Perutean lalu lintas jaringan virtual
Pelajari cara Azure merutekan lalu lintas antara Azure, lokal, dan sumber daya Internet. Azure secara otomatis membuat tabel rute untuk setiap subnet dalam jaringan virtual Azure, dan menambahkan rute default sistem ke tabel. Untuk mempelajari selengkapnya tentang jaringan virtual dan subnet, lihat Ringkasan jaringan virtual. Anda dapat mengesampingkan beberapa rute sistem Azure dengan rute kustom dan menambahkan rute kustom lain ke tabel rute. Azure merutekan lalu lintas keluar dari subnet berdasarkan rute dalam tabel rute subnet.
Rute sistem
Azure membuat rute sistem secara otomatis dan menetapkan rute ke setiap subnet dalam jaringan virtual. Anda tidak dapat membuat rute sistem, juga tidak dapat menghapus rute sistem, tetapi Anda dapat menimpa beberapa rute sistem dengan rute kustom. Azure membuat rute sistem default untuk setiap subnet dan menambahkan rute default opsional lainnya ke subnet tertentu atau ke semua subnet saat Anda menggunakan kemampuan Azure khusus.
Default
Setiap rute berisi prefiks alamat dan jenis hop berikutnya. Saat lalu lintas yang meninggalkan subnet dikirim ke alamat IP dalam prefiks alamat rute, rute yang berisi prefiks adalah rute yang digunakan Azure. Pelajari selengkapnya tentang cara Azure memilih rute saat beberapa rute berisi prefiks yang sama, atau prefiks yang tumpang tindih. Setiap kali jaringan virtual dibuat, Azure membuat rute sistem default berikut secara otomatis untuk setiap subnet dalam jaringan virtual:
| Sumber | Awalan alamat | Jenis hop berikutnya |
|---|---|---|
| Default | Unik untuk jaringan virtual | Jaringan virtual |
| Default | 0.0.0.0/0 | Internet |
| Default | 10.0.0.0/8 | Tidak |
| Default | 172.16.0.0/12 | Tidak |
| Default | 192.168.0.0/16 | Tidak |
| Default | 100.64.0.0/10 | Tidak |
Jenis hop berikutnya yang tercantum dalam tabel sebelumnya menunjukkan cara Azure merutekan lalu lintas yang ditujukan untuk prefiks alamat yang tercantum. Penjelasan untuk jenis hop berikutnya mengikuti:
Jaringan virtual: Merutekan lalu lintas antar rentang alamat dalam ruang alamat jaringan virtual. Azure membuat rute dengan prefiks alamat yang sesuai dengan setiap rentang alamat yang ditentukan dalam ruang alamat jaringan virtual. Jika ruang alamat jaringan virtual memiliki beberapa rentang alamat yang ditentukan, Azure membuat rute tersendiri untuk setiap rentang alamat. Azure secara otomatis akan merutekan lalu lintas antar-subjaringan menggunakan rute yang telah dibuat untuk setiap rentang alamat. Anda tidak perlu menentukan gateway Azure untuk merutekan lalu lintas antar-subjaringan. meskipun jaringan visual berisi subnet, dan setiap subnet memiliki rentang alamat yang ditentukan, Azure tidak membuat rute default untuk subnet alamat rentang. Setiap rentang alamat subnet berada dalam rentang alamat ruang alamat jaringan virtual.
Internet: Merutekan lalu lintas yang ditentukan oleh awalan alamat ke Internet. Rute default sistem menentukan prefiks alamat 0.0.0.0/0. Jika Anda tidak mengambil alih rute default Azure, Azure merutekan lalu lintas untuk alamat apa pun yang tidak ditentukan oleh rentang alamat dalam jaringan virtual ke Internet. Ada satu pengecualian untuk perutean ini. Jika alamat tujuan adalah untuk salah satu layanan Azure, Azure merutekan lalu lintas langsung ke layanan melalui jaringan backbone Azure, daripada merutekan lalu lintas ke Internet. Lalu lintas antar layanan Azure tidak melintasi Internet, terlepas dari di wilayah Azure mana jaringan virtual berada atau di wilayah Azure mana instans layanan Azure diterapkan. Anda dapat menimpa rute sistem default Azure untuk prefiks alamat 0.0.0.0/0 dengan rute kustom.
Tidak Ada: Lalu lintas yang dirutekan ke jenis hop berikutnya Tidak ada dihilangkan, alih-alih dirutekan di luar subnet. Azure membuat rute default secara otomatis untuk prefiks alamat berikut:
10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16: Dicadangkan untuk penggunaan privat di RFC 1918.
100.64.0.0/10: Dicadangkan dalam RFC 6598.
Jika Anda menetapkan salah satu rentang alamat sebelumnya dalam ruang alamat jaringan virtual, Azure mengubah jenis hop berikutnya secara otomatis untuk rute dari Tidak ada ke Jaringan virtual. Jika Anda menetapkan rentang alamat ke ruang alamat jaringan virtual yang menyertakan, tetapi tidak sama dengan, salah satu dari empat prefiks alamat yang dicadangkan, Azure menghapus rute prefiks dan menambahkan rute untuk prefiks alamat yang Anda tambahkan, dengan Jaringan virtual sebagai jenis hop berikutnya.
