Identifikace možností směrování ve virtuální síti Azure
Abyste mohli ve virtuální síti řídit tok provozu, musíte znát účel a výhody vlastních tras. Musíte také umět nakonfigurovat trasy, abyste tok provozu směrovali přes síťové virtuální zařízení (NVA).
Směrování Azure
Síťový provoz v Azure je automaticky směrovaný mezi podsítěmi Azure, virtuálními sítěmi a místními sítěmi. Systémové trasy řídí toto směrování. Ve výchozím nastavení jsou přiřazené ke každé podsíti ve virtuální síti. Díky těmto systémovým trasám může jakýkoli virtuální počítač Azure, který je nasazený do virtuální sítě, komunikovat s jakýmkoli jiným virtuálním počítačem v síti. Tyto virtuální počítače také můžou být místně přístupné prostřednictvím hybridní sítě nebo internetu.
Systémové trasy nemůžete vytvářet ani odstraňovat, ale systémové trasy můžete přepsat přidáním vlastních tras pro řízení toku provozu do dalšího segmentu směrování.
Každá podsíť má tyto výchozí systémové trasy:
| Předpona adresy | Typ dalšího směrování |
|---|---|
| Jedinečné pro virtuální síť | Virtuální síť |
| 0.0.0.0/0 | Internet |
| 10.0.0.0/8 | Nic |
| 172.16.0.0/12 | Nic |
| 192.168.0.0/16 | Nic |
| 100.64.0.0/10 | Nic |
Ve sloupci Typ dalšího přesměrování je síťová cesta, po které proudí provoz posílaný na každou předponu adresy. Cesta může odpovídat některému z následujících typů segmentu směrování:
- Virtuální síť: Trasa se vytvoří v předponě adresy. Předpona představuje rozsah adres vytvořený na úrovni virtuální sítě. Pokud je uvedeno více rozsahů adres, vytvoří se pro každý rozsah adres několik tras.
- Internet: Výchozí systémová trasa 0.0.0.0/0 směruje libovolný rozsah adres na internet, pokud nepřepíšete výchozí trasu Azure vlastní trasou.
- Žádné: Veškerý provoz směrovaný na tento typ segmentu směrování se zahodí a nesměruje se mimo podsíť. Ve výchozím nastavení se vytvoří následující předpony privátních adres IPv4: 10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16. Přidána bude i předpona 100.64.0.0/10 pro sdílený adresní prostor. Žádný z těchto rozsahů adres není globálně směrovatelný.
Následující diagram znázorňuje přehled systémových tras a výchozí tok provozu mezi podsítěmi a internetem. Z diagramu je patrné, jak provoz volně prochází mezi dvěma podsítěmi a internetem.
V Azure existují další systémové trasy. Azure vytvoří tyto trasy, pokud jsou povolené následující funkce:
- Peering virtuálních sítí
- Řetězení služeb
- Brána virtuální sítě
- Koncový bod služby pro virtuální síť
Peering virtuálních sítí a řetězení služeb
Peering virtuálních sítí a řetězení služeb umožňují vzájemně propojit virtuální sítě v Azure. Díky tomuto propojení spolu můžou komunikovat virtuální počítače ve stejné oblasti nebo i v různých oblastech. Tato komunikace zase vytvoří více tras v rámci výchozí směrovací tabulky. Řetězení služeb umožňuje přepsat tyto trasy tím, že mezi partnerskými sítěmi vytvoříte uživatelsky definované trasy.
Následující digram znázorňuje dvě virtuální sítě s nakonfigurovaným peeringem. Trasy definované uživatelem jsou nakonfigurované tak, aby směrovaly provoz přes síťové virtuální zařízení nebo přes Azure VPN Gateway.
Brána virtuální sítě
Bránu virtuální sítě můžete použít k posílání šifrovaného provozu mezi sítí Azure a místní sítí po internetu a k posílání šifrovaného provozu mezi sítěmi Azure. Brána virtuální sítě obsahuje směrovací tabulky a služby brány.
Koncový bod služby pro virtuální síť
Koncové body služby pro virtuální síť rozšíří adresní prostor privátních adres v Azure poskytnutím přímého připojení k prostředkům Azure. Toto připojení omezuje tok provozu. Vaše virtuální počítače Azure mají přístup k účtu úložiště přímo z adresního prostoru privátních adres, ale veřejný virtuální počítač má přístup zakázaný. Při povolení koncových bodů služby vytvoří Azure ve směrovací tabulce trasy pro směrování tohoto provozu.
