Freigeben über

Konnektivitätskonfigurationen in Azure Virtual Network Manager

Azure Virtual Network Manager vereinfacht die Verwaltung der virtuellen Netzwerkkonnektivität und -sicherheit in Ihrer Azure-Umgebung. Konnektivitätskonfigurationen, einschließlich Gitter- und Hub-and-Spoke-Topologien, helfen Ihnen bei der Optimierung der Netzwerkleistung und -sicherheit. In diesem Artikel werden Features wie hochskalige verbundene Gruppen und globale Gitterkonnektivität sowie Anwendungsfälle und Konfigurationsschritte für jede Topologie behandelt.

Konfiguration der Konnektivität

Mit Verbindungskonfigurationen können Sie je nach Netzwerkanforderungen unterschiedliche Netzwerktopologien erstellen. Sie haben zwei Topologien zur Auswahl: ein Gitternetzwerk und ein Hub- und Speichennetzwerk. Die Verbindungen zwischen den virtuellen Netzwerken werden in den Konfigurationseinstellungen festgelegt.

Topologie des Maschennetzes

Ein Mesh-Netz ist eine Topologie, in der alle virtuellen Netze in der Netzgruppe miteinander verbunden sind . Alle virtuellen Netze sind miteinander verbunden und können den Datenverkehr bidirektional weiterleiten.

Eine Mesh-Netzwerktopologie wird unter anderem häufig verwendet, um die direkte Kommunikation zwischen einigen virtuellen Spoke-Netzwerken in einer Hub-and-Spoke-Topologie zu ermöglichen, ohne dass der Datenverkehr das virtuelle Hubnetzwerk durchläuft. Dieser Ansatz verringert die Wartezeit, die ggf. durch das Routing des Datenverkehrs über einen Router im Hub resultieren kann. Darüber hinaus können Sie die Sicherheit und die Kontrolle über die direkten Verbindungen zwischen Spoke-Netzwerken gewährleisten, indem Sie NSG-Regeln (Netzwerksicherheitsgruppen) oder administrative Sicherheitsregeln in Azure Virtual Network Manager implementieren. Datenverkehr kann auch mithilfe von VNet-Datenflussprotokollen überwacht und aufgezeichnet werden.

Standardmäßig ist das Netz ein regionales Netz, so dass nur virtuelle Netze in derselben Region miteinander kommunizieren können. Das globale Gitter kann aktiviert werden, um verbindungen von virtuellen Netzwerken in allen Azure-Regionen herzustellen. Ein virtuelles Netzwerk kann Teil von bis zu zwei verbundenen Gruppen sein. Die Adressräume virtueller Netzwerke können sich in einer Meshkonfiguration überschneiden, bei Peering virtueller Netzwerke jedoch nicht. Der Datenverkehr zu den spezifischen überlappenden Subnetzen wird jedoch verworfen, da das Routing nicht deterministisch ist.

Screenshot eines Gitternetzwerktopologiediagramms mit virtuellen Netzwerken, die in einem bidirektionalen Gitter verbunden sind.

Verbundene Gruppe

Wenn Sie eine Mesh-Topologie oder eine direkte Verbindung in der Hub-and-Spoke-Topologie erstellen, wird ein neues Konnektivitätskonstrukt namens Verbundene Gruppe erstellt. Virtuelle Netzwerke in einer verbundenen Gruppe können wie manuell verbundene virtuelle Netzwerke miteinander kommunizieren. Wenn Sie sich die effektiven Routen für eine Netzwerkschnittstelle ansehen, werden Sie einen Next-Hop-Typ von Verbundene Gruppe sehen. Für virtuelle Netzwerke, die in einer verbundenen Gruppe zusammengefasst sind, ist unter Peerings keine Peering-Konfiguration für das virtuelle Netz aufgeführt.

