Routing ruchu w sieci wirtualnej

Dowiedz się więcej na temat sposobu kierowania ruchu platformy Azure między platformą Azure a zasobami lokalnymi i internetowymi. Platforma Azure automatycznie tworzy tabelę tras dla każdej podsieci w sieci wirtualnej platformy Azure i dodaje do tabeli domyślne trasy systemu. Aby dowiedzieć się więcej na temat sieci wirtualnych i podsieci, zobacz Virtual network overview (Omówienie sieci wirtualnych). Niektóre trasy systemowe platformy Azure można zastąpić trasami niestandardowymi i dodać więcej tras niestandardowych do tabel tras. Platforma Azure kieruje ruch wychodzący z podsieci na podstawie tras w tabeli tras podsieci.

Trasy systemowe

Platforma Azure automatycznie tworzy trasy systemowe i przypisuje trasy do każdej podsieci w sieci wirtualnej. Nie możesz tworzyć tras systemowych ani nie możesz ich usuwać, ale możesz zastąpić niektóre trasy systemowe trasami niestandardowymi. Platforma Azure tworzy domyślne trasy systemowe dla każdej podsieci i dodaje więcej opcjonalnych tras domyślnych do określonych podsieci lub każdej podsieci, gdy używasz określonych możliwości platformy Azure.

Domyślny

Każda trasa zawiera prefiks adresu i typ następnego przeskoku. Gdy ruch opuszczający podsieć jest wysyłany na adres IP w ramach prefiksu adresu trasy, trasa zawierająca prefiks jest trasą używaną przez platformę Azure. Dowiedz się więcej o sposobie wybierania trasy przez platformę Azure, gdy wiele tras zawiera te same prefiksy lub nakładające się prefiksy. Przy każdym utworzeniu sieci wirtualnej platforma Azure automatycznie tworzy następujące domyślne trasy systemowe dla każdej podsieci w sieci wirtualnej:

Źródło Prefiksy adresów Typ następnego przeskoku
Domyślne Unikatowy dla sieci wirtualnej Sieć wirtualna
Domyślne 0.0.0.0/0 Internet
Domyślne 10.0.0.0/8 Brak
Domyślne 172.16.0.0/12 Brak
Domyślne 192.168.0.0/16 Brak
Domyślne 100.64.0.0/10 Brak

Typy następnego przeskoku wymienione w powyższej tabeli określają sposób, w jaki platforma Azure kieruje ruch przeznaczony dla wymienionego prefiksu adresu. Poniżej znajdują się objaśnienia typów następnego przeskoku:

  • Sieć wirtualna: kieruje ruchem między zakresami adresów w obrębie przestrzeni adresowej sieci wirtualnej. Platforma Azure tworzy trasę z prefiksem adresu odpowiadającym każdemu zakresowi adresów zdefiniowanemu w przestrzeni adresowej sieci wirtualnej. Jeśli przestrzeń adresowa sieci wirtualnej ma zdefiniowane wiele zakresów adresów, platforma Azure tworzy oddzielną trasę dla każdego zakresu adresów. Platforma Azure automatycznie kieruje ruchem między podsieciami za pomocą tras utworzonych dla każdego zakresu adresów. Nie musisz definiować bram dla platformy Azure, aby kierować ruchem między podsieciami. Chociaż sieć wirtualna zawiera podsieci, a każda podsieć ma zdefiniowany zakres adresów, platforma Azure nie tworzy domyślnych tras dla zakresów adresów podsieci. Dzieje się tak, ponieważ każdy zakres adresów podsieci mieści się w zakresie adresów przestrzeni adresowej sieci wirtualnej.

  • Internet: kieruje określonym przez prefiks adresu ruchem do Internetu. Domyślna trasa systemowa określa prefiks adresu 0.0.0.0/0. Jeśli nie zastąpisz domyślnych tras platformy Azure, platforma Azure kieruje ruch dla każdego adresu, który nie został określony przez zakres adresów w ramach sieci wirtualnej, do Internetu z jednym wyjątkiem. Jeśli adres docelowy jest przeznaczony dla jednej z usług platformy Azure, platforma Azure kieruje ruch bezpośrednio do usługi za pośrednictwem sieci szkieletowej platformy Azure zamiast kierować ruch do Internetu. Ruch między usługami platformy Azure nie przechodzi przez Internet, niezależnie od regionu świadczenia usługi Azure, w którym istnieje sieć wirtualna, lub w którym regionie platformy Azure jest wdrażane wystąpienie usługi platformy Azure. Można zastąpić domyślną trasę systemową platformy Azure dla prefiksu adresu 0.0.0.0/0 za pomocą trasy niestandardowej.

  • Brak: ruch kierowany do typu następnego przeskoku Brak jest porzucany, a nie kierowany poza podsieć. Platforma Azure automatycznie tworzy trasy domyślne dla następujących prefiksów adresów:

    • 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16: zarezerwowane do użytku prywatnego w dokumencie RFC 1918.
    • 100.64.0.0/10: zarezerwowane w dokumencie RFC 6598.

    Po przypisaniu dowolnego z poprzednich zakresów adresów w przestrzeni adresowej sieci wirtualnej platforma Azure automatycznie zmieni typ następnego przeskoku trasy z Brak na Sieć wirtualna. Po przypisaniu zakresu adresów do przestrzeni adresowej sieci wirtualnej, która obejmuje, ale nie jest taka sama jak, jeden z czterech zarezerwowanych prefiksów adresów, platforma Azure usuwa trasę dla tego prefiksu i dodaje trasę dla dodanego przez Ciebie prefiksu adresu, przy czym Sieć wirtualna jest typem następnego przeskoku.

