Aktivera anslutning mellan virtuella nätverk med peering

  • 6 minuter

Organisationer med storskaliga åtgärder behöver ofta skapa anslutningar mellan olika delar av sin virtuella nätverksinfrastruktur. Med peering för virtuella nätverk kan du sömlöst ansluta separata virtuella nätverk med optimal nätverksprestanda, oavsett om de finns i samma Azure-region (VNet-peering) eller i olika regioner (global VNet-peering). Nätverkstrafiken mellan peer-kopplade virtuella nätverk är privat. De virtuella nätverken visas som ett för anslutningsändamål. Trafiken mellan virtuella datorer i peer-kopplade virtuella nätverk använder Microsofts staminfrastruktur och inget offentligt Internet, gatewayer eller kryptering krävs i kommunikationen mellan de virtuella nätverken.

Med VNET-peering kan du smidigt ansluta två virtuella Azure-nätverk. När de virtuella nätverken har peer-kopplats visas de som ett nätverk för anslutningsändamål. Det finns två typer av VNet-peering.

  • Regional VNet-peering ansluter virtuella Azure-nätverk i samma region.
  • Global VNet-peering ansluter virtuella Azure-nätverk i olika regioner. När du skapar en global peering kan peer-kopplade virtuella nätverk finnas i alla offentliga Azure-molnregioner eller molnregioner i Kina, men inte i myndighetsmolnregioner. Du kan bara peer-koppla virtuella nätverk i samma region i Azure Government-molnregioner.

Bild som visar VNet1 i region 1 och VNet2 och VNet3 i region 2. VNet2 och VNet3 är anslutna till regional VNet-peering. VNet1 och VNet2 är anslutna till en global VNet-peering

Fördelar med att använda VNET-peering (avsett om den är lokal eller global):

  • En anslutning med korta svarstider och hög bandbredd mellan resurser i olika virtuella nätverk.
  • Möjligheten att använda nätverkssäkerhetsgrupper i ett virtuellt nätverk för att blockera åtkomst till andra virtuella nätverk eller undernät.
  • Möjligheten att överföra data mellan virtuella nätverk mellan Azure-prenumerationer, Microsoft Entra-klienter, distributionsmodeller och Azure-regioner.
  • Möjligheten att peer-koppla virtuella nätverk som skapats via Azure Resource Manager.
  • Möjligheten att peer-koppla ett virtuellt nätverk som skapats via Resource Manager till ett som skapats via den klassiska distributionsmodellen.
  • Ingen stilleståndstid för resurser i det virtuella nätverket krävs när peering skapas eller när peering har skapats.

Följande diagram visar ett scenario där resurser på det virtuella Contoso-nätverket och resurser på det virtuella Fabrikam-nätverket måste kommunicera. Contoso-prenumerationen i regionen USA, västra är ansluten till Fabrikam-prenumerationen i regionen USA, östra.

Diagram visar ett scenario där resurser på det virtuella Contoso-nätverket och resurser på det virtuella Fabrikam-nätverket måste kommunicera.

Routningstabellerna visar de vägar som är kända för resurserna i varje prenumeration. Följande routningstabell visar de vägar som är kända för Contoso, där den sista posten är den globala VNet-peeringposten till undernätet Fabrikam 10.10.26.0/24.

Routningstabeller visar de vägar som är kända för resurserna i varje prenumeration. Följande routningstabell visar de vägar som är kända för Contoso

Följande routningstabell visar de vägar som är kända för Fabrikam. Återigen är den sista posten global VNet-peeringpost, den här gången till undernätet Contoso 10.17.26.0/24.

Routningstabell som är känd för Fabrikam

Konfigurera VNet-peering

Här följer stegen för att konfigurera VNet-peering. Observera att du behöver två virtuella nätverk. För att testa peering behöver du en virtuell dator i varje nätverk. Inledningsvis kommer de virtuella datorerna inte att kunna kommunicera, men efter konfigurationen fungerar kommunikationen. Det nya steget är att konfigurera peering för de virtuella nätverken.

