Szenario: Benutzerdefinierte Isolation für VNETs
Wenn Sie mit Virtual WAN-Routing für virtuelle Hubs arbeiten, stehen Ihnen eine ganze Reihe von Szenarien zur Verfügung. In einem Szenario mit benutzerdefinierter Isolation für VNETs besteht das Ziel darin, zu verhindern, dass ein bestimmtes VNET-Set eine andere bestimmte Gruppe von VNETs erreichen können. Allerdings müssen die VNETs alle Zweige (VPN, ExpressRoute und Benutzer-VPN) erreichen können. Weitere Informationen zum Routing für virtuelle Hubs finden Sie unter Informationen zum Routing virtueller Hubs.
Entwurf
Um herauszufinden, wie viele Routingtabellen erforderlich sind, können Sie eine Verbindungsmatrix erstellen. Für dieses Szenario sieht diese wie die folgende Tabelle aus, in der jede Zelle angibt, ob eine Quelle (Zeile) mit einem Ziel (Spalte) kommunizieren kann:
| From | Nach: | Blaue VNets | Rote VNets | Branches |
|---|---|---|---|---|
| Blaue VNets | → | Direkt | Direkt | |
| Rote VNets | → | Direkt | Direkt | |
| Branches | → | Direkt | Direkt | Direkt |
Jede Zelle in der vorstehenden Tabelle beschreibt, ob eine Virtual WAN-Verbindung (die Seite „Von“ des Flows, die Zeilenüberschriften) mit einem Ziel (die Seite „Zu“ des Flows, die kursiv gesetzten Spaltenüberschriften) kommuniziert. In diesem Szenario gibt es keine Firewalls oder virtuellen Netzwerkgeräte, sodass die Kommunikation direkt über Virtual WAN erfolgt (daher das Wort „Direkt“ in der Tabelle).
Die Anzahl von verschiedenen Zeilenmustern entspricht der Anzahl von Routingtabellen, die in diesem Szenario benötigt werden. In diesem Fall werden drei Routingtabellen aufgerufen: RT_BLUE und RT_RED für die virtuellen Netzwerke und Default für die Zweigstellen. Beachten Sie, dass die Zweigstellen immer der Routingtabelle „Standard“ zugeordnet sein müssen.
Die Zweigstellen müssen sowohl die Präfixe aus den roten als auch die aus den blauen VNets kennen, sodass alle VNets Daten an „Default“ weitergeben müssen (zusätzlich zu RT_BLUE oder RT_RED). Die blauen und roten VNets müssen die Präfixe der Zweigstellen kennen, sodass die Zweigstellen ebenfalls Daten an die beiden Routingtabellen RT_BLUE und RT_RED weitergeben. Dies ist somit der endgültige Entwurf:
- Blaue virtuelle Netzwerke:
- Zugeordnete Routingtabelle: RT_BLUE
- Weitergabe an Routingtabellen: RT_BLUE und Standard
- Rote virtuelle Netzwerke:
- Zugeordnete Routingtabelle: RT_RED
- Weitergabe an Routingtabellen: RT_RED und Standard
- Branches:
- Zugeordnete Routingtabelle: Standard
- Weitergabe an Routingtabellen: RT_BLUE, RT_RED und Standard
Hinweis
Da alle Zweigstellen der Routingtabelle „Standard“ zugeordnet sein und Daten an dieselben Routingtabellen weitergeben müssen, verfügen sie alle über das gleiche Konnektivitätsprofil. Anders ausgedrückt: Das Konzept mit Rot und Blau für VNets kann nicht auf Zweigstellen angewendet werden.
Hinweis
Wenn Ihre Virtual WAN-Instanz hubübergreifend bereitgestellt wird, müssen Sie die Routingtabellen RT_BLUE und RT_RED in jedem Hub erstellen, und die Routen jeder VNet-Verbindung müssen mithilfe von Weitergabebezeichnungen an die Routingtabellen in jedem virtuellen Hub weitergegeben werden.
Weitere Informationen zum Routing für virtuelle Hubs finden Sie unter Informationen zum Routing virtueller Hubs.
Workflow
In Abbildung 1 gibt es blaue und rote VNET-Verbindungen.
- Blaue VNets können sich gegenseitig sowie alle Zweigstellenverbindungen (VPN/ExpressRoute/P2S) erreichen.
- Rote VNets können sich gegenseitig sowie alle Zweigstellenverbindungen (VPN/ExpressRoute/P2S) erreichen.
Führen Sie zum Einrichten des Routings die folgenden Schritte aus.
- Erstellen Sie im Azure-Portal die beiden benutzerdefinierten Routingtabellen RT_BLUE und RT_RED.
- Legen Sie für die Routingtabelle RT_BLUE die folgenden Einstellungen fest:
- Zuordnung: Wählen Sie alle blauen VNets aus.
- Weitergabe: Wählen Sie für Zweigstellen die Option für Zweigstellen aus, was impliziert, dass Zweigstellenverbindungen (VPN/ER/P2S) Routen an diese Routingtabelle weitergeben.
- Wiederholen Sie diese Schritte für die Routingtabelle RT_RED für rote VNets und Zweigstellen (VPN/ER/P2S).
Dies führt zu einer Änderung der Routingkonfiguration, wie in der folgenden Abbildung gezeigt.
Abbildung 1
Nächste Schritte
- Weitere Informationen zu Virtual WAN finden Sie unter Häufig gestellte Fragen.
- Weitere Informationen zum Routing für virtuelle Hubs finden Sie unter Informationen zum Routing virtueller Hubs.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für