Пиринг между виртуальными сетями

Пиринг между виртуальными сетями

Пиринг между виртуальными сетями позволяет эффективно соединить две Виртуальные сети Azure. После создания пиринговой связи две виртуальные сети выглядят как одна сеть в плане подключения. Точно так же трафик между виртуальными машинами в одноранговых виртуальных сетях использует магистральную инфраструктуру Майкрософт. Как и трафик между виртуальными машинами в одной сети, трафик направляется только через частную сеть корпорации Майкрософт.

Azure поддерживает следующие типы пиринга:

  • Пиринг между виртуальными сетями. Подключите виртуальные сети в одном регионе Azure.
  • Глобальный пиринг между виртуальными сетями позволяет подключать виртуальные сети между регионами Azure.

Преимущества пиринговой связи между виртуальными сетями (как локальной, так и глобальной):

  • подключение между ресурсами в разных виртуальных сетях, характеризующееся низкой задержкой и высокой пропускной способностью;
  • Возможность взаимодействия ресурсов в одной виртуальной сети с ресурсами в другой виртуальной сети.
  • Возможность передавать данные между виртуальными сетями в разных подписках Azure, клиентах Azure Active Directory, моделях развертывания и регионах Azure.
  • Возможность одноранговой связи между виртуальными сетями, созданными с помощью Azure Resource Manager.
  • Возможность одноранговой связи виртуальной сети, созданной с помощью Resource Manager с сетью, созданной с помощью классической модели развертывания. Дополнительные сведения о моделях развертывания Azure см. в статье Развертывание с помощью Azure Resource Manager и классическое развертывание: сведения о моделях развертывания и состоянии ресурсов.
  • Отсутствие задержки при доступе к ресурсам в любой виртуальной сети при создании пиринга или после его создания.

Сетевой трафик между одноранговыми виртуальными сетями является закрытым. Трафик между виртуальными сетями хранится в магистральной сети Майкрософт. При обмене данными между виртуальными сетями не требуется общий доступ к Интернету, шлюзы или шифрование.

Соединение

После создания пиринговой связи между виртуальными сетями ресурсы в одной виртуальной сети могут напрямую подключаться к ресурсам в связанной виртуальной сети.

Задержки в сети между виртуальными машинами в пиринговых виртуальных сетях такие же, как и в пределах одной виртуальной сети. Пропускная способность сети зависит от пропускной способности виртуальной машины, которая пропорциональна ее размеру. Дополнительные ограничения пропускной способности при пиринге не применяются.

Трафик между виртуальными машинами в пиринговых виртуальных сетях передается напрямую через магистральную инфраструктуру Майкрософт, а не через шлюз или Интернет.

Чтобы заблокировать доступ к другим виртуальным сетям или подсетям, в любой виртуальной сети можно, при желании, использовать группы безопасности сети. При настройке пиринга между виртуальными сетями можно открыть или закрыть правила группы безопасности сети между виртуальными сетями. Если вы откроете полное подключение между одноранговыми виртуальными сетями, можно применить группы безопасности сети, чтобы заблокировать или запретить конкретный доступ. По умолчанию используется полное подключение. Дополнительные сведения о группах безопасности сети см. в разделе Группы безопасности.

Цепочка служб

Цепочка служб позволяет направлять трафик из одной виртуальной сети на виртуальное устройство или шлюз в одноранговой сети через определенные пользователем маршруты.

Чтобы включить цепочку служб, настройте определяемые пользователем маршруты, указывающие, какие виртуальные машины в одноранговых виртуальных сетях используются для IP-адреса следующего прыжка. Определяемые пользователем маршруты также могут указывать на шлюзы виртуальной сети для включения цепочки служб.

Можно развернуть сети со звездообразным подключением, в которых в центральной виртуальной сети размещаются компоненты инфраструктуры, например виртуальный сетевой модуль или VPN-шлюз. Все остальные виртуальные сети ("лучи") могут подключаться по пиринговой связи к центральной виртуальной сети. Трафик проходит через виртуальные сетевые модули или VPN-шлюзы в центральной виртуальной сети.

В определяемой пользователем таблице маршрутизации можно указать для следующего прыжка IP-адрес виртуальной машины, входящей в пиринговую виртуальную сеть, или VPN-шлюз. Однако перемещение между виртуальными сетями невозможно, если в определяемой пользователем таблице маршрутизации для следующего прыжка указан шлюз Azure ExpressRoute. Дополнительные сведения об определяемых пользователем маршрутах см. в статье Определяемые пользователем маршруты и IP-пересылка. Сведения о создании топологии с центральной и периферийной сетью см. в Топология с центральной и периферийной сетью в Azure.

Использование шлюзов для локального подключения

Каждая виртуальная сеть, включая одноранговую виртуальную сеть, может иметь собственный шлюз. Виртуальная сеть может использовать свой шлюз для подключения к локальной сети. С помощью шлюзов также можно настроить подключение между виртуальными сетями, даже если для них установлена пиринговая связь.

