Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлен обзор управления UDR, почему важно, как это работает, и распространенные сценарии маршрутизации, которые можно упростить и автоматизировать с помощью управления UDR.
Что такое управление UDR?
Диспетчер виртуальной сети Azure позволяет описать желаемое поведение маршрутизации и управлять определяемыми пользователем маршрутами (UDR) для создания и поддержания этого поведения. Определяемые пользователем маршруты решают необходимость автоматизации и упрощения управления поведением маршрутизации. В настоящее время вы вручную создаете маршруты, определяемые пользователем, или используете пользовательские скрипты. Однако эти методы подвержены ошибкам и чрезмерно сложным. Вы можете использовать управляемый Azure концентратор в Виртуальной глобальной сети. Этот параметр имеет определенные ограничения (например, невозможность настраивать концентратор и отсутствие поддержки IPV6), которые, возможно, не относятся к вашей организации. С помощью управления UDR в диспетчере виртуальных сетей у вас есть централизованный концентратор для управления и поддержания поведения маршрутизации.
Как работает управление UDR?
В диспетчере виртуальных сетей создается конфигурация маршрутизации. В конфигурации вы создаете коллекции правил для описания необходимых UDR (определяемых пользователями маршрутов) для сетевой группы (целевой сети). В коллекции правил маршрутные правила используются для описания требуемой характеристики маршрутизации для подсетей или виртуальных сетей в целевой группе сети. После создания конфигурации необходимо развернуть конфигурацию для ее применения к ресурсам. При развертывании все маршруты хранятся в таблице маршрутов, расположенной в группе ресурсов, управляемой диспетчером виртуальных сетей.
Конфигурации маршрутизации создают маршруты UDR для вас на основе правил, указанных в маршруте. Например, можно указать, что группа периферийных сетей, состоящая из двух виртуальных сетей, обращается к адресу службы DNS через брандмауэр. Ваш сетевой администратор создает маршруты, определяемые пользователем (UDR), чтобы обеспечить такое поведение маршрутизации.
Конфигурации маршрутизации
Конфигурации маршрутизации — это стандартные блоки управления UDR. Они используются для описания требуемого поведения маршрутизации для сетевой группы. Конфигурация маршрутизации состоит из следующих параметров:
| Attribute | Description |
|---|---|
| Имя | Имя конфигурации маршрутизации. |
| Description | Описание конфигурации маршрутизации. |
Параметры коллекции маршрутов
Коллекция маршрутов состоит из следующих параметров:
| Attribute | Description |
|---|---|
| Имя | Название коллекции маршрутов. |
| Включение распространения маршрутов BGP | Параметры BGP для коллекции маршрутов. |
| Целевая сетевая группа | Целевая сетевая группа для набора маршрутов. |
| Правила маршрутизации | Правила маршрута, описывающие требуемое поведение маршрутизации для целевой группы сети. |
Параметры правила маршрутизации
Каждое правило маршрута состоит из следующих параметров:
| Attribute | Description |
|---|---|
| Имя | Имя правила маршрута. |
| Тип назначения | |
| IP-адрес | IP-адрес назначения. |
| Диапазоны IP-адресов назначения или CIDR | IP-адрес назначения или диапазон CIDR. |
| Сервисный тег | Идентификатор службы назначения. |
| Тип следующего прыжка | |
| Шлюз виртуальной сети | Шлюз виртуальной сети в качестве следующего прыжка. |
| Виртуальная сеть | Виртуальная сеть в качестве следующего прыжка. |
| Интернет | Интернет как следующий прыжок. |
| Виртуальный модуль | Виртуальное устройство в качестве следующего прыжка. |
| Адрес следующего прыжка | IP-адрес следующего прыжка. |
Для каждого типа следующего прыжка обратитесь к используемым маршрутам.
Общие шаблоны назначения для IP-адресов
При создании правил маршрута можно указать тип назначения и адрес. При указании типа назначения в качестве IP-адреса можно указать сведения об IP-адресе. Ниже приведены распространенные шаблоны назначения: ниже приведены распространенные шаблоны назначения.
| Назначение трафика | Description |
|---|---|
| Интернет > NVA | Для трафика, предназначенного для интернета через сетевое виртуальное устройство, введите 0.0.0.0/0 в качестве назначения в правиле. |
| Частный трафик > NVA | Для трафика, предназначенного для частного пространства через сетевое виртуальное устройство, введите 192.168.0.0/16, 172.16.0.0/12, 40.0.0.0/24, 10.0.0.0/24 в качестве назначения в правиле. Эти точки назначения используют пространство частных IP-адресов RFC1918. |
| Сетевой топологии спиц > NVA | Для трафика, передаваемого между двумя вспомогательными виртуальными сетями, проходящего через сетевое виртуальное устройство, введите CIDR вспомогательных сетей в качестве назначения в правиле. |
Используйте брандмауэр Azure как следующий узел
Вы также можете легко выбрать Брандмауэр Azure в качестве следующего прыжка, выбрав импорт частного IP-адреса брандмауэра Azure при создании правила маршрутизации. Затем IP-адрес Брандмауэра Azure используется в качестве следующего узла маршрутизации.
Использование более определяемых пользователем маршрутов в одной таблице маршрутов
В управлении UDR диспетчера виртуальных сетей Azure пользователи теперь могут создавать до 1000 определяемых пользователем маршрутов в одной таблице маршрутов по сравнению с традиционным ограничением в 400 маршрутов. Это более высокое ограничение обеспечивает более сложные конфигурации маршрутизации, такие как перенаправление трафика из локальных центров обработки данных через брандмауэр в каждую периферийную виртуальную сеть в топологии концентраторов и периферийных серверов. Эта расширенная возможность особенно полезна для управления проверкой трафика и обеспечением безопасности в крупномасштабных сетевых архитектурах с многочисленными спицами.
