Azure 虚拟网络管理器简化了跨 Azure 网络环境的连接、安全、路由等管理。 连接配置(包括网格和中心辐射型拓扑)有助于优化组织规模的网络性能和连接。 本文介绍大规模连接组和全局网格连接等功能,以及每个拓扑的用例和设置。
连接配置
使用 连接配置,可以根据网络需求创建和维护不同的网络拓扑。 有两个拓扑可供选择:网格以及中心辐射。 您的连接配置的设置定义了虚拟网络之间的连接。 定义要通过 网络组建立连接的虚拟网络。 您的连接配置随后根据您希望的拓扑描述,使用网络组在其内的虚拟网络之间建立连接。
如果为连接配置启用 删除现有对等互连 ,则 Azure 虚拟网络管理器会删除与此连接配置内容不匹配的任何对等互连,即使部署此配置后手动创建了这些对等互连。 如果从配置中使用的网络组中删除虚拟网络,则 Azure 虚拟网络管理器实例仅删除它创建的连接。
部署连接配置时,Azure Virtual Network Manager根据所选拓扑和中心类型建立双向连接:
- 对于网格拓扑,通过使用已连接的组来建立连通性。
- 对于采用中心虚拟网络的中心辐射型拓扑,可使用虚拟网络对等互连实现连接。
- 对于采用 虚拟 WAN 中心的中心辐射拓扑,可通过创建或更新 虚拟 WAN 虚拟网络连接来建立连通性。
此连接是根据所定义设置和连接配置中包含的网络组建立的。
网格拓扑
网格拓扑定义 网络组中每个虚拟网络之间的连接。 所有成员虚拟网络都已连接,并且可以双向将流量传递到另一个。
网格拓扑的常见用例是允许中心辐射型拓扑中的辐射虚拟网络直接相互通信,而无需通过中心虚拟网络路由流量。 此方法可减少因通过中心内的路由器路由流量而导致的延迟。 此外,还可以通过在 Azure Virtual Network Manager 或网络安全组规则中实施安全管理员规则来维护辐射虚拟网络之间直接连接的安全和监督。 还可以使用 虚拟网络流日志监视和记录流量。
默认情况下,在连接配置中定义的网格拓扑是一个区域网格,这意味着只有同一区域中的虚拟网络可以相互通信。 可以在连接配置中启用全局网格选项,以便在所有 Azure 区域中的虚拟网络之间建立连接。
注释
虚拟网络地址空间可以在网格配置中重叠,这与虚拟网络对等互连不同,但由于路由的不确定性,具有重叠地址空间的子网之间的流量会被丢弃。
幕后:连接组
在中心辐射型拓扑中创建网格拓扑或启用直接连接时,会创建新的专用于 Azure 虚拟网络管理器的连接构造。 此构造称为 连接的组。 连接的组中的虚拟网络可以相互通信,就像手动连接的虚拟网络一样。 观察网络接口的有效路由时,会看到 ConnectedGroup 的下一跳类型。 在同一已连接组中彼此连接的虚拟网络,不会在该虚拟网络的对等互连下列出对等互连配置。 此互联组使 Azure 虚拟网络管理器能够支持比传统虚拟网络对等连接更大规模的虚拟网络连接。
注释
虚拟网络可以是最多两个连接的组的一部分,这意味着它可以是最多两个网格拓扑的一部分。
在 Azure Virtual Network Manager 连接组中启用大规模专用终结点
Azure 虚拟网络管理器的连接组功能中的大规模专用终结点功能使你能够扩展网络容量。 使用以下步骤启用此功能,以支持整个连接组中最多 20,000 个专用终结点。
为大规模专用终结点配置网格拓扑
在此步骤中,你要为连接组设置连接配置的网格拓扑设置,以启用大规模专用终结点。 此步骤涉及在 Azure 门户中选择适当的选项并验证配置。
在网格连接配置中,找到并选中“ 启用专用终结点高缩放”复选框。 此选项将激活已连接组的大规模功能。
