Megosztás:

Azure-beli virtuális hálózati forgalom útválasztása

Ebből a cikkből megtudhatja, hogyan működik az Azure-beli virtuális hálózati forgalom útválasztása az Azure, a helyszíni és az internetes erőforrások között. Az Azure automatikusan létrehoz egy útvonaltáblát egy Azure-beli virtuális hálózat minden alhálózatához, és hozzáadja a rendszer alapértelmezett útvonalait a táblához. A forgalom útválasztásának megismerése segít optimalizálni a kapcsolatot, és elháríthatja az Azure-környezetben felmerülő hálózati problémákat. A virtuális hálózatokkal és alhálózatokkal kapcsolatos további információkért tekintse meg a virtuális hálózatok áttekintését. Az Azure-rendszer egyes útvonalait felülbírálhatja egyéni útvonalakkal , és további egyéni útvonalakat adhat hozzá az útvonaltáblákhoz. Az Azure egy alhálózat kimenő forgalmát az alhálózat útvonaltáblájában szereplő útvonalak alapján irányítja át.

Rendszerútvonalak

Az Azure automatikusan hoz létre rendszerútvonalakat, és a virtuális hálózatban lévő egyes alhálózatokhoz rendeli az útvonalakat. Nem hozhat létre rendszerútvonalakat, és nem távolíthat el rendszerútvonalakat, de egyes rendszerútvonalakat felülbírálhat egyéni útvonalakkal. Az Azure az egyes alhálózatok alapértelmezett rendszerútvonalait hozza létre, és adott Azure-képességek használata esetén további választható alapértelmezett útvonalakat ad hozzá adott alhálózatokhoz vagy alhálózatokhoz.

Alapértelmezett rendszerútvonalak

Minden útvonal tartalmaz egy címelőtagot és egy továbbítási típust. Az Azure az egyező címelőtaggal rendelkező útvonalat használja, amikor a forgalom kilép egy alhálózatból egy IP-cím felé. További információ arról , hogy az Azure hogyan választ ki egy útvonalat , ha több útvonal azonos vagy átfedésben lévő előtagokat tartalmaz. Amikor létrehoz egy virtuális hálózatot, az Azure automatikusan létrehozza a következő alapértelmezett rendszerútvonalakat a virtuális hálózaton belüli alhálózatokhoz:

Forrás Cím előtagok Következő ugrás típusa
Alapértelmezett A virtuális hálózat egyedi Virtuális hálózat
Alapértelmezett 0.0.0.0/0 internet
Alapértelmezett 10.0.0.0/8 Egyik sem
Alapértelmezett 172.16.0.0/12 Egyik sem
Alapértelmezett 192.168.0.0/16 Egyik sem
Alapértelmezett 100.64.0.0/10 Egyik sem

Az előző táblázatban felsorolt következő ugrástípusok azt jelzik, hogy az Azure hogyan irányítja át a forgalmat a felsorolt címelőtaghoz. A következő ugrástípusok magyarázata:

  • Virtuális hálózat: A virtuális hálózat címterén belüli címtartományok közötti forgalmat irányítja. Az Azure létrehoz egy útvonalat a virtuális hálózat címterében meghatározott egyes címtartományoknak megfelelő címelőtaggal. Ha a virtuális hálózati címtér több címtartományt is meghatároz, az Azure minden címtartományhoz külön útvonalat hoz létre. Az Azure alapértelmezés szerint az alhálózatok közötti forgalmat irányítja. Az alhálózatok közötti forgalom irányításához nem kell útválasztási táblákat vagy átjárókat definiálnia az Azure-hoz. Az Azure nem hoz létre alapértelmezett útvonalakat az alhálózati címtartományokhoz. Minden alhálózati címtartomány a virtuális hálózat címterének címtartományán belül található.

  • Internet: A címelőtag által megadott forgalmat az internetre irányítja. A rendszer alapértelmezett útvonala a 0.0.0.0/0 címelőtagot határozza meg. Ha nem írja felül az Azure alapértelmezett útvonalait, az Azure az internetre irányítja a forgalmat minden olyan cím esetében, amelyet nem ad meg egy címtartomány egy virtuális hálózaton belül. Ez az útválasztás egyetlen kivételt képez. Ha a célcím egy Azure-szolgáltatáshoz tartozik, az Azure közvetlenül a szolgáltatáshoz irányítja a forgalmat az Azure gerinchálózatán keresztül, ahelyett, hogy a forgalmat az internetre irányítanák. Az Azure-szolgáltatások közötti forgalom nem halad át az interneten. Nem számít, hogy a virtuális hálózat melyik Azure-régióban található, vagy melyik Azure-régióban van üzembe helyezve az Azure-szolgáltatás egy példánya. Az Azure alapértelmezett rendszerútvonalát felülbírálhatja a 0.0.0.0/0 cím prefixéhez egy egyéni rendszerútvonallal.

  • Nincs: Azokra a következő ugrás típusokra irányított forgalom, amelyek "Nincs" értékkel rendelkeznek, eldobásra kerül, és nem irányítódik az alhálózaton kívülre. Az Azure automatikusan létrehozza az alapértelmezett útvonalakat a következő címelőtagokhoz:

    • 10.0.0.0/8, 172.16.0.0/12 és 192.168.0.0/16: Privát használatra fenntartva az RFC 1918-ban.
    • 100.64.0.0/10: Az RFC 6598 szerint fenntartott.

    Ha az előző címtartományok bármelyikét hozzárendeli egy virtuális hálózat címteréhez, az Azure automatikusan módosítja a következő ugrástípust a Nincs és a Virtuális hálózat közötti útvonalhoz. Ha egy címtartományt hozzárendel egy virtuális hálózat címteréhez, amely tartalmazza, de nem egyezik meg a négy fenntartott címelőtag valamelyikével, az Azure eltávolítja az adott előtaghoz tartozó útvonalat, és hozzáad egy új útvonalat az Ön által megadott címelőtaghoz, a következő ugrási típus pedig a virtuális hálózat lesz.