Opcjonalne trasy domyślne

Platforma Azure dodaje więcej domyślnych tras systemowych dla różnych możliwości platformy Azure, ale tylko wtedy, gdy włączysz te możliwości. W zależności od możliwości platforma Azure dodaje opcjonalne trasy domyślne do określonych podsieci w sieci wirtualnej albo do wszystkich podsieci w sieci wirtualnej. Inne trasy systemowe i typy następnego przeskoku, które platforma Azure może dodać po włączeniu różnych możliwości, to:

Źródło Prefiksy adresów Typ następnego przeskoku Podsieć w sieci wirtualnej, której trasa jest dodawana
Domyślny Unikatowy dla sieci wirtualnej, na przykład: 10.1.0.0/16 Komunikacja równorzędna sieci wirtualnych Wszystko
Brama sieci wirtualnej Prefiksy anonsowane lokalnie za pośrednictwem protokołu BGP lub skonfigurowane w bramie sieci lokalnej Brama sieci wirtualnej Wszystko
Domyślny Wiele VirtualNetworkServiceEndpoint Tylko podsieć, dla której jest włączony punkt końcowy usługi.
  • Komunikacja równorzędna sieci wirtualnej (VNet): podczas tworzenia komunikacji równorzędnej sieci wirtualnej między dwiema sieciami wirtualnymi dodawana jest trasa dla każdego zakresu adresów w obrębie przestrzeni adresowej w każdej sieci wirtualnej, dla której jest tworzona komunikacja równorzędna. Dowiedz się więcej o komunikacji równorzędnej sieci wirtualnej.

  • Brama sieci wirtualnej: co najmniej jedna trasa w ramach bramy sieci wirtualnej wymienionej jako typ następnego przeskoku jest dodawana po dodaniu bramy sieci wirtualnej do sieci wirtualnej. Elementem źródłowym jest również brama sieci wirtualnej, ponieważ brama dodaje trasy do podsieci. Jeśli brama sieci lokalnej wymienia trasy protokołu BGP (Border Gateway Protocol) z bramą sieci wirtualnej platformy Azure, dla każdej trasy propagowanej z bramy sieci lokalnej jest dodawana trasa. Zaleca się zsumowanie tras lokalnych do największych możliwych zakresów adresów, aby jak najmniejsza liczba adresów była propagowana do bramy sieci wirtualnej platformy Azure. Istnieją ograniczenia liczby tras, które możesz propagować do bramy sieci wirtualnej platformy Azure. Aby uzyskać więcej informacji, zobacz Azure limits (Ograniczenia platformy Azure).

  • VirtualNetworkServiceEndpoint: publiczne adresy IP dla niektórych usług są dodawane do tabeli tras przez platformę Azure po włączeniu punktu końcowego usługi do usługi. Punkty końcowe usługi są włączane dla poszczególnych podsieci w sieci wirtualnej, więc trasa jest dodawana tylko do tabeli tras podsieci, dla której jest włączony punkt końcowy usługi. Publiczne adresy IP usług platformy Azure są okresowo zmieniane. Platforma Azure zarządza adresami w tabeli tras automatycznie po zmianie adresów. Dowiedz się więcej o punktach końcowych usługi dla sieci wirtualnej i usługach, dla których można utworzyć punkty końcowe usługi.

    Uwaga

    Typy następnego przeskoku Komunikacja równorzędna sieci wirtualnej i VirtualNetworkServiceEndpoint są dodawane tylko do tabel tras podsieci w sieciach wirtualnych utworzonych za pośrednictwem modelu wdrażania przy użyciu usługi Azure Resource Manager. Typy następnego przeskoku nie są dodawane do tabel tras skojarzonych z podsieciami sieci wirtualnej utworzonymi za pomocą klasycznego modelu wdrażania. Dowiedz się więcej o modelach wdrażania platformy Azure.

Trasy niestandardowe

Tworzenie niestandardowych tras przez tworzenie tras zdefiniowanych przez użytkownika albo przez wymianę tras protokołu BGP między Twoją bramą sieci lokalnej i bramą sieci wirtualnej platformy Azure.

Zdefiniowane przez użytkownika

Możesz utworzyć trasy niestandardowe lub zdefiniowane przez użytkownika (statyczne), aby zastąpić domyślne trasy systemowe platformy Azure lub dodać więcej tras do tabeli tras podsieci. Na platformie Azure tworzysz tabelę tras, a następnie kojarzysz ją przynajmniej z zerową liczbą podsieci sieci wirtualnej. Każda podsieć może mieć skojarzoną ze sobą żadną lub jedną tabelę tras. Aby dowiedzieć się więcej o maksymalnej liczbie tras, które możesz dodać do tabeli tras, oraz o maksymalnej liczbie tabel tras zdefiniowanych przez użytkownika, które można utworzyć dla subskrypcji platformy Azure, zobacz Azure limits (Ograniczenia platformy Azure). Podczas tworzenia tabeli tras i skojarzenia jej z podsiecią trasy tabeli są łączone z trasami domyślnymi podsieci. Jeśli występują konflikty przypisań tras, trasy zdefiniowane przez użytkownika zastąpią trasy domyślne.