Если для виртуальных сетей настроены оба типа подключения, трафик между виртуальными сетями проходит через пиринговую связь. Трафик использует магистраль Azure.

Можно также использовать шлюз в одной из этих одноранговых сетей в качестве транзитного пункта при подключении к локальной сети. В этом случае виртуальная сеть, использующая удаленный шлюз, не может иметь свой собственный. У виртуальной сети может быть только один шлюз. Это может быть локальный или удаленный шлюз (в одноранговой виртуальной сети), как показано на следующей схеме:

Как пиринг между виртуальными сетями, так и пиринг между глобальными виртуальными сетями поддерживают транзитный шлюз.

Транзит через шлюз между виртуальными сетями, созданными с помощью разных моделей развертывания, поддерживается. Шлюз должен находиться в виртуальной сети, в модели Resource Manager. См. дополнительные сведения о настройке VPN-шлюза для передачи данных с помощью пиринга между виртуальными сетями.

При использовании одноранговых виртуальных сетей, совместно использующих одно подключение Azure ExpressRoute, трафик между ними проходит через отношение пиринга. Этот трафик использует магистральную сеть Azure. Вы по-прежнему можете использовать в каждой виртуальной сети локальные шлюзы для подключения к локальному каналу. Или настройте транзит через общий шлюз для локального подключения.

Диагностика

Чтобы убедиться в том, что виртуальные сети являются одноранговыми, можно проверить действующие маршруты. Проверьте маршруты сетевого интерфейса любой подсети в виртуальной сети. Если пиринг между виртуальными сетями настроен, все подсети виртуальной сети будут иметь маршруты со следующим прыжком типа Пиринг виртуальных сетей для каждого адресного пространства в каждой пиринговой виртуальной сети. Дополнительные сведения см. в статье Диагностика проблем с маршрутизацией виртуальных машин.

Чтобы устранить неполадки подключения к виртуальной машине в одноранговой виртуальной сети, используйте службу "Наблюдатель за сетями" Azure. Проверка подключения позволяет увидеть, как трафик направляется из сетевого интерфейса исходящей виртуальной машины к сетевому интерфейсу конечной виртуальной машины. Дополнительные сведения см. в Устранение неполадок подключений с помощью службы "Наблюдатель за сетями Azure" с использованием портала Microsoft Azure.

Ограничения для одноранговых виртуальных сетей

Когда создается глобальный пиринг виртуальных сетей, действуют следующие ограничения:

  • Ресурсы в одной виртуальной сети не могут взаимодействовать с IP-адресом внешнего интерфейса базовой внутренней подсистемы балансировки нагрузки (Azure Load Balancer) в глобальной одноранговой виртуальной сети.
  • Некоторые службы, использующие базовый балансировщик нагрузки, не работают через пиринг между глобальными виртуальными сетями. Дополнительные сведения см. в Каковы ограничения, связанные с глобальным пирингом виртуальных сетей и подсистемами балансировки нагрузки?

Дополнительные сведения см. в разделе Требования и ограничения. Дополнительные сведения о поддерживаемом числе пиринга см. в разделе ограничения сети.

Разрешения

Дополнительные сведения о разрешениях, необходимых для создания пирингового подключения между виртуальными сетями, см. в разделе Разрешения.

За входящий и исходящий трафик по пиринговой связи между виртуальными сетями взимается номинальная плата. Дополнительные сведения см. в статье Цены на виртуальную сеть Microsoft Azure.

Транзитный шлюз — это свойство пиринга, которое позволяет виртуальной сети использовать шлюз VPN или ExpressRoute в одноранговой виртуальной сети. Транзитный шлюз работает как для подключений между разными расположениями, так и для подключений между сетями. Трафик к шлюзу (входящий или исходящий) в одноранговой виртуальной сети приводит к выплатам за пиринг между виртуальными сетями в периферийной виртуальной сети (или в виртуальной сети без шлюза). Дополнительные по оплате за шлюз ExpressRoute см. в информации по оплате за VPN-шлюз и ценах на шлюз ExpressRoute в статье Цены на VPN-шлюз.

В предыдущей версии этого документа было указано, что плата за пиринг между виртуальными сетями не применима в периферийной виртуальной сети (или виртуальной сети без шлюза) с транзитом шлюза. Теперь она отражает точную цену на странице цен.

Дальнейшие действия

Можно создавать пиринг между двумя виртуальными сетями. Сети могут принадлежать к одной и той же подписке, различным моделям развертывания в одной подписке или к разным подпискам. Изучите руководство одного из следующих сценариев:

Сведения о создании топологии с центральной и периферийной сетью см. в Топология с центральной и периферийной сетью в Azure.

Дополнительные сведения о параметрах пиринга виртуальной сети см. в статье Создание, изменение или удаление пиринга между виртуальными сетями.

Ответы на распространенные вопросы по пирингу виртуальных сетей и пирингу глобальных виртуальных сетей см. в разделе Пиринг между виртуальными сетями.

📎📎📎📎📎📎📎📎📎📎