Rute default opsional
Azure menambahkan rute sistem default tambahan untuk kapabilitas Azure lainnya, tetapi hanya jika Anda mengaktifkan kemampuan ini. Bergantung pada kemampuan, Azure menambahkan rute default opsional ke subnet tertentu dalam jaringan virtual atau ke semua subnet dalam jaringan virtual. Rute sistem lain dan jenis hop berikutnya yang mungkin ditambahkan Azure saat Anda mengaktifkan kapabilitas lain adalah:
| Sumber | Awalan alamat | Jenis hop berikutnya | Subnet dalam jaringan virtual tempat rute ditambahkan |
|---|---|---|---|
| Default | Unik untuk jaringan virtual, misalnya: 10.1.0.0/16 | Peering VNET | Semua |
| Gateway jaringan virtual | Prefiks yang diiklankan dari lokal melalui BGP atau dikonfigurasi di gateway jaringan lokal | Gateway jaringan virtual | Semua |
| Default | Beberapa | VirtualNetworkServiceEndpoint | Hanya subnet yang diaktifkan titik akhir layanan. |
Peering jaringan virtual (VNet): Saat Anda membuat peering jaringan virtual antara dua jaringan virtual, sistem menambahkan rute untuk setiap rentang alamat dalam ruang alamat setiap jaringan virtual yang terlibat dalam peering. Pelajari selengkapnya tentang Peering jaringan virtual.
Gateway jaringan virtual: Satu atau beberapa rute dengan Gateway jaringan virtual yang terdaftar sebagai jenis hop berikutnya ditambahkan saat gateway jaringan virtual ditambahkan ke jaringan virtual. Sumber juga merupakan gateway jaringan virtual karena gateway menambahkan rute ke subnet. Jika gateway jaringan lokal Anda bertukar rute protokol gateway perbatasan (BGP) dengan gateway jaringan virtual, sistem menambahkan rute untuk setiap rute. Rute ini disebarluaskan dari gateway jaringan lokal. Sebaiknya rangkum rute lokal ke rentang alamat terbesar yang mungkin, sehingga Anda menyebarluaskan jumlah rute terkecil ke gateway jaringan virtual Azure. Ada batasan jumlah rute yang dapat Anda propagasi ke gateway jaringan virtual Azure. Untuk detailnya, lihat Batas Azure.
VirtualNetworkServiceEndpoint: Alamat IP publik untuk layanan tertentu ditambahkan ke tabel rute oleh Azure saat Anda mengaktifkan titik akhir layanan ke layanan. Titik akhir layanan diaktifkan untuk subnet tersendiri dalam jaringan virtual, sehingga rute hanya ditambahkan ke tabel rute subnet yang diaktifkan oleh titik akhir layanan. Alamat IP publik layanan Azure berubah secara berkala. Azure mengelola alamat dalam tabel rute secara otomatis saat alamat berubah. Pelajari selengkapnya tentang titik akhir layanan jaringan virtual dan layanan yang dapat Anda buat titik akhir layanannya.
Catatan
Jenis hop berikutnya peering VNet dan VirtualNetworkServiceEndpoint hanya ditambahkan ke tabel rute subnet dalam jaringan virtual yang dibuat melalui model penyebaran Azure Resource Manager. Jenis hop berikutnya tidak ditambahkan ke tabel rute yang terkait dengan subnet jaringan virtual yang dibuat melalui model penyebaran klasik. Pelajari selengkapnya tentang model penyebaran Azure.
Rute kustom
Anda membuat rute kustom dengan membuat rute yang ditentukan pengguna atau dengan pertukaran rute border gateway protocol (BGP) antara gateway jaringan lokal Anda dan gateway jaringan virtual Azure.
Ditentukan pengguna
Anda dapat membuat rute kustom atau yang ditentukan pengguna (statik) di Azure untuk mengambil alih rute sistem default Azure atau menambahkan rute tambahan ke tabel rute subnet. Di Azure, Anda membuat tabel rute, lalu mengaitkan tabel rute ke nol atau beberapa subnet jaringan virtual. Setiap subnet dapat memiliki nol atau satu tabel rute yang terkait dengannya. Untuk mempelajari tentang jumlah maksimum rute yang dapat Anda tambahkan ke tabel rute dan jumlah maksimum tabel rute yang ditentukan pengguna yang dapat Anda buat per langganan Azure, lihat batas Azure. Saat Anda membuat tabel rute dan mengaitkannya dengan subnet, rute tabel akan digabungkan dengan rute default subnet. Jika ada penetapan rute yang bertentangan, rute yang ditentukan pengguna akan mengambil alih rute default.
Anda dapat menentukan jenis hop berikutnya saat membuat rute yang ditentukan pengguna:
Appliance virtual: Appliance virtual adalah komputer virtual yang biasanya menjalankan aplikasi jaringan, seperti firewall. Untuk mempelajari tentang berbagai appliance virtual jaringan yang telah dikonfigurasi sebelumnya yang dapat Anda sebarkan di jaringan virtual, lihat Marketplace Azure. Saat Anda membuat rute dengan jenis hop appliance virtual, Anda juga menentukan alamat IP hop berikutnya. Alamat IP dapat berupa:
Alamat IP privat antarmuka jaringan yang dilampirkan ke komputer virtual. Antarmuka jaringan apa pun yang dilampirkan ke komputer virtual yang meneruskan lalu lintas jaringan ke alamat selain miliknya sendiri harus memiliki opsi Mengaktifkan penerusan IP Azure yang diaktifkan untuknya. Pengaturan menonaktifkan pemeriksaan Azure dari sumber dan tujuan antarmuka jaringan. Pelajari selengkapnya tentang cara mengaktifkan penerusan IP untuk antarmuka jaringan. Meskipun Mengaktifkan penerusan IP adalah pengaturan Azure, Anda mungkin juga perlu mengaktifkan penerusan IP dalam sistem operasi komputer virtual untuk appliance agar meneruskan lalu lintas antara alamat IP pribadi yang ditetapkan ke antarmuka jaringan Azure. Jika appliance perlu merutekan lalu lintas ke alamat IP publik, appliance harus mem-proxy lalu lintas atau melakukan terjemahan alamat jaringan (NAT) dari alamat IP privat sumber ke alamat IP privatnya sendiri. Azure kemudian melakukan NAT ke alamat IP publik sebelum mengirim lalu lintas ke Internet. Untuk menentukan pengaturan yang diperlukan dalam komputer virtual, lihat dokumentasi untuk sistem operasi atau aplikasi jaringan Anda. Untuk memahami koneksi keluar di Azure, lihat Pemahaman koneksi keluar.