Hinweis

Wenn Sie in zwei oder mehr virtuellen Netzwerken konfliktende Subnetze haben, können Ressourcen in diesen Subnetzen nicht miteinander kommunizieren, auch wenn sie Teil desselben Gitternetzwerks sind. Ein virtuelles Netzwerk kann Teil von bis zu zwei Meshkonfigurationen sein.

Aktivieren Sie hochskalierte private Endpunkte mit verbundenen Gruppen im Azure Virtual Network Manager

Von Bedeutung

Die Funktion für private Endpunktgruppen mit hoher Skalierbarkeit von Azure Virtual Network Manager befindet sich in der Vorschau. Sie ist in den folgenden Regionen während der Vorschau verfügbar:

  • Ost-USA 2 EUAP
  • USA, Mitte EUAP
  • USA, Westen, Mitte
  • Ostasien
  • Vereinigtes Königreich Süd
  • Ost-USA

Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Mit der High Scale-Connected Group-Funktion des Azure Virtual Network Manager können Sie Ihre Netzwerkkapazität erweitern. Führen Sie die folgenden Schritte aus, um dieses Feature zu aktivieren, um bis zu 20.000 private Endpunkte in der verbundenen Gruppe zu unterstützen:

Vorbereiten der einzelnen virtuellen Netzwerke in der verbundenen Gruppe

  1. Überprüfen Sie die detaillierte Anleitung zum Erhöhen der Grenzwerte für private Endpunkt-Virtualnetzwerke. Das Aktivieren oder Deaktivieren dieses Features initiiert eine einmalige Verbindungszurücksetzung. Es wird empfohlen, diese Änderungen während eines Wartungsfensters auszuführen.

  2. Registrieren Sie das Feature-Flag Microsoft.Network/EnableMaxPrivateEndpointsVia64kPath für jedes Abonnement, das eine Azure Virtual Network Manager-Instanz oder ein virtuelles Netzwerk in Ihrer verbundenen Gruppe enthält.

    Von Bedeutung

    Diese Registrierung ist für die Entsperrung der erweiterten kapazität des privaten Endpunkts unerlässlich. Weitere Informationen finden Sie in der Dokumentation zum Aktivieren der Azure-Vorschaufeatures.

  3. Konfigurieren Sie in jedem virtuellen Netzwerk innerhalb Ihrer verbundenen Gruppe die Richtlinien für private Endpunktnetzwerke entweder auf Enabled oder RouteTableEnabled. Diese Einstellung stellt sicher, dass Ihre virtuellen Netzwerke bereit sind, um die Funktionalität privater Endpunkte in hohem Maßstab zu unterstützen. Ausführliche Anleitungen finden Sie unter Erhöhen der Grenzwerte für virtuelle Netzwerke für private Endpunkte.

Konfigurieren der Gitterkonnektivität für private Endpunkte mit hoher Skalierung

In diesem Schritt konfigurieren Sie die Gitterkonnektivitätseinstellungen für Ihre verbundene Gruppe, um private Endpunkte mit hoher Skalierung zu aktivieren. In diesem Schritt werden die entsprechenden Optionen im Azure-Portal ausgewählt und die Konfiguration überprüft.

  1. Suchen Sie in Ihrer Konfiguration der Gitterkonnektivität das Kontrollkästchen für private Endpunkte mit hoher Skalierung, und aktivieren Sie es. Mit dieser Option wird das Feature mit hoher Skalierung für Ihre verbundene Gruppe aktiviert.

  2. Überprüfen Sie, ob jedes virtuelle Netzwerk in Ihrer verbundenen Gruppe mit privaten Endpunkten mit hoher Skalierung konfiguriert ist. Das Azure-Portal überprüft die Einstellungen in der gesamten Gruppe. Wenn später ein virtuelles Netzwerk ohne konfiguration mit hoher Skalierung hinzugefügt wird, kann es nicht mit privaten Endpunkten in anderen virtuellen Netzwerken kommunizieren.

