Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При работе с маршрутизацией виртуальных концентраторов Виртуальной глобальной сети существует несколько доступных сценариев. В этом сценарии целью является организовать маршрутизацию трафика непосредственно между виртуальными сетями, но использовать Azure Firewall для потоков трафика из виртуальной сети в Интернет/филиал и из филиала в виртуальную сеть.
Проект
Чтобы определить, сколько потребуется таблиц маршрутизации, можно создать матрицу подключения, где каждая ячейка указывает, может ли источник (строка) связаться с целевым объектом (столбцом). Матрица связности в этом сценарии является тривиальной, но в соответствии с другими сценариями мы по-прежнему можем посмотреть на неё.
Матрица подключений
| От | Кому: | Виртуальные сети | Филиалы | Интернет |
|---|---|---|---|---|
| Виртуальные сети | → | Напрямую | AzFW | AzFW |
| Филиалы | → | AzFW | Напрямую | Напрямую |
В предыдущей таблице "Direct" означает прямое подключение между двумя узлами без прохождения трафика через Брандмауэр Azure в Виртуальной глобальной сети, а "AzFW" указывает, что поток будет проходить через Брандмауэр Azure. Так как в матрице есть два разных шаблона подключения, нам потребуется две таблицы маршрутов, которые будут настроены следующим образом:
- Виртуальные сети:
- Связанная таблица маршрутизации: RT_VNet
- Распространяется на таблицы маршрутизации: RT_VNet.
- Ветви:
- Связанная таблица маршрутизации: По умолчанию
- Распространение на таблицы маршрутизации: По умолчанию
Примечание.
Вы можете создать отдельный экземпляр Виртуальной глобальной сети с одним защищенным виртуальным концентратором в каждом регионе, а затем подключить все эти виртуальные сети к друг другу через VPN-подключения типа "сеть — сеть".
Дополнительные сведения см. в статье О маршрутизации виртуальных концентраторов.
Рабочий процесс
В этом сценарии вы хотите направить трафик из виртуальных сетей в Интернет, из виртуальных сетей в филиалы или из филиалов в виртуальные сети через Брандмауэр Azure, но при этом передавать трафик между виртуальными сетями напрямую. Если вы выполняли настройку через Диспетчер брандмауэра Azure, параметры маршрутов автоматически заполняются в таблице маршрутизации Default. Приватный трафик относится к виртуальным сетям и филиалам, а интернет-трафик охватывает трафик всех IP-адресов (0.0.0.0/0).
Все подключения VPN, ExpressRoute и пользовательские VPN совокупно называются ветвями, и все они связываются с одной таблицей маршрутизации (Default). Все подключения VPN, ExpressRoute и пользовательские VPN распространяют маршруты в один и тот же набор таблиц маршрутизации. Чтобы настроить этот сценарий, выполните следующие шаги:
Создайте пользовательскую таблицу маршрутизации RT_VNet.
Создайте маршрут для активирования связи из виртуальной сети в Интернет и в филиал: 0.0.0.0/0 с адресом следующего перехода, указывающим на Azure Firewall. В разделе "Распространение" убедитесь, что выбраны виртуальные сети (VNet), что позволит передавать более конкретные маршруты и обеспечивать прямой поток трафика между виртуальными сетями (VNet).
- В Связь: выберите виртуальные сети (VNets), что будет означать, что VNets будут достигать пункта назначения в соответствии с маршрутами этой таблицы маршрутизации.
- В поле Распространение выберите виртуальные сети, чтобы включать информацию о них в эту таблицу маршрутов. Это означает, что более конкретные маршруты из виртуальных сетей будут передаваться в эту таблицу маршрутов и позволят организовать прямой поток трафика между виртуальными сетями.
Добавьте агрегированный статический маршрут для виртуальных сетей в таблицу маршрутов Default, чтобы активировать поток Branch-to-VNet через брандмауэр Azure.
- Не забывайте, что ветки связаны с таблицей маршрутов по умолчанию и распространяются в нее.
- Ветви не распространяются в таблицу маршрутов RT_VNet. Это обеспечивает поток трафика из виртуальной сети в филиал через брандмауэр Azure.
Это приводит к изменениям конфигурации маршрутизации, как показано на рис. 1.
Рисунок 1
Следующие шаги
- Дополнительные сведения о виртуальной глобальной сети см. в статье, содержащей Часто задаваемые вопросы о ней.
- Дополнительные сведения см. в статье Сведения о маршрутизации виртуальных концентраторов.
- Дополнительные сведения см. в статье Настройка маршрутизации для виртуального концентратора.