Podczas tworzenia tras zdefiniowanych przez użytkownika możesz określić poniższe typy następnych przeskoków:

  • Urządzenie wirtualne: urządzenie wirtualne to maszyna wirtualna, na której zwykle działa aplikacja sieci, taka jak zapora. Aby dowiedzieć się więcej o różnych wstępnie skonfigurowanych wirtualnych urządzeniach sieciowych, które można wdrożyć w sieci wirtualnej, zobacz Azure Marketplace. Podczas tworzenia trasy z typem przeskoku Urządzenie wirtualne należy określić także adres IP następnego przeskoku. Adresem IP może być:

    • Prywatny adres IP interfejsu sieciowego dołączonego do maszyny wirtualnej. Każdy interfejs sieciowy dołączony do maszyny wirtualnej, która przesyła dalej ruch sieciowy do adresu innego niż własny, musi mieć w tym celu włączoną opcję Włącz przekazywanie IP platformy Azure. To ustawienie wyłącza sprawdzanie przez platformę Azure elementu źródłowego i docelowego interfejsu sieciowego. Dowiedz się więcej o tym, jak włączyć przekazywanie IP dla interfejsu sieciowego. Chociaż pozycja Włącz przekazywanie adresu IP to ustawienie platformy Azure, włączenie przekazywania adresu IP w ramach systemu operacyjnego maszyny wirtualnej może być konieczne, aby urządzenie przekazywało dalej ruch między prywatnymi adresami IP przypisanami do interfejsów sieciowych platformy Azure. Jeśli urządzenie musi kierować ruch do publicznego adresu IP, ruch musi zostać przekierowany przy użyciu serwera proxy albo adres sieciowy musi przetłumaczyć prywatny adres IP źródła na własny prywatny adres IP, który następnie platforma Azure tłumaczy przy użyciu adresu sieciowego na publiczny adres IP przed wysłaniem ruchu do Internetu. Aby ustalić wymagane ustawienia maszyny wirtualnej, zobacz dokumentację swojego systemu operacyjnego lub aplikacji sieciowej. Aby lepiej zrozumieć połączenia wychodzące na platformie Azure, zobacz Understanding outbound connections (Opis połączeń wychodzących).

      Uwaga

      Wdróż urządzenie wirtualne w innej podsieci, a następnie wdrażane są zasoby kierowane przez urządzenie wirtualne. Wdrożenie urządzenia wirtualnego w tej samej podsieci, a następnie zastosowanie tabeli tras do podsieci, która kieruje ruch przez urządzenie wirtualne, może spowodować zapętlenie tras, w którym ruch nigdy nie opuszcza podsieci.

      Prywatny adres IP następnego przeskoku musi mieć bezpośrednią łączność bez konieczności kierowania przez bramę usługi ExpressRoute lub Virtual WAN. Ustawienie następnego przeskoku na adres IP bez bezpośredniej łączności powoduje nieprawidłową konfigurację routingu zdefiniowanego przez użytkownika.

    • Prywatny adres IP wewnętrznego modułu równoważenia obciążenia platformy Azure. Moduł równoważenia obciążenia jest często używany jako część strategii wysokiej dostępności sieciowych urządzeń wirtualnych.

    Możesz określić trasę 0.0.0.0/0 jako prefiks adresu i typ następnego przeskoku urządzenia wirtualnego, umożliwiając urządzeniu sprawdzanie ruchu i określanie, czy przekazać ruch dalej, czy też go porzucić. Jeśli zamierzasz utworzyć trasę zdefiniowaną przez użytkownika, która zawiera prefiks adresu 0.0.0.0/0, przeczytaj najpierw 0.0.0.0/0 address prefix (Prefiks adresu 0.0.0.0/0).

  • Brama sieci wirtualnej: określ, kiedy ruch przeznaczony dla określonych prefiksów adresów ma być kierowany do bramy sieci wirtualnej. Brama sieci wirtualnej musi zostać utworzona z typem VPN. Nie można określić bramy sieci wirtualnej utworzonej jako typu ExpressRoute w trasie zdefiniowanej przez użytkownika, ponieważ w przypadku usługi ExpressRoute należy użyć protokołu BGP dla tras niestandardowych. Nie można określić bram Virtual Network, jeśli masz współistniejące połączenia sieci VPN i ExpressRoute. Możesz zdefiniować trasę, która kieruje ruch przeznaczony dla prefiksu adresu 0.0.0.0/0 do bramy sieci wirtualnej opartej na trasach. W swojej lokalizacji możesz mieć urządzenie, które sprawdza ruch i określa, czy przekazać go dalej, czy też go porzucić. Jeśli zamierzasz utworzyć zdefiniowaną przez użytkownika trasę dla prefiksu adresu 0.0.0.0/0, przeczytaj najpierw 0.0.0.0/0 address prefix (Prefiks adresu 0.0.0.0/0). Zamiast konfigurować zdefiniowaną przez użytkownika trasę dla prefiksu adresu 0.0.0.0/0, możesz anonsować trasę z prefiksem 0.0.0.0/0 za pomocą protokołu BGP, jeśli masz włączony protokół BGP dla bramy sieci wirtualnej sieci VPN.

  • Brak: określ, kiedy chcesz porzucić ruch do prefiksu adresu, zamiast przekazywać ten ruch do miejsca docelowego. Jeśli nie skonfigurowano w pełni możliwości, platforma Azure może wyświetlać pozycję Brak dla niektórych opcjonalnych tras systemowych. Jeśli na przykład pozycja Brak zostanie wyświetlona jako Adres IP następnego przeskoku dla Typu następnego przeskoku równego Brama sieci wirtualnej lub Urządzenie wirtualne, może to wynikać z tego, że urządzenie nie jest uruchomione lub nie jest w pełni skonfigurowane. Platforma Azure tworzy domyślne trasy systemowe dla zarezerwowanych prefiksów adresów mające pozycję Brak jako typ następnego przeskoku.

  • Sieć wirtualna: określ, kiedy chcesz zastąpić domyślny routing w sieci wirtualnej. Zobacz przykład routingu, aby zapoznać się z przykładem, dlaczego możesz utworzyć trasę z typem przeskoku Sieć wirtualna.

  • Internet: określ, kiedy chcesz jawnie skierować ruch przeznaczony do prefiksu adresu do Internetu lub czy chcesz, aby ruch przeznaczony do usług platformy Azure mających publiczne adresy IP pozostał w sieci szkieletowej platformy Azure.