  3. Nachdem alle virtuellen Netzwerke ordnungsgemäß konfiguriert wurden, stellen Sie die Einstellungen bereit. Dadurch wird die Einrichtung Ihrer verbundenen Gruppe mit hoher Skalierung abgeschlossen.

Hub-Spoke-Topologie

Eine Hub-and-Spoke-Topologie ist eine Netzwerktopologie, bei der Sie ein virtuelles Netzwerk als virtuelles Hub-Netzwerk ausgewählt haben. Dieses virtuelle Netz wird bidirektional mit jedem virtuellen Speichennetz in der Konfiguration abgeglichen. Diese Topologie ist nützlich, wenn Sie ein virtuelles Netzwerk isolieren möchten, aber dennoch eine Konnektivität zu gemeinsamen Ressourcen im virtuellen Hub-Netzwerk wünschen.

Screenshot eines Hub- und Speichentopologiediagramms mit einem virtuellen Hubnetzwerk, das mit mehreren Speichennetzwerken verbunden ist.

In dieser Konfiguration können Sie Einstellungen wie die direkte Konnektivität zwischen virtuellen Speichennetzen aktivieren. Standardmäßig gilt diese Konnektivität nur für virtuelle Netze in derselben Region. Um Konnektivität über verschiedene Azure-Regionen hinweg zu ermöglichen, müssen Sie Globales Mesh aktivieren. Sie können auch den Gateway-Transit aktivieren, damit virtuelle Spoke-Netzwerke das im Hub installierte VPN- oder ExpressRoute-Gateway verwenden können.

Wenn diese Option aktiviert ist, können Peerings, die nicht mit dem Inhalt dieser Konfiguration übereinstimmen, entfernt werden, auch wenn diese Peerings nach der Bereitstellung manuell erstellt wurden. Wenn Sie ein virtuelles Netzwerk aus einer Netzwerkgruppe entfernen, die in der Konfiguration verwendet wird, entfernt Ihr virtueller Manager nur Peerings, die er erstellt hat.

Aktivieren der direkten Konnektivität

Durch Aktivieren der direkten Verbindung wird eine Überlagerung einer verknüpften Gruppe in Ihrer Hub-and-Spoke-Topologie erstellt, die Spoke-VNets einer bestimmten Gruppe enthält. Mit direkter Konnektivität kann ein virtuelles Speichennetzwerk direkt mit anderen VNets in seiner Speichengruppe, aber nicht mit VNets in anderen Speichen kommunizieren.

Sie erstellen zum Beispiel zwei Netzwerkgruppen. Sie aktivieren die direkte Konnektivität für die Netzwerkgruppe Production, aber nicht für die Netzwerkgruppe Test. Bei dieser Einrichtung können nur die virtuellen Netzwerke der Netzwerkgruppe Production miteinander kommunizieren, nicht aber die der Netzwerkgruppe Test.

Screenshot einer Hub-and-Spoke-Topologie mit zwei Netzgruppen

Wenn Sie sich die effektiven Routen auf einer VM ansehen, hat die Route zwischen dem Hub und den Spoke-VNets den Typ VNetPeering oder GlobalVNetPeering für den nächsten Hop. Routen zwischen virtuellen Speichen-Netzwerken werden mit dem nächsten Sprungtyp ConnectedGroup angezeigt. Mit dem Beispiel "Produktion/Test " verfügt nur die Produktionsnetzwerkgruppe über eine ConnectedGroup , da die Direkte Konnektivität aktiviert ist.

