Scénář: Směrování provozu přes síťová virtuální zařízení pomocí vlastního nastavení

Při práci se směrováním virtuálního centra Azure Virtual WAN máte k dispozici mnoho možností. Tento článek se zaměřuje na to, kdy chcete směrovat provoz přes síťové virtuální zařízení (NVA) pro komunikaci mezi virtuálními sítěmi a pobočkami a použít jiné síťové virtuální zařízení pro provoz směřující na internet. Další informace najdete v tématu Informace o směrování virtuálního centra.

Poznámka

Upozorňujeme, že v následujících scénářích směrování musí být centrum Virtual WAN a Virtual Network paprsku obsahující síťové virtuální zařízení ve stejné oblasti Azure.

Návrh

• Paprsky virtuálních sítí připojených k virtuálnímu centru (Například VNet 1, VNet 2 a VNet 3 v diagramu dále v tomto článku.)
• Virtuální síť služby pro virtuální sítě, ve kterých uživatelé nasadili síťové virtuální zařízení ke kontrole neinternetového provozu a případně s běžnými službami, ke kterým mají přístup paprsky. (Například VNet 4 v diagramu dále v tomto článku.)
• Hraniční virtuální síť pro virtuální sítě, ve kterých uživatelé nasadili síťové virtuální zařízení, které se použije ke kontrole provozu vázaného na internet. (Například VNet 5 v diagramu dále v tomto článku.)
• Centra pro Virtual WAN centra spravovaná Microsoftem.

Následující tabulka shrnuje připojení podporovaná v tomto scénáři:

Z	Záměr	Paprsky	Virtuální síť služby	Větve	Internet
Paprsky	->	Přímo	Přímo	prostřednictvím virtuální sítě služby	prostřednictvím hraniční virtuální sítě
Virtuální síť služby	->	Přímo	Není k dispozici	Přímo
Větve	->	prostřednictvím virtuální sítě služby	Přímo	Přímo

Každá z buněk v matici připojení popisuje, jestli připojení prochází přímo přes Virtual WAN nebo přes jednu z virtuálních sítí se síťovým virtuálním virtuálním zařízením.

Všimněte si těchto podrobností:

• Paprsky:
  • Paprsky budou mít přístup k jiným paprskům přímo přes Virtual WAN rozbočovače.
  • Paprsky získají připojení ke větvím prostřednictvím statické trasy odkazující na virtuální síť služby. Z větví se nenaučí konkrétní předpony, protože tyto předpony jsou konkrétnější a přepisují souhrn.
  • Paprsky budou odesílat internetový provoz do hraniční virtuální sítě prostřednictvím přímého partnerského vztahu virtuálních sítí.
• Větve se dostanou k paprskům prostřednictvím statického směrování směřujícího na virtuální síť služby. Z virtuálních sítí se nenaučí konkrétní předpony, které přepisují souhrnnou statickou trasu.
• Virtuální síť služby se bude podobat virtuální síti sdílených služeb, která musí být dostupná ze všech virtuálních sítí a větví.
• Hraniční virtuální síť nemusí mít připojení přes Virtual WAN, protože jediný provoz, který bude podporovat, bude přes přímé partnerské vztahy virtuálních sítí. Pokud ale chcete konfiguraci zjednodušit, použijte stejný model připojení jako pro hraniční virtuální síť.

Existují tři různé vzory připojení, které se překládají na tři směrovací tabulky. Přidružení k různým virtuálním sítím jsou:

• Paprsky:
  • Přidružená směrovací tabulka: RT_V2B
  • Šíření do směrovacích tabulek: RT_V2B a RT_SHARED
• Virtuální sítě síťového virtuálního zařízení (virtuální síť služby a virtuální síť DMZ):
  • Přidružená směrovací tabulka: RT_SHARED
  • Šíření do směrovacích tabulek: RT_SHARED
• Poboček:
  • Přidružená směrovací tabulka: Výchozí
  • Šíření do směrovacích tabulek: RT_SHARED a výchozí

Poznámka

Ujistěte se, že se paprskové virtuální sítě nerozšířily na popisek Výchozí. Tím se zajistí přesměrování provozu z větví do paprskových virtuálních sítí do síťových virtuálních zařízení.