Választható alapértelmezett útvonalak

Az Azure több alapértelmezett rendszerútvonalat hoz létre a különböző Azure-képességekhez, de csak akkor, ha engedélyezi a képességeket. A képességtől függően az Azure opcionális alapértelmezett útvonalakat hoz létre a virtuális hálózaton belüli adott alhálózatokhoz vagy a virtuális hálózaton belüli összes alhálózathoz. Az alábbi táblázat felsorolja azokat a rendszerútvonalakat és következő ugrástípusokat, amelyeket az Azure a különböző képességek engedélyezésekor adhat hozzá.

Forrás Cím előtagok Következő ugrás típusa A virtuális hálózaton belüli alhálózat, amelybe az útvonal bekerül
Alapértelmezett A virtuális hálózaton egyedi, például: 10.1.0.0/16 Virtuális hálózatok közötti kapcsolódás Összes
Virtuális hálózati átjáró A helyszínen a Border Gateway Protocol (BGP) protokollon keresztül meghirdetett vagy a helyi hálózati átjáróban konfigurált előtagok Virtuális hálózati átjáró Összes
Alapértelmezett Több VirtualNetworkServiceEndpoint Csak az alhálózat, amelyhez engedélyezve van egy szolgáltatásvégpont
  • Virtuális hálózatok közötti társviszony: Amikor két virtuális hálózat közötti virtuális társviszonyt hoz létre, a rendszer minden címtartományhoz hozzáad egy útvonalat a társviszony-létesítésben részt vevő egyes virtuális hálózatok címterén belül. További információ a virtuális hálózatok közötti társviszony-létesítésről.
  • Virtuális hálózati átjáró: A virtuális hálózati átjáró következő ugrástípusaként felsorolt egy vagy több útvonal akkor lesz hozzáadva, ha virtuális hálózati átjárót adnak hozzá egy virtuális hálózathoz. A forrás szintén virtuális hálózati átjáró , mert az átjáró hozzáadja az útvonalakat az alhálózathoz. Ha a helyszíni hálózati átjáró BGP-útvonalakat cserél egy virtuális hálózati átjáróval, a rendszer minden útvonalhoz hozzáad egy útvonalat. Ezeket az útvonalakat a rendszer a helyszíni hálózati átjáróról propagálja. Javasoljuk, hogy összegezze a helyszíni útvonalakat a lehető legnagyobb címtartományba, hogy a lehető legkevesebb útvonalat propagálja egy Azure-beli virtuális hálózati átjáróra. Az Azure-beli virtuális hálózati átjárókra propagálásra használható útvonalak száma korlátozott. További információkért tekintse meg az Azure korlátait.
  • VirtualNetworkServiceEndpoint: Az Azure bizonyos szolgáltatások nyilvános IP-címeit tartalmazza az útvonaltáblához egy szolgáltatásvégpont engedélyezésekor. Az Azure csak olyan alhálózatokra tartalmazza ezeket az útvonalakat, amelyeken engedélyezve vannak a szolgáltatásvégpontok. Az Azure automatikusan frissíti ezeket a címeket az útvonaltáblában a szolgáltatás IP-címeinek módosításakor. További információ a virtuális hálózati szolgáltatásvégpontokról és a támogatott szolgáltatásokról.

    Megjegyzés:

    A virtuális hálózatok közötti társviszony-létesítés és VirtualNetworkServiceEndpoint a következő ugrástípusok csak az Azure Resource Manager üzemi modellel létrehozott virtuális hálózatok alhálózatainak útvonaltábláihoz lesznek hozzáadva. A következő ugrástípusok nem lesznek hozzáadva a klasszikus üzemi modellel létrehozott virtuális hálózati alhálózatokhoz társított útvonaltáblákhoz. További információ az Azure üzembehelyezési modelljeiről.

Egyéni útvonalak

Egyéni útvonalakat úgy hozhat létre, hogy felhasználó által definiált útvonalakat (UDR-eket) hoz létre, vagy BGP-útvonalakat cserél a helyszíni hálózati átjáró és egy Azure-beli virtuális hálózati átjáró között.

Felhasználó által megadott útvonalak

A forgalmi útvonalak testreszabásához ne módosítsa az alapértelmezett útvonalakat. Egyéni vagy felhasználó által definiált (statikus) útvonalakat kell létrehoznia, amelyek felülírják az Azure alapértelmezett rendszerútvonalait. Az Azure-ban létrehoz egy útvonaltáblát, majd az útvonaltáblát nulla vagy több virtuális hálózati alhálózathoz társítja. Mindegyik alhálózattal nulla vagy egy útvonaltábla társítható. Az útvonaltáblákhoz felvehető útvonalak maximális számáról és az Azure-előfizetésenként létrehozható UDR-táblák maximális számáról az Azure-előfizetések korlátait ismertető cikkben tájékozódhat.

Alapértelmezés szerint egy útvonaltábla legfeljebb 400 UDR-t tartalmazhat. Az Azure Virtual Network Manager útválasztási konfigurációjával ez a szám útvonaltáblánként 1000 UDR-re bővülhet. Ez a megnövelt korlát támogatja a fejlettebb útválasztási beállításokat. Ilyen például a helyszíni adatközpontok forgalmának tűzfalon keresztüli irányítása a küllős topológiában lévő küllős virtuális hálózatokra, ha nagyobb számú küllős virtuális hálózattal rendelkezik.

Amikor létrehoz egy útvonaltáblát, és egy alhálózathoz társítja, a rendszer kombinálja a tábla útvonalait az alhálózat alapértelmezett útvonalaival. Ha ütköző útvonal-hozzárendelések vannak, az UDR-ek felülbírálják az alapértelmezett útvonalakat.

UDR létrehozásakor a következő ugrástípusokat adhatja meg:

  • Virtuális berendezés: A virtuális berendezés olyan virtuális gép, amely általában hálózati alkalmazást, például tűzfalat futtat. A virtuális hálózaton üzembe helyezhető különböző előre konfigurált hálózati virtuális berendezésekről az Azure Marketplace-en tájékozódhat. Amikor létrehoz egy útvonalat a virtuális berendezés ugrástípusával, meg kell adnia egy következő ugrási IP-címet is. Az IP-cím a következő lehet:

    • A virtuális géphez csatlakoztatott hálózati adapter magánhálózati IP-címe . Minden olyan virtuális géphez csatlakoztatott hálózati adapternek, amely a hálózati forgalmat a saját címétől eltérő címre továbbítja, engedélyeznie kell az Azure Enable IP-továbbítási lehetőséget. A beállítás letiltja a hálózati adapter forrásának és céljának ellenőrzését az Azure-ban. További információ az IP-továbbítás hálózati adapterekhez való engedélyezéséről. Az IP-továbbítás engedélyezése azure-beállítás.