Ermitteln der Netzwerkgruppentopologie mit Topologieansicht

Um Ihnen dabei zu helfen, die Topologie Ihrer Netzwerkgruppe zu verstehen, bietet Azure Virtual Network Manager eine Topologieansicht, die die Konnektivität zwischen Netzwerkgruppen und ihren virtuellen Mitgliedsnetzwerken zeigt. Sie können die Topologie Ihrer Netzwerkgruppe während des Erstellens Ihrer Konnektivitätskonfiguration mit den folgenden Schritten anzeigen:

  1. Navigieren Sie zur Seite Konfigurationen, und erstellen Sie eine Konnektivitätskonfiguration.

  2. Wählen Sie auf der Registerkarte Topologie Ihren gewünschten Topologietyp aus, fügen Sie der Topologie eine oder mehrere Netzwerkgruppen hinzu, und konfigurieren Sie weitere gewünschte Verbindungseinstellungen.

  3. Wählen Sie die Registerkarte Topologievorschau aus, um die Topologieansicht auszuprobieren, und überprüfen Sie die aktuelle Konnektivität Ihrer Konfiguration.

  4. Schließen Sie die Erstellung Ihrer Konnektivitätskonfiguration ab.

Sie können die aktuelle Topologie einer Netzwerkgruppe überprüfen, indem Sie auf der Detailseite der Netzwerkgruppe unter Einstellungen die Option Visualisierung auswählen. In der Ansicht wird die Konnektivität zwischen den virtuellen Mitgliedsnetzwerken in der Netzwerkgruppe angezeigt.

Screenshot: Visualisierungsfenster mit der Topologie der Netzwerkgruppe

Anwendungsfälle

Die Aktivierung der direkten Konnektivität zwischen Spoke-VNets kann hilfreich sein, wenn Sie ein virtuelles Netzwerkgerät (NVA) oder einen gemeinsamen Dienst im Hub-VNet benötigen, aber nicht immer auf den Hub zugegriffen werden muss. Vielmehr müssen Ihre virtuellen Speichen-Netzwerke in der Netzwerkgruppe miteinander kommunizieren. Im Vergleich zu herkömmlichen Hub-and-Spoke-Netzwerken verbessert diese Topologie die Leistung, da der zusätzliche Hop durch das virtuelle Hub-Netzwerk entfällt.

Globales Mesh

Wie auch ein Mesh können diese verbundenen Spoke-Gruppen als regional oder global konfiguriert werden. Global Mesh ist erforderlich, wenn Sie möchten, dass Ihre virtuellen Speichen-Netzwerke über Regionen hinweg miteinander kommunizieren. Diese Konnektivität ist auf virtuelle Netzwerke in derselben Netzwerkgruppe beschränkt. Zum Aktivieren von regionsübergreifender Konnektivität für virtuelle Netzwerke müssen Sie für die Netzwerkgruppe Meshkonnektivität regionsübergreifend aktivieren. Verbindungen, die zwischen virtuellen Speichen-Netzwerken erstellt werden, befinden sich in einer Verbundenen Gruppe.

Hub als Gateway verwenden

Eine weitere Option, die Sie in einer Hub-and-Spoke-Konfiguration aktivieren können, ist die Verwendung des Hubs als Gateway. Mit dieser Einstellung können alle virtuellen Netzwerke in der Netzwerkgruppe das VPN- oder ExpressRoute-Gateway im virtuellen Netzwerk des Hubs zur Weiterleitung von Datenverkehr verwenden. Siehe Gateways und ortsgebundene Konnektivität.

Wenn Sie eine Hub- und Spoke-Topologie über das Azure-Portal bereitstellen, ist die Option Hub als Gateway verwenden standardmäßig für die virtuellen Spoke-Netzwerke in der Netzwerkgruppe aktiviert. Azure Virtual Network Manager versucht, in der Ressourcengruppe eine virtuelle Netzwerk-Peering-Verbindung zwischen den virtuellen Netzwerken von Hub und Spoke herzustellen. Wenn das Gateway im virtuellen Netzwerk des Hubs nicht vorhanden ist, schlägt die Erstellung des Peerings vom virtuellen Spoke-Netzwerk zum Hub fehl. Die Peering-Verbindung vom Hub zur Speiche wird auch ohne bestehende Verbindung hergestellt.

Nächste Schritte