Gunakan Azure Firewall untuk merutekan topologi multihub dan spoke

Topologi hub dan spoke adalah pola arsitektur jaringan umum di Azure. Hub adalah jaringan virtual (VNet) di Azure yang bertindak sebagai titik pusat konektivitas ke jaringan lokal Anda. Spoke adalah VNet yang di-peering dengan hub, dan dapat digunakan untuk mengisolasi beban kerja. Hub dapat digunakan untuk mengisolasi dan mengamankan lalu lintas antar spoke. Hub juga dapat digunakan untuk merutekan lalu lintas antar spoke. Hub dapat digunakan untuk merutekan lalu lintas antara spoke menggunakan berbagai metode.

Misalnya, Anda dapat menggunakan Azure Route Server dengan perutean dinamis dan appliance virtual jaringan (NVA) untuk merutekan lalu lintas antar spoke. Ini bisa menjadi penyebaran yang cukup kompleks. Metode yang kurang kompleks menggunakan Azure Firewall dan rute statis untuk merutekan lalu lintas antar spoke.

Artikel ini memperlihatkan kepada Anda cara menggunakan Azure Firewall dengan rute yang ditentukan pengguna statis (UDR) untuk merutekan topologi multi hub dan spoke. Diagram berikut menunjukkan topologi:

Arsitektur garis besar

Azure Firewall mengamankan dan memeriksa lalu lintas jaringan, tetapi juga merutekan lalu lintas antar VNet. Ini adalah sumber daya terkelola yang secara otomatis membuat rute sistem ke spoke lokal, hub, dan awalan lokal yang dipelajari oleh Virtual Network Gateway lokalnya. Menempatkan NVA di hub dan mengkueri rute efektif akan mengakibatkan tabel rute yang menyerupan apa yang ditemukan dalam Azure Firewall.

Karena ini adalah arsitektur perutean statis, jalur terpendek ke hub lain dapat dilakukan dengan menggunakan peering VNet global di antara hub. Jadi hub tahu satu sama lain, dan setiap firewall lokal berisi tabel rute masing-masing hub yang terhubung langsung. Namun, hub lokal hanya tahu tentang spoke lokal mereka. Selain itu, hub ini dapat berada di wilayah yang sama atau wilayah yang berbeda.

Perutean pada subnet firewall

Setiap firewall lokal perlu tahu cara menjangkau spoke jarak jauh lainnya, jadi Anda harus membuat UDR di subnet firewall. Untuk melakukan ini, Anda harus terlebih dahulu membuat rute default dari jenis apa pun, yang kemudian memungkinkan Anda membuat rute yang lebih spesifik ke spoke lain. Misalnya, cuplikan layar berikut menunjukkan tabel rute untuk dua VNet hub:

Catatan

Awalan alamat dalam tabel rute virtual hub harus mencakup dua ruang alamat jaringan virtual spoke.

Tabel rute Hub-01

Tabel rute Hub-02

Perutean pada subnet spoke

Manfaat menerapkan topologi ini adalah bahwa dengan lalu lintas yang berpindah dari satu hub ke hub lain, Anda dapat mencapai hop berikutnya yang terhubung langsung melalui peering global.

Seperti yang diilustrasikan dalam diagram, lebih baik menempatkan UDR di subnet spoke yang memiliki rute 0/0 (gateway default) dengan firewall lokal sebagai hop berikutnya. Ini mengunci satu titik keluar lompatan berikutnya sebagai firewall lokal. Ini juga mengurangi risiko perutean asimetris jika mempelajari awalan yang lebih spesifik dari lingkungan lokal Anda yang dapat menyebabkan lalu lintas melewati firewall. Untuk informasi selengkapnya, lihat Jangan biarkan Azure Routes menggigit Anda.

Berikut adalah contoh tabel rute untuk subnet spoke yang tersambung ke Hub-01:

Langkah berikutnya

• Pelajari cara menyebarkan dan mengonfigurasi Azure Firewall.