Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Übersicht über die UDR-Verwaltung, warum sie wichtig ist, wie sie funktioniert, und allgemeine Routingszenarien, die Sie mithilfe der UDR-Verwaltung vereinfachen und automatisieren können.
Was ist UDR-Verwaltung?
Mit Azure Virtual Network Manager können Sie Ihr gewünschtes Routingverhalten beschreiben und benutzerdefinierte Routen (User-Defined Routes, UDRs) orchestrieren, um das gewünschte Routingverhalten zu erzielen und aufrechtzuerhalten. Benutzerdefinierte Routen erfüllen die Notwendigkeit der Automatisierung und Vereinfachung beim Verwalten von Routingverhalten. Derzeit erstellen Sie manuell benutzerdefinierte Routen (User-defined Routes, UDRs) oder verwenden benutzerdefinierte Skripts. Diese Methoden sind jedoch anfällig für Fehler und übermäßig kompliziert. Sie können den von Azure verwalteten Hub in Virtual WAN nutzen. Diese Option hat bestimmte Einschränkungen (z. B. die fehlende Möglichkeit, den Hub anzupassen, und fehlende IPV6-Unterstützung) und ist für Ihre Organisation möglicherweise nicht relevant. Mit der UDR-Verwaltung in Ihrem virtuellen Netzwerk-Manager verfügen Sie über einen zentralen Hub zum Verwalten und Warten von Routingverhalten.
Funktionsweise der UDR-Verwaltung
Im Manager für virtuelle Netzwerke erstellen Sie eine Routingkonfiguration. Innerhalb der Konfiguration erstellen Sie Regelsammlungen, um die UDRs zu beschreiben, die für eine Netzwerkgruppe (Zielnetzwerkgruppe) erforderlich sind. In der Regelsammlung werden Routenregeln verwendet, um das gewünschte Routingverhalten für die Subnetze oder virtuellen Netzwerke in der Zielnetzwerkgruppe zu beschreiben. Nachdem die Konfiguration erstellt wurde, müssen Sie die Konfiguration bereitstellen, damit sie auf Ihre Ressourcen angewendet wird. Bei der Bereitstellung werden standardmäßig alle Routen in einer Routentabelle gespeichert, die sich in einer vom Virtuellen Netzwerk-Manager verwalteten Ressourcengruppe befindet. Sie können auch vorhandene Routentabellen für gezielte Subnetze verwenden und aktualisieren. Azure Virtual Network Manager erstellt nur bei Bedarf neue Routentabellen. Die Option zum Verwenden und Aktualisieren vorhandener Routentabellen ist derzeit ein Vorschaufeature und benötigt die API-Version 2025-01-01 und höher.
Routingkonfigurationen erstellen UDRs für Sie basierend auf den angegebenen Routenregeln. Sie können beispielsweise angeben, dass die Spoke-Netzwerkgruppe, bestehend aus zwei virtuellen Netzwerken, über eine Firewall auf die Adresse des DNS-Diensts zugreift. Ihr Netzwerk-Manager erstellt UDRs, um dieses Routingverhalten zu ermöglichen.
