Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De hub- en spoke-topologie is een gemeenschappelijk patroon voor netwerkarchitectuur in Azure. In deze installatie is de hub een virtueel netwerk (VNet) dat fungeert als een centraal punt van connectiviteit met uw on-premises netwerk. De spaken zijn VNets die verbinding maken met de hub en kunnen worden gebruikt om workloads te isoleren. De hub kan verkeer tussen spokes beveiligen en routeren met behulp van verschillende methoden.
U kunt bijvoorbeeld Azure Route Server gebruiken met dynamische routering en virtuele netwerkapparaten (NVA's) om verkeer tussen spokes te routeren, hoewel dit complex kan zijn. Een eenvoudigere methode omvat het gebruik van Azure Firewall en statische routes.
In dit artikel wordt gedemonstreerd hoe u Azure Firewall gebruikt met statische door de gebruiker gedefinieerde routes (UDR's) om verkeer in een multi-hub- en spoke-topologie te routeren. In het volgende diagram ziet u de topologie:
Basislijnarchitectuur
Azure Firewall beveiligt en inspecteert niet alleen netwerkverkeer, maar routeert ook verkeer tussen VNets. Automatisch worden systeemroutes aangemaakt naar lokale spokes, de hub en on-premises voorvoegsels die door de lokale virtuele netwerkgateway zijn geleerd. Als u een NVA op de hub plaatst en een query uitvoert op de effectieve routes, wordt een routetabel weergegeven die vergelijkbaar is met die in Azure Firewall.
In deze statische routeringsarchitectuur wordt het kortste pad naar een andere hub bereikt met behulp van wereldwijde VNet-peering tussen hubs. Elke hub kent de andere hubs en elke lokale firewall bevat de routetabel van elke rechtstreeks verbonden hub. Lokale hubs hebben echter alleen kennis van hun lokale subnetwerken. Deze hubs kunnen zich in dezelfde of verschillende regio's bevinden.
Routering op het firewallsubnet
Elke lokale firewall moet weten hoe je externe spaken bereikt, dus je moet UDR's aanmaken in de firewallsubnetten. Begin met het maken van een standaardroute en voeg vervolgens meer specifieke routes toe aan de andere spokes. In de volgende schermafbeeldingen ziet u de routetabellen voor de twee hub-VNets:
Notitie
Het adresvoorvoegsel in de virtuele routetabel van de hub moet de adresruimten van de twee spoke-virtuele netwerken omvatten.
Hub-01-routetabel
Hub-02-routetabel
Routering op de spoke-subnetten
Met deze topologie kan verkeer van de ene hub naar de andere gaan, waarbij de volgende hop rechtstreeks kan worden bereikt via globale peering.
Zoals te zien is in het diagram, kunt u het beste een UDR in de spoke-subnetten plaatsen met een 0/0-route (standaardgateway) die naar de lokale firewall verwijst als de volgende hop. Dit zorgt voor één afsluitpunt via de lokale firewall en vermindert het risico op asymmetrische routering als specifiekere voorvoegsels uit uw on-premises omgeving ertoe leiden dat verkeer de firewall omzeilt. Voor meer informatie, zie Laat uw Azure Routes u niet bijten.
Hier volgt een voorbeeld van een routetabel voor de spoke-subnetten die zijn verbonden met Hub-01:
Volgende stappen
- Meer informatie over het implementeren en configureren van een Azure Firewall.