Usare Firewall di Azure per instradare una topologia a più hub e spoke
La topologia hub-spoke è un modello di architettura di rete comune in Azure. L'hub è una rete virtuale in Azure che funge da punto centrale di connettività alla rete locale. Gli spoke sono le reti virtuali peer con l'hub, e possono essere usati per isolare i carichi di lavoro. L'hub può essere usato per isolare e proteggere il traffico tra spoke. L'hub può essere usato anche per instradare il traffico tra spoke. L'hub può essere usato per instradare il traffico tra spoke usando vari metodi.
Ad esempio, è possibile usare il server di route di Azure con routing dinamico e appliance virtuali di rete per instradare il traffico tra spoke. Può trattarsi di una distribuzione piuttosto complessa. Un metodo meno complesso usa Firewall di Azure e route statiche per instradare il traffico tra spoke.
Questo articolo illustra come usare Firewall di Azure con route definite dall'utente statiche per instradare una topologia a più hub e spoke. Il diagramma seguente illustra la topologia:
Architettura della baseline
Firewall di Azure protegge e controlla il traffico di rete, ma instrada anche il traffico tra reti virtuali. Si tratta di una risorsa gestita che crea automaticamente route di sistema agli spoke, all'hub locale e ai prefissi locali appresi dal gateway Rete virtuale locale. L'inserimento di un'appliance virtuale di rete nell'hub e l'esecuzione di query sulle route valide comportano una tabella di route simile a quella trovata all'interno del Firewall di Azure.
Poiché si tratta di un'architettura di routing statico, il percorso più breve di un altro hub può essere eseguito usando il peering reti virtuali globale tra gli hub. Pertanto, gli hub si conoscono tra loro e ogni firewall locale contiene la tabella di route di ogni hub connesso direttamente. Tuttavia, gli hub locali conoscono solo gli spoke locali. Inoltre, questi hub possono trovarsi nella stessa area o in un'area diversa.
Routing nella subnet del firewall
Ogni firewall locale deve sapere come raggiungere gli altri spoke remoti, quindi è necessario creare route definite dall'utente nelle subnet del firewall. A tale scopo, è innanzitutto necessario creare una route predefinita di qualsiasi tipo, che consente quindi di creare route più specifiche agli altri spoke. Ad esempio, gli screenshot seguenti mostrano la tabella di route per le due reti virtuali hub:
Tabella di route hub-01
Tabella di route hub-02
Routing nelle subnet spoke
Il vantaggio dell'implementazione di questa topologia è che con il traffico che passa da un hub a un altro, è possibile raggiungere l'hop successivo direttamente connesso tramite il peering globale.
Come illustrato nel diagramma, è preferibile inserire una route definita dall'utente nelle subnet spoke con una route 0/0 (gateway predefinito) con il firewall locale come hop successivo. Questo blocco viene bloccato nel singolo punto di uscita dell'hop successivo come firewall locale. Riduce anche il rischio di routing asimmetrico se apprende prefissi più specifici dall'ambiente locale che potrebbe causare il bypass del firewall da parte del traffico. Per altre informazioni, vedere Don't let your Azure Routes bite you.For more information, see Don't let your Azure Routes bite you.
Ecco una tabella di route di esempio per le subnet spoke connesse a Hub-01:
Passaggi successivi
- Informazioni su come distribuire e configurare un Firewall di Azure.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per