Routingkonfigurationen
Routingkonfigurationen sind die Bausteine der UDR-Verwaltung. Sie werden verwendet, um das gewünschte Routingverhalten für eine Netzwerkgruppe zu beschreiben. Eine Routingkonfiguration besteht aus den folgenden Einstellungen:
| Attribut | Beschreibung |
|---|---|
| Name | Der Name der Routingkonfiguration. |
| Beschreibung | Die Beschreibung der Routingkonfiguration. |
Einstellungen für die Routensammlung
Eine Routensammlung besteht aus den folgenden Einstellungen:
| Attribut | Beschreibung |
|---|---|
| Name | Der Name der Routensammlung. |
| BGP-Routenweitergabe aktivieren | Die BGP-Einstellungen für die Routensammlung. |
| Zielnetzwerkgruppe | Die Zielnetzwerkgruppe für die Routensammlung. |
| Routenregeln | Die Routenregeln, die das gewünschte Routingverhalten für die Zielnetzwerkgruppe beschreiben. |
Einstellungen für Routenregeln
Eine Routenregel besteht aus den folgenden Einstellungen:
| Attribut | Beschreibung |
|---|---|
| Name | Der Name der Routenregel. |
| Zieltyp | |
| IP-Adresse | Die IP-Adresse des Ziels. |
| Ziel-IP-Adressen/CIDR-Bereiche | Die IP-Adresse oder der CIDR-Bereich des Ziels. |
| Diensttag | Das Diensttag des Ziels. |
| Typ des nächsten Hops | |
| Gateway des virtuellen Netzwerks | VNET-Gateway als nächster Hop. |
| Virtuelles Netzwerk | Das virtuelle Netzwerk als nächster Hop. |
| Internet | Das Internet als nächster Hop. |
| Virtuelles Gerät | Das virtuelle Gerät als nächster Hop. |
| Adresse des nächsten Hop | Die IP-Adresse des nächsten Hops. |
Informationen zu den einzelnen Typen des nächsten Hop finden Sie unter Benutzerdefinierte Routen.
Allgemeine Zielmuster für IP-Adressen
Beim Erstellen von Routenregeln können Sie den Zieltyp und die Zieladresse angeben. Wenn Sie den Zieltyp als IP-Adresse angeben, können Sie die IP-Adressinformationen angeben. Im Folgenden finden Sie allgemeine Zielmuster:
| Datenverkehrsziel | Beschreibung |
|---|---|
| Internet > NVA | Geben Sie für Datenverkehr, der über ein virtuelles Netzwerkgerät an das Internet geleitet wird, 0.0.0.0/0/0 als Ziel in der Regel ein. |
| Privater Datenverkehr > NVA | Geben Sie für Datenverkehr, der über ein virtuelles Netzwerkgerät in den privaten Bereich geleitet wird, 192.168.0.0/16, 172.16.0.0/12, 40.0.0.0/24, 10.0.0.0/24 als Ziel in der Regel ein. Diese Ziele basieren auf dem privaten RFC1918-IP-Adressraum. |
| Spoke-Netzwerk > NVA | Geben Sie für Datenverkehr an zwei virtuelle Spoke-Netzwerke, die über ein virtuelles Netzwerkgerät verbunden sind, die CIDRs der Spokes als Ziel in der Regel ein. |
Verwenden Sie die Azure Firewall als nächsten Hop
Sie können auch ganz einfach Azure Firewall als nächsten Hop auswählen, indem Sie die Option zum Importieren der privaten IP-Adresse von Azure Firewall beim Erstellen Ihrer Routingregel auswählen. Die IP-Adresse von Azure Firewall wird dann als nächster Hop verwendet.
Verwenden zusätzlicher benutzerdefinierter Routen in einer einzelnen Routingtabelle
In azure Virtual Network Manager UDR-Verwaltung können Benutzer jetzt bis zu 1.000 benutzerdefinierte Routen in einer einzigen Routentabelle erstellen, verglichen mit dem herkömmlichen Grenzwert von 400 Routen. Dieser höhere Grenzwert ermöglicht komplexere Routingkonfigurationen, z. B. das Weiterleiten von Datenverkehr von lokalen Rechenzentren über eine Firewall zu allen Spoke-VNets in einer Hub-and-Spoke-Topologie. Diese größere Kapazität ist besonders für die Verwaltung der Datenverkehrsüberprüfung und Sicherheit in großen Netzwerkarchitekturen mit zahlreichen Spokes nützlich.
In einer Hub-and-Spoke-Topologie ist es üblich, dass der Netzwerkdatenverkehr von einer Firewall im virtuellen Hubnetzwerk überprüft oder gefiltert werden muss, bevor er die virtuellen Spoke-Netzwerke erreicht. Azure Virtual Network Manager unterstützt bis zu 1.000 virtuelle Netzwerke mit Speichen und ermöglicht ihnen die Konfiguration der Routetabelle, die dem Gatewaysubnetz zugeordnet ist, um bis zu 1.000 benutzerdefinierte Routen einzuschließen. Führen Sie die folgenden Schritte aus, um dies einzurichten:
- Erstellen Sie eine Azure Virtual Network Manager-Instanz.