Tyto statické trasy zajišťují, že provoz do a z virtuální sítě a větve prochází přes síťové virtuální zařízení ve virtuální síti služby (VNet 4):

Popis	Tabulka směrování	Statická trasa
Větve	RT_V2B	10.2.0.0/16 –> vnet4conn
Paprsky síťového virtuálního zařízení	Výchozí	10.1.0.0/16 –> vnet4conn

Teď můžete pomocí Virtual WAN vybrat správné připojení, do které chcete pakety odesílat. Musíte také použít Virtual WAN k výběru správné akce, která se má provést při přijímání těchto paketů. K tomu použijete směrovací tabulky připojení následujícím způsobem:

Description	Připojení	Statická trasa
VNet2Branch	vnet4conn	10.2.0.0/16 –> 10.4.0.5
Branch2VNet	vnet4conn	10.1.0.0/16 –> 10.4.0.5

Další informace najdete v tématu Informace o směrování virtuálního centra.

Architektura

Následující diagram znázorňuje architekturu popsanou výše v článku.

V diagramu je jeden rozbočovač; Centrum 1.

• Centrum 1 je přímo připojené k virtuálním sítím síťového virtuálního zařízení VNet 4 a VNet 5.

• Očekává se, že provoz mezi virtuálními sítěmi 1, 2, 3 a větvemi půjde přes virtuální síť VNet 4 NVA 10.4.0.5.

• Očekává se, že veškerý provoz směřující z virtuálních sítí 1, 2 a 3 bude směrovat přes virtuální síť 5 NVA 10.5.0.5.

Pracovní postup

Pokud chcete nastavit směrování přes síťové virtuální zařízení, zvažte následující kroky:

1. Aby provoz směřující na internet šel přes virtuální síť 5, potřebujete virtuální sítě 1, 2 a 3, abyste se mohli přímo připojit přes partnerský vztah virtuálních sítí k síti VNet 5. Potřebujete také ve virtuálních sítích nastavit uživatelsky definovanou trasu pro 0.0.0.0/0 a další segment směrování 10.5.0.5.

   Pokud nechcete připojovat virtuální sítě 1, 2 a 3 k virtuální síti 5 a místo toho použít síťové virtuální zařízení ve virtuální síti 4 ke směrování provozu 0.0.0.0/0 z poboček (místní připojení VPN nebo ExpressRoute), přejděte k alternativnímu pracovnímu postupu.

   Pokud ale chcete, aby provoz typu VNet-to-VNet procházel přes síťové virtuální zařízení, museli byste odpojit virtuální síť 1,2,3 od virtuálního centra a připojit ji nebo ji skládat nad síť VNet4. V Virtual WAN prochází provoz VNet-to-VNet přes centrum Virtual WAN nebo Azure Firewall (Zabezpečené centrum) centra Virtual WAN. Pokud partnerský vztah virtuálních sítí používáte přímo pomocí partnerského vztahu virtuálních sítí, můžou komunikovat přímo a obejít tak průchod přes virtuální centrum.

2. V Azure Portal přejděte do virtuálního centra a vytvořte vlastní směrovací tabulku s názvem RT_Shared. Tato tabulka zjišťuje trasy prostřednictvím šíření ze všech virtuálních sítí a připojení větví. Tuto prázdnou tabulku vidíte v následujícím diagramu.

   • Trasy: Nemusíte přidávat žádné statické trasy.

   • Přidružení: Vyberte virtuální sítě 4 a 5, což znamená, že připojení těchto virtuálních sítí se přidruží ke směrovací tabulce RT_Shared.

   • Šíření: Protože chcete, aby všechny větve a připojení virtuálních sítí dynamicky šířily své trasy do této směrovací tabulky, vyberte větve a všechny virtuální sítě.

3. Vytvořte vlastní směrovací tabulku s názvem RT_V2B pro směrování provozu z virtuálních sítí 1, 2 a 3 do větví.

   • Trasy: Přidejte agregovanou položku statické trasy pro větve s dalším segmentem směrování jako připojení virtuální sítě 4. Nakonfigurujte statickou trasu v připojení virtuální sítě 4 pro předpony větví. Označte další segment směrování jako konkrétní IP adresu síťového virtuálního zařízení ve virtuální síti 4.

   • Přidružení: Vyberte všechny virtuální sítě 1, 2 a 3. To znamená, že připojení virtuální sítě 1, 2 a 3 se přidruží k této směrovací tabulce a budou moct v této směrovací tabulce učit trasy (statické a dynamické prostřednictvím šíření).

   • Šíření: Připojení šíří trasy do směrovacích tabulek. Výběr virtuálních sítí 1, 2 a 3 umožní šíření tras z virtuálních sítí 1, 2 a 3 do této směrovací tabulky. Není potřeba šířit trasy z připojení větví do RT_V2B, protože provoz virtuální sítě větví prochází přes síťové virtuální zařízení ve virtuální síti 4.

