Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje přehled správy trasy definované uživatelem, proč je důležité, jak funguje, a běžné scénáře směrování, které můžete zjednodušit a automatizovat pomocí správy trasy definované uživatelem.
Co je management UDR?
Azure Virtual Network Manager umožňuje popsat požadované chování směrování a orchestrovat trasy definované uživatelem a vytvářet a udržovat požadované chování směrování. Trasy definované uživatelem řeší potřebu automatizace a zjednodušení při správě chování směrování. V současné době byste ručně vytvořili trasy definované uživatelem nebo využívali vlastní skripty. Tyto metody jsou však náchylné k chybám a příliš komplikovaným. Ve službě Virtual WAN můžete využít centrum spravované v Azure. Tato možnost má určitá omezení (například nemožnost přizpůsobit centrum nebo nedostatek podpory protokolu IPV6) není pro vaši organizaci relevantní. Ve správci virtuální sítě pro správu uživatelsky definovaných tras máte centralizované místo pro správu a údržbu směrovacího chování.
Jak funguje správa UDR?
Ve Správci virtuální sítě vytvoříte konfiguraci směrování. Uvnitř konfigurace vytvoříte kolekce pravidel popisující potřebné UDR pro cílovou skupinu sítě. V kolekci pravidel se pravidla směrování používají k popisu požadovaného chování směrování pro podsítě nebo virtuální sítě v cílové skupině sítě. Po vytvoření konfigurace je potřeba nasadit konfiguraci, aby se aplikovala na váš zdroj. Při nasazení se ve výchozím nastavení všechny trasy ukládají do směrovací tabulky umístěné ve skupině prostředků spravované správcem virtuální sítě. Můžete také použít a aktualizovat existující směrovací tabulky pro cílové podsítě. Azure Virtual Network Manager vytvoří nové směrovací tabulky pouze v případě potřeby. Možnost použití a aktualizace existujících směrovacích tabulek je aktuálně funkce Preview a potřebuje rozhraní API verze 2025-01-01 a novější.
Konfigurace směrování vytvářejí UDR na základě toho, co přesně určitá pravidla trasování specifikují. Můžete například určit, že skupina "spoke" sítí, která se skládá ze dvou virtuálních sítí, přistupuje k adrese služby DNS přes firewall. Správce sítě vytvoří UDR (uživatelsky definované trasy), aby k tomuto chování směrování došlo.
Konfigurace směrování
Konfigurace směrování jsou stavebními bloky správy UDR. Používají se k popisu požadovaného chování směrování pro skupinu sítí. Konfigurace směrování se skládá z následujících nastavení:
| Atribut | Popis |
|---|---|
| Jméno | Název konfigurace směrování. |
| Popis | Popis konfigurace směrování. |
Nastavení kolekce tras
Kolekce tras se skládá z následujících nastavení:
| Atribut | Popis |
|---|---|
| Jméno | Název sbírky tras. |
| Povolení šíření tras protokolu BGP | Nastavení protokolu BGP pro kolekci tras. |
| Cílová síťová skupina | Cílová skupina sítě pro kolekci tras. |
| Pravidla směrování | Pravidla směrování popisují požadované chování směrování pro cílovou skupinu sítě. |
Nastavení pravidla směrování
Každé pravidlo trasy se skládá z následujících nastavení:
| Atribut | Popis |
|---|---|
| Jméno | Název pravidla trasy. |
| Typ cíle | |
| adresa IP | IP adresa cíle. |
| Cílové IP adresy nebo rozsahy CIDR | IP adresa nebo rozsah CIDR cíle. |
| Značka služby | Servisní značka cíle. |
| Typ dalšího skoku | |
| Brána virtuální sítě | Brána virtuální sítě jako další směrování. |
| Virtuální síť | Virtuální síť jako další skok. |
| internet | Internet jako další přeskok. |
| Virtuální zařízení | Virtuální zařízení jako další skok. |
| Adresa dalšího bodu | IP adresa dalšího segmentu směrování. |
Pro každý typ dalšího bodu směrování se podívejte na uživatelsky definované trasy.