- Erstellen Sie eine Netzwerkgruppe, und fügen Sie das Gatewaysubnetz in diese Netzwerkgruppe ein.
- Richten Sie eine Routingkonfiguration ein, und erstellen Sie eine Regelsammlung. Legen Sie dabei die in Schritt 2 erstellte Zielnetzwerkgruppe fest.
- Definieren Sie eine Routingregel, indem Sie die Adressräume der virtuellen Spoke-Netzwerke hinzufügen. Legen Sie den nächsten Hop auf „virtuelles Gerät“ fest, und geben Sie die IP-Adresse der Firewall als Adresse für den nächsten Hop an.
- Stellen Sie diese Routingkonfiguration in der Region bereit, in der sich das Gatewaysubnetz befindet.
Mit dieser Methode kann die Routentabelle des Gatewaysubnetz bis zu 1000 benutzerdefinierte Routen aufnehmen. Wenn Sie ein neues virtuelles Spoke-Netzwerk hinzufügen, nehmen Sie einfach seine Adressräume in die vorhandene Regel auf, und stellen Sie die Routingkonfiguration erneut bereit.
Häufige Routingszenarien mit UDR-Verwaltung
Hier sind die gängigen Routingszenarien, die Sie mithilfe der UDR-Verwaltung vereinfachen und automatisieren können.
| Routingszenarien | Beschreibung |
|---|---|
| Spoke-Netzwerk -> Virtuelles Netzwerkgerät -> Spoke-Netzwerk | Verwenden Sie dieses Szenario für Datenverkehr zwischen zwei virtuellen Spoke-Netzwerken, die über ein virtuelles Netzwerkgerät verbunden sind. |
| Spoke-Netzwerk -> Virtuelles Netzwerkgerät -> Endpunkt oder Dienst im Hub-Netzwerk | Verwenden Sie dieses Szenario für den Datenverkehr aus dem Spoke-Netzwerk für einen Dienstendpunkt in einem Hubnetzwerk, das eine Verbindung über ein virtuelles Netzwerkgerät herstellt. |
| Subnetz -> Virtuelles Netzwerkgerät -> Subnetz sogar im selben virtuellen Netzwerk | |
| Spoke-Netzwerk -> Virtuelles Netzwerkgerät -> Lokales Netzwerk/Internet | Verwenden Sie dieses Szenario für ausgehenden Internetdatenverkehr über ein virtuelles Netzwerkgerät oder an einem lokalen Standort, z. B. in Hybridnetzwerkszenarien. |
| Über Hub-and-Spoke-Netzwerk über virtuelles Netzwerkgerät in jedem Hub | |
| Hub-and-Spoke-Netzwerk mit Spoke-Netzwerk an lokale Standorte muss über das virtuelle Netzwerkgerät laufen. | |
| Gateway -> Virtuelles Netzwerkgerät -> Spoke-Netzwerk |
UseExisting Modus für AVNM UDR Verwaltung
Überblick
Mit dem UseExisting-Modus kann Azure Virtual Network Manager (AVNM) Routen an eine vorhandene Routentabelle anfügen, anstatt eine neue zu erstellen.
Dieser Modus bietet eine bessere Kontrolle, stellt die Einhaltung von Organisationsrichtlinien sicher und reduziert die Betriebskomplexität , wenn Kunden vorhandene Ressourcenbenennungskonventionen, Tags oder Ressourcengruppenstrukturen beibehalten müssen.
Vergleich:
- ManagedOnly (Standard): AVNM erstellt oder verwendet immer eine eigene verwaltete Routentabelle.
- UseExisting: AVNM verwendet die vorhandene subnetzbezogene Routentabelle, wobei erforderliche Routen angefügt werden, während die Eigenschaften beibehalten werden.