4. Upravte výchozí směrovací tabulku DefaultRouteTable.

   Všechna připojení VPN, Azure ExpressRoute a uživatelská připojení VPN jsou přidružená k výchozí směrovací tabulce. Všechna připojení VPN, ExpressRoute a uživatelská připojení VPN šíří trasy do stejné sady směrovacích tabulek.

   • Trasy: Přidejte agregovanou položku statické trasy pro virtuální sítě 1, 2 a 3 s dalším segmentem směrování jako připojení virtuální sítě 4. Nakonfigurujte statickou trasu v připojení virtuální sítě 4 pro agregované předpony virtuální sítě 1, 2 a 3. Označte další segment směrování jako konkrétní IP adresu síťového virtuálního zařízení ve virtuální síti 4.

   • Přidružení: Ujistěte se, že je vybraná možnost pro větve (VPN/ER/P2S), a ujistěte se, že jsou připojení místních větví přidružená k výchozí směrovací tabulce.

   • Šíření z: Ujistěte se, že je vybraná možnost pro větve (VPN,ER/P2S), a ujistěte se, že místní připojení šíří trasy do výchozí směrovací tabulky.

Alternativní pracovní postup

V tomto pracovním postupu nepřipojíte virtuální sítě 1, 2 a 3 k virtuální síti 5. Místo toho použijete síťové virtuální zařízení ve virtuální síti 4 ke směrování provozu 0.0.0.0/0 z větví (místní připojení VPN nebo ExpressRoute).

Pokud chcete nastavit směrování přes síťové virtuální zařízení, zvažte následující kroky:

1. V Azure Portal přejděte do virtuálního centra a vytvořte vlastní směrovací tabulku s názvem RT_NVA pro směrování provozu přes síťové virtuální zařízení 10.4.0.5.

   • Trasy: Nevyžaduje se žádná akce.

   • Přidružení: Vyberte VNet4. To znamená, že připojení k virtuální síti 4 se přidruží k této směrovací tabulce a dokáže v této směrovací tabulce zjistit trasy (statické a dynamické prostřednictvím šíření).

   • Šíření: Připojení šíří trasy do směrovacích tabulek. Výběr virtuálních sítí 1, 2 a 3 umožní šíření tras z virtuálních sítí 1, 2 a 3 do této směrovací tabulky. Výběr větví (VPN/ER/P2S) umožní šíření tras z větví nebo místních připojení do této směrovací tabulky. Všechna připojení VPN, ExpressRoute a uživatelská připojení VPN šíří trasy do stejné sady směrovacích tabulek.

2. Vytvořte vlastní směrovací tabulku s názvem RT_VNET pro směrování provozu z virtuálních sítí 1, 2 a 3 do větví nebo internetu (0.0.0.0/0) prostřednictvím síťového virtuálního zařízení VNet4. Provoz VNet-to-VNet bude přímý, a ne přes síťové virtuální zařízení VNet 4. Pokud chcete, aby provoz šel přes síťové virtuální zařízení, odpojte virtuální sítě 1, 2 a 3 a připojte je k síti VNet4 pomocí partnerského vztahu virtuálních sítí.

   • Trasy: 

     • Přidejte agregovanou trasu 10.2.0.0/16 s dalším segmentem směrování jako připojení virtuální sítě 4 pro provoz z virtuálních sítí 1, 2 a 3 do větví. V připojení VNet4 nakonfigurujte trasu pro 10.2.0.0/16 a označte další segment směrování jako konkrétní IP adresu síťového virtuálního zařízení ve virtuální síti 4.

     • Přidejte trasu 0.0.0.0/0 s dalším segmentem směrování jako připojení virtuální sítě 4. Přidává se parametr 0.0.0.0/0, který znamená odesílání provozu do internetu. Neznamená to konkrétní předpony adres vztahující se k virtuálním sítím nebo větvím. V připojení VNet4 nakonfigurujte trasu pro 0.0.0.0/0 a označte další segment směrování jako konkrétní IP adresu síťového virtuálního zařízení ve virtuální síti 4.

   • Přidružení: Vyberte všechny virtuální sítě 1, 2 a 3. To znamená, že připojení virtuální sítě 1, 2 a 3 se přidruží k této směrovací tabulce a budou moct v této směrovací tabulce učit trasy (statické a dynamické prostřednictvím šíření).

