共用方式為

Azure 虛擬網絡 Manager 中的連線設定

  • 發行項

在本文中,您將瞭解您可以使用 Azure 虛擬網絡 Manager 建立和部署的不同組態類型。 目前有兩種類型的組態可供使用:連線和安全性系統管理員

連線能力設定

線上設定 可讓您根據網路需求建立不同的網路拓撲。 您有兩個 拓撲可供選擇,網狀網路 和中 樞和輪輻。 虛擬網路之間的連線是在組態設定內定義。

網格網路拓撲

網狀網路是一種拓撲,其中網路群組中的所有虛擬網路彼此連線。 所有虛擬網路都已連線,而且可以雙向將流量傳遞至彼此。

網狀網路拓撲的常見使用案例是允許中樞和輪輻拓撲中的某些輪輻虛擬網路彼此直接通訊,而不需要流量通過中樞虛擬網路。 此方法可減少因透過中樞路由器路由傳送流量所造成的延遲。 此外,您可以藉由在 Azure 虛擬網絡 Manager 中實作網路安全組規則或安全性系統管理規則,來維護輪輻網路之間的直接連線安全性和監督。 您也可以使用虛擬網路流量記錄來監視和記錄流量。

根據預設,網狀結構是區域網格,因此只有相同區域中的虛擬網路可以彼此通訊。 全域網格 可以啟用,以在所有 Azure 區域建立虛擬網路的連線能力。 虛擬網路最多可是兩個連線群組的一部分。 虛擬網路位址空間可以在網格組態中重疊,與虛擬網路對等互連不同。 不過,會卸除特定重迭子網的流量,因為路由不具決定性。

網狀網路拓撲的圖表。

線上的群組

當您在中樞和輪輻拓撲中建立網格拓撲或直接連線時,會建立稱為 連線群組的新聯機建構。 線上群組中的虛擬網路可以彼此通訊,就像您手動將虛擬網路連線在一起一樣。 當您查看網路介面的有效路由時,您會看到 ConnectedGroup下一個躍點類型。 線上群組中聯機在一起的虛擬網路沒有虛擬網路的對等互連設定列在虛擬網路的對等互連之下

注意

  • 如果您在兩個或多個虛擬網路中有衝突的子網,即使這些子網屬於相同網狀網路的一部分,這些子網 中的資源也無法 彼此通訊。
  • 虛擬網路最多可是兩個網狀組態的一部分。

中樞與輪幅拓撲 \(部分機器翻譯\)

中樞輪輻是一種網路拓撲,其中您已將虛擬網路選取為中樞虛擬網路。 此虛擬網路會與組態中的每個輪輻虛擬網路進行雙向對等互連。 當您想要隔離虛擬網路,但仍想要連線到中樞虛擬網路中的常見資源時,此拓撲很有用。

中樞和輪輻拓撲的圖表。

在此組態中,您可以啟用設定,例如 輪輻虛擬網路之間的直接連線 。 根據預設,此聯機僅適用於相同區域中的虛擬網路。 若要允許跨不同 Azure 區域的連線,您必須啟用 全域網格。 您也可以啟用 閘道 傳輸,以允許輪輻虛擬網路使用部署在中樞的 VPN 或 ExpressRoute 閘道。

如果核取,任何不符合此組態內容的對等互連都可以藉由移除,即使部署此設定之後手動建立這些對等互連也一樣。 如果您從組態中使用的網路群組中移除 VNet,則虛擬管理員只會移除建立的對等互連。

直接連線

啟用直接連線會在中樞和輪輻拓撲頂端建立已連線群組的重疊,其中包含指定群組的輪輻虛擬網路。 直接連線可讓輪輻 VNet 直接與其輪輻群組中的其他 VNet 通訊,但無法與其他輪輻中的 VNet 通訊。

例如,您會建立兩個網路群組。 您可以啟用生產網路群組的直接連線,但不啟用測試網路群組的直接連線。 此設定只允許生產網路群組中的虛擬網路彼此通訊,但不允許測試網路群組中的虛擬網路進行通訊。

具有兩個網路群組的中樞和輪輻拓撲圖表。

當您查看 VM 上的有效路由時,中樞與輪輻虛擬網路之間的路由將會有下一個躍點類型 VNetPeering 或 GlobalVNetPeering。 輪輻虛擬網路之間的路由會顯示為 ConnectedGroup下一個躍點類型。 在上述範例中 ,只有 Production 網路群組會有 ConnectedGroup因為它已啟用直接連線

使用拓撲檢視探索網路群組拓撲

為了協助您了解網路群組的拓撲,Azure 虛擬網絡 管理員會提供拓撲檢視,以顯示網路群組與其成員虛擬網路之間的連線。 您可以在建立連線設定期間,使用下列步驟來檢視網路群組的拓撲:

  1. 流覽至 [ 組態 ] 頁面並建立連線設定。
  2. 在 [ 拓撲] 索引標籤上,選取您想要的 拓撲類型、將一或多個網路群組新增至拓撲,以及設定其他所需的連線設定。
  3. 選取 [ 預覽拓撲] 索引 標籤,以測試拓撲檢視,並檢閱您設定的目前連線能力。
  4. 完成連線設定的建立。

您可以選取網路群組詳細數據頁面中 [設定] 底下的 [視覺效果],以檢閱網路群組目前的拓撲。 此檢視會顯示網路群組中成員虛擬網路之間的連線。

顯示網路群組拓撲的視覺效果視窗螢幕快照。

使用案例

當您想要在中樞虛擬網路中擁有 NVA 或一般服務,但中樞不需要一律存取時,啟用輪輻虛擬網路之間的直接聯機會很有説明。 但您需要網路群組中的輪輻虛擬網路彼此通訊。 相較於傳統中樞和輪輻網路,此拓撲可藉由透過中樞虛擬網路移除額外的躍點來改善效能。

全域網格

如同網格,這些輪輻聯機群組可以設定為區域或全域。 當您想要輪輻虛擬網路跨區域彼此通訊時,需要全域網格。 此連線僅限於相同網路群組中的虛擬網路。 若要啟用跨區域的虛擬網路連線,您必須 啟用網路群組跨區域的 網格連線。 輪輻虛擬網路之間建立的連線位於聯機 群組中。

使用中樞作為閘道

您可以在中樞輪輻組態中啟用的另一個選項是使用中樞作為閘道。 此設定可讓網路群組中的所有虛擬網路使用中樞虛擬網路中的 VPN 或 ExpressRoute 閘道來傳遞流量。 請參閱閘道與內部部署連線能力

當您從 Azure 入口網站 部署中樞和輪輻拓撲時,預設會針對網路群組中的輪輻虛擬網路啟用使用中樞作為網關。 Azure 虛擬網絡 Manager 會嘗試在資源群組中的中樞與輪輻虛擬網路之間建立虛擬網路對等互連連線。 如果中樞虛擬網路中沒有網關,則從輪輻虛擬網路到中樞的對等互連建立會失敗。 從中樞到輪輻的對等互連連線仍會在未建立連線的情況下建立。

下一步