Nie można określić komunikacji równorzędnej sieci wirtualnej ani elementu VirtualNetworkServiceEndpoint jako typu następnego przeskoku w trasach zdefiniowanych przez użytkownika. Trasy z typami następnego przeskoku Komunikacja równorzędna sieci wirtualnej lub VirtualNetworkServiceEndpoint są tworzone tylko przez platformę Azure podczas konfigurowania komunikacji równorzędnej sieci wirtualnej lub punktu końcowego usługi.

Tagi usługi dla tras zdefiniowanych przez użytkownika

Teraz można określić tag usługi jako prefiks adresu dla trasy zdefiniowanej przez użytkownika zamiast jawnego zakresu adresów IP. Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów. W ten sposób minimalizując złożoność częstych aktualizacji tras zdefiniowanych przez użytkownika i zmniejszając liczbę tras, które należy utworzyć. Obecnie można utworzyć 25 lub mniej tras z tagami usługi w każdej tabeli tras. W tej wersji obsługiwane jest również używanie tagów usługi w scenariuszach routingu dla kontenerów.

Dokładne dopasowanie

W przypadku dokładnego dopasowania prefiksu między trasą z jawnym prefiksem IP a trasą z tagiem usługi preferencja jest przyznawana trasie z jawnym prefiksem. Jeśli wiele tras z tagami usługi ma pasujące prefiksy IP, trasy będą oceniane w następującej kolejności:

  1. Tagi regionalne (na przykład Storage.EastUS, AppService.AustraliaCentral)
  2. Tagi najwyższego poziomu (na przykład Storage, AppService)
  3. Tagi regionalne usługi AzureCloud (na przykład AzureCloud.canadacentral, AzureCloud.eastasia)
  4. Tag usługi AzureCloud

Aby użyć tej funkcji, określ nazwę tagu usługi dla parametru prefiksu adresu w poleceniach tabeli tras. Na przykład w programie PowerShell można utworzyć nową trasę, aby kierować ruch wysyłany do prefiksu IP usługi Azure Storage do urządzenia wirtualnego przy użyciu:

New-AzRouteConfig -Name "StorageRoute" -AddressPrefix "Storage" -NextHopType "VirtualAppliance" -NextHopIpAddress "10.0.100.4"

To samo polecenie dla interfejsu wiersza polecenia będzie następujące:

az network route-table route create -g MyResourceGroup --route-table-name MyRouteTable -n StorageRoute --address-prefix Storage --next-hop-type VirtualAppliance --next-hop-ip-address 10.0.100.4

Typy następnego przeskoku dla narzędzi platformy Azure

Nazwa wyświetlana i przywoływana dla typów następnego przeskoku jest różna dla witryny Azure Portal i narzędzi wiersza polecenia oraz usługi Azure Resource Manager i klasycznych modeli wdrażania. W poniższej tabeli wymieniono nazwy używane w odwołaniu do każdego typu następnego przeskoku dla różnych narzędzi i modeli wdrażania:

Typ następnego przeskoku Interfejs wiersza polecenia platformy Azure 2.0 i program PowerShell (Resource Manager) Klasyczny interfejs wiersza polecenia platformy Azure i program PowerShell (wersja klasyczna)
Brama sieci wirtualnej VirtualNetworkGateway VPNGateway
Sieć wirtualna VNetLocal VNETLocal (niedostępna w klasycznym interfejsie wiersza polecenia w trybie zarządzania usługami)
Internet Internet Internet (niedostępny w klasycznym interfejsie wiersza polecenia w trybie zarządzania usługami)
Urządzenie wirtualne VirtualAppliance VirtualAppliance
Brak Brak Null (niedostępne w klasycznym interfejsie wiersza polecenia w trybie zarządzania usługami)
Komunikacja równorzędna sieci wirtualnej Komunikacja równorzędna sieci wirtualnych Nie dotyczy
Punkt końcowy usługi dla sieci wirtualnej VirtualNetworkServiceEndpoint Nie dotyczy

Protokół BGP (Border Gateway Protocol)

Brama sieci lokalnej może wymieniać trasy z bramą sieci wirtualnej platformy Azure przy użyciu protokołu BGP. Korzystanie z protokołu BGP z bramą sieci wirtualnej platformy Azure zależy od typu wybranego podczas tworzenia bramy. Jeśli wybrany typ to:

  • ExpressRoute: musisz użyć protokołu BGP do anonsowania tras lokalnych do routera przeglądarki Microsoft Edge. Nie możesz utworzyć tras zdefiniowanych przez użytkownika w celu wymuszania ruchu do bramy sieci wirtualnej usługi ExpressRoute, jeśli wdrożysz bramę sieci wirtualnej wdrożoną jako typ ExpressRoute. Możesz użyć tras zdefiniowanych przez użytkownika w celu wymuszania ruchu z usługi Express Route na przykład do sieciowego urządzenia wirtualnego.
  • Sieć VPN: opcjonalnie możesz użyć protokołu BGP. Aby uzyskać więcej informacji, zobacz BGP with site-to-site VPN connections (Protokół BGP przy użyciu połączeń sieci VPN lokacja-lokacja).

W przypadku, gdy wymieniasz trasy z platformą Azure przy użyciu protokołu BGP, oddzielna trasa jest dodawana do tabeli tras wszystkich podsieci w sieci wirtualnej dla każdego anonsowanego prefiksu. Trasa jest dodawana z bramą sieci wirtualnej wymienioną jako źródło i typ następnego przeskoku.