      Előfordulhat, hogy engedélyeznie kell az IP-továbbítást a virtuális gép operációs rendszerén belül ahhoz, hogy a berendezés továbbítsa a forgalmat az Azure hálózati adapterekhez rendelt magánhálózati IP-címek között. Ha a berendezésnek egy nyilvános IP-címre kell irányítania a forgalmat, vagy proxyval kell ellátnia a forgalmat, vagy hálózati címfordítást (NAT) kell végeznie a forrás magánhálózati IP-címéről a saját magánhálózati IP-címére. Az Azure ezután nat-t hajt végre egy nyilvános IP-címre, mielőtt a forgalmat az internetre küldené. A virtuális gépen belüli szükséges beállítások meghatározásához tekintse meg az operációs rendszer vagy a hálózati alkalmazás dokumentációját. Az Azure-beli kimenő kapcsolatok megismeréséhez tekintse meg a kimenő kapcsolatok ismertetését.

      Megjegyzés:

      Helyezzen üzembe egy virtuális berendezést egy másik alhálózaton, mint a virtuális berendezésen áthaladó erőforrások. Ha a virtuális berendezést ugyanarra az alhálózatra telepíti, majd egy útvonaltáblát alkalmaz a virtuális berendezésen áthaladó forgalmat irányító alhálózatra, olyan útválasztási ciklusokat eredményezhet, amelyekben a forgalom soha nem hagyhatja el az alhálózatot.

      A következő ugrás privát IP-címének közvetlen kapcsolattal kell rendelkeznie anélkül, hogy az Azure ExpressRoute-átjárón vagy az Azure Virtual WAN-on keresztül kellene irányítania. Ha a következő ugrást egy IP-címre állítja közvetlen kapcsolat nélkül, az érvénytelen UDR-konfigurációt eredményez.

    • Egy Azure-beli belső terheléselosztó privát IP-címe. A terheléselosztót gyakran használják a hálózati virtuális berendezések magas rendelkezésre állású stratégiájának részeként.

    0.0.0.0/0 címelőtaggal rendelkező útvonalat és a következő ugrásként egy virtuális berendezést definiálhat. Ez a konfiguráció lehetővé teszi, hogy a berendezés megvizsgálja a forgalmat, és eldöntse, hogy továbbítja vagy elveti-e a forgalmat. Ha olyan UDR-t kíván létrehozni, amely a 0.0.0.0/0 címelőtagot tartalmazza, először olvassa el a 0.0.0.0/0 címelőtagot .

  • Virtuális hálózati átjáró: A következő ugrás típusú virtuális hálózati átjáróval rendelkező, felhasználó által megadott útvonalak lehetővé teszik a forgalom átirányítását egy virtuális hálózat átjárójához. A virtuális hálózat egyetlen átjáróval rendelkezik, amelyet az alapul szolgáló szoftveralapú hálózati platform automatikusan beállít az üzembe helyezés alapján. A következő ugrásos virtuális hálózati átjáróval rendelkező felhasználó által megadott útvonalak csak akkor támogatottak, ha a virtuális hálózat átjárója VPN-átjáró (és nem ExpressRoute, RouteServer vagy Virtual WAN hub útválasztó).

    • VPN-átjáróval, ExpressRoute-átjáróval és/vagy útvonalkiszolgálóval rendelkező virtuális hálózatok esetén:

      • Ha a RouteServer virtuális hálózaton van üzembe helyezve, a RouteServer a virtuális hálózat átjárójaként van beállítva.
      • Ha a VPN Gateway és az ExpressRoute Gateway ugyanabban a virtuális hálózaton van üzembe helyezve (RouteServer nélkül), az ExpressRoute Gateway a virtuális hálózat átjárójaként van beállítva.
      • Ha vpn-átjáró vagy ExpressRoute-átjáró az egyetlen átjáró a virtuális hálózaton (RouteServer nélkül), az üzembe helyezett átjáró a virtuális hálózat átjárója.

    • Egy másik virtuális hálózathoz átjárókkal vagy RouteServerrel társviszonyban lévő virtuális hálózatok esetén a "Távoli virtuális hálózat átjárójának vagy útvonalkiszolgálójának használata" beállítás engedélyezve van:

      • Ha a RouteServer a társhálózati virtuális hálózaton van üzembe helyezve, a távoli RouteServer a virtuális hálózat átjárójaként van beállítva.
      • Ha a VPN Gateway és az ExpressRoute Gateway a társhálózati virtuális hálózaton van üzembe helyezve (RouteServer nélkül), a távoli ExpressRoute-átjáró a virtuális hálózat átjárójaként van beállítva.
      • Ha egy VPN-átjáró vagy az ExpressRoute-átjáró az egyetlen átjáró a társhálózatban (RouteServer nélkül), a távoli átjáró a virtuális hálózat átjárójaként van beállítva.

    • Virtuális WAN-központhoz csatlakoztatott virtuális hálózatok esetén:

      • A virtuális hálózat átjárója mindig a Virtual WAN hub útválasztójára van állítva.

      A helyszínen előfordulhat, hogy rendelkezik egy olyan eszközzel, amely megvizsgálja a forgalmat, és meghatározza, hogy továbbítja vagy elveti-e a forgalmat. Ha létre szeretne hozni egy UDR-t a 0.0.0.0/0 címelőtaghoz, először olvassa el a 0.0.0.0/0 címelőtagot . Ahelyett, hogy UDR-t konfigurál a 0.0.0.0/0 címelőtaghoz, meghirdethet egy útvonalat a 0.0.0.0/0 előtaggal a BGP-n keresztül, ha a VPN virtuális hálózati átjáró BGP-je engedélyezve van.