   • Šíření: Připojení šíří trasy do směrovacích tabulek. Výběr virtuálních sítí 1, 2 a 3 umožní šíření tras z virtuálních sítí 1, 2 a 3 do této směrovací tabulky. Ujistěte se, že není vybraná možnost pro větve (VPN,ER/P2S). Tím se zajistí, že se místní připojení nebudou moct dostat přímo k virtuálním sítím 1, 2 a 3.

3. Upravte výchozí směrovací tabulku DefaultRouteTable.

   Všechna připojení VPN, Azure ExpressRoute a uživatelská připojení VPN jsou přidružená k výchozí směrovací tabulce. Všechna připojení VPN, ExpressRoute a uživatelská připojení VPN šíří trasy do stejné sady směrovacích tabulek.

   • Trasy: 

     • Přidejte agregovanou trasu 10.1.0.0/16 pro virtuální sítě 1, 2 a 3 s dalším segmentem směrování jako připojení virtuální sítě 4.

     • Přidejte trasu 0.0.0.0/0 s dalším segmentem směrování jako připojení virtuální sítě 4. Přidává se parametr 0.0.0.0/0, který znamená odesílání provozu do internetu. Neznamená to konkrétní předpony adres vztahující se k virtuálním sítím nebo větvím. V předchozím kroku pro připojení VNet4 byste už nakonfigurovali trasu 0.0.0.0/0, přičemž další segment směrování bude konkrétní IP adresou síťového virtuálního zařízení ve virtuální síti 4.

   • Přidružení: Ujistěte se, že je vybraná možnost pro větve (VPN,ER/P2S). Tím se zajistí, že připojení místních větví budou přidružená k výchozí směrovací tabulce. Všechna připojení VPN, Azure ExpressRoute a uživatelská připojení VPN jsou přidružená pouze k výchozí směrovací tabulce.

   • Šíření z: Ujistěte se, že je vybraná možnost pro větve (VPN,ER/P2S). Tím se zajistí, že místní připojení šíří trasy do výchozí směrovací tabulky. Všechna připojení VPN, ExpressRoute a uživatelská připojení VPN šíří trasy do stejné sady směrovacích tabulek.

Důležité informace

• Aby se projevila trasa 0.0.0.0/0/0, musí uživatelé portálu povolit u připojení (VPN/ER/P2S/VNet) možnost Rozšířit na výchozí trasu.

• Aby se projevila trasa 0.0.0.0.0/0, musí uživatelé PS/CLI/REST nastavit příznak enableinternetsecurity na hodnotu true.

• Připojení k virtuální síti nepodporuje ip adresu dalšího segmentu směrování více nebo jedinečných adres na stejné síťové virtuální zařízení v paprskové virtuální síti, pokud je jedna z tras s IP adresou dalšího segmentu směrování označená jako veřejná IP adresa nebo 0.0.0.0/0 (internet).

• Pokud je 0.0.0.0/0 nakonfigurovaná jako statická trasa v připojení k virtuální síti, použije se tato trasa na veškerý provoz, včetně prostředků v samotném paprsku. To znamená, že veškerý provoz se přesměruje na IP adresu dalšího segmentu směrování statické trasy (privátní IP adresa síťového virtuálního zařízení). Proto v nasazeních s trasou 0.0.0.0/0 s IP adresou síťového virtuálního virtuálního zařízení dalšího segmentu směrování nakonfigurovanou na paprskovém virtuálním síťovém připojení pro přímý přístup k úlohám ve stejné virtuální síti jako síťové virtuální zařízení (tj. aby provoz neprocháával síťovým virtuálním virtuálním zařízením), zadejte trasu /32 na připojení paprskové virtuální sítě. Pokud například chcete získat přímý přístup k 10.1.3.1, zadejte 10.1.3.1/32 další segment směrování 10.1.3.1 v připojení paprskové virtuální sítě.

• Pokud chcete zjednodušit směrování a omezit změny směrovacích tabulek Virtual WAN centra, doporučujeme použít novou možnost partnerského vztahu protokolu BGP s centrem Virtual WAN.

  • Scénář: Partnerský vztah protokolu BGP s virtuálním centrem
  • Vytvoření partnerského vztahu protokolu BGP s virtuálním centrem – Azure Portal

Další kroky

• Další informace o Virtual WAN najdete v nejčastějších dotazech.
• Další informace o směrování virtuálního centra najdete v tématu Informace o směrování virtuálního centra.