确认整个网格(连接组)中的所有虚拟网络都配置了大规模专用终结点。 Azure 门户验证整个组的设置。 如果稍后添加不带大规模配置的虚拟网络,则无法与其他虚拟网络中的专用终结点通信。
验证是否已正确配置所有虚拟网络后,请部署连接配置。 这是完成大规模连接组设置的最后一步。
注释
当网格中的虚拟网络具有重叠的 IP 地址时,不支持用于大规模专用终结点的网格拓扑。
在 Azure 虚拟网络管理器连接组中启用大规模连接
Azure 虚拟网络管理器的连接组功能中的大规模连接功能使你能够扩展网络容量。 若要使用此功能,请注册预览功能“AllowHighScaleConnectedGroup”(可以通过其显示名称“启用高规模连接组”找到此功能)。 此功能允许受支持区域中的连接组最多包含 5,000 个虚拟网络。
启用直接连接
启用分支网络组的直接连接后,可以在枢纽和分支型拓扑结构之上,跨该分支网络组的虚拟网络创建网状网络,从而形成一个连接的组。 直接连接允许虚拟网络与其辐射网络组中的其他虚拟网络直接通信,但不允许与其他辐射网络组中的虚拟网络建立连接。
例如,你可以创建两个网络组,并将其作为辐射型网络组纳入到中心辐射连接配置中。 可为“生产”网络组启用直接连接,但不为“测试”网络组启用直接连接。 此设置将中心虚拟网络连接到 生产 组和 测试 网络组中的所有虚拟网络,但仅允许 生产 网络组中的虚拟网络相互通信。 生产网络组的虚拟网络与测试网络组的虚拟网络没有连接,并且测试网络组的虚拟网络本身没有连接(除非还为测试网络组启用直接连接)。
在虚拟机上查看有效路由时,枢纽和辐射虚拟网络之间的路由具有 VNetPeering 或 GlobalVNetPeering 的下一跃点类型。 辐条虚拟网络之间的路由的下一跳类型显示为ConnectedGroup。 使用 Production 和 Test 示例,只有 Production 网络组具有 ConnectedGroup ,因为它已启用 direct connectivity。
如果想要在中心虚拟网络中使用网络虚拟设备 (NVA) 或公用服务,但又不需要始终访问中心,则直接连接可以帮助受信任辐射虚拟网络互相通信。。 与传统的中心辐射型网络相比,此拓扑通过删除中心虚拟网络中的额外跃点来提高性能。
全局网格
与网格拓扑一样,默认将启用了直接连接的辐射网络组配置为区域。 如果希望辐射网络组的虚拟网络跨区域相互通信,则可以启用全局网格。 此连接仅限于同一网络组中的虚拟网络。 若要为跨区域的虚拟网络启用此全局网格连接,需要为网络组 跨区域启用网格连接 。 辐射虚拟网络之间创建的连接位于连接的组中。
使用中心作为网关
可以在中心辐射型配置中启用的另一个选项是将中心用作网关。 此设置允许从属网络组中的所有虚拟网络使用中心虚拟网络中的 VPN 或 ExpressRoute 网关来传输流量。 请参阅网关和本地连接。
从 Azure 门户部署中心和分支拓扑时,默认情况下会为网络组中的分支虚拟网络启用“使用中心作为网关”选项。 Azure 虚拟网络管理器尝试在枢纽虚拟网络与分支网络组中的虚拟网络之间创建虚拟网络对等连接。 如果启用此选项,但中心虚拟网络中没有网关,则从辐射虚拟网络到中心虚拟网络的对等互连创建将会失败。 在未建立连接的情况下,仍会创建从集线器到分支的对等连接。
使用拓扑视图发现网络组拓扑
为了帮助你了解网络组的拓扑,Azure 虚拟网络管理器提供了一个 拓扑视图 ,用于显示网络组与其成员虚拟网络之间的连接。 可以使用以下步骤在 创建连接配置期间查看连接配置的 拓扑:
