你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Virtual Network Manager 中的连接配置
本文介绍可以使用 Azure Virtual Network Manager 创建和部署的各种配置。 目前可以使用两种类型的配置:“连接”和“安全管理”。
连接配置
使用“连接”配置可以根据网络需求创建不同的网络拓扑。 有两种拓扑可供选择:“网格网络”和“中心辐射”。 虚拟网络之间的连接是在配置设置中定义的。
网格网络拓扑
在网格网络拓扑中,网络组中的所有虚拟网络都相互连接。 所有虚拟网络相互连接,并且可以彼此双向传送流量。
网格网络拓扑的常见用例是允许中心辐射型拓扑中的一些辐射虚拟网络直接相互通信,而无需流量通过中心虚拟网络。 此方法可减少因通过中心内的路由器路由流量而导致的延迟。 此外,还可以通过在 Azure Virtual Network Manager 中实施网络安全组规则或安全管理规则来维护辐射网络之间的直接连接的安全性并对其进行监督。 还可以使用虚拟网络流日志监视和记录流量。
默认情况下,网格是区域性的网格,因此只有同一区域中的虚拟网络才能相互通信。 可以启用全局网格来建立跨所有 Azure 区域的虚拟网络连接。 一个虚拟网络最多可以作为两个互连组的一部分。 与在虚拟网络对等互连中不同,虚拟网络地址空间在网格配置中不能重叠。 但流向特定重叠子网的流量会被丢弃,因为路由是非确定性的。
连接的组
在中心辐射型拓扑中创建网格拓扑或直接连接时,会创建一个名为“连接组”的新连接构造。 互连组中的虚拟网络可以相互通信,就如同手动将虚拟网络连接到了一起。 查看网络接口的有效路由时,你会看到下一个跃点类型“ConnectedGroup”。 在连接的组中连接在一起的虚拟网络的对等互连配置不会在虚拟网络的“对等互连”下列出。
注意
- 如果两个或更多个虚拟网络中存在有冲突的子网,则这些子网中的资源将无法相互通信,即使它们是同一网格网络的一部分,也是如此。
- 一个虚拟网络最多可以作为两个网格配置的一部分。
中心和辐射拓扑
在中心辐射型网络拓扑中,有一个虚拟网络已选作中心虚拟网络。 此虚拟网络与配置中的每个支路虚拟网络已建立双向对等互连。 如果你想要隔离某个虚拟网络,但仍希望它连接到中心虚拟网络中的公用资源,则此拓扑非常有用。
在此配置中,可以启用某些设置,例如支路虚拟网络之间的直接连接。 默认情况下,此连接仅用于同一区域中的虚拟网络。 若要允许跨不同 Azure 区域进行连接,需要启用全局网格。 还可以启用网关传输,以允许支路虚拟网络使用部署在中心内的 VPN 或 ExpressRoute 网关。
如果选中,则与此配置内容不匹配的任何对等互连都可以通过删除来删除,即使部署此配置后手动创建这些对等互连也是如此。 如果从配置中使用的网络组中删除 VNet,则虚拟管理器仅删除创建的对等互连。
直接连接
启用“直接连接”会在中心和辐射拓扑上创建已连接组的重叠,其中包含给定组的辐射虚拟网络。 通过使用“直接连接”,辐射 VNet 可以直接与其辐射组中的其他 VNet 通信,但不能与其他辐射中的 VNet 通信。
假设你要创建两个网络组。 可为“生产”网络组启用直接连接,但不为“测试”网络组启用直接连接。 此设置仅允许“生产”网络组中的虚拟网络相互通信,但不允许“测试”网络组中的虚拟网络相互通信。
查看 VM 上的有效路由时,中心和支路虚拟网络之间的路由将具有下一个跃点类型“VNetPeering”或“GlobalVNetPeering”。 支路虚拟网络之间的路由将显示为具有下一个跃点类型“ConnectedGroup”。 使用上面的示例,只有“生产”网络组具有“ConnectedGroup”,因为它启用了“直接连接”。
使用拓扑视图发现网络组拓扑
为了帮助你了解你的网络组的拓扑,Azure Virtual Network Manager 提供了一个“拓扑视图”,它显示了网络组与其成员虚拟网络之间的连接。 可以使用以下步骤在创建连接配置期间查看你的网络组的拓扑:
- 导航到“配置”页并创建一个连接配置。
- 在“拓扑”选项卡上,选择所需的拓扑类型,将一个或多个网络组添加到拓扑,然后配置其他所需的连接设置。
- 选择“预览拓扑”选项卡,测试拓扑视图并查看你的配置的当前连接。
- 完成连接配置的创建。
可以通过在网络组的详细信息页中的“设置” 下选择“可视化”来查看网络组的当前拓扑。 该视图显示网络组中成员虚拟网络之间的连接。
用例
如果你想要在中心虚拟网络中使用 NVA 或通用服务,但不需要一直访问中心,则在支路虚拟网络之间启用直接连接可能有帮助。 但是,需要网络组中的支路虚拟网络相互通信。 与传统的中心辐射型网络相比,此拓扑可以通过中心虚拟网络消除额外的跃点,从而提高了性能。
全局网格
与网格一样,这些与辐射连接的组可以配置为区域或全局。 如果你希望支路虚拟网络能够跨区域相互通信,则需要使用全局网格。 此连接仅限于同一网络组中的虚拟网络。 要跨区域为虚拟网络启用连接,需要为网络组启用跨区域的网格连接。 在支路虚拟网络之间创建的连接位于互连组中。
使用中心作为网关
可以在中心辐射型配置中启用的另一个选项是将中心用作网关。 通过此设置,网络组中的所有虚拟网络都可以使用中心虚拟网络中的 VPN 或 ExpressRoute 网关来传递流量。 请参阅网关和本地连接。
从 Azure 门户部署中心辐射型拓扑时,默认将为网络组中的支路虚拟网络启用“使用中心作为网关”。 Azure Virtual Network Manager 会尝试在资源组中的中心和辐射虚拟网络之间创建虚拟网络对等互连。 如果中心虚拟网络中不存在网关,则从辐射虚拟网络到中心的对等互连创建操作将会失败。 在未建立连接的情况下,仍会创建从中心到支路的对等连接。
后续步骤
- 使用 Terraform 部署 Azure Virtual Network Manager 实例。
- 了解 Azure Virtual Network Manager 中的配置部署。
- 了解如何使用安全管理配置阻止网络流量。