Propagację trasy ER i VPN Gateway można wyłączyć w podsieci za pomocą właściwości w tabeli routingu. Gdy propagacja trasy jest wyłączona, trasy nie są dodawane do tabeli tras wszystkich podsieci z wyłączoną propagacją tras bramy sieci wirtualnej (trasy statyczne i trasy protokołu BGP). Łączność z połączeniami sieci VPN jest osiągana przy użyciu tras niestandardowych z typem następnego przeskoku bramy sieci wirtualnej. Propagacja trasy nie powinna być wyłączona w podsieci GatewaySubnet. Brama nie będzie działać, jeśli to ustawienie jest wyłączone. Aby uzyskać szczegółowe informacje, zobacz Jak wyłączyć propagację tras bramy sieci wirtualnej.

Jak platforma Azure wybiera trasę

Po wysłaniu ruchu wychodzącego z podsieci platforma Azure wybiera trasę na podstawie docelowego adresu IP przy użyciu algorytmu dopasowania najdłuższego prefiksu. Na przykład tabela tras ma dwie trasy: jedna trasa określa prefiks adresu 10.0.0.0/24, zaś druga trasa określa prefiks adresu 10.0.0.0/16. Platforma Azure kieruje ruch przeznaczony dla 10.0.0.5 do typu następnego przeskoku określonego dla trasy z prefiksem adresu 10.0.0.0/24, ponieważ prefiks 10.0.0.0/24 jest dłuższym prefiksem niż 10.0.0.0/16, chociaż 10.0.0.5 mieści się w obu prefiksach adresów. Platforma Azure kieruje ruch do 10.0.1.5 do typu następnego przeskoku określonego dla trasy z prefiksem adresu 10.0.0.0/16, ponieważ 10.0.1.5 nie jest zawarty w prefiksie adresu 10.0.0.0/24, w związku z czym trasa z prefiksem adresu 10.0.0.0/16 jest najdłuższym zgodnym prefiksem.

Jeśli wiele tras zawiera ten sam prefiks adresu, platforma Azure wybiera typ trasy na podstawie następującego priorytetu:

  1. Trasa zdefiniowana przez użytkownika
  2. Trasa protokołu BGP
  3. Trasa systemowa

Uwaga

Trasy systemowe dla ruchu związanego z siecią wirtualną, komunikacja równorzędna sieci wirtualnych lub punkty końcowe usługi dla sieci wirtualnej są preferowanymi trasami, nawet jeśli trasy protokołu BGP są bardziej szczegółowe.

Na przykład tabela tras zawiera następujące trasy:

Źródło Prefiksy adresów Typ następnego przeskoku
Domyślne 0.0.0.0/0 Internet
Użytkownik 0.0.0.0/0 Brama sieci wirtualnej

Jeśli ruch jest przeznaczony dla adresu IP poza prefiksami adresów jakichkolwiek innych tras w tabeli tras, platforma Azure wybiera trasę z elementem źródłowym Użytkownik, ponieważ trasy zdefiniowane przez użytkownika mają wyższy priorytet niż trasy domyślne systemu.

Zobacz przykład routingu, aby zapoznać się z uniwersalną tabelą routingu wraz z objaśnieniami tras w tabeli.

prefiks adresu 0.0.0.0/0

Trasa z prefiksem adresu 0.0.0.0/0 instruuje platformę Azure, jak kierować ruch przeznaczony dla adresu IP, który nie znajduje się w prefiksie adresu żadnej innej trasy w tabeli tras podsieci. Po utworzeniu podsieci platforma Azure tworzy domyślną trasę do prefiksu adresu 0.0.0.0/0 z typem następnego przeskoku Internet . Jeśli nie zastąpisz tej trasy, platforma Azure kieruje do Internetu cały ruch przeznaczony dla adresów IP nieuwzględnionych w prefiksie adresu jakiejkolwiek innej trasy. Wyjątkiem jest to, że ruch do publicznych adresów IP usług platformy Azure pozostaje w sieci szkieletowej platformy Azure i nie jest kierowany do Internetu. Jeśli zastąpisz tę trasę trasą niestandardową, ruch przeznaczony do adresów nieznajdujących się w ramach prefiksów adresów jakiejkolwiek innej trasy w tabeli tras jest wysyłany do wirtualnego urządzenia sieciowego lub bramy sieci wirtualnej w zależności od tego, co zostało określone w trasie niestandardowej.

Gdy zastąpisz prefiks adresu 0.0.0.0/0, oprócz ruchu wychodzącego z podsieci przepływającego przez bramę sieci wirtualnej lub urządzenie wirtualne, będą miały miejsce następujące zmiany w domyślnym routingu platformy Azure:

  • Platforma Azure wysyła cały ruch do typu następnego przeskoku określonego w trasie, uwzględniając ruch przeznaczony dla publicznych adresów IP usług platformy Azure. Gdy typ następnego przeskoku trasy z prefiksem adresu 0.0.0.0/0 to Internet, wówczas ruch z podsieci przeznaczony dla publicznego adresu IP usług platformy Azure nigdy nie opuszcza sieci szkieletowej platformy Azure niezależnie od regionu platformy Azure, w którym istnieje sieć wirtualna lub zasób usługi platformy Azure. Jednak po utworzeniu trasy zdefiniowanej przez użytkownika lub protokołu BGP z typem następnego przeskoku Brama sieci wirtualnej lub Urządzenie wirtualne cały ruch, uwzględniając ruch wysyłany do publicznych adresów IP usług platformy Azure, dla którego nie zostały włączone punkty końcowe usługi, jest wysyłany do typu następnego przeskoku określonego w trasie. Jeśli włączono punkt końcowy usługi dla usługi, ruch do usługi nie jest kierowany do typu następnego przeskoku w trasie z prefiksem adresu 0.0.0.0/0, ponieważ prefiksy adresów dla usługi są określone w trasie tworzonej przez platformę Azure po włączeniu punktu końcowego usługi, a prefiksy adresów dla usługi są dłuższe niż 0.0.0.0/0.