Schritt für Schritt: Aktivieren des UseExisting-Modus
1. Aktivieren über Portal oder API
- Öffnen Sie das AVNM-Portal , oder verwenden Sie die API.
- Wählen Sie Ihre Routingkonfiguration aus.
- Setzen Sie die
routeTableUsageMode-Eigenschaft aufUseExisting.- Wenn bereits eine Routentabelle im Subnetz vorhanden ist, fügt AVNM die erforderlichen Routen an .
- Wenn keine Routentabelle vorhanden ist, erstellt AVNM automatisch eine.
2. Wechseln von Modi
- Sie können jederzeit zwischen
ManagedOnlyundUseExistingwechseln. - Beachten Sie beim Wechsel von ManagedOnly zu UseExisting, dass die vorhandenen Routentabellen AVNM-verwaltet werden, sodass manuelle Updates und erneute Zuordnungen erforderlich sein können, um Konfigurationen auszurichten.
- Wenn Sie von UseExisting zu ManagedOnly wechseln, entfernen Sie alle AVNM-erstellten Routen aus den Kundenroutentabellen. Eine erneute Zuordnung ist nicht erforderlich , da AVNM automatisch die neuen Routentabellen verwaltet.
Verhalten
| Aspekt | Description |
|---|---|
| Konservierung | Vorhandene Eigenschaften der Routetabelle, z. B. Name, Tags und Ressourcengruppe, bleiben erhalten. |
| Manuelle Änderungen | AVNM verfolgt keine manuellen Änderungen. Alle manuellen Bearbeitungen können zu Konfigurationsabweichungen führen. |
| Einhaltung | AVNM respektiert Azure-Richtlinie, RBAC-Berechtigungen und Ressourcensperren. Stellen Sie sicher, dass Berechtigungen Updates zulassen. |
| Freigegebene Tabellen | Wenn mehrere Subnetze eine einzelne Routentabelle gemeinsam nutzen, erben alle AVNM-Routen – überprüfen Sie vor der Aktivierung. |
| Subnetzzuordnungen | AVNM entfernt subnetzzuordnungen nicht automatisch aus vorhandenen Kundenroutentabellen. Wenn ein Subnetz aus der Netzwerkgruppe entfernt wird, bleibt die Zuordnung intakt, d. h., das Subnetz wird weiterhin mit derselben Routentabelle verknüpft. |
Routingtabellenfreigabe und Bereinigungsverhalten
Wenn mehrere Subnetze aus verschiedenen Netzwerkgruppen dieselbe Routentabelle gemeinsam nutzen, werden unbeabsichtigte Routen möglicherweise angezeigt, da AVNM nicht nachverfolgt, welches Subnetz bestimmte Routen hinzufügt. Kunden müssen Subnetze manuell entfernen oder aufheben, wenn unerwünschte Routen auftreten.
Wenn in einem Subnetz Eigenschaften wie DisableBgpRoutePropagation aktiviert werden, gelten diese Einstellungen für die gesamte freigegebene Tabelle. Routen verbleiben in der Tabelle, bis alle beitragenden Subnetze nicht verwaltet werden.
Wenn ein Subnetz aus einer Netzwerkgruppe entfernt wird, beendet AVNM die Verwaltung, ändert aber nicht die vorhandene Tabellenzuordnung. AVNM entfernt seine Routen nur, wenn keine verbleibenden verwalteten Subnetze davon abhängig sind. Vom Kunden erstellte Routentabellen werden nie gelöscht, auch wenn sie nach der Bereinigung leer gelassen wurden.
Weitere virtuelle Netzwerke hinzufügen
Wenn Sie einer Netzwerkgruppe andere virtuelle Netzwerke hinzufügen, wird die Routingkonfiguration automatisch auf das neue virtuelle Netzwerk angewendet. Ihr Netzwerkmanager erkennt automatisch das neue virtuelle Netzwerk und wendet die Routingkonfiguration darauf an. Wenn Sie ein virtuelles Netzwerk aus der Netzwerkgruppe entfernen, wird auch die angewendete Routingkonfiguration automatisch entfernt.
