你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
了解 Azure 虚拟网络管理器的用例,包括管理虚拟网络的连接、帮助保护网络流量以及路由网络资源之间的流量。
连接配置
可以使用连接性配置根据网络需求创建各种网络拓扑。 可以通过将新的或现有的虚拟网络添加到网络组并创建符合需求的拓扑来创建连接配置。 连接配置提供两种拓扑结构选项:网格拓扑和星型拓扑。 还可以创建一个中心和分支拓扑,并在分支虚拟网络之间建立直接连接。
网格拓扑
部署网格拓扑后,所有虚拟网络可以相互直接连接。 它们不需要通过网络上的其他跃点进行通信。 当所有虚拟网络需要相互直接通信时,网格拓扑非常有用。
一种常见的应用场景是将特定的辐射虚拟网络网格化,以改进延迟和吞吐量性能。 不必将所有辐射虚拟网络连接成网格。 还可以将连接到虚拟 WAN 中心的分支虚拟网络连接成网格,从而允许实现直接通信和改进的延迟,同时仍使用中心与其他虚拟网络通信。
中心辐射型拓扑
在中心虚拟网络中部署由辐射虚拟网络共享的中心基础设施服务时,建议使用中心辐射型拓扑。 此拓扑比在所有辐射虚拟网络中使用这些常见组件更有效。
具有直接连接的中心辐射型拓扑
具有直接连接的中心辐射型拓扑结合了上述两种拓扑。 在中心拥有公用的中央基础设施,并且希望所有辐射之间直接通信时,建议使用这种拓扑类型。 直接连接有助于减少额外的网络跃点在通过中心时造成的延迟。
维护虚拟网络拓扑
对基础结构进行更改时,Azure 虚拟网络管理器会自动维护在连接配置中定义的拓扑。 例如,将新的分支网络组添加到拓扑时,Azure 虚拟网络管理器可以处理创建与分支网络组的虚拟网络连接所需的更改。
重要
可以通过 Azure 门户、Azure CLI、Azure PowerShell 或 Terraform 部署和管理 Azure Virtual Network Manager。
安全性
可以使用 Azure Virtual Network Manager 创建安全管理规则,以便对组织中的虚拟网络强制实施安全策略。 安全管理规则优先于网络安全组定义的规则。 安全管理规则首先应用于流量分析,如下图所示:
标记的常见用途包括:
必须在所有现有虚拟网络和新创建的虚拟网络上应用和强制实施的标准规则。
无法修改的安全规则,该规则强制实施组织级别的要求。
强制实施安全保护,防止用户打开高风险端口。
组织中每个人的默认规则,以便管理员可以防止网络安全组中配置错误或意外的漏洞导致的安全威胁。
使用安全管理员规则实施安全防护措施,同时允许虚拟网络所有者灵活地配置其网络安全组,确保网络安全组不会破坏公司策略。
强制允许传入和传出关键服务的流量,例如监视服务和程序更新,以便其他用户无法意外阻止此必要的流量。
有关用例的演练,请参阅博客文章使用 Azure Virtual Network Manager 保护虚拟网络。
Next steps
使用 Terraform 部署 Azure Virtual Network Manager 实例。
详细了解 Azure Virtual Network Manager 中的网络组。
了解连接配置的作用。
详细了解安全管理配置。