  • Nie możesz już uzyskiwać bezpośredniego dostępu do zasobów w podsieci z Internetu. Możesz pośrednio uzyskać dostęp do zasobów w podsieci z Internetu, jeśli ruch przychodzący przechodzi przez urządzenia określone przez typ następnego przeskoku dla trasy z prefiksem adresu 0.0.0.0/0 przed osiągnięciem zasobu w sieci wirtualnej. Jeśli trasa zawiera następujące wartości typu następnego przeskoku:

    • Urządzenie wirtualne: urządzenie musi:

      • być dostępne z Internetu;
      • mieć przypisany do siebie publiczny adres IP;
      • nie mieć skojarzonej ze sobą reguły grupy zabezpieczeń sieci uniemożliwiającej komunikację z urządzeniem;
      • nie odmawiać komunikacji;
      • mieć możliwość translacji i przekazywania dalej adresu sieciowego lub służenia jako serwer proxy ruchu do zasobu docelowego w podsieci, a następnie zwracać ruch z powrotem do Internetu.
    • Brama sieci wirtualnej: w przypadku bramy będącej bramą sieci wirtualnej usługi ExpressRoute lokalne urządzenie połączone z Internetem może dokonywać translacji i przekazywania dalej adresów sieciowych lub służyć jako serwer proxy ruchu do zasobu docelowego w podsieci za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute.

Jeśli sieć wirtualna jest połączona z bramą sieci VPN platformy Azure, nie kojarzyj tabeli tras z podsiecią bramy zawierającą trasę z miejscem docelowym 0.0.0.0/0. Zaniedbanie tego może spowodować nieprawidłowe działanie bramy. Aby poznać więcej szczegółów, zobacz pytanie Dlaczego niektóre porty są otwarte w mojej bramie sieci VPN? w temacie Brama VPN Gateway — często zadawane pytania.

Zobacz Strefa DMZ między platformą Azure i lokalnym centrum danych , aby uzyskać szczegółowe informacje o implementacji podczas korzystania z bram sieci wirtualnej między Internetem a platformą Azure.

Przykład routingu

W celu zilustrowania koncepcji podanych w tym artykule w kolejnych sekcjach opisano:

  • Scenariusz wraz z wymaganiami
  • Trasy niestandardowe niezbędne do spełnienia wymagań
  • Tabelę tras, która istnieje dla jednej podsieci obejmującej domyślne i niestandardowe trasy niezbędne do spełnienia wymagań

Uwaga

Ten przykład nie jest przeznaczony do zalecanej lub implementacji najlepszych rozwiązań. Został on raczej podany tylko w celu zilustrowania koncepcji w tym artykule.

Wymagania

  1. Implementacja dwóch sieci wirtualnych w tym samym regionie platformy Azure i umożliwienie zasobom komunikacji między sieciami wirtualnymi.

  2. Umożliwienie sieci lokalnej bezpiecznego komunikowania się z oboma sieciami wirtualnymi przy użyciu tunelu VPN za pośrednictwem Internetu. Alternatywnie można użyć połączenia usługi ExpressRoute, ale w tym przykładzie jest używane połączenie sieci VPN.

  3. Dla jednej podsieci w jednej sieci wirtualnej:

    • Wymuś, aby cały ruch wychodzący z podsieci, z wyjątkiem tego do usługi Azure Storage i w obrębie podsieci, przepływał przez urządzenie wirtualne sieci w celu kontroli i rejestrowania.
    • Nie sprawdzaj ruchu między prywatnymi adresami IP w podsieci; zezwól na przepływ ruchu bezpośrednio między wszystkimi zasobami.
    • Porzucaj wszelki ruch wychodzący przeznaczony dla innej sieci wirtualnej.
    • Włącz przepływ ruchu wychodzącego do usługi Azure Storage bezpośrednio do magazynu bez wymuszania jego przepływu przez urządzenie wirtualne sieci.
  4. Zezwalaj na cały ruch między wszystkimi innymi podsieciami i sieciami wirtualnymi.

Implementacja

Na poniższej ilustracji przedstawiono implementację za pośrednictwem modelu wdrażania przy użyciu usługi Azure Resource Manager, która spełnia poprzednie wymagania:

Diagram sieci

Strzałki oznaczają przepływu ruchu.

Tabele tras

Subnet1

Tabela tras dla podsieci Subnet1 na ilustracji zawiera następujące trasy:

ID (Identyfikator) Element źródłowy Stan Prefiksy adresów Typ następnego przeskoku Adres IP następnego przeskoku Nazwa trasy zdefiniowanej przez użytkownika
1 Domyślny Nieprawidłowy 10.0.0.0/16 Sieć wirtualna
2 Użytkownik Aktywna 10.0.0.0/16 Urządzenie wirtualne 10.0.100.4 W ramach sieci VNet1
3 Użytkownik Aktywna 10.0.0.0/24 Sieć wirtualna W ramach podsieci Subnet1
4 Domyślny Nieprawidłowy 10.1.0.0/16 Komunikacja równorzędna sieci wirtualnych
5 Domyślny Nieprawidłowy 10.2.0.0/16 Komunikacja równorzędna sieci wirtualnych
6 Użytkownik Aktywna 10.1.0.0/16 Brak ToVNet2-1-porzuć
7 Użytkownik Aktywna 10.2.0.0/16 Brak ToVNet2-2-porzuć
8 Domyślny Nieprawidłowy 10.10.0.0/16 Brama sieci wirtualnej [X.X.X.X]
9 Użytkownik Aktywna 10.10.0.0/16 Urządzenie wirtualne 10.0.100.4 Do lokalnego
10 Domyślny Aktywna [X.X.X.X] VirtualNetworkServiceEndpoint
11 Domyślny Nieprawidłowy 0.0.0.0/0 Internet
12 Użytkownik Aktywna 0.0.0.0/0 Urządzenie wirtualne 10.0.100.4 Domyślne NVA

