Scenariusz: Azure Firewall — niestandardowe

  • Artykuł

Podczas pracy z Virtual WAN routingiem koncentratora wirtualnego istnieje wiele dostępnych scenariuszy. W tym scenariuszu celem jest kierowanie ruchu między sieciami wirtualnymi bezpośrednio, ale użycie Azure Firewall dla przepływów ruchu między sieciami wirtualnymi/sieciami wirtualnymi i rozgałęzienia do sieci wirtualnej.

Projekt

Aby ustalić, ile tabel tras będzie potrzebnych, możesz utworzyć macierz łączności, w której każda komórka reprezentuje, czy źródło (wiersz) może komunikować się z miejscem docelowym (kolumną). Macierz łączności w tym scenariuszu jest trywialna, ale zachowaj spójność z innymi scenariuszami, nadal możemy ją przyjrzeć.

Macierz łączności

Źródło Do: Sieci wirtualne Gałęzie Internet
Sieci wirtualne Direct AzFW AzFW
Gałęzie AzFW Direct Direct

W poprzedniej tabeli wyrażenie "Direct" reprezentuje bezpośrednią łączność między dwoma połączeniami bez ruchu przechodzącego przez Azure Firewall w Virtual WAN, a "AzFW" wskazuje, że przepływ przejdzie przez Azure Firewall. Ponieważ w macierzy istnieją dwa odrębne wzorce łączności, potrzebne będą dwie tabele tras, które zostaną skonfigurowane w następujący sposób:

  • Sieci wirtualne:
    • Skojarzona tabela tras: RT_VNet
    • Propagowanie do tabel tras: RT_VNet
  • Oddziałów:
    • Skojarzona tabela tras: Domyślna
    • Propagacja do tabel tras: ustawienie domyślne

Uwaga

W każdym regionie można utworzyć oddzielne wystąpienie Virtual WAN z jednym bezpiecznym koncentratorem wirtualnym, a następnie połączyć poszczególne Virtual WAN ze sobą za pośrednictwem sieci VPN typu lokacja-lokacja.

Aby uzyskać informacje na temat routingu koncentratora wirtualnego, zobacz About virtual hub routing (Informacje o routingu koncentratora wirtualnego).

Przepływ pracy

W tym scenariuszu chcesz kierować ruch przez Azure Firewall dla ruchu między sieciami wirtualnymi, między sieciami wirtualnymi, sieciami wirtualnymi lub ruchem między sieciami wirtualnymi, ale chcesz kierować ruch bezpośrednio dla ruchu między sieciami wirtualnymi. Jeśli użyto menedżera Azure Firewall, ustawienia trasy są automatycznie wypełniane w domyślnej tabeli tras. Ruch prywatny dotyczy sieci wirtualnej i gałęzi, ruch internetowy dotyczy 0.0.0.0/0.

Połączenia sieci VPN, usługi ExpressRoute i sieci VPN użytkownika są wspólnie nazywane gałęziami i kojarzą się z tą samą (domyślną) tabelą tras. Wszystkie połączenia SIECI VPN, ExpressRoute i Sieci VPN użytkownika propagują trasy do tego samego zestawu tabel tras. Aby skonfigurować ten scenariusz, należy wziąć pod uwagę następujące kroki:

  1. Utwórz niestandardową tabelę tras RT_VNet.

  2. Utwórz trasę, aby aktywować sieć wirtualną do Internetu i sieć wirtualną do gałęzi: 0.0.0.0.0/0 z następnym przeskokiem wskazującym Azure Firewall. W sekcji Propagacja upewnij się, że wybrano sieci wirtualne, które zapewniłyby bardziej szczegółowe trasy, co umożliwiłoby przepływ ruchu bezpośredniego między sieciami wirtualnymi.

    • W obszarze Skojarzenie: wybierz sieci wirtualne, które będą oznaczać, że sieci wirtualne będą docierać do miejsca docelowego zgodnie z trasami tej tabeli tras.
    • W obszarze Propagacja: wybierz sieci wirtualne, które będą oznaczać, że sieci wirtualne będą propagowane do tej tabeli tras; innymi słowy, bardziej szczegółowe trasy będą propagowane do tej tabeli tras, zapewniając bezpośredni przepływ ruchu między siecią wirtualną a siecią wirtualną.

  3. Dodaj zagregowaną trasę statyczną dla sieci wirtualnych do tabeli Trasy domyślnej, aby aktywować przepływ Rozgałęzianie do sieci wirtualnej za pośrednictwem Azure Firewall.

    • Pamiętaj, że gałęzie są skojarzone i propagowane do domyślnej tabeli tras.
    • Gałęzie nie są propagowane do tabeli tras RT_VNet. Zapewnia to przepływ ruchu między sieciami wirtualnymi za pośrednictwem Azure Firewall.

Spowoduje to zmiany konfiguracji routingu, jak pokazano na rysunku 1.

Rysunek 1.

Rysunek 1.

Następne kroki