Partilhar via

Cenário: Isolamento personalizado para VNets

  • Artigo

Ao trabalhar com WAN Virtual encaminhamento do hub virtual, existem alguns cenários disponíveis. Num cenário de isolamento personalizado para VNets, o objetivo é impedir que um conjunto específico de VNets consiga aceder a outro conjunto específico de VNets. No entanto, as VNets são necessárias para alcançar todos os ramos (VPN/ER/VPN de Utilizador). Para obter mais informações sobre o encaminhamento do hub virtual, veja Acerca do encaminhamento do hub virtual.

Design

Para descobrir quantas tabelas de rotas são necessárias, pode criar uma matriz de conectividade. Neste cenário, é semelhante ao seguinte, em que cada célula representa se uma origem (linha) consegue comunicar com um destino (coluna):

De Para: VNets Azuis VNets Vermelhas Ramos
VNets Azuis Direct Direct
VNets Vermelhas Direct Direct
Ramos Direct Direct Direct

Cada uma das células na tabela anterior descreve se uma ligação WAN Virtual (o lado "De" do fluxo, os cabeçalhos de linha) comunica com um destino (o lado "Para" do fluxo, os cabeçalhos de coluna em itálico). Neste cenário, não existem firewalls ou Aplicações Virtuais de Rede, pelo que as comunicações fluem diretamente sobre WAN Virtual (daí a palavra "Direto" na tabela).

O número de padrões de linha diferentes é o número de tabelas de rotas de que precisamos neste cenário. Neste caso, três tabelas de rotas que chamamos são RT_BLUE e RT_RED para as redes virtuais e Predefinidas para os ramos. Lembre-se de que os ramos têm sempre de estar associados à tabela de encaminhamento Predefinida.

Os ramos precisam de aprender os prefixos das VNets Vermelhas e Azuis, pelo que todas as VNets têm de ser propagadas para Predefinição (adicionalmente para RT_BLUE ou RT_RED). As VNets Azuis e Vermelhas precisam de aprender os prefixos dos ramos, pelo que os ramos propagam-se para ambas as tabelas de rotas RT_BLUE e RT_RED também. Como resultado, este é o design final:

  • Redes virtuais azuis:
    • Tabela de rotas associada: RT_BLUE
    • Propagar para tabelas de rotas: RT_BLUE e Predefinição
  • Redes virtuais vermelhas:
    • Tabela de rotas associada: RT_RED
    • Propagar para tabelas de rotas: RT_RED e Predefinição
  • Ramos:
    • Tabela de rotas associada: Predefinição
    • Propagar para tabelas de rotas: RT_BLUE, RT_RED e Predefinição

Nota

Uma vez que todos os ramos têm de estar associados à tabela rota predefinida, bem como para propagar para o mesmo conjunto de tabelas de encaminhamento, todos os ramos terão o mesmo perfil de conectividade. Por outras palavras, o conceito vermelho/azul para VNets não pode ser aplicado a ramos.

Nota

Se a sua WAN Virtual for implementada em vários hubs, terá de criar as tabelas de rotas RT_BLUE e RT_RED em todos os hubs e as rotas de cada ligação VNet têm de ser propagadas para as tabelas de rotas em todos os hubs virtuais através de etiquetas de propagação.

Para obter mais informações sobre o encaminhamento do hub virtual, veja Acerca do encaminhamento do hub virtual.

Fluxo de trabalho

Na Figura 1, existem ligações VNet Azul e Vermelha.

  • As VNets ligadas a azul podem alcançar-se entre si e alcançar todas as ligações de ramos (VPN/ER/P2S).
  • As VNets vermelhas podem alcançar-se entre si e alcançar todas as ligações de ramos (VPN/ER/P2S).

Considere os seguintes passos ao configurar o encaminhamento.

  1. Crie duas tabelas de rotas personalizadas no portal do Azure, RT_BLUE e RT_RED.
  2. Para a tabela de rotas RT_BLUE, para as seguintes definições:
    • Associação: selecione todas as VNets Azuis.
    • Propagação: para Ramos, selecione a opção para ramos, o que implica que as ligações branch(VPN/ER/P2S) propagam rotas para esta tabela de rotas.
  3. Repita os mesmos passos para RT_RED tabela de rotas para VNets vermelhas e ramos (VPN/ER/P2S).

Isto resulta na alteração da configuração de encaminhamento, conforme visto na figura seguinte.

Figura 1

figura 1

Passos seguintes