Vlastní trasy
Systémové trasy můžete použít ke snadnému a rychlému zprovoznění prostředí. Existuje však mnoho scénářů, ve kterých chcete přesněji řídit tok provozu v síti. Můžete například chtít směrovat provoz přes síťové virtuální zařízení nebo bránu firewall. Toto řízení umožňují vlastní trasy.
Máte dvě možnosti pro implementaci vlastních tras: vytvoření trasy definované uživatelem nebo použití protokolu BGP (Border Gateway Protocol) k výměně tras mezi Azure a místními sítěmi.
Trasy definované uživatelem
Trasu definovanou uživatelem můžete použít k přepsání výchozích systémových tras, aby se provoz mohl směrovat přes brány firewall nebo síťová virtuální zařízení.
Představte si, že síť má dvě podsítě a vy chcete do hraniční sítě přidat virtuální počítač, který se bude používat jako brána firewall. Můžete vytvořit trasu definovanou uživatelem, aby provoz prošel bránou firewall a neprošel přímo mezi podsítěmi.
Při vytváření trasy definované uživatelem můžete zadat tyto typy dalších směrování:
- Virtuální zařízení: Virtuální zařízení je obvykle zařízení brány firewall, které slouží k analýze nebo filtrování provozu, který do vaší sítě vstupuje nebo opouští. Můžete zadat privátní IP adresu síťové karty připojené k virtuálnímu počítači, aby bylo možné povolit předávání IP. Nebo můžete zadat privátní IP adresu interního nástroje pro vyrovnávání zatížení.
- Brána virtuální sítě: Slouží k označení, kdy chcete směrovat trasy pro konkrétní adresu do brány virtuální sítě. Brána virtuální sítě je pro typ dalšího přesměrování zadaná jako síť VPN.
- Virtuální síť: Slouží k přepsání výchozí systémové trasy v rámci virtuální sítě.
- Internet: Slouží ke směrování provozu na zadanou předponu adresy, která je směrována na internet.
- Žádné: Slouží k vyřazení provozu odeslaného na zadanou předponu adresy.
U tras definovaných uživatelem nemůžete jako typ dalšího přesměrování zadat VirtualNetworkServiceEndpoint. Tato hodnota označuje peering virtuálních sítí.
Značky služeb pro trasy definované uživatelem
Značku služby můžete zadat jako předponu adresy pro trasu definovanou uživatelem místo explicitního rozsahu IP adres. Značka služby představuje skupinu předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres. Tím minimalizujete složitost častých aktualizací tras definovaných uživatelem a snížíte počet tras, které potřebujete vytvořit.
Protokol BGP (Border Gateway Protocol)
Síťová brána v místní síti si může vyměňovat trasy s bránou virtuální sítě v Azure pomocí protokolu BGP (Border Gateway Protocol). Protokol BGP je standardní směrovací protokol, který se obvykle používá k výměně informací o směrování mezi dvěma nebo více sítěmi. Protokol BGP se používá k přenosu dat a informací mezi autonomními systémy na internetu, jako jsou různé hostitelské brány.
Protokol BGP obvykle používáte k inzerování místních tras do Azure, když jste připojení k datacentru Azure prostřednictvím Azure ExpressRoute. Protokol BGP můžete nakonfigurovat i v případě, že pro připojení k virtuální síti Azure používáte připojení VPN typu site-to-site.
Následující diagram znázorňuje topologii i s cestami, které přenášejí data mezi službou Azure VPN Gateway a místními sítěmi:
Protokol BGP nabízí stabilitu sítě, protože směrovače můžou rychle změnit připojení pro odesílání paketů, pokud dojde k výpadku cesty připojení.
Výběr a priorita tras
Pokud je ve směrovací tabulce k dispozici více tras, použije Azure trasu s nejdelší shodnou předponou. Zpráva se například odešle na IP adresu 10.0.0.0.2, ale dvě trasy jsou k dispozici s předponami 10.0.0.0/16 a 10.0.0.0/24. Azure vybere trasu s předponou 10.0.0.0/24, protože je konkrétnější.
Čím delší je předpona trasy, tím kratší je seznam IP adres dostupných prostřednictvím této předpony. Pokud použijete delší předpony, algoritmus směrování může rychleji vybrat zamýšlenou adresu.
Nemůžete nakonfigurovat více tras definovaných uživatelem se stejnou předponou adresy.
Pokud existuje více tras se stejnou předponou adresy, Azure vybere trasu na základě typu v následujícím pořadí priority:
- Trasy definované uživatelem
- Trasy protokolu BGP
- Systémové trasy