Catatan
Sebarkan appliance virtual ke subnet yang berbeda dari sumber daya yang merutekan melalui appliance virtual. Menyebarkan appliance virtual ke subnet yang sama kemudian menerapkan tabel rute ke subnet yang merutekan lalu lintas melalui appliance virtual dapat mengakibatkan perulangan perutean di mana lalu lintas tidak pernah meninggalkan subnet.
Alamat IP privat hop selanjutnya harus memiliki konektivitas langsung tanpa harus merutekan melalui Gateway ExpressRoute atau Virtual WAN. Mengatur hop berikutnya ke alamat IP tanpa konektivitas langsung menghasilkan konfigurasi perutean yang ditentukan pengguna yang tidak valid.
Alamat IP privat dari penyeimbang muatan internal Azure. Penyeimbang muatan sering digunakan sebagai bagian dari strategi ketersediaan tinggi untuk appliance virtual jaringan.
Anda dapat menentukan rute dengan 0.0.0.0/0 sebagai awalan alamat dan jenis hop appliance virtual berikutnya. Konfigurasi ini memungkinkan appliance untuk memeriksa lalu lintas dan menentukan apakah akan meneruskan atau menghilangkan lalu lintas. Jika Anda ingin membuat rute yang ditentukan pengguna yang berisi prefiks alamat 0.0.0.0/0, baca prefiks alamat 0.0.0.0/0 terlebih dahulu.
Gateway jaringan virtual: Tentukan kapan Anda ingin lalu lintas ditujukan untuk prefiks alamat tertentu yang dirutekan ke gateway jaringan virtual. Gateway jaringan virtual harus dibuat dengan jenis VPN. Anda tidak dapat menentukan gateway jaringan virtual yang dibuat dengan jenis ExpressRoute di rute yang ditentukan pengguna karena dengan ExpressRoute, Anda harus menggunakan BGP untuk rute kustom. Anda tidak dapat menentukan Gateway Jaringan Virtual jika memiliki koneksi VPN dan ExpressRoute secara bersamaan. Anda dapat menentukan rute yang mengarahkan lalu lintas yang ditujukan untuk prefiks alamat 0.0.0.0/0 ke gateway jaringan virtual berbasis rute. Di tempat Anda, Anda mungkin memiliki perangkat yang memeriksa lalu lintas dan menentukan apakah akan meneruskan atau melepaskan lalu lintas. Jika Anda ingin membuat rute yang ditentukan pengguna untuk prefiks alamat 0.0.0.0/0, baca prefiks alamat 0.0.0.0/0 terlebih dahulu. Alih-alih mengonfigurasikan rute yang ditentukan pengguna untuk prefiks alamat 0.0.0.0/0, Anda dapat mengiklankan rute dengan prefiks 0.0.0.0/0 melalui BGP, jika Anda telah mengaktifkan BGP untuk gateway jaringan virtual VPN.
Tidak ada: Tentukan kapan Anda ingin melepaskan lalu lintas ke prefiks alamat, daripada meneruskan lalu lintas ke tujuan. Jika Anda belum sepenuhnya mengonfigurasikan kemampuan, Azure mungkin mencantumkan Tidak ada untuk beberapa rute sistem opsional. Misalnya, jika Anda melihat Tidak ada yang terdaftar sebagai Alamat IP hop berikutnya dengan Jenis hop berikutnya dari Gateway jaringan virtual atau Appliance Virtual, ini mungkin karena perangkat tidak berjalan atau tidak dikonfigurasi sepenuhnya. Azure membuat rute default sistem untuk prefiks alamat yang dicadangkan dengan Tidak ada sebagai jenis hop berikutnya.
Jaringan virtual: Tentukan opsi Jaringan virtual saat Anda ingin mengambil alih perutean default dalam jaringan virtual. Lihat Contoh perutean, misalnya alasan Anda dapat membuat rute dengan jenis hop Jaringan virtual.
Internet: Tentukan opsi Internet saat Anda ingin secara eksplisit merutekan lalu lintas yang ditujukan ke awalan alamat ke Internet, atau jika Anda ingin lalu lintas ditujukan untuk layanan Azure dengan alamat IP publik yang disimpan dalam jaringan backbone Azure.
Anda tidak dapat menentukan Peering jaringan virtual atau VirtualNetworkServiceEndpoint sebagai jenis hop berikutnya dalam rute yang ditentukan pengguna. Rute dengan peering jaringan virtual atau jenis hop virtualNetworkServiceEndpoint berikutnya hanya dibuat oleh Azure, saat Anda mengonfigurasi peering jaringan virtual, atau titik akhir layanan.