  1. Skapa två virtuella nätverk.
  2. Peer-koppla de virtuella nätverken.
  3. Skapa virtuella datorer i varje virtuellt nätverk.
  4. Testa kommunikationen mellan de virtuella datorerna.

Om du vill konfigurera peering använder du sidan Lägg till peering . Det finns bara några få valfria konfigurationsparametrar att tänka på.

Skärmbild av konfigurationssidan för peering för virtuella nätverk.

Kommentar

När du lägger till en peering i ett virtuellt nätverk läggs den andra virtuella nätverkskonfigurationen till automatiskt.

Gatewayöverföring och anslutning

När virtuella nätverk peerkopplas konfigurerar du en VPN-gateway i det peerkopplade virtuella nätverket som en överföringsplats. I det här fallet använder ett peer-kopplat virtuellt nätverk fjärrgatewayen för att få åtkomst till andra resurser. Ett virtuellt nätverk kan bara ha en gateway. Gatewayöverföring stöds för både VNet-peering och global VNet-peering.

När du tillåter gatewayöverföring kan det virtuella nätverket kommunicera med resurser utanför peering. Till exempel kan undernätsgatewayen:

  • Använd ett plats-till-plats-VPN för att ansluta till ett lokalt nätverk.
  • Använd en VNet-till-VNet-anslutning till ett annat virtuellt nätverk.
  • Använd ett punkt-till-plats-VPN för att ansluta till en klient.

I dessa scenarier tillåter gatewayöverföring peerkopplade virtuella nätverk att dela gatewayen och få åtkomst till resurser. Det innebär att du inte behöver distribuera en VPN-gateway i det virtuella peer-nätverket.

Kommentar

Nätverkssäkerhetsgrupper kan användas i antingen ett virtuellt nätverk för att blockera åtkomst till andra virtuella nätverk eller undernät. När du konfigurerar peering i virtuella nätverk, kan du öppna eller stänga av reglerna för nätverkssäkerhetsgrupper mellan virtuella nätverk.

Använda tjänstlänkning för att dirigera trafik till en gateway

Anta att du vill dirigera trafik från det virtuella Contoso-nätverket till en specifik virtuell nätverksinstallation (NVA). Skapa användardefinierade vägar för att dirigera trafik från det virtuella Contoso-nätverket till NVA i det virtuella Fabrikam-nätverket. Den här tekniken kallas för tjänstlänkning.

Om du vill aktivera tjänstlänkning lägger du till användardefinierade vägar som pekar på virtuella datorer i det peerkopplade virtuella nätverket som nästa hopp-IP-adress. Användardefinierade vägar kan också peka på virtuella nätverksgatewayer.

Virtuella Azure-nätverk kan distribueras i en nav-och-eker-topologi, där det virtuella hubbnätverket fungerar som en central anslutningspunkt till alla virtuella ekernätverk. Det virtuella hubbnätverket är värd för infrastrukturkomponenter som en NVA, virtuella datorer och en VPN-gateway. Alla virtuella ekernätverks peer med det virtuella hubbnätverket. Trafiken flödar via virtuella nätverksinstallationer eller VPN-gatewayer i det virtuella hubbnätverket. Fördelarna med att använda en hubb- och ekerkonfiguration är kostnadsbesparingar, övergående prenumerationsgränser och arbetsbelastningsisolering.

Följande diagram visar ett scenario där det virtuella hubbnätverket är värd för en VPN-gateway som hanterar trafik till det lokala nätverket, vilket möjliggör kontrollerad kommunikation mellan det lokala nätverket och peerkopplade virtuella Azure-nätverk.

Hub-and-spoke-konfiguration – Contoso och Fabrikam peer to Hub VNet. Det virtuella hubbnätverket innehåller NVA, virtuella datorer och en VPN Gateway som är ansluten till det lokala nätverket.

Välj det bästa svaret för var och en av frågorna nedan.

Kontrollera dina kunskaper

1.

När man behöver resurserna i ett virtuellt nätverk för att kommunicera med resurser i ett undernät i ett annat virtuellt nätverk. Vilken Azure-nätverksfunktion ska användas?

2.

Vilka ändringar sker i peer-kopplade virtuella nätverk när du konfigurerar global peering?