<!-- AI_TASK_START: AI标题翻译 -->
[新产品/新功能] Azure Virtual Network Manager 网格功能公开预览版现已支持 5000 个虚拟网络
<!-- AI_TASK_END: AI标题翻译 -->
<!-- AI_TASK_START: AI竞争分析 -->
# 产品功能分析
## 新功能/新产品概述
Azure 宣布其 **Azure Virtual Network Manager (AVNM)** 的 **Mesh 连接 (Mesh Connectivity)** 功能进入公开预览阶段,支持在单个网络组中连接多达 *5,000* 个虚拟网络(VNet)。
该功能旨在为大规模云网络环境提供一个简化的管理模型。其核心是通过创建一个 **统一控制平面 (unified control plane)**,在网络组内的所有 **虚拟网络** 之间自动建立 **双向连接 (bi-directional connectivity)**。这形成了一个全网状(Full Mesh)拓扑结构,使得组内任何两个 VNet 之间都可以直接通信。
此功能主要面向拥有复杂、分布式网络架构的大型企业客户,特别是那些采用 **中心辐射型拓扑 (hub-and-spoke)** 的用户。它解决了传统模型中“Spoke-to-Spoke”(辐射网络到辐射网络)通信必须经过中心“Hub”网络的痛点。
## 关键客户价值
- **极大简化网络管理**
- **业务价值**: 自动化取代了手动配置。在传统模式下,实现 *5,000* 个 VNet 的全互联需要管理数百万个独立的 **VNet 对等互连 (VNet Peering)** 关系,这在操作上几乎不可能。AVNM Mesh 将这一过程简化为在单个网络组中添加 VNet,显著降低了运维复杂性、配置时间和出错风险。
- **差异化优势**: 与手动对等互连相比,AVNM 提供了无与伦比的可扩展性和自动化水平。它通过一个集中的控制台管理整个网络的连接策略,而不是逐个管理连接。
- **降低延迟并优化流量路径**
- **业务价值**: 对于部署在不同 VNet(Spokes)中的微服务或多层应用,它们之间的通信延迟直接影响应用性能。通过允许 Spoke 之间直接通信,该功能避免了流量绕道中心 Hub,从而消除了额外的网络跳数和潜在的性能瓶颈(如中心 Hub 的防火墙或路由器)。
- **实现机制**: AVNM 动态地在所有成员 VNet 的路由表中注入路由,创建直接的数据路径。例如,流量从 `Spoke A` 到 `Spoke B` 不再需要经过 `Spoke A -> Hub -> Spoke B` 的路径,而是直接 `Spoke A -> Spoke B`。
- **增强的集中式安全与可见性**
- **业务价值**: 在提供高性能直接连接的同时,不牺牲安全性和合规性。企业可以实施统一的安全策略,并对所有跨 VNet 流量进行监控。
- **实现机制**:
- **分层安全**: AVNM 引入了 **安全管理员规则 (Security Admin Rules)**,这些规则的评估优先级高于各个 VNet 内部的 **网络安全组 (NSG)** 规则。这允许网络管理员强制执行全局安全基线,而应用团队仍然可以管理其本地 NSG 策略。
- **全面监控**: 支持与 **虚拟网络流日志 (Virtual Network Flow Logs)** 集成,可以对所有 Mesh 内的流量进行捕获、审计和故障排查。
## 关键技术洞察
- **基于软件定义的覆盖网络**
- **技术独特性**: AVNM Mesh 的本质是创建了一个逻辑上的 **覆盖网络 (Overlay Network)**。它在 Azure 的底层物理网络之上,通过软件定义的方式抽象和自动化了复杂的路由配置。用户无需关心底层的对等互连细节,只需定义连接意图即可。
- **工作原理**: Azure 的 **控制平面** 负责将 Mesh 配置翻译成具体的路由表更新,并将其分发到组内所有 VNet 中。这种原生集成避免了部署和管理第三方网络虚拟设备(NVA)的复杂性。
- **可扩展的集中式控制平面**
- **技术创新**: 能够管理多达 *5,000* 个 VNet 的全网状拓扑,展示了其 **控制平面** 强大的可扩展性。手动管理这种规模的 `n*(n-1)/2` 条连接是不可行的。AVNM 的架构设计解决了大规模网络策略的计算、分发和一致性维护挑战。
- **策略优先级的安全模型**
- **技术独特性**: **安全管理员规则** 先于 **NSG** 规则进行评估,这是一种创新的网络安全治理模型。它在网络结构层面实现了“职责分离”,平台团队可以设定不可逾越的安全护栏,而业务团队则在护栏内拥有自治权。这对于需要满足严格合规性要求的大型组织至关重要。
<!-- AI_TASK_END: AI竞争分析 -->
<!-- AI_TASK_START: AI全文翻译 -->
# 公共预览:Azure 虚拟网络管理器的网格连接现已支持 5,000 个虚拟网络
**发布时间:** 2025-08-05
**厂商:** Azure
**类型:** 更新
---
Azure 虚拟网络管理器 (Azure Virtual Network Manager) 的网格连接 (mesh connectivity) 功能现已进入公共预览阶段,支持您在受支持的区域中将多达 5,000 个虚拟网络进行分组。网格拓扑 (mesh topology) 会在网格连接配置中的每个虚拟网络之间创建双向连接,从而使选定的虚拟网络能够直接通信,无需手动配置对等互连,避免了额外的网络跃点,并在统一的控制平面下实现低延迟的流量传输。
网格的一个常见应用场景是,在中心辐射型拓扑 (hub-and-spoke topology) 中,允许各个辐射虚拟网络之间直接通信,而无需通过中心节点。这种方式通过绕过中心路由器来降低延迟。同时,您仍然可以通过在 Azure 虚拟网络管理器中实施安全管理员规则 (security admin rules) (在 NSG 规则之前评估) 或为每个虚拟网络配置网络安全组 (NSG) 规则来保障安全性和监督。此外,您还可以使用虚拟网络流日志 (virtual network flow logs) 监控所有流量,以进行全面的审计和故障排查。
[了解更多](https://learn.microsoft.com/en-us/azure/virtual-network-manager/overview) 。
<!-- AI_TASK_END: AI全文翻译 -->