Tag Layanan untuk rute yang ditentukan pengguna
Sekarang Anda dapat menentukan tag layanan sebagai prefiks alamat untuk rute yang ditentukan pengguna, alih-alih rentang IP eksplisit. Tag layanan mewakili sekelompok awalan alamat IP dari layanan Azure tertentu. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah. Sehingga meminimalkan kompleksitas pembaruan yang sering ke rute yang ditentukan pengguna dan mengurangi jumlah rute yang perlu dibuat. Saat ini Anda dapat membuat 25 rute atau kurang dengan tag layanan di setiap tabel rute. Dengan rilis ini, menggunakan tag layanan dalam skenario perutean untuk kontainer juga didukung.
Sama Persis
Sistem memberikan preferensi pada rute dengan awalan eksplisit ketika ada kecocokan awalan yang tepat antara rute dengan awalan IP eksplisit dan rute dengan Tag Layanan. Ketika beberapa rute dengan Tag Layanan memiliki awalan IP yang cocok, rute dievaluasi dalam urutan berikut:
Tag wilayah (misalnya, Storage.EastUS, AppService.AustraliaCentral)
Tag tingkat atas (misalnya, Storage, AppService)
Tag wilayah AzureCloud (misalnya, AzureCloud.canadacentral, AzureCloud.eastasia)
Tag AzureCloud
Untuk menggunakan fitur ini, tentukan nama Tag Layanan untuk parameter awalan alamat dalam perintah tabel rute. Misalnya, di Powershell Anda dapat membuat rute baru untuk mengarahkan lalu lintas yang dikirim ke prefiks IP Azure Storage menuju appliance virtual menggunakan:
$param = @{
Name = 'StorageRoute'
AddressPrefix = 'Storage'
NextHopType = 'VirtualAppliance'
NextHopIpAddress = '10.0.100.4'
}
New-AzRouteConfig @param
Perintah yang sama untuk CLI adalah sebagai berikut:
az network route-table route create \
--resource-group MyResourceGroup \
--route-table-name MyRouteTable \
--name StorageRoute \
--address-prefix Storage \
--next-hop-type VirtualAppliance \
--next-hop-ip-address 10.0.100.4
Jenis hop berikutnya di seluruh alat Azure
Nama yang ditampilkan dan direferensikan untuk jenis hop berikutnya berbeda antara portal Microsoft Azure dan alat baris perintah, serta Azure Resource Manager dan model penyebaran klasik. Tabel berikut mencantumkan nama yang digunakan untuk merujuk setiap jenis hop berikutnya dengan alat dan model penyebaran yang berbeda:
| Jenis hop berikutnya | Azure CLI dan PowerShell (Resource Manager) | CLI klasik Azure dan PowerShell (klasik) |
|---|---|---|
| Gateway jaringan virtual | VirtualNetworkGateway | VPNGateway |
| Jaringan virtual | VNetLocal | VNETLocal (tidak tersedia di CLI klasik dalam mode Manajemen Layanan) |
| Internet | Internet | Internet (tidak tersedia di CLI klasik dalam mode Manajemen Layanan) |
| Appliance virtual | VirtualAppliance | VirtualAppliance |
| Tidak | Tidak | Null (tidak tersedia di CLI klasik dalam mode Manajemen Layanan) |
| Peering jaringan virtual | Peering VNET | Tidak berlaku |
| Titik akhir layanan jaringan virtual | VirtualNetworkServiceEndpoint | Tidak berlaku |
Protokol gateway batas
Gateway jaringan lokal dapat bertukar rute dengan gateway jaringan virtual Azure menggunakan border gateway protocol (BGP). Menggunakan BGP dengan gateway jaringan virtual Azure bergantung pada jenis yang Anda pilih saat membuat gateway:
ExpressRoute: Anda harus menggunakan BGP untuk mengiklankan rute lokal ke perute Microsoft Edge. Anda tidak dapat membuat rute yang ditentukan pengguna untuk memaksa lalu lintas ke gateway jaringan virtual ExpressRoute jika Anda menyebarkan gateway jaringan virtual yang disebarkan dengan jenis: ExpressRoute. Anda dapat menggunakan rute yang ditentukan pengguna untuk memaksa lalu lintas dari Ekspres Rute ke, misalnya, Appliance Virtual Jaringan.
VPN:Anda dapat menggunakan BGP secara opsional. Untuk detailnya, lihat BGP dengan koneksi VPN situs-ke-situs.
Saat Anda bertukar rute dengan Azure menggunakan BGP, rute terpisah ditambahkan ke tabel rute semua subnet dalam jaringan virtual untuk setiap prefiks yang diiklankan. Rute ditambahkan dengan Gateway jaringan virtual yang tercantum sebagai sumber dan jenis hop berikutnya.
Propagasi rute ER dan VPN Gateway dapat dinonaktifkan di subnet menggunakan properti pada tabel rute. Saat Anda menonaktifkan penyebaran rute, sistem tidak menambahkan rute ke tabel rute semua subnet dengan propagasi rute gateway jaringan virtual dinonaktifkan. Proses ini berlaku untuk rute statis dan rute BGP. Konektivitas dengan koneksi VPN dicapai menggunakan rute kustom dengan jenis hop berikutnya dari Gateway jaringan virtual. Penyebaran rute tidak boleh dinonaktifkan di GatewaySubnet. Gateway tidak akan berfungsi jika pengaturan ini dinonaktifkan. Untuk detailnya, lihat Cara menonaktifkan propagasi rute Gateway jaringan virtual.