Běžné cílové vzory pro IP adresy
Při vytváření pravidel směrování můžete zadat cílový typ a adresu. Když jako IP adresu zadáte cílový typ, můžete zadat informace o IP adrese. Toto jsou běžné cílové vzory: Následující jsou běžné cílové vzory:
| Destinace provozu | Popis |
|---|---|
| Internetové > síťové virtuální zařízení | Pro provoz směřující do internetu přes síťové virtuální zařízení zadejte jako cíl pravidla hodnotu 0.0.0.0/0 . |
| Privátní provoz > NVA | Pro provoz směřující do privátního prostoru prostřednictvím síťového virtuálního zařízení zadejte 192.168.0.0/16, 172.16.0.0/12, 40.0.0.0/24, 10.0.0.0/24 jako cíl v pravidle. Tyto adresy jsou založené na privátním adresním prostoru IP podle RFC1918. |
| Paprsková síťová NVA> | Pro přenosy vázané mezi dvěma paprskovými virtuálními sítěmi, které se připojují přes síťové virtuální zařízení, zadejte jako cíl pravidla identifikátory CIDR paprsků. |
Použijte Azure Firewall jako další hop
Jako další přeskok můžete snadno zvolit Azure Firewall výběrem volby Import Azure firewall privátní IP adresy při vytváření pravidla směrování. IP adresa služby Azure Firewall se pak použije jako další skok v síti.
Použití více uživatelsky definovaných tras v jedné směrovací tabulce
Ve správě trasy definované uživatelem v Azure Virtual Network Manageru teď uživatelé můžou v jedné směrovací tabulce vytvářet až 1 000 tras definovaných uživatelem v porovnání s tradičním limitem 400 tras. Tento vyšší limit umožňuje složitější konfigurace směrování, jako je směrování provozu z místních datových center přes firewall do každé paprskové virtuální sítě v topologii hub-and-spoke. Tato rozšířená kapacita je zvlášť užitečná pro správu kontroly provozu a zabezpečení napříč rozsáhlými síťovými architekturami s mnoha výhonky.
V topologii typu hub-and-spoke je běžné, že uživatelé požadují kontrolu nebo filtrování síťového provozu pomocí firewallu umístěného ve virtuální síti hubu, a to před dosažením jakýchkoli paprskových virtuálních sítí. Azure Virtual Network Manager podporuje až 1 000 paprskových virtuálních sítí a umožňuje nakonfigurovat směrovací tabulku přidruženou k podsíti brány tak, aby zahrnovala až 1 000 tras definovaných uživatelem. Chcete-li toto nastavení nastavit, postupujte takto:
- Vytvořte instanci Azure Virtual Network Manageru.
- Vytvořte skupinu sítě a do této skupiny sítě zahrňte podsíť brány.
- Vytvořte konfiguraci směrování a vytvořte kolekci pravidel a nastavte cílovou skupinu sítě jako skupinu vytvořenou v kroku 2.
- Definujte pravidlo směrování přidáním adresních prostorů paprskových virtuálních sítí. Nastavte další skok na "virtuální zařízení" a jako adresu dalšího skoku zadejte IP adresu brány firewall.
- Nasaďte tuto konfiguraci směrování v oblasti, ve které se nachází podsíť brány.
Tato metoda umožňuje směrovací tabulce podsítě brány přizpůsobit až 1000 tras definovaných uživatelem. Při přidávání nové virtuální sítě typu spoke jednoduše zařaďte její adresní prostory do stávajícího pravidla a poté znovu nastavte konfiguraci směrování.
Běžné scénáře směrování se správou UDR
Tady jsou běžné scénáře směrování, které můžete zjednodušit a automatizovat pomocí správy UDR (tras definovaných uživatelem).
