Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Sie mit Virtual WAN-Routing für virtuelle Hubs arbeiten, steht Ihnen eine ganze Reihe von Szenarios zur Verfügung. In diesem Szenario geht der Datenverkehr eines Benutzers über ein in einem virtuellen Spoke-Netzwerk (VNet) bereitgestelltes Anwendungsgateway in Azure ein, das mit einem geschützten virtuellen WAN-Hub (virtueller WAN-Hub mit einer Azure Firewall-Instanz) verbunden ist. Ziel ist es, den Datenverkehr zwischen dem Anwendungsgateway und den Back-End-Pools mithilfe der Azure Firewall-Instanz im geschützten virtuellen Hub zu überprüfen.
In diesem Szenario gibt es zwei spezifische Entwurfsmuster, je nachdem, ob sich das Anwendungsgateway und die Back-End-Pools im gleichen VNet oder in unterschiedlichen VNets befinden.
- Szenario 1: Das Anwendungsgateway und die Back-End-Pools befinden sich im gleichen virtuellen Netzwerk, das mittels Peering mit einem virtuellen WAN-Hub verbunden ist (separate Subnetze).
- Szenario 2: Das Anwendungsgateway und die Back-End-Pools befinden sich in unterschiedlichen virtuellen Netzwerken, die mittels Peering mit einem virtuellen WAN-Hub verbunden sind.
Szenario 1: Gleiches VNet
In diesem Szenario befinden sich das Anwendungsgateway und die Back-End-Pools im gleichen virtuellen Netzwerk, das mittels Peering mit einem virtuellen WAN-Hub verbunden ist (separate Subnetze).
Workflow
Derzeit werden Routen, die virtuellen Spoke-Netzwerken von der Virtual WAN-Routingtabelle angekündigt werden, auf das gesamte virtuelle Netzwerk angewendet und nicht auf die Subnetze des Spoke-VNet. Daher sind benutzerdefinierte Routen erforderlich, um dieses Szenario zu ermöglichen. Informationen zu benutzerdefinierten Routen (User-Defined Routes, UDRs) finden Sie unter Benutzerdefinierte virtuelle Netzwerkrouten.
Wählen Sie in Azure Firewall Manager für das virtuelle Spoke-Netzwerk, das das Anwendungsgateway und die Back-End-Pools enthält, die Optionen Enable Secure Internet Traffic (Sicheren Internetdatenverkehr aktivieren) und Enable Secure Private Traffic (Sicheren privaten Datenverkehr aktivieren) aus.
Konfigurieren Sie benutzerdefinierte Routen im Subnetz des Anwendungsgateways.
Um sicherzustellen, dass das Anwendungsgateway Datenverkehr direkt an das Internet senden kann, geben Sie die folgende benutzerdefinierte Route an:
- Adresspräfix: 0.0.0.0/0
- Nächster Hop: Internet
Um sicherzustellen, dass das Anwendungsgateway Datenverkehr über die Azure Firewall-Instanz im virtuellen WAN-Hub an den Back-End-Pool senden kann, geben Sie die folgende benutzerdefinierte Route an:
- Adresspräfix: Subnetz des Back-End-Pools (10.2.0.0/24)
- Nächster Hop: Private Azure Firewall-IP-Adresse
Konfigurieren Sie eine benutzerdefinierte Route im Subnetz des Back-End-Pools.
- Adresspräfix: Subnetz des Anwendungsgateways
- Nächster Hop: Private Azure Firewall-IP-Adresse
Szenario 2: Verschiedene VNets
In diesem Szenario befinden sich das Anwendungsgateway und die Back-End-Pools in unterschiedlichen virtuellen Netzwerken, die mittels Peering mit einem virtuellen WAN-Hub verbunden sind.
Workflow
Derzeit werden Routen, die virtuellen Spoke-Netzwerken von der Virtual WAN-Routingtabelle angekündigt werden, auf das gesamte virtuelle Netzwerk angewendet und nicht auf die Subnetze des Spoke-VNet. Daher sind benutzerdefinierte Routen erforderlich, um dieses Szenario zu ermöglichen. Informationen zu benutzerdefinierten Routen (User-Defined Routes, UDRs) finden Sie unter Benutzerdefinierte virtuelle Netzwerkrouten.
Wählen Sie in Azure Firewall Manager die Optionen Enable Secure Internet Traffic (Sicheren Internetdatenverkehr aktivieren) und Enable Secure Private Traffic (Sicheren privaten Datenverkehr aktivieren) für beide virtuellen Spoke-Netzwerke aus.
Konfigurieren Sie benutzerdefinierte Routen im Subnetz des Anwendungsgateways. Um sicherzustellen, dass das Anwendungsgateway Datenverkehr direkt an das Internet senden kann, geben Sie die folgende benutzerdefinierte Route an:
- Adresspräfix: 0.0.0.0/0
- Nächster Hop: Internet
Nächste Schritte
- Weitere Informationen zum Routing für virtuelle Hubs finden Sie unter Informationen zum Routing virtueller Hubs.
- Weitere Informationen zu benutzerdefinierten Routen finden Sie unter Benutzerdefinierte virtuelle Netzwerkrouten.
- Informationen zu geschützten virtuellen WAN-Hubs finden Sie unter Geschützte virtuelle Hubs.