Cara Azure memilih rute
Saat lalu lintas keluar dikirim dari subnet, Azure memilih rute berdasarkan alamat IP tujuan, menggunakan algoritme penyesuaian prefiks terpanjang. Misalnya, tabel rute memiliki dua rute: Satu rute menentukan prefiks alamat 10.0.0.0/24, sementara rute lain menentukan prefiks alamat 10.0.0.0/16. Azure mengarahkan lalu lintas yang ditujukan untuk 10.0.0.5 ke jenis hop berikutnya yang ditentukan dalam rute dengan awalan alamat 10.0.0.0/24. Proses ini terjadi karena 10.0.0.0/24 adalah awalan yang lebih panjang dari 10.0.0.0/16, meskipun 10.0.0.5 berada dalam kedua awalan alamat. Azure mengarahkan lalu lintas yang ditujukan untuk 10.0.1.5 ke jenis hop berikutnya yang ditentukan dalam rute dengan awalan alamat 10.0.0.0/16. Proses ini terjadi karena 10.0.1.5 tidak termasuk dalam prefiks alamat 10.0.0.0/24, membuat rute dengan awalan alamat 10.0.0.0/16 awalan pencocokan terpanjang.
Jika beberapa rute berisi prefiks alamat yang sama, Azure memilih jenis rute berdasarkan prioritas berikut:
Rute yang ditentukan pengguna
Rute BGP
Rute sistem
Catatan
Rute sistem untuk lalu lintas yang terkait dengan jaringan virtual, peering jaringan virtual, atau titik akhir layanan jaringan virtual adalah rute yang lebih disukai, bahkan jika rute BGP lebih spesifik.
Misalnya, tabel rute berisi rute berikut:
| Sumber | Awalan alamat | Jenis hop berikutnya |
|---|---|---|
| Default | 0.0.0.0/0 | Internet |
| Pengguna | 0.0.0.0/0 | Gateway jaringan virtual |
Saat lalu lintas ditujukan ke alamat IP di luar prefiks alamat rute lain dalam tabel rute, Azure memilih rute dengan sumber Pengguna karena rute yang ditentukan pengguna adalah prioritas yang lebih tinggi daripada rute default sistem.
Lihatlah Contoh perutean untuk tabel perutean komprehensif dengan penjelasan rute dalam tabel.
prefiks alamat 0.0.0.0/0
Rute dengan prefiks alamat 0.0.0.0/0 memberikan instruksi ke Azure. Azure menggunakan instruksi ini untuk merutekan lalu lintas yang ditujukan untuk alamat IP yang tidak termasuk dalam awalan alamat rute lain dalam tabel rute subnet. Saat subnet dibuat, Azure membuat rute default menuju prefiks alamat 0.0.0.0/0, dengan jenis hop berikutnya Internet. Jika Anda tidak menimpa rute ini, Azure merutekan semua lalu lintas yang ditujukan ke alamat IP yang tidak disertakan dalam prefiks alamat rute lain menuju Internet. Pengecualiannya adalah lalu lintas ke alamat IP publik layanan Azure tetap berada di jaringan backbone Azure dan tidak dirutekan ke Internet. Ketika Anda mengambil alih rute ini dengan rute kustom , lalu lintas yang ditujukan untuk alamat yang tidak berada dalam awalan alamat rute lain dalam tabel rute diarahkan. Tujuan tergantung pada apakah Anda menentukan appliance virtual jaringan atau gateway jaringan virtual dalam rute kustom.
Saat Anda mengambil alih prefiks alamat 0.0.0.0/0, tidak hanya lalu lintas keluar dari aliran subnet melalui gateway jaringan virtual atau appliance virtual, tetapi perubahan berikut juga terjadi dengan perutean default Azure:
Azure mengirimkan semua lalu lintas ke jenis hop berikutnya yang ditentukan dalam rute, termasuk lalu lintas yang ditujukan untuk alamat IP publik layanan Azure. Saat jenis hop berikutnya untuk rute dengan prefiks alamat 0.0.0.0/0 adalah Internet, lalu lintas dari subnet yang ditujukan ke alamat IP publik layanan Azure tidak pernah meninggalkan jaringan backbone Azure, terlepas dari wilayah Azure, jaringan virtual atau sumber daya layanan Azure yang ada. Namun, saat Anda membuat rute yang ditentukan pengguna atau BGP dengan Gateway jaringan virtual atau jenis hop berikutnya appliance virtual, semua lalu lintas, termasuk lalu lintas yang dikirim ke alamat IP publik layanan Azure yang belum Anda aktifkan titik akhir layanannya, dikirim ke jenis hop berikutnya yang ditentukan dalam rute. Saat Anda mengaktifkan titik akhir layanan untuk layanan, Azure membuat rute dengan awalan alamat untuk layanan tersebut. Lalu lintas ke layanan tidak merutekan ke jenis hop berikutnya dalam rute dengan awalan alamat 0.0.0.0/0. Awalan alamat untuk layanan lebih panjang dari 0.0.0.0/0.