В топологии концентратора и периферийной топологии пользователи обычно требуют, чтобы сетевой трафик проверялся или фильтровался брандмауэром, расположенным в центральной виртуальной сети, прежде чем достичь любых периферийных виртуальных сетей. Диспетчер виртуальных сетей Azure поддерживает до 1000 периферийных виртуальных сетей и позволяет настроить таблицу маршрутов, связанную с подсетью шлюза, для включения до 1000 определяемых пользователем маршрутов. Чтобы это настроить, выполните следующие действия.
- Создайте экземпляр Диспетчера Виртуальной Сети Azure.
- Создайте сетевую группу и включите подсеть шлюза в эту сетевую группу.
- Установите конфигурацию маршрутизации и создайте коллекцию правил, задав целевую группу сети как созданную на шаге 2.
- Определите правило маршрутизации, добавив адресные пространства периферийных виртуальных сетей. Задайте для следующего прыжка значение "виртуальное устройство" и укажите IP-адрес брандмауэра в качестве адреса следующего прыжка.
- Разверните эту конфигурацию маршрутизации в регионе, где находится подсеть шлюза.
Этот метод позволяет таблице маршрутов подсети шлюза размещать до 1000 определяемых пользователем маршрутов. При добавлении новой периферийной виртуальной сети просто включите адресные пространства в существующее правило и повторно разверните конфигурацию маршрутизации.
Распространенные сценарии маршрутизации с помощью управления UDR
Ниже приведены распространенные сценарии маршрутизации, которые можно упростить и автоматизировать с помощью управления UDR.
| Сценарии маршрутизации | Description |
|---|---|
| Периферийная сеть —> сетевое виртуальное устройство —> периферийная сеть | Используйте этот сценарий для трафика, проходящего между двумя спицевыми виртуальными сетями, соединяющимися через сетевое виртуальное устройство. |
| Спицевая сеть —> сетевое виртуальное устройство —> конечная точка или служба в центральной сети | Используйте этот сценарий для сетевого трафика спицевой сети для конечной точки службы в центральной сети, подключенной через сетевое виртуальное устройство. |
| Подсеть —> виртуальное сетевое устройство —> подсеть даже в пределах одной виртуальной сети | |
| Вспомогательная сеть —> сетевое виртуальное устройство —> локальная сеть или Интернет | Используйте этот сценарий, если у вас есть исходящий интернет-трафик через сетевое виртуальное устройство или локальную сеть, например, в сценариях гибридной сети. |
| Сеть между концентраторными и спицевыми узлами через сетевые виртуальные устройства в каждом концентраторе | |
| Сеть концентратора и периферийной сети с периферийной сетью в локальной среде должна проходить через сетевое виртуальное устройство. | |
| Шлюз —> виртуальное сетевое устройство —> спицевая сеть |
Добавление других виртуальных сетей
При добавлении других виртуальных сетей в группу сети конфигурация маршрутизации автоматически применяется к новой виртуальной сети. Диспетчер сети автоматически обнаруживает новую виртуальную сеть и применяет к ней конфигурацию маршрутизации. При удалении виртуальной сети из группы сети примененная конфигурация маршрутизации автоматически удаляется.
Только что созданные или удаленные подсети обновляют таблицу маршрутов с конечной согласованностью. Время обработки может отличаться в зависимости от объема создания и удаления подсети.
Влияние управления UDR на маршруты и таблицы маршрутов
Ниже приведены влияния управления UDR с помощью диспетчера виртуальной сети Azure на маршруты и таблицы маршрутов:
- Если существуют конфликтующие правила маршрутизации (правила с тем же назначением, но различные следующие узлы), применяется только одно из конфликтующих правил, а другие игнорируются. Любой из конфликтующих правил может быть выбран случайным образом. Важно отметить, что конфликтующие правила внутри или между коллекциями правил, предназначенными для одной виртуальной сети или подсети, не поддерживаются.
- При создании правила маршрутизации с тем же назначением, что и существующий маршрут в таблице маршрутов, правило маршрутизации игнорируется.
- При наличии таблицы маршрутов с существующими UDR Диспетчер виртуальная сеть Azure создает новую управляемую таблицу маршрутов, которая включает как существующие маршруты, так и новые маршруты на основе развернутой конфигурации маршрутизации.
- Другие определяемые пользователем маршруты, добавленные в таблицу управляемых маршрутов, не затрагиваются и не будут удалены при удалении конфигурации маршрутов. Удаляются только маршруты, созданные диспетчером виртуальных сетей Azure.
- Если управляемый UDR диспетчера виртуальной сети Azure вручную редактируется в таблице маршрутов, этот маршрут удаляется при удалении конфигурации из региона.
- Диспетчер виртуальных сетей Azure не влияет на существующие пользовательские маршруты. Он просто добавляет новые UDR к текущим, обеспечивая, что маршрутизация продолжает работать так же, как и сейчас. Кроме того, определяемые пользователем маршрутные таблицы (UDR) для конкретных служб Azure по-прежнему работают вместе с определяемыми пользователем сетевыми диспетчерами, не сталкиваясь с новыми ограничениями.
- Диспетчер виртуальных сетей Azure требует управляемую группу ресурсов для хранения таблицы маршрутов. Если Политика Azure применяет определенные теги или свойства в группах ресурсов, эти политики должны быть отключены или скорректированы для управляемой группы ресурсов, чтобы предотвратить проблемы с развертыванием. Кроме того, если необходимо удалить эту управляемую группу ресурсов, убедитесь, что удаление происходит перед запуском новых развертываний для ресурсов в той же подписке.
- Управление UDR позволяет пользователям создавать до 1000 UDR на таблицу маршрутов.