Több központos és küllős topológia irányítása Azure Firewall használatával

  • Cikk

A küllős topológia egy gyakori hálózati architektúra-minta az Azure-ban. Az agy egy virtuális hálózat (VNet) az Azure-ban, amely központi kapcsolódási pontként szolgál a helyszíni hálózathoz. A küllők az agyhoz kapcsolódó virtuális hálózatok, és a számítási feladatok elkülönítésére használhatók. A központ a küllők közötti forgalom elkülönítésére és védelmére használható. A központ a küllők közötti forgalom irányítására is használható. A központ különböző módszerekkel irányíthatja a küllők közötti forgalmat.

Az Azure Route Server például dinamikus útválasztással és hálózati virtuális berendezésekkel (NVA-kkal) irányíthatja a küllők közötti forgalmat. Ez meglehetősen összetett üzembe helyezés lehet. Egy kevésbé összetett módszer Azure Firewall és statikus útvonalakat használ a küllők közötti forgalom irányításához.

Ez a cikk bemutatja, hogyan használhatja a Azure Firewall statikus felhasználó által megadott útvonalakkal (UDR-ekkel) a több hubos és küllős topológia irányításához. Az alábbi ábrán a topológia látható:

A küllős architektúrát bemutató fogalmi diagram.

Alaparchitektúra

Azure Firewall biztosítja és ellenőrzi a hálózati forgalmat, de a virtuális hálózatok közötti forgalmat is irányítja. Ez egy felügyelt erőforrás, amely automatikusan rendszerútvonalakat hoz létre a helyi küllőkhöz, központhoz és a helyi Virtual Network átjáró által megtanult helyszíni előtagokhoz. Ha egy NVA-t helyez el a központban, és lekérdezi az érvényes útvonalakat, az olyan útvonaltáblát eredményezne, amely hasonlít a Azure Firewall található útvonaltáblára.

Mivel ez egy statikus útválasztási architektúra, a másik központhoz vezető legrövidebb útvonal a központok közötti globális virtuális hálózatok közötti társviszony-létesítés használatával valósítható meg. Így a központok tudnak egymásról, és minden helyi tűzfal tartalmazza az egyes közvetlenül csatlakoztatott központok útvonaltábláját. A helyi központok azonban csak a helyi küllőikről tudnak. Emellett ezek a központok lehetnek ugyanabban a régióban vagy egy másik régióban.

Útválasztás a tűzfal alhálózatán

Minden helyi tűzfalnak tudnia kell, hogyan érheti el a többi távoli küllőt, ezért UDR-eket kell létrehoznia a tűzfal alhálózataiban. Ehhez először létre kell hoznia egy tetszőleges típusú alapértelmezett útvonalat, amely lehetővé teszi, hogy pontosabb útvonalakat hozzon létre a többi küllőhöz. Az alábbi képernyőképeken például a két központi virtuális hálózat útvonaltáblája látható:

Hub-01 útvonaltáblaKépernyőkép a Hub-01 útválasztási táblázatával.

Hub-02 útvonaltáblaKépernyőkép a Hub-02 útvonaltáblázatával.

Útválasztás a küllős alhálózatokon

Ennek a topológiának az az előnye, hogy az egyik központból a másikba irányuló forgalom esetén elérheti a következő ugrást, amely közvetlenül kapcsolódik a globális társviszony-létesítésen keresztül.

Ahogy az ábrán is látható, érdemesebb egy UDR-t elhelyezni a küllős alhálózatokon, amelyek 0/0 útvonallal (alapértelmezett átjáróval) rendelkeznek, és a következő ugrás a helyi tűzfal. Ez helyi tűzfalként zárolja az egyetlen következő ugrásos kilépési pontot. Emellett csökkenti az aszimmetrikus útválasztás kockázatát, ha pontosabb előtagokat ismer meg a helyszíni környezetből, amelyek miatt a forgalom megkerülheti a tűzfalat. További információ: Ne hagyja, hogy az Azure Routes harapjon.

Íme egy példa útválasztási táblázat a Hub-01-hez csatlakoztatott küllős alhálózatokhoz:

A küllős alhálózatok útvonaltábláját ábrázoló képernyőkép.

Következő lépések