Anda tidak lagi dapat mengakses sumber daya di subnet dari Internet secara langsung. Anda dapat mengakses sumber daya di subnet dari Internet secara tidak langsung. Perangkat yang ditentukan oleh jenis hop berikutnya untuk rute dengan awalan alamat 0.0.0.0/0 harus memproses lalu lintas masuk. Setelah lalu lintas melintasi perangkat, lalu lintas mencapai sumber daya di jaringan virtual. Jika rute berisi nilai berikut untuk jenis hop berikutnya:
Appliance virtual: Appliance harus:
Dapat diakses dari Internet
Memiliki alamat IP publik yang ditetapkan untuknya,
Tidak memiliki aturan kelompok keamanan jaringan yang terkait dengannya yang mencegah komunikasi ke perangkat
Tidak menolak komunikasi
Mampu menerjemahkan alamat jaringan dan meneruskan, atau membuat proksi lalu lintas ke sumber daya tujuan dalam subnet dan mengembalikan lalu lintas kembali ke Internet.
Gateway jaringan virtual: Jika gateway adalah gateway jaringan virtual ExpressRoute, perangkat lokal yang tersambung ke internet dapat menerjemahkan dan meneruskan alamat jaringan atau membuat proksi lalu lintas ke sumber daya tujuan di subnet, melalui peering privat ExpressRoute.
Jika jaringan virtual Anda terhubung ke gateway VPN Azure, jangan kaitkan tabel rute ke subnet gateway yang berisi rute dengan tujuan 0.0.0.0/0. Melakukannya dapat mencegah gateway berfungsi dengan baik. Untuk detailnya, lihat pertanyaan Mengapa port tertentu terbuka di VPN gateway saya? di Tanya Jawab Umum VPN Gateway.
Lihat DMZ antara Azure dan pusat data lokal Anda untuk detail implementasi saat menggunakan gateway jaringan virtual antara Internet dan Azure.
Contoh perutean
Untuk mengilustrasikan konsep dalam artikel ini, bagian berikutnya akan menjelaskan:
Skenario, dengan persyaratan
Rute kustom yang diperlukan untuk memenuhi persyaratan
Tabel rute yang sudah ada untuk satu subnet yang menyertakan rute default dan kustom yang diperlukan untuk memenuhi persyaratan
Catatan
Contoh ini tidak dimaksudkan untuk menjadi implementasi yang direkomendasikan atau praktik terbaik. Sebenarnya, ini disediakan hanya untuk mengilustrasikan konsep dalam artikel ini.
Persyaratan
Terapkan dua jaringan virtual di wilayah Azure yang sama dan aktifkan sumber daya untuk berkomunikasi antar jaringan virtual.
Aktifkan jaringan lokal untuk berkomunikasi secara aman dengan kedua jaringan virtual melalui terowongan VPN melintasi Internet. Atau, koneksi ExpressRoute dapat digunakan, tetapi dalam contoh ini koneksi VPN yang digunakan.
Untuk satu subnet dalam satu jaringan virtual:
Paksa semua lalu lintas keluar dari subnet, kecuali ke Azure Storage dan di dalam subnet, untuk mengalir melalui appliance virtual jaringan untuk inspeksi dan pengelogan.
Jangan memeriksa lalu lintas antara alamat IP privat dalam subnet; izinkan lalu lintas mengalir langsung di antara semua sumber daya.
Lepaskan lalu lintas keluar yang ditujukan untuk jaringan virtual lainnya.
Aktifkan lalu lintas keluar ke penyimpanan Azure untuk mengalir langsung ke penyimpanan, tanpa memaksanya melalui appliance virtual jaringan.
Izinkan semua lalu lintas antara semua subnet dan jaringan virtual lainnya.
implementasi
Gambar berikut menunjukkan implementasi melalui model penyebaran Azure Resource Manager yang memenuhi persyaratan sebelumnya:
Panah menunjukkan alur lalu lintas.
Tabel rute
Subnet1
Tabel rute untuk Subnet1 pada gambar berisi rute berikut:
| ID | Sumber | Provinsi | Awalan alamat | Jenis hop berikutnya | Alamat IP hop berikutnya | Nama rute yang ditentukan pengguna |
|---|---|---|---|---|---|---|
| 1 | Default | Tidak valid | 10.0.0.0/16 | Jaringan virtual | ||
| 2 | Pengguna | Aktif | 10.0.0.0/16 | Appliance virtual | 10.0.100.4 | Within-VNet1 |
| 3 | Pengguna | Aktif | 10.0.0.0/24 | Jaringan virtual | Within-Subnet1 | |
| 4 | Default | Tidak valid | 10.1.0.0/16 | Peering VNET | ||
| 5 | Default | Tidak valid | 10.2.0.0/16 | Peering VNET | ||
| 6 | Pengguna | Aktif | 10.1.0.0/16 | Tidak | ToVNet2-1-Drop | |
| 7 | Pengguna | Aktif | 10.2.0.0/16 | Tidak | ToVNet2-2-Drop | |
| 8 | Default | Tidak valid | 10.10.0.0/16 | Gateway jaringan virtual | [X.X.X.X] | |
| 9 | Pengguna | Aktif | 10.10.0.0/16 | Appliance virtual | 10.0.100.4 | To-On-Prem |
| 10 | Default | Aktif | [X.X.X.X] | VirtualNetworkServiceEndpoint | ||
| 11 | Default | Tidak valid | 0.0.0.0/0 | Internet | ||
| 12 | Pengguna | Aktif | 0.0.0.0/0 | Appliance virtual | 10.0.100.4 | Default-NVA |
Penjelasan dari setiap ID rute sebagai berikut:
ID1: Azure otomatis menambahkan rute ini untuk semua subnet dalam Virtual-network-1, karena 10.0.0.0/16 adalah satu-satunya rentang alamat yang ditentukan dalam ruang alamat untuk jaringan virtual tersebut. Jika Anda tidak membuat rute yang ditentukan pengguna di ID rute2, lalu lintas yang dikirim ke alamat apa pun antara 10.0.0.1 dan 10.0.255.254 akan dirutekan dalam jaringan virtual. Proses ini karena awalan lebih panjang dari 0.0.0.0/0 dan tidak termasuk dalam awalan alamat rute lain. Azure mengubah status dari Aktif menjadi Tidak valid secara otomatis, saat ID2, rute yang ditentukan pengguna, ditambahkan karena memiliki prefiks yang sama dengan rute default, dan rute yang ditentukan pengguna menimpa rute default. Status rute ini masih Aktif untuk Subnet2, karena tabel rute tempat ID2 berada yang rutenya ditentukan pengguna, tidak terkait dengan Subnet2.
