Azure 虚拟网络管理器简化了跨 Azure 网络环境的连接、安全、路由等管理。 连接配置(包括网格和中心辐射型拓扑)有助于优化组织规模的网络性能和连接。 本文介绍大规模连接组和全局网格连接等功能,以及每个拓扑的用例和设置。
连接配置
使用 连接配置,可以根据网络需求创建和维护不同的网络拓扑。 有两个拓扑可供选择:网格以及中心辐射。 虚拟网络之间的连接由连接配置的设置定义。 定义要通过 网络组建立连接的虚拟网络。 您的连接配置随后根据您希望的拓扑描述,使用网络组在其内的虚拟网络之间建立连接。
如果为连接配置启用了 删除现有对等互连 ,则可以删除与此连接配置内容不匹配的任何对等互连,即使部署此配置后手动创建这些对等互连也是如此。 如果从配置中使用的网络组中删除虚拟网络,则 Azure 虚拟网络管理器实例仅删除它创建的连接。
部署连接配置时,Azure Virtual Network Manager 通过虚拟网络对等互连(中心辐射拓扑)或虚拟网络之间的连接组(网格拓扑)建立双向连接。 此连接是根据所定义设置和连接配置中包含的网络组建立的。
网格拓扑
网格拓扑定义 网络组中每个虚拟网络之间的连接。 所有成员虚拟网络都已连接,并且可以双向将流量传递到另一个。
网格拓扑的常见用例是允许中心辐射型拓扑中的辐射虚拟网络直接相互通信,而无需通过中心虚拟网络路由流量。 此方法可减少因通过中心内的路由器路由流量而导致的延迟。 此外,还可以通过在 Azure Virtual Network Manager 或网络安全组规则中实施安全管理员规则来维护辐射虚拟网络之间直接连接的安全和监督。 还可以使用 虚拟网络流日志监视和记录流量。
默认情况下,在连接配置中定义的网格拓扑是一个区域网格,这意味着只有同一区域中的虚拟网络可以相互通信。 可以在连接配置中启用全局网格选项,以便在所有 Azure 区域中的虚拟网络之间建立连接。
注释
虚拟网络地址空间可以在网格配置中重叠,这与虚拟网络对等互连不同,但由于路由的不确定性,具有重叠地址空间的子网之间的流量会被丢弃。
幕后:连接组
在中心辐射型拓扑中创建网格拓扑或启用直接连接时,将创建一个新的专用于 Azure 虚拟网络管理器的连接构造。 此构造称为 连接的组。 连接的组中的虚拟网络可以相互通信,就像手动连接的虚拟网络一样。 当你观察到网络接口的有效路由时,你将看到 ConnectedGroup 的下一跃点类型。 在连接的组中连接在一起的虚拟网络的对等互连配置不会在虚拟网络的“对等互连”下列出。 此互联组使 Azure 虚拟网络管理器能够支持比传统虚拟网络对等连接更大规模的虚拟网络连接。
注释
虚拟网络可以是最多两个连接的组的一部分,这意味着它可以是最多两个网格拓扑的一部分。
中心辐射型拓扑
中心辐射型拓扑定义所选中心虚拟网络与辐射虚拟网络之间的连接,这些虚拟网络是一个或多个所选分支网络组的成员。 中心虚拟网络与配置中的每个辐射网络组的虚拟网络成员进行双向对等互连。 此拓扑可用于隔离虚拟网络,但仍保持与中心虚拟网络中的常见资源的连接。
在此配置中,可以为属于同一辐射网络组的辐射虚拟网络之间启用直接连接等设置。 默认情况下,仅为同一区域中的虚拟网络建立此连接。 若要允许跨不同 Azure 区域建立连接,需要为分支网络组启用 全局网格 设置。 还可以启用网关传输,以允许辐射虚拟网络使用中心虚拟网络中部署的 VPN 或 ExpressRoute 网关。
启用直接连接