  • Nincs: Adja meg, ha azt szeretné, hogy az adott címelőtaghoz haladó adatforgalmat elejtse a rendszer, és ne továbbítsa a célállomáshoz. Előfordulhat, hogy az Azure nem jelenik meg néhány választható rendszerútvonal esetében, ha egy képesség nincs konfigurálva. Ha például azt látja, hogy Következő ugrás IP-címeNincs, a Következő ugrás típus pedig Virtuális hálózati átjárót vagy Virtuális berendezést mutat, az lehet, hogy az eszköz nem fut, vagy nincs teljesen konfigurálva. Az Azure rendszer alapértelmezett útvonalakat hoz létre fenntartott címelőtagokhoz, a következő ugrástípus pedig Nincs.

  • Virtuális hálózat: Adja meg a Virtuális hálózat beállítást, ha felül szeretné bírálni az alapértelmezett útválasztást egy virtuális hálózaton belül. Példa arra, hogy miért hozhat létre egy útvonalat a virtuális hálózati ugrás típusával, lásd: Útválasztási példa.

  • Internet: Adja meg az internet lehetőséget, ha explicit módon szeretné átirányítani a forgalmat egy címelőtagra az internetre. Vagy használhatja, ha azt szeretné, hogy az Azure-szolgáltatásokhoz irányuló forgalom nyilvános IP-címekkel legyen tárolva az Azure gerinchálózatán belül.

Nem adhatja meg a virtuális hálózatok társviszony-létesítését, vagy VirtualNetworkServiceEndpoint az UDR-ek következő ugrási típusaként. Az Azure csak akkor hoz létre útvonalakat, ha virtuális hálózatok közötti társviszony-létesítést vagy szolgáltatásvégpontot konfigurál, és ekkor az útvonalak virtuális hálózatok közötti társviszony-létesítéssel vagy VirtualNetworkServiceEndpoint következő ugráspont típusokkal készülnek.

Szolgáltatáscímkék felhasználó által megadott útvonalakhoz

Mostantól megadhat egy szolgáltatáscímkét egy UDR címelőtagjaként explicit IP-címtartomány helyett. A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelölik. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat, és a címek változásával automatikusan frissíti a szolgáltatáscímkét. Ez a támogatás minimalizálja az UDR-ek gyakori frissítéseinek összetettségét, és csökkenti a létrehozandó útvonalak számát. Az egyes útvonaltáblákban jelenleg 25 vagy kevesebb útvonal hozható létre szolgáltatáscímkével. Ezzel a kiadással a tárolók útválasztási forgatókönyveiben a szolgáltatáscímkék használata is támogatott.

Pontos egyezés

A rendszer akkor részesíti előnyben az útvonalat az explicit előtaggal, ha pontos előtag egyezik egy explicit IP-előtaggal rendelkező útvonal és egy szolgáltatáscímkével rendelkező útvonal között. Ha több szolgáltatáscímkével rendelkező útvonal ip-előtagokkal rendelkezik, az útvonalak kiértékelése a következő sorrendben történik:

  1. Regionális címkék (például vagy Storage.EastUSAppService.AustraliaCentral)

  2. Legfelső szintű címkék (példáulStorage)AppService

  3. AzureCloud regionális címkék (például vagy AzureCloud.canadacentralAzureCloud.eastasia)

  4. A AzureCloud címke

A szolgáltatás használatához adja meg a címelőtag paraméter szolgáltatáscímkéjét az útvonaltábla-parancsokban. A PowerShellben például létrehozhat egy új útvonalat, amellyel átirányíthatja az Azure Storage IP-előtagjának küldött forgalmat egy virtuális berendezésnek a következő paranccsal:

$param = @{
    Name = 'StorageRoute'
    AddressPrefix = 'Storage'
    NextHopType = 'VirtualAppliance'
    NextHopIpAddress = '10.0.100.4'
}
New-AzRouteConfig @param

Az Azure CLI-hez ugyanez a parancs a következő:

az network route-table route create \
    --resource-group MyResourceGroup \
    --route-table-name MyRouteTable \
    --name StorageRoute \
    --address-prefix Storage \
    --next-hop-type VirtualAppliance \
    --next-hop-ip-address 10.0.100.4

Következő ugrástípusok az Azure-eszközökben

A következő ugrástípusokhoz megjelenített és hivatkozott név különbözik az Azure Portal és a parancssori eszközök, valamint a Resource Manager és a klasszikus üzemi modellek között. Az alábbi táblázat felsorolja a neveket, amelyek az egyes következő ugráspont típusaira hivatkoznak a különböző eszközökkel és üzembe helyezési modellekkel.

Következő ugrás típusa Azure CLI és PowerShell (Resource Manager) Klasszikus Azure CLI és PowerShell (klasszikus)
Virtuális hálózati átjáró VirtualNetworkGateway VPNGateway
Virtuális hálózat VNetLocal VNETLocal (nem érhető el a klasszikus parancssori felület klasszikus üzemi modell módban)
internet internet Internet (nem érhető el a klasszikus parancssori felület klasszikus üzemi modell módban)
Virtuális berendezés VirtualAppliance VirtualAppliance
Egyik sem Egyik sem Null (klasszikus parancssori felület esetén nem érhető el klasszikus üzemi modell módban)
Virtuális hálózatok közötti kapcsolódás Virtuális hálózatok közötti kapcsolódás Nem alkalmazható
Virtuális hálózati szolgáltatásvégpont VirtualNetworkServiceEndpoint Nem alkalmazható

Border Gateway protokoll (BGP)

A helyszíni hálózati átjárók a BGP használatával válthatnak útvonalakat egy Azure-beli virtuális hálózati átjáróval. A BGP azure-beli virtuális hálózati átjáróval való használata az átjáró létrehozásakor kiválasztott típustól függ:

  • ExpressRoute: A BGP használatával kell meghirdetnie a helyszíni útvonalakat a Microsoft adatközpontjának peremhálózati útválasztójára. Nem hozhat létre UDR-eket az ExpressRoute virtuális hálózati átjáró felé történő forgalom kényszerítéséhez, ha ExpressRoute típusú virtuális hálózati átjárót helyez üzembe. Az UDR-ek segítségével kényszerítheti a forgalmat az expressz útvonalról például egy hálózati virtuális berendezésre.
  • VPN: Igény szerint használhatja a BGP-t. További információ: BGP helyek közötti VPN-kapcsolatokkal.

