培训
模块
使用中心辐射型 Azure 虚拟网络体系结构集中核心服务 - Training
在 Azure 中设计网络体系结构,实现发展和灵活性、对关键资源的安全隔离、较低的管理开销以及与本地网络资源之间的通信。
认证
Microsoft Certified: Azure Network Engineer Associate - Certifications
展示 Azure 网络基础结构、负载均衡流量、网络路由等的设计、实现和维护。
你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure 防火墙路由中心辐射型多重拓扑
中心辐射型拓扑是 Azure 中的一种常见网络体系结构模式。 中心是 Azure 中的一个虚拟网络 (VNet),充当到本地网络的连接的中心点。 分支是与中心对等互连的 VNet,可用于隔离工作负荷。 中心可用于隔离和保护分支之间的流量。 中心还可用于在分支之间路由流量。 中心可用于通过各种方法在分支之间路由流量。
例如,可以将 Azure 路由服务器与动态路由和网络虚拟设备 (NVA) 配合使用,以便在分支之间路由流量。 这可能是一个相当复杂的部署。 不太复杂的方法是使用 Azure 防火墙和静态路由在分支之间路由流量。
本文介绍如何将 Azure 防火墙与静态用户定义的路由 (UDR) 配合使用,以路由中心辐射型多重拓扑。 下图显示了该拓扑:
Azure 防火墙可以保护和检查网络流量,但它还可以在 VNet 之间路由流量。 它是一个托管资源,可自动创建指向其本地虚拟网络网关获知的本地分支、中心和本地前缀的系统路由。 将 NVA 放在中心上并查询有效路由会生成类似于 Azure 防火墙中的路由表。
由于这是一种静态路由体系结构,可以通过在中心之间使用全局 VNet 对等互连来与另一个中心构建最短路径。 因此各个中心是互知的,每个本地防火墙包含每个直接连接的中心的路由表。 但是,本地中心只知道自身的本地分支。 此外,这些中心可以位于相同的区域或不同的区域。
每个本地防火墙都需要知道如何连接其他远程分支,因此你必须在防火墙子网中创建 UDR。 为此,首先需要创建任何类型的默认路由,然后可以创建指向其他分支的更具体路由。 例如,以下屏幕截图显示了两个中心 VNet 的路由表:
Hub-01 路由表
。
Hub-02 路由表
。
实现此拓扑的好处是,随着流量从一个中心流向另一个中心,你可以访问通过全球对等互连直接连接的下一个跃点。
如图所示,最好将 UDR 放置在具有 0/0 路由(默认网关)且将本地防火墙用作下一个跃点的分支子网中。 这会将单个下一个跃点出口点锁定为本地防火墙。 如果它从本地环境中获知了可能导致流量绕过防火墙的更具体前缀,则它还可以降低非对称路由的风险。 有关详细信息,请参阅不要让 Azure 路由影响你。
下面是连接到 Hub-01 的分支子网的示例路由表:
- 了解如何部署和配置 Azure 防火墙。
其他资源
文档
-
本教程介绍如何在 Azure 门户中使用 Azure 防火墙管理器保护虚拟网络。
-
可以对强制隧道进行配置,将发往 Internet 的流量路由到其他防火墙或网络虚拟设备以进行进一步处理。
-
可以为 SNAT 配置 IP 地址范围。