Подключение виртуальных сетей в Azure с помощью пиринга Майкрософт

Опубликовано: 2 Марта, 2023
Подключение виртуальных сетей в Azure с помощью пиринга Майкрософт

Пиринг может быть внутрирегиональным (тот, над которым мы собираемся работать в этой статье), но также может быть настроен между различными регионами, что также известно как глобальный пиринг виртуальной сети, что позволяет любому среднему и крупному предприятию полагаться на магистраль Azure для соедините два удаленных центра обработки данных в любой точке земного шара. Если вы планируете сдавать экзамен AZ-300, вы должны быть знакомы с этой темой и иметь возможность создавать параметры пиринга с помощью портала Azure, поскольку этот экзамен включает лабораторную работу.

В далеком прошлом при настройке взаимодействия между вашими виртуальными сетями в Azure единственным способом их подключения было использование VPN-шлюза, что увеличивало затраты и сложность, поскольку требовались дополнительные ресурсы и инфраструктура. В настоящее время Azure предлагает несколько вариантов установления соединения между вашими виртуальными сетями, и пиринг Microsoft стал первым вариантом, поскольку он имеет меньшую стоимость по сравнению со всеми другими вариантами, не требует дополнительных ресурсов и использует магистраль Microsoft для передачи данных между любые заданные две виртуальные сети.

Пиринг может быть внутрирегиональным (тот, над которым мы собираемся работать в этой статье), но также может быть настроен между разными регионами, также известный как глобальный пиринг виртуальной сети, что позволяет любому среднему и крупному предприятию полагаться на магистраль Azure для подключения. два удаленных центра обработки данных на земном шаре. Если вы планируете сдавать экзамен AZ-300, вы должны быть знакомы с этой темой и иметь возможность создавать параметры пиринга с помощью портала Azure, поскольку этот экзамен включает лабораторную работу.

Пиринг Microsoft: некоторые важные моменты, которые необходимо знать

Прежде чем перейти к техническим деталям, чтобы заставить наш пиринг Microsoft работать, я хотел бы выделить некоторые критические моменты, связанные с пирингом, а именно:

  • Весь трафик является частным и проходит через магистраль Microsoft для перемещения данных между вашими виртуальными сетями (никаких дополнительных мер безопасности или беспокойства о передаче данных через Интернет).
  • При настройке пиринга Майкрософт на уровне виртуальной сети нет простоев.
  • Мы должны убедиться, что IP-адреса не перекрываются. Дизайн ваших IP-сетей имеет решающее значение для работы пиринга Microsoft.
  • За весь входящий и исходящий трафик, использующий пиринг виртуальной сети, взимается плата.
  • Мы можем осуществлять пиринг внутри региона, между регионами и между подписками.
  • Вы по-прежнему можете использовать преимущества и одноранговые соединения могут использовать этот пиринг, чтобы воспользоваться преимуществами объекта шлюза.
  • Пиринг обеспечивает только IP-соединение. Он не содержит разрешения имен. должен четко понимать, присоединяются ли машины к домену (рекомендуется разрешение Active Directory DNS) или они будут полагаться на разрешение имен Azure по умолчанию.
  • Мы можем использовать группы безопасности сети для защиты виртуальных сетей, подключенных через пиринг, для обеспечения безопасности.
  • Пиринг — это отношения 1-к-1, и они нетранзитивны. Например: если у вас есть следующие одноранговые соединения, настроенные для сетей A<>B и A<>C, IP-подключение между сетями B и C отсутствует. Если есть необходимость подключить эти сети, у нас будет несколько вариантов на выбор: сначала создать пиринг между ними (B<>C); во-вторых, мы могли бы включить маршрутизацию в сети A (используя брандмауэр Azure или виртуальное сетевое устройство).
  • Для каждой виртуальной сети разрешено ограничение пиринга, на момент написания этой статьи ограничение составляло 500. Пожалуйста, всегда проверяйте документацию Microsoft, чтобы проверить текущие ограничения.

Понимание сценария

Мы собираемся создать типичный дизайн в Azure: топология «концентратор-луч». В этом сценарии у нас есть виртуальная сеть и общая инфраструктура, а также один или несколько «лучей», которые могут быть определенной рабочей нагрузкой или приложением, и у них также будет своя виртуальная сеть. Все элементы, выделенные , будут теми, которые мы собираемся представить, чтобы заставить пиринг Microsoft и разрешение DNS работать между виртуальными сетями.

Мы создали три группы ресурсов: одну для и две для использования в качестве . Для каждого луча и концентратора была создана виртуальная сеть. Вот сводка виртуальных сетей, используемых в этой статье, а также изображение, показывающее создание виртуальной сети.