Neu erstellte oder gelöschte Subnetze aktualisieren ihre Routentabellen in einer schließlich konsistenten Weise. Die Verarbeitungszeit kann je nach Umfang der Subnetzerstellung und -löschung variieren.
Auswirkungen der UDR-Verwaltung auf Routen und Routingtabellen
Im Folgenden finden Sie die Auswirkungen der UDR-Verwaltung mit Azure Virtual Network Manager auf Routen und Routingtabellen:
- Mit der UDR-Verwaltung können Benutzende bis zu 1.000 UDRs pro Routingtabelle erstellen.
Die folgenden Elemente gelten, wenn Benutzer avNM-verwaltete Routentabellen verwenden.
- Wenn widersprüchliche Routingregeln vorhanden sind (Regeln mit demselben Ziel, aber anderen nächsten Hops), wird nur eine der in Konflikt stehenden Regeln angewendet, während die anderen ignoriert werden. Jede der in Konflikt stehenden Regeln kann zufällig ausgewählt werden. Es ist wichtig zu beachten, dass in Konflikt stehende Regeln innerhalb von Regelsammlungen oder in Regelsammlungen, die dasselbe virtuelle Netzwerk oder Subnetz anvisieren, nicht unterstützt werden.
- Wenn Sie eine Routingregel mit demselben Ziel wie eine vorhandene Route in der Routingtabelle erstellen, wird die Routingregel ignoriert.
- Wenn eine Routingtabelle mit bereits bestehenden UDRs vorhanden ist, erstellt Azure Virtual Network Manager eine neue verwaltete Routingtabelle, die sowohl die vorhandenen Routen als auch die neuen Routen, die auf der bereitgestellten Routingkonfiguration basieren, enthält.
- Andere UDRs, die einer verwalteten Routentabelle hinzugefügt wurden, bleiben unberührt und werden nicht gelöscht, wenn die Routingkonfiguration entfernt wird. Es werden nur Routen entfernt, die von Azure Virtual Network Manager erstellt wurden.
- Wenn ein von Azure Virtual Network Manager verwaltetes UDR manuell in der Routingtabelle bearbeitet wurde, wird diese Route gelöscht, wenn die Konfiguration aus der Region entfernt wird.
- Azure Virtual Network Manager stört Ihre vorhandenen UDRs nicht. Es fügt einfach die neuen UDRs zu den aktuellen hinzu, um sicherzustellen, dass Ihr Routing weiterhin funktioniert wie jetzt. Außerdem funktionieren UDRs für bestimmte Azure-Dienste weiterhin zusammen mit den UDRs Ihres Netzwerkmanagers, ohne dass neue Einschränkungen auftreten.
- Azure Virtual Network Manager erfordert eine verwaltete Ressourcengruppe zum Speichern der Routingtabelle. Wenn Azure Policy bestimmte Tags oder Eigenschaften für Ressourcengruppen erzwingt, müssen diese Richtlinien für die verwaltete Ressourcengruppe deaktiviert oder angepasst werden, um Bereitstellungsprobleme zu vermeiden. Wenn Sie diese verwaltete Ressourcengruppe löschen müssen, stellen Sie außerdem sicher, dass das Löschen vor dem Initiieren neuer Bereitstellungen für Ressourcen innerhalb desselben Abonnements erfolgt.
Die folgenden Elemente gelten, wenn Benutzer vorhandene Routentabellen verwenden.
- Wenn eine allgemeine Routentabelle an Subnetze in verschiedenen Netzwerkgruppen/Auflistungen angefügt ist, werden Regeln aus allen Auflistungen der Routentabelle hinzugefügt.
- Wenn ein Subnetz aus einer Netzwerkgruppe entfernt wird, werden die Regeln nicht aus der Routingtabelle entfernt, es sei denn, alle zugehörigen Subnetze werden entfernt.