Ha útvonalakat cserél az Azure-ral a BGP használatával, a rendszer egy külön útvonalat ad hozzá a virtuális hálózat összes alhálózatának útvonaltáblához minden meghirdetett előtaghoz. A rendszer hozzáadja az útvonalat a virtuális hálózati átjáró forrásként és következő ugrási típusként.

Az ExpressRoute és az Azure VPN Gateway útvonal-propagálását egy alhálózaton egy útvonaltábla tulajdonságával tilthatja le. Ha letiltja az útvonalak propagálását, a rendszer nem ad hozzá útvonalakat az összes olyan alhálózat útvonaltáblához, ahol a virtuális hálózati átjáró útvonalterjesztése le van tiltva. Ez a folyamat mind a statikus útvonalakra, mind a BGP-útvonalakra vonatkozik. A VPN-kapcsolatokkal való kapcsolatot egyéni útvonalak használatával, a virtuális hálózati átjáró következő ugrási típusával lehet elérni. További információ: A virtuális hálózati átjáró útvonal-propagálásának letiltása.

Megjegyzés:

Az útvonalpropagálást nem szabad letiltani.GatewaySubnet Ha ez a beállítás le van tiltva, az átjáró nem működik.

Hogyan választja ki az Azure a forgalomirányítás útvonalait?

Ha a kimenő forgalmat egy alhálózatról küldi el, az Azure a leghosszabb előtagegyeztetési algoritmus használatával kiválaszt egy útvonalat a cél IP-cím alapján. Egy útvonaltábla például két útvonallal rendelkezik. Az egyik útvonal megadja a 10.0.0.0/24 címelőtagot, a másik útvonal pedig a 10.0.0.0/16 címelőtagot.

Az Azure a 10.0.0.5-re irányuló forgalmat az útvonalon megadott következő ugrástípus felé irányítja, a 10.0.0.0/24 címelőtagját használva. Ez a folyamat azért fordul elő, mert a 10.0.0.0/24 hosszabb előtag, mint a 10.0.0.0/16, annak ellenére, hogy a 10.0.0.5 mindkét címelőtagba tartozik.

Az Azure a 10.0.1.5 IP-címre címzett forgalmat a 10.0.0.0/16 címelőtaggal megadott útvonal következő ugrástípusához irányítja. Ez a folyamat azért fordul elő, mert a 10.0.1.5 nem szerepel a 10.0.0.0/24-es címelőtagban, így a 10.0.0.0/16 címelőtaggal rendelkező útvonal a leghosszabb egyező előtag.

Ha több útvonal is tartalmazza ugyanazt a címelőtagot, az Azure a következő prioritás alapján választja ki az útvonaltípust:

  1. Felhasználó által megadott útvonal

  2. BGP-útvonal

  3. Rendszerútvonal

Megjegyzés:

Előnyben részesített útvonalak a virtuális hálózattal, virtuális hálózati társviszonyokkal vagy virtuális hálózati szolgáltatásvégpontokkal kapcsolatos forgalom rendszerútvonalai. Előnyben részesítik őket, még akkor is, ha a BGP-útvonalak pontosabbak. A következő ugrási típusként virtuális hálózati szolgáltatásvégponttal rendelkező útvonalak nem bírálhatók felül, még akkor sem, ha útvonaltáblát használ.

Egy útvonaltábla például a következő útvonalakat tartalmazza:

Forrás Cím előtagok Következő ugrás típusa
Alapértelmezett 0.0.0.0/0 internet
Felhasználó 0.0.0.0/0 Virtuális hálózati átjáró

Ha a forgalom egy OLYAN IP-címre irányul, amely az útvonaltáblában szereplő bármely más útvonal címelőtagjain kívül esik, az Azure kiválasztja az útvonalat a felhasználói forrással. Az Azure azért választja ezt a lehetőséget, mert az UDR-ek magasabb prioritást élveznek, mint a rendszer alapértelmezett útvonalai.

A táblázatban szereplő útvonalak magyarázatát tartalmazó átfogó útválasztási táblázatot lásd: Útválasztási példa.

0.0.0.0/0 címelőtag

A 0.0.0.0/0 címelőtaggal rendelkező útvonal utasításokat ad az Azure-nak. Az Azure ezeket az utasításokat arra használja, hogy olyan IP-címre irányuló forgalmat irányozzanak, amely nem tartozik az alhálózat útvonaltáblájában lévő bármely más útvonal címelőtagjára. Alhálózat létrehozásakor az Azure létrehoz egy alapértelmezett útvonalat a 0.0.0.0/0 címelőtaghoz, az internet következő ugrástípusával. Ha nem bírálja felül ezt az útvonalat, az Azure minden olyan IP-címre irányuló forgalmat átirányít, amely nem szerepel az internetre irányuló egyéb útvonalak címelőtagjában.

A kivétel az, hogy az Azure-szolgáltatások nyilvános IP-címére irányuló forgalom az Azure gerinchálózatán marad, és nem az internetre van irányítva. Amikor ezt az útvonalat egyéni útvonallal felülbírálja, a forgalom azokra a címekre irányul, amelyek nem szerepelnek a más útvonalak címprefixeiben az útvonaltáblában. A cél attól függ, hogy hálózati virtuális berendezést vagy virtuális hálózati átjárót ad-e meg az egyéni útvonalon.

Ha felülírja a 0.0.0.0/0 címelőtagot, az alhálózat kimenő forgalma a virtuális hálózati átjárón vagy egy virtuális berendezésen keresztül áramlik. Az Azure alapértelmezett útválasztásával a következő változások is történnek:

  • Az Azure az útvonalon megadott következő ugrási típusra küldi az összes forgalmat, beleértve az Azure-szolgáltatások nyilvános IP-címére irányuló forgalmat is.