Objaśnienia każdego identyfikatora trasy są następujące:

  • ID1: Platforma Azure automatycznie dodała tę trasę dla wszystkich podsieci w ramach sieci wirtualnej-1, ponieważ 10.0.0.0/16 jest jedynym zakresem adresów zdefiniowanym w przestrzeni adresowej dla sieci wirtualnej. Jeśli w trasie ID2 nie została utworzona trasa zdefiniowana przez użytkownika, ruch wysyłany do dowolnego adresu od 10.0.0.1 do 10.0.255.254 zostanie przekierowany do sieci wirtualnej, ponieważ prefiks jest dłuższy niż 0.0.0.0/0 i nie mieści się w ramach prefiksów adresów żadnej innej trasy. Platforma Azure automatycznie zmieniła stan z Aktywny na Nieprawidłowy, gdy została dodana zdefiniowana przez użytkownika trasa ID2, ponieważ ma ona ten sam prefiks co trasa domyślna, a trasy zdefiniowane przez użytkownika zastępują trasy domyślne. Stan tej trasy jest nadal Aktywny dla podsieci Subnet2, ponieważ tabela tras, w której znajduje się zdefiniowana przez użytkownika trasa ID2, nie jest skojarzona z podsiecią Subnet2.
  • ID2: Platforma Azure dodała tę trasę, gdy zdefiniowana przez użytkownika trasa dla prefiksu adresu 10.0.0.0/16 została skojarzona z podsiecią Subnet1 w sieci wirtualnej Virtual-network-1 . Zdefiniowana przez użytkownika trasa określa 10.0.100.4 jako adres IP urządzenia wirtualnego, ponieważ adresem jest prywatny adres IP przypisany do urządzenia wirtualnego maszyny wirtualnej. Tabela tras, w ramach tej trasy nie jest skojarzona z podsiecią Subnet2, więc nie jest wyświetlana w tabeli tras dla podsieci Subnet2. Ta trasa zastępuje domyślną trasę dla prefiksu 10.0.0.0/16 (ID1), który automatycznie skierował ruch zaadresowany do 10.0.0.1 i 10.0.255.254 w ramach sieci wirtualnej za pośrednictwem typu następnego przeskoku sieci wirtualnej. Ta trasa istnieje, aby spełnić wymaganie 3 i wymusić skierowanie całego ruchu wychodzącego przez urządzenie wirtualne.
  • ID3 Platforma Azure dodała tę trasę, gdy prefiks adresu 10.0.0.0/24 został skojarzony z podsiecią Subnet1 . Ruch skierowany do adresów od 10.0.0.1 do 10.0.0.254 pozostaje w podsieci, a nie jest kierowany do urządzenia wirtualnego określonego w poprzedniej regule (ID2), ponieważ ma ono dłuższy prefiks niż trasa ID2. Ta trasa nie była skojarzona z podsiecią Subnet2, więc trasa nie jest wyświetlana w tabeli tras dla podsieci Subnet2. Ta trasa skutecznie zastępuje trasę ID2 dla ruchu w ramach podsieci Subnet1. Ta trasa istnieje, aby spełnić wymaganie 3.
  • ID4: Platforma Azure automatycznie dodała trasy w identyfikatorach 4 i 5 dla wszystkich podsieci w ramach usługi Virtual-network-1, gdy sieć wirtualna była równorzędna z siecią wirtualną-2.Sieć wirtualna-2 ma dwa zakresy adresów w przestrzeni adresowej: 10.1.0.0/16 i 10.2.0.0/16, więc platforma Azure dodała trasę dla każdego zakresu. Jeśli w trasie z identyfikatorem 6 i 7 nie zostały utworzone trasy zdefiniowane przez użytkownika, ruch wysyłany do dowolnego adresu z zakresu 10.1.0.1–10.1.255.254 i 10.2.0.1–10.2.255.254 zostanie przekierowany do równorzędnie połączonej sieci wirtualnej, ponieważ prefiks jest dłuższy niż 0.0.0.0/0 i nie mieści się w ramach prefiksów adresów żadnej innej trasy. Platforma Azure automatycznie zmieniła stan z Aktywny na Nieprawidłowy, gdy zostały dodane trasy o identyfikatorach 6 i 7, ponieważ mają one te same prefiksy, jak trasy o identyfikatorach 4 i 5, a trasy zdefiniowane przez użytkownika zastępują domyślne trasy. Stan tras w identyfikatorach 4 i 5 jest nadal aktywny dla podsieci Subnet2, ponieważ tabela tras zdefiniowana przez użytkownika w identyfikatorach 6 i 7 nie jest skojarzona z podsiecią Subnet2. Wirtualne sieci równorzędne zostały utworzone w celu spełnienia wymagania 1.
  • ID5: to samo wyjaśnienie, co ID4.
  • ID6: Platforma Azure dodała tę trasę i trasę w identyfikatorze ID7, gdy trasy zdefiniowane przez użytkownika dla podsieci Subnet1 zostały skojarzone z podsiecią Subnet1 . Ruchu skierowany do adresów z zakresów 10.1.0.1-10.1.255.254 i 10.2.0.1-10.2.255.254 został porzucony przez platformę Azure i nie został skierowany do wirtualnej sieci równorzędnej, ponieważ trasy zdefiniowane przez użytkownika zastępują trasy domyślne. Trasy nie są skojarzone z podsiecią Subnet2, więc trasy nie są wyświetlane w tabeli tras dla podsieci Subnet2. Trasy zastępują trasy ID4 i ID5 dla ruchu opuszczającego podsieć Subnet1. Trasy ID6 i ID7 istnieją w celu spełnienia wymagania 3 mówiącego o porzuceniu ruchu kierowanego do innych sieci wirtualnych.
  • ID7: to samo wyjaśnienie co ID6.
  • ID8: Platforma Azure automatycznie dodała tę trasę dla wszystkich podsieci w ramach sieci wirtualnej-network-1 , gdy brama sieci wirtualnej typu VPN została utworzona w sieci wirtualnej. Platforma Azure dodała publiczny adres IP bramy sieci wirtualnej do tabeli tras. Ruch wysyłany do dowolnego adresu z zakresu od 10.10.0.1 do 10.10.255.254 jest kierowany do bramy sieci wirtualnej. Prefiks jest dłuższy niż 0.0.0.0/0 i nie mieści się w prefiksach adresów jakichkolwiek innych tras. Brama sieci wirtualnej została utworzona w celu spełnienia wymagania 2.
  • ID9: Platforma Azure dodała tę trasę, gdy prefiks adresu 10.10.0.0/16 został dodany do tabeli tras skojarzonej z podsiecią Subnet1. Ta trasa zastępuje ID8. Trasa wysyła cały ruch przeznaczony dla sieci lokalnej do NVA w celu kontroli i nie realizuje routingu ruchu bezpośrednio lokalnie. Ta trasa została utworzona w celu spełnienia wymagania 3.
  • ID10: Platforma Azure automatycznie dodała tę trasę do podsieci, gdy punkt końcowy usługi do usługi platformy Azure został włączony dla podsieci. Platforma Azure kieruje ruch z podsieci na publiczny adres IP usługi za pośrednictwem sieci infrastruktury platformy Azure. Prefiks jest dłuższy niż 0.0.0.0/0 i nie mieści się w prefiksach adresów jakichkolwiek innych tras. Punkt końcowy usługi został utworzony w celu spełnienia wymagania 3, aby umożliwić przepływ ruchu kierowanego do usługi Azure Storage bezpośrednio do usługi Azure Storage.
  • ID11: Platforma Azure automatycznie dodała tę trasę do tabeli tras wszystkich podsieci w ramach usługi Virtual-network-1 i Virtual-network-2. Prefiks adresu 0.0.0.0/0 jest najkrótszym prefiksem. Wszelki ruch wysyłany na adresy w ramach dłuższego prefiksu adresu jest kierowany na podstawie innych tras. Domyślnie platforma Azure kieruje do Internetu cały ruch skierowany do adresów innych niż adresy określone w jednej z innych tras. Platforma Azure automatycznie zmieniła stan z Aktywny na Nieprawidłowy dla podsieci Subnet1, gdy trasa zdefiniowana przez użytkownika dla prefiksu adresu 0.0.0.0/0 (ID12) została skojarzona z podsiecią. Stan tej trasy jest nadal Aktywny dla wszystkich innych podsieci w obu sieciach wirtualnych, ponieważ trasa nie jest skojarzona z żadną inną podsiecią w ramach innych sieci wirtualnych.
  • ID12: Platforma Azure dodała tę trasę, gdy zdefiniowana przez użytkownika trasa dla prefiksu adresu 0.0.0.0/0 została skojarzona z podsiecią Subnet1 . Zdefiniowana przez użytkownika trasa określa 10.0.100.4 jako adres IP urządzenia wirtualnego. Ta trasa nie jest skojarzona z podsiecią Subnet2, więc trasa nie jest wyświetlana w tabeli tras dla podsieci Subnet2. Cały ruch dla dowolnego adresu, który nie jest objęty prefiksami adresów wszelkich innych tras, jest wysyłany do urządzenia wirtualnego. Dodanie tej trasy zmieniło stan domyślnej trasy dla prefiksu adresu 0.0.0.0/0 (ID11) z Aktywny na Nieprawidłowy dla podsieci Subnet1, ponieważ zdefiniowana przez użytkownika trasa zastępuje domyślną trasę. Ta trasa istnieje, aby spełnić trzecie wymaganie.

