Предыдущий

Следующая

Определение возможностей маршрутизации в виртуальной сети Azure

Завершено

Для управления потоком трафика в виртуальной сети вам необходимо разобраться в назначении и преимуществах пользовательских маршрутов. Кроме того, вы должны понять, как настроить маршруты для направления потока трафика через сетевой виртуальный модуль (NVA).

Маршрутизация Azure

Сетевой трафик в Azure автоматически маршрутизируется между подсетями Azure, виртуальными и локальными сетями. Системные маршруты управляют этой маршрутизацией. По умолчанию они назначаются каждой подсети в виртуальной сети. С помощью этих системных маршрутов любая виртуальная машина Azure, развернутая в виртуальной сети, может взаимодействовать с любой другой в сети. Эти виртуальные машины также могут быть доступны из локальной среды через гибридную сеть или Интернет.

Создавать или удалять системные маршруты нельзя, но вы можете переопределить их, добавив пользовательские маршруты для управления потоком трафика до следующего прыжка.

Каждая подсеть имеет следующие системные маршруты по умолчанию:

Префикс адреса	Тип следующего прыжка
Уникальные для виртуальной сети	Виртуальная сеть
0.0.0.0/0	Интернет
10.0.0.0/8	нет
172.16.0.0/12	нет
192.168.0.0/16	нет
100.64.0.0/10	нет

Столбец Тип следующего прыжка показывает, по какому пути следует трафик, отправляемый на каждый префикс адреса. Этот путь может относиться к одному из следующих типов прыжков:

• Виртуальная сеть: маршрут создается в префиксе адреса. Этот префикс представляет каждый диапазон адресов, созданный на уровне виртуальной сети. Если указано несколько диапазонов адресов, для каждого диапазона создается несколько маршрутов.
• Интернет: системный маршрут по умолчанию 0.0.0.0/0 направляет любой диапазон адресов в Интернет, если вы не переопределите маршрут По умолчанию Azure с помощью настраиваемого маршрута.
• Нет. Трафик, перенаправленный в этот тип прыжка, удаляется и не направляется за пределы подсети. По умолчанию создаются следующие префиксы частных адресов IPv4: 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. Также добавляется префикс общего адресного пространства (100.64.0.0/10). Все эти диапазоны адресов не маршрутизируются глобально.

На приведенной ниже схеме представлен обзор системных маршрутов и потока трафика по умолчанию между подсетями и Интернетом. На схеме видно, что трафик свободно передается между двумя подсетями и Интернетом.

В Azure есть другие системные маршруты. Azure создает эти маршруты, если включены следующие возможности:

• Пиринг между виртуальными сетями
• Цепочка служб
• Шлюз виртуальной сети
• Конечная точка службы для виртуальной сети

Пиринг между виртуальными сетями и цепочка служб

Пиринг виртуальных сетей и цепочка служб позволяют виртуальным сетям в Azure подключаться друг к другу. Благодаря этому виртуальные машины в одном или в разных регионах могут взаимодействовать друг с другом. При этом в таблице маршрутов по умолчанию создаются дополнительные маршруты. Цепочка служб позволяет переопределять эти маршруты путем создания пользовательских маршрутов между пиринговыми сетями.

На следующей схеме показаны две виртуальные сети с настроенным пирингом. Настроены пользовательские маршруты, направляющие трафик через NVA или VPN-шлюз Azure.

Шлюз виртуальной сети

Шлюз виртуальной сети служит для передачи зашифрованного трафика между Azure и локальной средой через Интернет, а также для передачи зашифрованного трафика между сетями Azure. Шлюз виртуальной сети содержит таблицы маршрутизации и службы шлюза.

Конечная точка службы для виртуальной сети

Конечные точки виртуальной сети расширяют пространство частных адресов в Azure, предоставляя прямое подключение к ресурсам Azure. При этом передача трафика ограничивается: виртуальным машинам Azure разрешается доступ к учетной записи хранения напрямую из пространства частных адресов и запрещается доступ из общедоступной виртуальной машины. При включении конечных точек службы Azure создает маршруты в таблице маршрутов для направления этого трафика.

Пользовательские маршруты

Системные маршруты позволяют легко и быстро подготовить среду к работе. Однако существует множество сценариев, в которых требуется более тесно контролировать поток трафика в сети. Например, может потребоваться маршрутизировать трафик через сетевой виртуальный модуль или брандмауэр. Пользовательские маршруты дают такую возможность.

Вы можете реализовать пользовательские маршруты двумя способами: создать определяемый пользователем маршрут или использовать протокол BGP для обмена маршрутами между Azure и локальными сетями.