    Ha a 0.0.0.0/0 címelőtaggal rendelkező útvonal következő ugrástípusa az internet, az Azure-szolgáltatások nyilvános IP-címére irányuló alhálózati forgalom soha nem hagyja el az Azure gerinchálózatát, függetlenül attól az Azure-régiótól, amelyben a virtuális hálózat vagy az Azure-szolgáltatás erőforrása létezik.

    Ha egy UDR- vagy BGP-útvonalat virtuális hálózati átjáróval vagy virtuális berendezés következő ugrástípussal hoz létre, a rendszer minden forgalmat az útvonalon megadott következő ugrási típusba küld. Beleértve a nem engedélyezett szolgáltatásvégpontokhoz tartozó Azure-szolgáltatások nyilvános IP-címére küldött forgalmat is.

    Amikor egy szolgáltatásvégpontot engedélyez egy szolgáltatáshoz, az Azure létrehoz egy útvonalat a szolgáltatás címelőtagjaival. A szolgáltatás forgalma nem megy át a következő ugrástípusra a 0.0.0.0/0 címelőtaggal rendelkező útvonalon. A szolgáltatás címelőtagja hosszabb, mint 0.0.0.0/0.

  • Az alhálózatban lévő erőforrásokat már nem érheti el közvetlenül az internetről. Az alhálózat erőforrásait közvetetten az internetről érheti el. A 0.0.0.0/0 címelőtaggal rendelkező útvonal következő ugrástípusa által megadott eszköznek feldolgoznia kell a bejövő forgalmat. Miután a forgalom áthalad az eszközön, a forgalom eléri az erőforrást a virtuális hálózaton. Ha az útvonal a következő ugrástípus alábbi értékeit tartalmazza:

    • Virtuális berendezés: A berendezésnek:

      • Legyen elérhető az internetről.
      • Rendeljen hozzá egy nyilvános IP-címet.
      • Nincs hozzá társított hálózati biztonsági csoportszabály, amely megakadályozza az eszközhöz való kommunikációt.
      • Nem tagadhatja meg a kommunikációt.
      • Képesnek kell lennie hálózati címfordításra és továbbításra, illetve a célerőforrás felé irányuló forgalom proxyzására az alhálózaton, és vissza tudja adni a forgalmat az internetre.

    • Virtuális hálózati átjáró: Ha az átjáró egy ExpressRoute virtuális hálózati átjáró, akkor egy helyszíni, internetkapcsolattal rendelkező eszköz az ExpressRoute privát társviszony-létesítésén keresztül képes hálózati címfordítást végezni és továbbítani, vagy proxyként közvetíteni a forgalmat az alhálózatban található célerőforrás felé.

Ha a virtuális hálózat egy Azure VPN-átjáróhoz csatlakozik, ne rendeljen útvonaltáblát az átjáró alhálózatához , amely tartalmaz egy útvonalat a 0.0.0.0/0-s célhelyhez. Ezzel megelőzhető, hogy az átjáró ne működjön megfelelően. További információ: Miért nyílnak meg bizonyos portok a VPN-átjárómon?

Az internet és az Azure közötti virtuális hálózati átjárók használatakor a megvalósítás részleteiért tekintse meg az Azure és a helyszíni adatközpont közötti DMZ-t.

Útválasztási példa

A cikkben szereplő fogalmakat a következő szakaszok ismertetik:

  • Egy forgatókönyv, követelményekkel.
  • A követelményeknek való megfeleléshez szükséges egyéni útvonalak.
  • Az egyetlen alhálózathoz tartozó útvonaltábla, amely tartalmazza a követelmények teljesítéséhez szükséges alapértelmezett és egyéni útvonalakat.

Megjegyzés:

Ez a példa nem egy ajánlott vagy bevált gyakorlat megvalósítására szolgál. A példa csak a jelen cikkben szereplő fogalmak szemléltetésére szolgál.

Követelmények

  1. Implementáljon két virtuális hálózatot ugyanabban az Azure-régióban, és engedélyezze az erőforrások számára a virtuális hálózatok közötti kommunikációt.

  2. Engedélyezze a helyszíni hálózat számára, hogy biztonságosan kommunikáljon mindkét virtuális hálózattal egy VPN-alagúton keresztül az interneten keresztül. Használhat ExpressRoute-kapcsolatot is, de ez a példa VPN-kapcsolatot használ.

  3. Egy virtuális hálózat egy alhálózata esetén:

    • Az alhálózatról érkező összes kimenő forgalom irányítása egy hálózati virtuális berendezésen keresztül ellenőrzés és naplózás céljából. Zárja ki az Azure Storage felé és az alhálózaton belüli forgalmat ebből az útválasztásból.
    • Ne vizsgálja meg a privát IP-címek közötti forgalmat az alhálózaton belül. A forgalom közvetlen áramlásának engedélyezése az összes erőforrás között.
    • A másik virtuális hálózat felé irányuló kimenő forgalom elvetése.
    • Engedélyezze az Azure Storage felé irányuló kimenő forgalmat, hogy közvetlenül a tárolóba áramoljon anélkül, hogy hálózati virtuális berendezésen keresztül kényszerítenék.

  4. Engedélyezze az összes forgalmat az összes többi alhálózat és virtuális hálózat között.

Megvalósítás

Az alábbi ábra egy, a Resource Manager-alapú üzemi modellen keresztüli implementációt mutat be, amely megfelel az előző követelményeknek.

Hálózati implementációt bemutató diagram.

A nyilak a forgalom áramlását mutatják.

Útvonaltáblák

Az alábbi útvonaltáblák az előző útválasztási példához tartoznak.