转到 “配置” 页并创建连接配置。
在“拓扑”选项卡上,选择所需的拓扑类型,将一个或多个网络组添加到拓扑,然后配置其他所需的连接设置。
选择 “视图拓扑 ”选项卡,直观地查看配置的当前连接。
完成连接配置的创建。
可以通过在配置详细信息页中的“设置”下选择“查看拓扑”来查看连接配置的当前拓扑。 该视图显示属于此连接配置的虚拟网络之间的连接。
如何避免网状网络中重叠的地址
默认情况下,Azure 虚拟网络管理器允许网格网络中重叠的地址。 如果将具有相同地址空间的两个虚拟网络添加到网格网络,则会从网格中删除重叠的地址空间,因此与该地址空间中的资源通信不起作用。 之所以发生此删除,是因为当流量发送到该地址空间时,Azure 虚拟网络管理器无法确定应接收流量的虚拟网络。 虽然此行为可保护网格的完整性,但如果向现有网格添加新的重叠虚拟网络,则可能会导致中断。
Azure 虚拟网络管理器提供了一种机制,用于防止网格中的 IP 地址空间重叠。
使用 ConnectedGroupAddressOverlap 属性
连接配置包括属性 - ConnectedGroupAddressOverlap:
- 默认值:允许
- 可选设置:不允许
将此属性设置为此属性 Disallowed时,Azure 虚拟网络管理器会在连接的虚拟网络中强制实施严格的非重叠地址空间。
启用不允许时会发生什么情况?
将属性设置为 Disallowed时,Azure 虚拟网络管理器会验证可能影响网络结构中连接的地址更改。
将虚拟网络添加到网格
Azure 虚拟网络管理器会自动验证新虚拟网络的地址空间是否不会与现有成员重叠。 如果检测到重叠,则不会将虚拟网络添加到网格。
更新地址空间或添加网络对等连接
Azure 虚拟网络管理器会验证任何可能影响网格整体地址空间的更新,以确保它不会引入重叠。 更改示例包括更新网格虚拟网络的地址空间、创建与属于网格成员的虚拟网络的对等互连,或更改对等互连虚拟网络上的地址空间。
如何使用 Azure 虚拟网络管理器强制实施对等互连
Azure 虚拟网络管理器允许在网络拓扑中强制实施对等互连关系,以增强治理和合规性。 强制确保不能删除或修改 Azure 虚拟网络管理器外部的对等互连。 它适用于中心辐射型拓扑中的新建和现有的对等互连。
配置一个包含对等连接策略的星型网络连接模型
若要强制实施对等互连,必须在创建中心辐射型连接配置时启用对等互连强制选项:
| 方法 | 说明书 |
|---|---|
| Azure 门户 | 在配置过程中选中“ 强制对等互连 ”复选框。 |
| Azure CLI/其他客户端 | 将 peeringEnforcement 下的属性 connectivityCapabilities 设置为 Enforced. |
部署连接配置
创建和部署此配置后:
- 所有由 Azure 虚拟网络管理器创建的对等互连或拓扑中已有的客户对等互连都已得到强制实施。
- 如果某个对等关系属于多个拓扑结构,则任何标记为强制执行的配置都会强制应用于该对等关系。
如何删除对等互连的政策限制
删除强制措施:
- 将连接配置更新为
Unenforced. - 重新部署配置。
后续步骤
- 了解如何创建网格连接配置。
- 了解如何创建中心辐射型连接配置。
- 在本教程中创建安全的中心辐射型拓扑。
- 了解如何使用 Azure 防火墙部署中心辐射型拓扑。
- 了解配置部署 以有效管理网络设置。
- 使用安全管理员配置阻止不需要的网络流量。
- 使用 Terraform 部署 Azure 虚拟网络管理器 以快速设置环境。