ID2: Azure menambahkan rute ini saat rute yang ditentukan pengguna untuk awalan alamat 10.0.0.0/16 dikaitkan dengan subnet Subnet1 di jaringan virtual Virtual-network-1. Rute yang ditentukan pengguna menentukan 10.0.100.4 sebagai alamat IP appliance virtual karena alamatnya adalah alamat IP privat yang ditetapkan ke komputer virtual appliance virtual. Tabel rute tempat rute ini berada tidak dikaitkan dengan Subnet2, sehingga tidak muncul di tabel rute untuk Subnet2. Rute ini menimpa rute default untuk prefiks 10.0.0.0/16 (ID1), yang secara otomatis merutekan lalu lintas yang ditujukan ke 10.0.0.1 dan 10.0.255.254 dalam jaringan virtual melalui jaringan virtual jenis hop berikutnya. Rute ini ada untuk memenuhi persyaratan 3, untuk memaksa semua lalu lintas keluar melalui appliance virtual.
ID3: Azure menambahkan rute ini saat rute yang ditentukan pengguna untuk prefiks alamat 10.0.0.0/24 dikaitkan dengan subnet Subnet1 . Lalu lintas yang ditujukan untuk alamat antara 10.0.0.1 dan 10.0.0.254 tetap berada di dalam subnet, daripada dirutekan ke appliance virtual yang ditentukan dalam aturan sebelumnya (ID2), karena memiliki prefiks yang lebih panjang daripada rute ID2. Rute ini tidak dikaitkan dengan Subnet2, sehingga tidak muncul dalam tabel rute untuk Subnet2. Rute ini secara efektif menimpa rute ID2 untuk lalu lintas dalam Subnet1. Rute ini ada untuk memenuhi persyaratan 3.
ID4: Azure otomatis menambahkan rute dalam ID 4 dan 5 untuk semua subnet dalam Virtual-network-1, saat jaringan virtual dipasangkan dengan Virtual-network-2. Virtual-network-2 memiliki dua rentang alamat dalam ruang alamatnya: 10.1.0.0/16 dan 10.2.0.0/16, sehingga Azure menambahkan rute untuk setiap rentang. Jika Anda tidak membuat rute yang ditentukan pengguna dalam ID rute 6 dan 7, lalu lintas yang dikirim ke alamat apa pun antara 10.1.0.1-10.1.255.254 dan 10.2.0.1-10.2.255.254 akan dirutekan ke jaringan virtual yang di-peering. Proses ini karena awalan lebih panjang dari 0.0.0.0/0 dan tidak termasuk dalam awalan alamat rute lain. Saat Anda menambahkan rute di ID 6 dan 7, Azure secara otomatis mengubah status dari Aktif menjadi Tidak Valid. Proses ini karena mereka memiliki awalan yang sama dengan rute dalam ID 4 dan 5, dan rute yang ditentukan pengguna mengambil alih rute default. Status rute dalam ID 4 dan 5 masih Aktif untuk Subnet2, karena tabel rute tempat rute yang ditentukan pengguna dalam ID 6 dan 7 berada tidak terkait dengan Subnet2. Peering jaringan virtual dibuat untuk memenuhi persyaratan 1.
ID5: Penjelasannya sama dengan ID4.
ID6: Azure menambahkan rute ini dan rute di ID7, saat rute yang ditentukan pengguna untuk awalan alamat 10.1.0.0/16 dan 10.2.0.0/16 dikaitkan dengan subnet Subnet1. Azure menghilangkan lalu lintas yang ditujukan untuk alamat antara 10.1.0.1-10.1.255.254 dan 10.2.0.1-10.2.255.254, daripada dirutekan ke jaringan virtual yang di-peering, karena rute yang ditentukan pengguna mengambil alih rute default. Rute ini tidak terkait dengan Subnet2, sehingga rute tidak muncul dalam tabel rute untuk Subnet2. Rute tersebut menimpa rute ID4 dan ID5 untuk lalu lintas yang meninggalkan Subnet1. Rute ID6 dan ID7 ada untuk memenuhi persyaratan 3 untuk melepaskan lalu lintas yang ditujukan ke jaringan virtual lainnya.
ID7: Penjelasannya sama dengan ID6.