Alhálózat1

Az előző diagram 1. alhálózatának útvonaltáblája a következő útvonalakat tartalmazza:

azonosító Forrás Állam Cím előtagok Következő ugrás típusa A következő ugrás IP-címe UDR név
1 Alapértelmezett Érvénytelen 10.0.0.0/16 Virtuális hálózat
2 Felhasználó Aktív 10.0.0.0/16 Virtuális berendezés 10.0.100.4 Within-VNet1
3 Felhasználó Aktív 10.0.0.0/24 Virtuális hálózat Subnet1-en belül
4 Alapértelmezett Érvénytelen 10.1.0.0/16 Virtuális hálózatok közötti kapcsolódás
5 Alapértelmezett Érvénytelen 10.2.0.0/16 Virtuális hálózatok közötti kapcsolódás
6 Felhasználó Aktív 10.1.0.0/16 Egyik sem ToVNet2-1-Drop
7 Felhasználó Aktív 10.2.0.0/16 Egyik sem ToVNet2-2-Drop
8 Alapértelmezett Érvénytelen 10.10.0.0/16 Virtuális hálózati átjáró [X.X.X.X]
9 Felhasználó Aktív 10.10.0.0/16 Virtuális berendezés 10.0.100.4 To-On-Prem
10 Alapértelmezett Aktív [X.X.X.X] VirtualNetworkServiceEndpoint
11 Alapértelmezett Érvénytelen 0.0.0.0/0 internet
12 Felhasználó Aktív 0.0.0.0/0 Virtuális berendezés 10.0.100.4 Default-NVA

Az egyes útvonalazonosítók magyarázata:

  • ID1: Az Azure automatikusan hozzáadta ezt az útvonalat az 1. virtuális hálózat összes alhálózatához, mivel a 10.0.0.0/16 a virtuális hálózat címterében definiált egyetlen címtartomány. Ha nem hozza létre az UDR-t a 2. útvonalazonosítóban, a 10.0.0.1 és 10.0.255.254 közötti címekre küldött forgalom a virtuális hálózaton belül lesz irányítva. Ez a folyamat azért fordul elő, mert az előtag hosszabb, mint 0.0.0.0/0, és nem tartozik más útvonalak címelőtagjai közé.

    Az Azure automatikusan aktívrólérvénytelenre módosította az állapotot, amikor hozzáadta az ID2-t, egy UDR-t. Ugyanazzal az előtaggal rendelkezik, mint az alapértelmezett útvonal, és az UDR-ek felülbírálják az alapértelmezett útvonalakat. Az útvonal állapota továbbra is aktív az alhálózat2 esetében, mert az UDR 2 azonosítójú útvonaltáblája nincs társítva az alhálózat2-hez.

  • ID2: Az Azure akkor adta hozzá ezt az útvonalat, amikor a 10.0.0.0/16 címelőtaghoz tartozó UDR a Virtual-network-1 virtuális hálózat 1. alhálózatához lett társítva. Az UDR a virtuális berendezés IP-címeként a 10.0.100.4 értéket adja meg, mivel a cím a virtuális berendezés virtuális gépéhez rendelt magánhálózati IP-cím. Az útvonaltábla, amelyben ez az útvonal létezik, nincs társítva az alhálózat2-hez, így az útvonal nem jelenik meg az alhálózat2 útvonaltáblájában.

    Ez az útvonal felülbírálja a 10.0.0.0/16 előtag (ID1) alapértelmezett útvonalát, amely automatikusan átirányította a 10.0.0.1 és a 10.0.255.254 címre irányuló forgalmat a virtuális hálózaton belül a következő ugrástípus virtuális hálózatán keresztül. Ez az útvonal a 3. követelménynek való megfelelés érdekében létezik, amely az összes kimenő forgalom kényszerítése egy virtuális berendezésen keresztül.

  • ID3: Az Azure akkor adta hozzá ezt az útvonalat, amikor a 10.0.0.0/24-es címelőtaghoz tartozó UDR az Alhálózat1 alhálózathoz lett társítva. A 10.0.0.1 és 10.0.0.254 közötti címekre irányuló forgalom az alhálózaton belül marad. A forgalom nem az előző szabályban (ID2) megadott virtuális berendezéshez van irányítva, mert hosszabb előtaggal rendelkezik, mint az ID2 útvonal.

    Ez az útvonal nem volt társítva a 2. alhálózathoz, így az útvonal nem jelenik meg az Alhálózat2 útvonaltáblájában. Ez az útvonal hatékonyan felülbírálja az 1. alhálózaton belüli forgalom ID2 útvonalát. Ez az útvonal a 3. követelmény teljesítéséhez létezik.

  • ID4: Az Azure automatikusan hozzáadta a 4. és 5. azonosítójú útvonalakat az 1. virtuális hálózat összes alhálózatához, amikor a virtuális hálózat társviszonyban volt a Virtual-network-2-vel.A Virtual-network-2 címterében két címtartomány található: 10.1.0.0/16 és 10.2.0.0/16, így az Azure minden tartományhoz adott egy útvonalat. Ha nem hozza létre az UDR-eket a 6. és 7. útvonalazonosítókban, a 10.1.0.1-10.1.255.254 és a 10.2.0.1-10.2.255.254 közötti címekre küldött forgalom a társhálózatra lesz irányítva. Ez a folyamat azért fordul elő, mert az előtag hosszabb, mint 0.0.0.0/0, és nem tartozik más útvonalak címelőtagjai közé.

    Amikor hozzáadta az útvonalakat a 6. és a 7. azonosítóban, az Azure automatikusan aktívrólérvénytelenre módosította az állapotot. Ez a folyamat azért fordul elő, mert ugyanazokkal az előtagokkal rendelkeznek, mint a 4. és az 5. azonosítóban lévő útvonalak, és az UDR-ek felülbírálják az alapértelmezett útvonalakat. A 4. és az 5. azonosítóban lévő útvonalak állapota továbbra is aktív a 2. alhálózat esetében, mivel az az útvonaltábla, amelyben a 6. és a 7. azonosítóban szereplő UDR-ek nincsenek társítva a 2. alhálózathoz. Az 1. követelménynek megfelelő virtuális hálózati társviszony jött létre.

  • ID5: Ugyanaz a magyarázat, mint az ID4.