| Scénáře směrování | Popis |
|---|---|
| Paprsková síť –> Síťové virtuální zařízení –> Paprsková síť | Tento scénář použijte pro přenosy mezi dvěma paprskovými virtuálními sítěmi spojené skrz síťové virtuální zařízení. |
| Paprsková síť –> Síťové virtuální zařízení –> Koncový bod nebo služba v síti centra | Tento scénář použijte pro provoz v paprskové síti pro koncový bod služby v centrální síti, který se připojuje přes virtuální síťové zařízení. |
| Podsíť –> Síťové virtuální zařízení –> Podsíť i ve stejné virtuální síti | |
| Paprsková síť –> Síťové virtuální zařízení –> Místní síť/ internet | Tento scénář použijte, pokud máte odchozí internetový provoz přes síťové virtuální zařízení nebo lokální zařízení, například hybridní síťové scénáře. |
| Síť mezi huby a spoky prostřednictvím síťových virtuálních zařízení v každém hubu | |
| Hvězdicová síť s paprskovou sítí do místního prostředí musí jít přes síťové virtuální zařízení. | |
| Brána –> Síťové virtuální zařízení –> Paprsková síť |
Režim useExisting pro správu UDR v AVNM
Přehled
Režim UseExisting umožňuje službě Azure Virtual Network Manager (AVNM) přidávat trasy do existující směrovací tabulky místo vytvoření nové tabulky.
Tento režim poskytuje větší kontrolu, zajišťuje dodržování zásad organizace a snižuje provozní složitost , když zákazníci potřebují zachovat stávající zásady vytváření názvů prostředků, značky nebo struktury skupin prostředků.
Porovnání:
- ManagedOnly (výchozí): AVNM vždy vytváří nebo znovu používá vlastní spravovanou směrovací tabulku.
- PoužijteExistující: AVNM používá stávající směrovací tabulku přidruženou k podsíti a při zachování jejích vlastností přidává požadované trasy.
Podrobný postup: Povolení režimu UseExisting
1. Povolení prostřednictvím portálu nebo rozhraní API
- Otevřete portál AVNM nebo použijte rozhraní API.
- Vyberte konfiguraci směrování.
- Nastavte vlastnost
routeTableUsageModenaUseExisting.- Pokud v podsíti již existuje směrovací tabulka, připojí AVNM požadované trasy.
- Pokud neexistuje žádná směrovací tabulka, AVNM ji automaticky vytvoří .
2. Přepínání režimů
- Můžete přepínat mezi
ManagedOnlyaUseExistingkdykoli. - Při přechodu z ManagedOnly na UseExisting mějte na paměti, že stávající směrovací tabulky jsou spravované pomocí AVNM, takže ruční aktualizace a opětovné přidružení můžou být potřeba ke sladění konfigurací.
- Při přechodu z useExisting na ManagedOnly odeberte všechny trasy vytvořené službou AVNM z směrovacích tabulek zákazníka. Opětovné přidružení se nevyžaduje , protože AVNM automaticky spravuje nové směrovací tabulky.
Chování
| Aspekt | Description |
|---|---|
| Zachování | Zachovají se existující vlastnosti směrovací tabulky, jako je název, značky a skupina prostředků. |
| Ruční změny | AVNM nesleduje ruční úpravy. Jakékoli ruční úpravy můžou vést k posunu konfigurace. |
| Splnění předpisů | AVNM respektuje zásady Azure Policy, oprávnění RBAC a zámky prostředků. Ujistěte se, že oprávnění povolují aktualizace. |
| Sdílené tabulky | Pokud několik podsítí sdílí jednu směrovací tabulku, všechny budou dědit trasy AVNM – před povolením ověřte. |
| Přidružení podsítí | AVNM automaticky neodstraňuje přiřazení podsítí z existujících směrovacích tabulek zákazníků. Pokud je podsíť odebrána ze skupiny sítě, zůstane její přidružení nedotčené, což znamená, že podsíť bude stále propojená se stejnou směrovací tabulkou. |
Chování sdílení směrovacích tabulek a jejich údržba
Pokud několik podsítí z různých skupin sítí sdílí stejnou směrovací tabulku, může se zobrazit nezamýšlené trasy, protože AVNM nesleduje, která podsíť přidává konkrétní trasy. Zákazníci musí ručně odebrat nebo odpojit podsítě, pokud dojde k nežádoucím trasám.
Pokud některá podsíť povolí vlastnosti, jako DisableBgpRoutePropagation, tato nastavení platí pro celou sdílenou tabulku. Trasy zůstanou v tabulce, dokud všechny přispívající podsítě nepřestanou být spravovány.