ID8: Azure otomatis menambahkan rute ini untuk semua subnet dalam Virtual-network-1 saat gateway jaringan virtual jenis VPN dibuat dalam jaringan virtual. Azure menambahkan alamat IP publik gateway jaringan virtual ke tabel rute. Lalu lintas yang dikirim ke alamat mana pun antara 10.10.0.1 dan 10.10.255.254 dirutekan ke gateway jaringan virtual. Prefiks lebih panjang dari 0.0.0.0/0 dan tidak dalam prefiks alamat dari rute lain mana pun. Gateway jaringan virtual dibuat untuk memenuhi persyaratan 2.
ID9: Azure menambahkan rute ini saat rute yang ditentukan pengguna untuk awalan alamat 10.10.0.0/16 ditambahkan ke tabel rute yang dikaitkan dengan Subnet1. Rute ini menimpa ID8. Rute ini mengirimkan semua lalu lintas yang ditujukan untuk jaringan lokal ke NVA untuk diperiksa alih-alih merutekan lalu lintas langsung di tempat. Rute ini dibuat untuk memenuhi persyaratan 3.
ID10: Azure otomatis menambahkan rute ini ke subnet saat titik akhir layanan ke layanan Azure diaktifkan untuk subnet. Azure merutekan lalu lintas dari subnet ke alamat IP publik layanan melalui jaringan infrastruktur Azure. Prefiks lebih panjang dari 0.0.0.0/0 dan tidak dalam prefiks alamat dari rute lain mana pun. Titik akhir layanan dibuat untuk memenuhi persyaratan 3, untuk memungkinkan lalu lintas yang ditujukan ke Azure Storage mengalir secara langsung ke Azure Storage.
ID11: Azure otomatis menambahkan rute ini ke tabel rute semua subnet dalam Virtual-network-1 dan Virtual-network-2. Awalan alamat 0.0.0.0/0 adalah awalan terpendek. Setiap lalu lintas yang dikirim ke alamat dalam prefiks alamat yang lebih panjang dirutekan berdasarkan rute lain. Secara default, Azure merutekan semua lalu lintas yang ditujukan ke alamat selain alamat yang ditentukan di salah satu rute lain menuju Internet. Azure mengubah status dari Aktif menjadi Tidak Valid untuk subnet Subnet1 secara otomatis saat rute yang ditentukan pengguna untuk prefiks alamat 0.0.0.0/0 (ID12) dikaitkan dengan subnet. Status rute ini masih Aktif untuk semua subnet lain di kedua jaringan virtual, karena rute tidak terkait dengan subnet lain di jaringan virtual yang lain.
ID12: Azure menambahkan rute ini saat rute yang ditentukan pengguna untuk awalan alamat 0.0.0.0/0 dikaitkan dengan subnet Subnet1. Rute yang ditentukan pengguna menentukan 10.0.100.4 sebagai alamat IP appliance virtual. Rute ini tidak dikaitkan dengan Subnet2, sehingga rute tidak muncul dalam tabel rute untuk Subnet2. Semua lalu lintas untuk setiap alamat yang tidak termasuk dalam prefiks alamat dari salah satu rute lain dikirim ke appliance virtual. Penambahan rute ini mengubah status rute default untuk prefiks alamat 0.0.0.0/0 (ID11) dari Aktif menjadi Tidak Valid untuk Subnet1 karena rute yang ditentukan pengguna menimpa rute default. Rute ini ada untuk memenuhi persyaratan ketiga.
Subnet2
Tabel rute untuk Subnet2 dalam gambar berisi rute berikut:
| Sumber | Provinsi | Awalan alamat | Jenis hop berikutnya | Alamat IP hop berikutnya |
|---|---|---|---|---|
| Default | Aktif | 10.0.0.0/16 | Jaringan virtual | |
| Default | Aktif | 10.1.0.0/16 | Peering jaringan virtual | |
| Default | Aktif | 10.2.0.0/16 | Peering jaringan virtual | |
| Default | Aktif | 10.10.0.0/16 | Gateway jaringan virtual | [X.X.X.X] |
| Default | Aktif | 0.0.0.0/0 | Internet | |
| Default | Aktif | 10.0.0.0/8 | Tidak | |
| Default | Aktif | 100.64.0.0/10 | Tidak | |
| Default | Aktif | 192.168.0.0/16 | Tidak |
Tabel rute untuk Subnet2 berisi semua rute default yang dibuat Azure dan peering jaringan virtual opsional dan rute opsional gateway jaringan virtual. Azure menambahkan rute opsional ke semua subnet di jaringan virtual saat gateway dan peering ditambahkan ke jaringan virtual. Azure menghapus rute untuk prefiks alamat 10.0.0.0/8, 192.168.0.0/16, dan 100.64.0.0/10 dari tabel rute Subnet1 ketika rute yang ditentukan pengguna untuk prefiks alamat 0.0.0.0/0 ditambahkan ke Subnet1.
Langkah berikutnya
Buat tabel rute yang ditentukan pengguna dengan rute dan appliance virtual jaringan
Lihat semua rute untuk subnet. Tabel rute yang ditentukan pengguna hanya menunjukkan rute yang ditentukan pengguna, bukan rute default, dan rute BGP untuk subnet. Menampilkan semua rute menunjukkan pada Anda rute default, BGP, dan rute yang ditentukan pengguna untuk subnet tempat antarmuka jaringan berada.
Tentukan jenis hop berikutnya antara komputer virtual dan alamat IP tujuan. Fitur hop berikutnya Azure Network Watcher memungkinkan Anda menentukan apakah lalu lintas meninggalkan subnet dan dirutekan menuju rute yang paling sesuai menurut Anda.