  • ID6: Az Azure hozzáadta ezt az útvonalat és az útvonalat az ID7-ben, amikor a 10.1.0.0/16 és a 10.2.0.0/16 címelőtagok az Alhálózat1 alhálózathoz lettek társítva. Az Azure eldobja a 10.1.0.1-10.1.255.254 és 10.2.0.1-10.2.255.254 közötti címekre irányuló forgalmat, ahelyett hogy a társított virtuális hálózatra irányítaná, mivel az UDR-ek felülírják az alapértelmezett útvonalakat. Az útvonalak nincsenek társítva a 2. alhálózathoz, így az útvonalak nem jelennek meg a 2. alhálózat útvonaltáblájában. Az útvonalak felülbírálják az 1. alhálózatot elhagyó forgalom ID4 és ID5 útvonalait. Az ID6 és ID7 útvonalak a 3. követelménynek való megfelelés érdekében léteznek a másik virtuális hálózat felé irányuló forgalom elvetéséhez.

  • ID7: Ugyanaz a magyarázat, mint az ID6.

  • ID8: Az Azure automatikusan hozzáadta ezt az útvonalat a Virtual-network-1 összes alhálózatához, amikor vpn típusú virtuális hálózati átjárót hoztak létre a virtuális hálózaton belül. Az Azure hozzáadta a virtuális hálózati átjáró nyilvános IP-címét az útvonaltáblához. A 10.10.0.1 és 10.10.255.254 közötti címekre küldött forgalom a virtuális hálózati átjáróhoz lesz irányítva. Az előtag hosszabb, mint 0.0.0.0/0, és nem szerepel a többi útvonal címelőtagjai között. A 2. követelménynek megfelelő virtuális hálózati átjáró lett létrehozva.

  • ID9: Az Azure akkor adta hozzá ezt az útvonalat, amikor a 10.10.0.0/16 címelőtag UDR-ét hozzáadták az 1. alhálózathoz társított útvonaltáblához. Ez az útvonal felülírja az ID8 azonosítót. Az útvonal a helyszíni hálózat felé irányuló összes forgalmat egy hálózati virtuális berendezésnek továbbítja ellenőrzés céljából, ahelyett, hogy közvetlenül a helyszínen irányítanák a forgalmat. Ez az útvonal a 3. követelménynek való megfelelés érdekében lett létrehozva.

  • ID10: Az Azure automatikusan hozzáadta ezt az útvonalat az alhálózathoz, amikor engedélyezve lett egy szolgáltatásvégpont egy Azure-szolgáltatáshoz az alhálózaton. Az Azure az alhálózatról a szolgáltatás nyilvános IP-címére irányítja a forgalmat az Azure-infrastruktúra-hálózaton keresztül. Az előtag hosszabb, mint 0.0.0.0/0, és nem szerepel a többi útvonal címelőtagjai között. A 3. követelménynek megfelelő szolgáltatásvégpont jött létre, amely lehetővé teszi, hogy az Azure Storage felé irányuló forgalom közvetlenül az Azure Storage-ba áramoljon.

  • ID11: Az Azure automatikusan hozzáadta ezt az útvonalat a Virtual-network-1 és a Virtual-network-2 összes alhálózatának útvonaltáblához . A 0.0.0.0/0 címelőtag a legrövidebb előtag. A hosszabb címelőtagban lévő címekre küldött összes forgalom más útvonalak alapján lesz irányítva.

    Az Azure alapértelmezés szerint az internetre irányítja a többi útvonalon megadott címeken kívüli címekre irányuló összes forgalmat. Az Azure automatikusan az 1. alhálózataktív állapotárólérvénytelenre módosította az állapotot, amikor a 0.0.0.0/0 címelőtag (ID12) UDR-jének társítása megtörtént az alhálózattal. Az útvonal állapota továbbra is aktív a mindkét virtuális hálózaton belüli összes többi alhálózat esetében, mivel az útvonal nincs más virtuális hálózatokon belüli alhálózatokhoz társítva.

  • ID12: Az Azure akkor adta hozzá ezt az útvonalat, amikor a 0.0.0.0/0 címelőtaghoz tartozó UDR az Alhálózat1 alhálózathoz lett társítva. Az UDR a 10.0.100.4-et adja meg a virtuális berendezés IP-címeként. Ez az útvonal nincs társítva a 2. alhálózathoz, így az útvonal nem jelenik meg a 2. alhálózat útvonaltáblájában. A rendszer a többi útvonal címelőtagjaiban nem szereplő címek összes forgalmát elküldi a virtuális berendezésnek.

    Az útvonal hozzáadása módosította a 0.0.0.0/0 címelőtag (ID11) alapértelmezett útvonalának állapotát aktívról az alhálózat1 esetében érvénytelenre, mert egy UDR felülír egy alapértelmezett útvonalat. Ez az útvonal a 3. követelmény teljesítéséhez létezik.

Alhálózat2

Az előző diagram 2. alhálózatának útvonaltáblája a következő útvonalakat tartalmazza:

Forrás Állam Cím előtagok Következő ugrás típusa A következő ugrás IP-címe
Alapértelmezett Aktív 10.0.0.0/16 Virtuális hálózat
Alapértelmezett Aktív 10.1.0.0/16 Virtuális hálózatok közötti kapcsolódás
Alapértelmezett Aktív 10.2.0.0/16 Virtuális hálózatok közötti kapcsolódás
Alapértelmezett Aktív 10.10.0.0/16 Virtuális hálózati átjáró [X.X.X.X]
Alapértelmezett Aktív 0.0.0.0/0 internet
Alapértelmezett Aktív 10.0.0.0/8 Egyik sem
Alapértelmezett Aktív 100.64.0.0/10 Egyik sem
Alapértelmezett Aktív 192.168.0.0/16 Egyik sem

Az Alhálózat2 útvonaltáblája tartalmazza az összes, Azure által létrehozott alapértelmezett útvonalat, valamint az opcionális virtuális hálózati társviszony-létesítési és virtuális hálózati átjáró útvonalakat. Az Azure hozzáadta az opcionális útvonalakat a virtuális hálózat összes alhálózatához, amikor az átjárót és a társviszony-létesítést hozzáadták a virtuális hálózathoz.

Az Azure eltávolította a 10.0.0.0/8, a 192.168.0.0/16 és a 100.64.0.0/10 címelőtagok útvonalait az Alhálózat1 útvonaltáblából, amikor a 0.0.0.0/0 címelőtag UDR-ét hozzáadták az alhálózat1-hez.

Kapcsolódó tartalom

  • Last updated on