Když je podsíť odebrána ze skupiny sítě, AVNM ji přestane spravovat, ale neupravuje stávající vazby tabulky. AVNM odebere své trasy jenom v případě, že na nich nezávisí žádné zbývající spravované podsítě. Směrovací tabulky vytvořené zákazníkem se nikdy neodstraní, i když po vyčištění zůstanou prázdné.
Přidání dalších virtuálních sítí
Když do skupiny sítě přidáte další virtuální sítě, konfigurace směrování se automaticky použije na novou virtuální síť. Správce sítě automaticky zjistí novou virtuální síť a použije na ni konfiguraci směrování. Když odeberete virtuální síť ze skupiny sítě, použitá konfigurace směrování se automaticky odebere i.
Nově vytvořené nebo odstraněné podsítě mají aktualizovanou směrovací tabulku s konečnou konzistencí. Doba zpracování se může lišit v závislosti na objemu vytvoření a odstranění podsítě.
Dopad správy tras definovaných uživatelem na trasy a směrovací tabulky
Zde jsou dopady správy UDR (trasy definované uživatelem) prostřednictvím Azure Virtual Network Manageru na trasy a směrovací tabulky:
- Správa UDR umožňuje uživatelům vytvářet až 1 000 UDR na tabulku trasování.
Následující položky platí, když se uživatelé rozhodnou používat směrovací tabulky spravované službou AVNM.
- Pokud existují konfliktní pravidla směrování (pravidla se stejným cílem, ale různými dalšími vrcholy), použije se pouze jedno z konfliktních pravidel, zatímco ostatní budou ignorovány. Libovolná konfliktní pravidla je možné vybrat náhodně. Je důležité si uvědomit, že konfliktní pravidla v rámci kolekcí pravidel nebo napříč kolekcemi pravidel, které cílí na stejnou virtuální síť nebo podsíť, nejsou podporovány.
- Když vytvoříte pravidlo směrování se stejným cílem jako existující trasa v směrovací tabulce, pravidlo směrování se ignoruje.
- Pokud existuje směrovací tabulka s existujícími trasami definovanými uživatelem, Azure Virtual Network Manager vytvoří novou spravovanou směrovací tabulku, která bude obsahovat stávající i nové trasy dle nasazené konfigurace směrování.
- Ostatní trasy definované uživatelem přidané do spravované směrovací tabulky zůstanou nedotčené a při odebrání konfigurace směrování se neodstraní. Odeberou se jenom trasy vytvořené nástrojem Azure Virtual Network Manager.
- Pokud je trasa spravovaná službou Azure Virtual Network Manager (uživatelsky definovaná trasa - UDR) ručně upravena ve směrovací tabulce, tato trasa se odstraní, když se konfigurace odebere z dané oblasti.
- Azure Virtual Network Manager nezasahuje do vašich stávajících tras definovaných uživatelem (UDRs). Jenom přidá nové UDR k aktuálním trasám a zajistí, aby směrování fungovalo stejně jako doposud. Navíc trasy definované uživatelem pro konkrétní služby Azure stále fungují společně s trasami definovanými správcem sítě, aniž by došlo k novým omezením.
- Azure Virtual Network Manager vyžaduje spravovanou skupinu prostředků k ukládání směrovací tabulky. Pokud Azure Policy vynucuje pro skupiny prostředků konkrétní značky nebo vlastnosti, musí být tyto zásady zakázané nebo upravené pro spravovanou skupinu prostředků, aby se zabránilo problémům s nasazením. Pokud navíc potřebujete odstranit tuto spravovanou skupinu prostředků, před zahájením jakýchkoli nových nasazení prostředků ve stejném předplatném se ujistěte, že k odstranění dojde.
Následující položky platí, když se uživatelé rozhodnou použít existující směrovací tabulky.
- Když je společná směrovací tabulka připojená k podsítím v různých skupinách nebo kolekcích sítě, pravidla ze všech kolekcí se přidají do směrovací tabulky.
- Pokud je podsíť odebrána ze skupiny sítě, její pravidla se ze směrovací tabulky neodeberou, pokud se neodeberou všechny přidružené podsítě.