Subnet2

Tabela tras dla podsieci Subnet2 na ilustracji zawiera następujące trasy:

Element źródłowy Stan Prefiksy adresów Typ następnego przeskoku Adres IP następnego przeskoku
Domyślne Aktywna 10.0.0.0/16 Sieć wirtualna
Domyślne Aktywna 10.1.0.0/16 Komunikacja równorzędna sieci wirtualnych
Domyślne Aktywna 10.2.0.0/16 Komunikacja równorzędna sieci wirtualnych
Domyślne Aktywna 10.10.0.0/16 Brama sieci wirtualnej [X.X.X.X]
Domyślne Aktywna 0.0.0.0/0 Internet
Domyślne Aktywna 10.0.0.0/8 Brak
Domyślne Aktywna 100.64.0.0/10 Brak
Domyślne Aktywna 192.168.0.0/16 Brak

Tabela tras dla podsieci Subnet2 zawiera wszystkie domyślne trasy utworzone przez platformę Azure oraz opcjonalne równorzędne sieci wirtualne i opcjonalne trasy bramy sieci wirtualnej. Platforma Azure dodała opcjonalne trasy do wszystkich podsieci w sieci wirtualnej, gdy brama i komunikacja równorzędna zostały dodane do sieci wirtualnej. Platforma Azure usunęła trasy dla prefiksów adresów 10.0.0.0/8, 192.168.0.0/16 i 100.64.0.0/10 z tabeli tras Subnet1 , gdy zdefiniowana przez użytkownika trasa dla prefiksu adresu 0.0.0.0/0 została dodana do podsieci Subnet1.

Następne kroki