Sdílet prostřednictvím


Scénář: Azure Firewall – vlastní

Při práci se směrováním Virtual WAN virtuálního centra existuje poměrně několik dostupných scénářů. V tomto scénáři je cílem směrovat provoz mezi virtuálními sítěmi přímo, ale použít Azure Firewall pro toky provozu typu VNet-to-Internet/Branch a Branch-to-VNet.

Návrh

Pokud chcete zjistit, kolik směrovacích tabulek bude potřeba, můžete vytvořit matici připojení, kde každá buňka představuje, jestli zdroj (řádek) může komunikovat s cílem (sloupcem). Matice připojení je v tomto scénáři triviální, ale být konzistentní s jinými scénáři, můžeme se na to ještě podívat.

Matice připojení

Z Do: Virtuální sítě Větve Internetu
Virtuální sítě Direct AzFW AzFW
Větve AzFW Direct Direct

V předchozí tabulce "Přímé" představuje přímé připojení mezi dvěma připojeními bez provozu procházejícího Azure Firewall v Virtual WAN, a AzFW znamená, že tok projde Azure Firewall. Vzhledem k tomu, že v matici existují dva odlišné vzory připojení, budeme potřebovat dvě směrovací tabulky, které budou nakonfigurovány následujícím způsobem:

  • Virtuální sítě:
    • Přidružená směrovací tabulka: RT_VNet
    • Šíření do směrovacích tabulek: RT_VNet
  • Poboček:
    • Přidružená směrovací tabulka: Výchozí
    • Šíření do směrovacích tabulek: Výchozí

Poznámka

Můžete vytvořit samostatnou instanci Virtual WAN s jedním zabezpečeným virtuálním centrem v každé oblasti a pak můžete jednotlivé Virtual WAN vzájemně propojit prostřednictvím sítě VPN typu Site-to-Site.

Informace o směrování virtuálního centra najdete v tématu Informace o směrování virtuálního centra.

Pracovní postup

V tomto scénáři chcete směrovat provoz přes Azure Firewall pro provoz typu VNet-to-Internet, VNet-to-Branch nebo Branch-to-VNet, ale chcete přejít přímo pro provoz typu VNet-to-VNet. Pokud jste použili Azure Firewall Manager, nastavení trasy se automaticky vyplní do výchozí směrovací tabulky. Privátní provoz se vztahuje na virtuální síť a větve, internetový provoz se vztahuje na 0.0.0.0/0.

Připojení VPN, ExpressRoute a vpn uživatele se souhrnně nazývají větve a přidružují se ke stejné (výchozí) směrovací tabulce. Všechna připojení VPN, ExpressRoute a vpn uživatele šíří trasy do stejné sady směrovacích tabulek. Při konfiguraci tohoto scénáře vezměte v úvahu následující kroky:

  1. Vytvořte vlastní směrovací tabulku RT_VNet.

  2. Vytvořte trasu pro aktivaci VNet-to-Internet a VNet-to-Branch: 0.0.0.0/0 s dalším segmentem směrování ukazující na Azure Firewall. V části Šíření se ujistěte, že jsou vybrané virtuální sítě, které zajistí konkrétnější trasy a umožní tak přímý tok provozu typu VNet-to-VNet.

    • V přidružení: Vyberte virtuální sítě, které budou znamenat, že virtuální sítě dosáhnou cíle podle tras této směrovací tabulky.
    • V části Šíření: Vyberte virtuální sítě, které budou znamenat, že se virtuální sítě rozšíří do této směrovací tabulky. Jinými slovy, do této směrovací tabulky se rozšíří konkrétnější trasy, čímž se zajistí přímý tok provozu mezi virtuální sítí do virtuální sítě.
  3. Přidejte agregovanou statickou trasu pro virtuální sítě do tabulky Výchozí směrování, abyste prostřednictvím Azure Firewall aktivovali tok typu Branch-to-VNet.

    • Nezapomeňte, že větve jsou přidružené a šíří se do výchozí směrovací tabulky.
    • Větve se nerozšírují do RT_VNet směrovací tabulky. Tím se zajistí tok provozu typu VNet-to-Branch přes Azure Firewall.

Výsledkem jsou změny konfigurace směrování, jak je znázorněno na obrázku 1.

Obrázek 1

Obrázek 1

Další kroky