Определяемые пользователем маршруты

Определяемый пользователем маршрут служит для переопределения системных маршрутов по умолчанию, чтобы трафик мог маршрутизироваться через брандмауэры или сетевые виртуальные модули.

Например, у вас может быть сеть с двумя подсетями, и нужно добавить в сеть периметра виртуальную машину, которая будет служить брандмауэром. Вы создаете определяемый пользователем маршрут, чтобы трафик передавался через брандмауэр, а не непосредственно между подсетями.

При создании определяемых пользователем маршрутов можно указать такие типы следующего прыжка:

• Виртуальная (модуль). Виртуальная (модуль) обычно является устройством брандмауэра, используемым для анализа или фильтрации трафика, входящего или выходя из сети. Вы можете указать частный IP-адрес сетевого адаптера, подключенного к виртуальной машине, чтобы включить IP-пересылку. Или можно предоставить частный IP-адрес внутренней подсистемы балансировки нагрузки.
• Шлюз виртуальной сети. Используйте для указания того, когда требуется маршруты для определенного адреса, который будет перенаправлен в шлюз виртуальной сети. Шлюз виртуальной сети указывается как VPN для типа следующего прыжка.
• Виртуальная сеть: используется для переопределения системного маршрута по умолчанию в виртуальной сети.
• Интернет: используется для маршрутизации трафика в указанный префикс адреса, который направляется в Интернет.
• Нет. Используйте для удаления трафика, отправленного в указанный префикс адреса.

При использовании определяемых пользователем маршрутов в качестве типа следующего прыжка невозможно указать пиринг между виртуальными сетями — VirtualNetworkServiceEndpoint.

Теги служб для определяемых пользователем маршрутов

Тег службы можно указать в качестве префикса адреса для определяемого пользователем маршрута вместо явного диапазона IP-адресов. Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов. Это сводит к минимуму сложность частых обновлений определяемых пользователем маршрутов и сокращает количество маршрутов, которые вам приходится создавать.

Протокол BGP

Сетевой шлюз в локальной сети может обмениваться маршрутами со шлюзом виртуальной сети в Azure с использованием протокола BGP. BGP — это стандартный протокол маршрутизации, который обычно используется для обмена данными маршрутизации между двумя или более сетями. BGP используется для передачи данных и информации между автономными системами в Интернете, например различными шлюзами узлов.

Как правило, вы используете BGP для объявления локальных маршрутов в Azure при подключении к центру обработки данных Azure через Azure ExpressRoute. Вы также можете настроить протокол BGP, если подключаетесь к виртуальной сети Azure с помощью VPN-подключения типа "сеть-сеть".

На следующей схеме показана топология с путями, по которым данные могут передаваться между VPN-шлюзом Azure и локальными сетями:

Протокол BGP обеспечивает стабильную работу сети, так как маршрутизаторы могут быстро менять подключения, по которым отправляются пакеты, если определенный путь подключения перестает работать.

Выбор и приоритет маршрутов

Если в таблице маршрутов имеется несколько маршрутов, Azure использует маршрут с более длинным совпадающим префиксом. Например, сообщение отправляется в IP-адрес 10.0.0.2, но два маршрута доступны с префиксами 10.0.0.0/16 и 10.0.0.0/24. Azure выбирает маршрут с префиксом 10.0.0.0/24, так как это более конкретно.

Чем длиннее префикс маршрута, тем короче список доступных IP-адресов. Таким образом, этот алгоритм позволяет быстрее достичь нужного адреса.

Настроить несколько определяемых пользователем маршрутов с одинаковым префиксом адреса невозможно.

Если несколько маршрутов имеют один и тот же префикс адреса, Azure выбирает маршрут в соответствии с типом в следующем порядке приоритета:

1. Определяемые пользователем маршруты
2. маршруты BGP;
3. системные маршруты.

Проверьте свои знания

1.

Зачем использовать пользовательский маршрут в виртуальной сети?

Для балансировки нагрузки трафика в виртуальной сети.

Для подключения к виртуальным машинам Azure по протоколу RDP или SSH.

Для управления потоком трафика в виртуальной сети Azure.

Для подключения к ресурсам в другой виртуальной сети, размещенной в Azure.

2.

Зачем используется пиринг между виртуальными сетями?

Для подключения виртуальных сетей друг к другу в одном или разных регионах.

Чтобы назначить общедоступные IP-адреса всем ресурсам в нескольких виртуальных сетях.

Чтобы подсистемы балансировки нагрузки могли управлять потоком трафика между виртуальными сетями.

Для выполнения пользовательских отчетов с целью проверки и определения активных ресурсов во всех виртуальных сетях, а не в одной из них.

Вы должны ответить на все вопросы перед проверкой.

Продолжить