为辐射网络组启用直接连接会在中心辐射拓扑之上创建一个包含辐射网络组中所有虚拟网络的网格(即连接组)。 直接连接允许虚拟网络与其辐射网络组中的其他虚拟网络直接通信,但不允许与其他辐射网络组中的虚拟网络建立连接。
例如,你可以创建两个网络组,并将其作为辐射型网络组纳入到中心辐射连接配置中。 可为“生产”网络组启用直接连接,但不为“测试”网络组启用直接连接。 此设置将中心虚拟网络连接到 生产 组和 测试 网络组中的所有虚拟网络,但仅允许 生产 网络组中的虚拟网络相互通信。 生产网络组的虚拟网络与测试网络组的虚拟网络没有连接,并且测试网络组的虚拟网络本身没有连接(除非测试网络组也启用了直接连接)。
在查看虚拟机上的有效路由时,中心和分支虚拟网络之间的路由的下一个跃点类型为 VNetPeering 或 GlobalVNetPeering。 辐射虚拟网络之间的路由将显示 ConnectedGroup 的下一跃点类型。 使用 “生产 ”和 “测试 ”示例,只有 生产 网络组才具有 ConnectedGroup ,因为它已启用 直接连接 。
如果想要在中心虚拟网络中使用网络虚拟设备 (NVA) 或公用服务,但又不需要始终访问中心,则直接连接可以帮助受信任辐射虚拟网络互相通信。。 与传统的中心辐射型网络相比,此拓扑通过删除中心虚拟网络中的额外跃点来提高性能。
全局网格
与网格拓扑一样,默认将启用了直接连接的辐射网络组配置为区域。 如果希望辐射网络组的虚拟网络跨区域相互通信,则可以启用全局网格。 此连接仅限于同一网络组中的虚拟网络。 若要为跨区域的虚拟网络启用此全局网格连接,需要为网络组 跨区域启用网格连接 。 辐射虚拟网络之间创建的连接位于连接的组中。
使用中心作为网关
可以在中心辐射型配置中启用的另一个选项是将中心用作网关。 此设置允许从属网络组中的所有虚拟网络使用中心虚拟网络中的 VPN 或 ExpressRoute 网关来传输流量。 请参阅网关和本地连接。
从 Azure 门户部署中心和分支拓扑时,默认情况下会为网络组中的分支虚拟网络启用“使用中心作为网关”选项。 Azure 虚拟网络管理器尝试在枢纽虚拟网络与分支网络组中的虚拟网络之间创建虚拟网络对等连接。 如果此选项已启用,但中心虚拟网络中不存在网关,则从辐射虚拟网络到中心建立对等互连会失败。 在未建立连接的情况下,仍会创建从中心到支路的对等连接。
使用拓扑视图发现网络组拓扑
为了帮助你了解网络组的拓扑,Azure 虚拟网络管理器提供了一个 拓扑视图 ,用于显示网络组与其成员虚拟网络之间的连接。 可以使用以下步骤在 创建连接配置期间查看连接配置的 拓扑:
导航到“配置”页并创建一个连接配置。
在“拓扑”选项卡上,选择所需的拓扑类型,将一个或多个网络组添加到拓扑,然后配置其他所需的连接设置。
选择 “视图拓扑 ”选项卡,直观地查看配置的当前连接。
完成连接配置的创建。
可以通过在配置详细信息页中的“设置”下选择“查看拓扑”来查看连接配置的当前拓扑。 该视图显示此连接配置中虚拟网络部分之间的连接。
后续步骤
- 了解如何创建网格连接配置。
- 了解如何创建中心辐射型连接配置。
- 在本教程中创建安全的中心辐射型拓扑。
- 了解如何使用 Azure 防火墙部署中心辐射型拓扑。
- 了解配置部署 以有效管理网络设置。
- 使用安全管理员配置阻止不需要的网络流量。
- 使用 Terraform 部署 Azure 虚拟网络管理器 以快速设置环境。