci VPN typu punkt-lokacja, aby nawiązać połączenie z klientem.

W tych scenariuszach tranzyt bramy umożliwia równorzędnym sieciom wirtualnym udostępnianie bramy i uzyskiwanie dostępu do zasobów. Oznacza to, że nie trzeba wdrażać bramy sieci VPN w równorzędnej sieci wirtualnej.

Uwaga

Sieciowe grupy zabezpieczeń można stosować w sieci wirtualnej, aby zablokować dostęp do innych sieci wirtualnych lub podsieci. Podczas konfigurowania wirtualnych sieci równorzędnych można otwierać i zamykać reguły grupy zabezpieczeń sieci między sieciami wirtualnymi.

Używanie łańcucha usług do kierowania ruchu do bramy

Załóżmy, że chcesz kierować ruch z sieci wirtualnej firmy Contoso do określonego wirtualnego urządzenia sieciowego (WUS). Utwórz trasy zdefiniowane przez użytkownika, aby kierować ruch z sieci wirtualnej firmy Contoso do urządzenia WUS w sieci wirtualnej firmy Fabrikam. Ta technika jest nazywana łańcuchem usług.

Aby włączyć tworzenie łańcuchów usług, dodaj trasy zdefiniowane przez użytkownika wskazujące maszyny wirtualne w równorzędnej sieci wirtualnej jako adres IP następnego przeskoku. Trasy zdefiniowane przez użytkownika mogą również wskazywać bramy sieci wirtualnej.

Sieci wirtualne platformy Azure można wdrożyć w topologii piasty i szprych z siecią wirtualną piasty działającą jako centralny punkt łączności ze wszystkimi sieciami wirtualnymi szprych. Sieć wirtualna piasty hostuje składniki infrastruktury, takie jak urządzenie WUS, maszyny wirtualne i brama sieci VPN. Wszystkie sieci wirtualne będące szprychami są równorzędne z siecią wirtualną piasty. Ruch przepływa przez wirtualne urządzenia sieciowe lub bramy sieci VPN w sieci wirtualnej koncentratora. Zalety korzystania z konfiguracji piasty i szprych obejmują oszczędności kosztów, przekroczenie limitów subskrypcji i izolację obciążenia.

Na poniższym diagramie przedstawiono scenariusz, w którym sieć wirtualna piasty hostuje bramę sieci VPN, która zarządza ruchem do sieci lokalnej, umożliwiając kontrolowaną komunikację między siecią lokalną a równorzędnymi sieciami wirtualnymi platformy Azure.

Wybierz najlepszą odpowiedź na każde pytanie.

Sprawdź swoją wiedzę

1.

Gdy jeden z nich potrzebuje zasobów w jednej sieci wirtualnej do komunikowania się z zasobami w podsieci w innej sieci wirtualnej. Której funkcji sieci platformy Azure należy użyć?

Wewnętrzny system nazw domen (DNS).

Azure Strefy dostępności.

Komunikacja równorzędna sieci wirtualnych.

2.

Jakie zmiany występują w równorzędnych sieciach wirtualnych podczas konfigurowania globalnej komunikacji równorzędnej?

Wpis komunikacji równorzędnej jest dodawany do tabeli routingu tylko w źródłowej sieci wirtualnej.

Cały ruch w sieci wirtualnej musi być kierowany przez bramę.

Wpis komunikacji równorzędnej jest dodawany do tabeli routingu w każdej sieci wirtualnej.

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.