 Диапазон адресов Группа ресурсов
AP-VNet-концентратор 192.168.0.0/22 AP-RG-CanC-Hub
AP-VNet-приложение1 192.168.4.0/22 AP-RG-CanC-Spoke-Application1
AP-VNet-приложение6 192.168.8.0/22 AP-RG-CanC-Spoke-Application6

Пиринг сетей

Войдите на портал Azure, щелкните Виртуальные сети, и появится список всех виртуальных сетей в текущей подписке. Выберите виртуальную сеть-концентратор (в нашем примере это AP-VNet-Hub ) и щелкните Пиринг, расположенный слева.

В новой колонке будет указан список любого существующего пиринга. Нажмите «Добавить», чтобы получить новую колонку, которая будет содержать всю необходимую информацию для создания пиринга.

В одном лезвии мы сможем настроить пиринг Microsoft с обеих сторон (исходной и целевой). Помните, что мы проверяем свойства виртуальной сети HUB. В первом пункте (пункт 1) определяем имя пиринга, которое будет размещаться в нашей текущей виртуальной сети (AP-VNet-Hub), в пункте 3 описываем имя на другой стороне (от Application1 VNet до Hub), по этой причине мы поменяли местами имена в конце строки, поскольку они основаны на исходной виртуальной сети.

В пункте 2 мы выбираем виртуальную сеть, которую мы будем пиринговать с нашей существующей виртуальной сетью. Пункты 4 и 5 дают нам возможность включить пиринг и разрешить переадресацию трафика.

Имея виртуальную машину, работающую в центральной сети, мы можем проверить связь с виртуальной машиной в виртуальной сети Application1, как только будет установлен пиринг.

Настройка разрешения имен

Теперь, когда у нас работает пиринг виртуальных сетей, нам нужно разрешить разрешение имен для виртуальных машин в разных виртуальных сетях, которые мы тестировали, и они могут обмениваться данными.

Первый шаг — создать частную зону DNS, эта функция все еще находится в стадии предварительной версии, но она находится в рабочем состоянии для подавляющего большинства сценариев. Мы собираемся создать внутреннюю зону с именем PEnterprise.local для размещения всех виртуальных машин в нашей среде.

Следующий командлет можно использовать для создания зоны, и результатом будет новый ресурс зоны DNS, указанный в группе ресурсов, которую мы определили во время создания зоны DNZ.

New-AZDNSZone -Name PEnterprise.local -ResourceGroupName <RGName> -ZoneType Private

Мы могли бы настроить частную зону DNS вручную. Однако мы можем назначить виртуальную сеть в качестве , которая автоматически регистрирует новые виртуальные машины в DNS, и , при котором виртуальные машины в этой виртуальной сети могут автоматически выполнять поиск в DNS и извлекать информацию.

В текущей предварительной версии этой функции есть некоторые ограничения, а именно:

  • Одна виртуальная сеть может быть связана с Для любой виртуальной машины, созданной в этой виртуальной сети, будет автоматически создана запись DNS.
  • Существует ограничение в десять (10) виртуальных сетей, связанных с параметром .

Примечание. Мы все еще находимся в предварительной версии, и параметры регистрации и разрешения работают только с пустыми виртуальными сетями, и на данный момент поддержка существующих сетей не поддерживается. Команда, которая занимается этой функцией, знает о ней и работает над ней.

Хотя в настоящее время мы не можем связать более одной виртуальной сети в функции автоматической регистрации, мы всегда можем добавить записи в зону DNS (если у вас есть время, вы можете создать RunBook, чтобы сделать именно это, я вижу другую тему для предстоящего статья).

В следующих командлетах мы свяжем виртуальную сеть Application6 с автоматической регистрацией, а оставшиеся луч и концентратор будут связаны с разрешением.

$dns = Get-AzDnsZone -Name <ZoneName> -ResourceGroupName <имя группы ресурсов> Get-AZVirtualNetwork | fl Name,ID $dns.RegistrationVirtualNetworkIds.Add('VNet-ID') $dns.ResolutionVirtualNetworkIds.Add('VNet-ID') $dns | set-азднсзоне

Окончательный результат свойств зоны DNS показан на изображении ниже.

Пришло время протестировать решение. Мы создадим пару виртуальных машин и свяжем их с виртуальными сетями Application6 и Application1.

После подготовки тестовых ВМ (ОС не имеет значения для этого упражнения) мы попытаемся отправить эхо-запрос с ВМ, расположенной в Application1, на ВМ, расположенную в Application6. Мы видим, что разрешение имен работало без каких-либо ручных действий, а это означает, что автоматическая регистрация сработала, и параметры разрешения работали должным образом.

Еще один способ увидеть пиринг виртуальной сети в действии — просмотреть эффективные маршруты на уровне интерфейса. У нас должна быть запись для каждого пиринга виртуальной сети, настроенного с виртуальной сетью, в которой находится виртуальная машина, как показано на изображении ниже.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023