你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure Virtual Network Manager 自动管理用户定义的路由 (UDR)
本文概述了 UDR 管理、它的重要性、工作原理以及可以使用 UDR 管理简化和自动化的常见路由场景。
重要
使用 Azure Virtual Network Manager 进行用户定义的路由管理目前处于公共预览状态。 若你同意 Microsoft Azure 预览版的补充使用条款,便可以使用公共预览版。 某些功能可能不受支持或者受限。 此预览版在提供时没有附带服务级别协议,不建议将其用于生产工作负荷。
什么是 UDR 管理?
Azure Virtual Network Manager (AVNM) 允许描述所需的路由行为,并协调用户定义的路由 (UDR) 来创建和维护所需的路由行为。 用户定义的路由解决了管理路由行为所需的自动化和简化。 目前,你应手动创建用户定义的路由 (UDR) 或使用自定义脚本。 但是,这些方法容易出错且过于复杂。 你可以利用虚拟 WAN 中的 Azure 托管中心。 此选项受到某些限制(例如无法自定义中心或缺少 IPV6 支持),与组织无关。 在虚拟网络管理器中通过 UDR 管理,你将拥有一个集中式中心,用于管理和维护路由行为。
UDR 管理的工作原理是什么?
在虚拟网络管理器中,创建路由配置。 在该配置中,创建规则集合来描述网络组(目标网络组)所需的 UDR。 在规则集合中,路由规则用于描述目标网络组中子网或虚拟网络的所需路由行为。 创建配置后,需要部署配置以便将其应用于资源。 部署后,所有路由都存储在 Virtual Network Manager 受管理资源组内的路由表中。
路由配置会根据路由规则指定的内容为你创建 UDR。 例如,可以指定分支网络组(由两个虚拟网络组成)通过防火墙访问 DNS 服务的地址。 网络管理器会创建 UDR,使此路由行为发生。
路由配置
路由配置是 UDR 管理的构建基块。 它们用于描述网络组的所需路由行为。 路由配置由以下设置组成:
| Attribute | 描述 |
|---|---|
| Name | 路由配置的名称。 |
| 描述 | 路由配置的说明。 |
路由集合设置
路由集合包含以下设置:
| Attribute | 描述 |
|---|---|
| Name | 路由集合的名称。 |
| 本地路由设置 | 路由集合的本地路由设置。 |
| 启用 BGP 路由传播 | 路由集合的 BGP 设置。 |
| 目标网络组 | 路由集合的目标网络组。 |
| 路由规则 | 描述目标网络组所需路由行为的路由规则。 |
路由规则设置
每个路由规则都包含以下设置:
| Attribute | 描述 |
|---|---|
| Name | 路由规则的名称。 |
| 目标类型 | |
| IP 地址 | 目标的 IP 地址。 |
| 目标 IP 地址/CIDR 范围 | 目标 CIDR 范围的 IP 地址。 |
| 服务标记 | 目的地的服务标记。 |
| 下一跃点类型 | |
| 虚拟网络网关 | 作为下一跃点的虚拟网络网关。 |
| 虚拟网络 | 作为下一跃点的虚拟网络。 |
| Internet | 作为下一跃点的 Internet。 |
| 虚拟设备 | 作为下一跃点的虚拟设备。 |
| 下一跃点地址 | 下一跃点的 IP 地址。 |
对于每种类型的下一跃点,请参阅“用户定义的路由”。
IP 地址的常见目标模式
创建路由规则时,可以指定目标类型和地址。 将目标类型指定为 IP 地址时,可以指定 IP 地址信息。 以下是常见的目标模式:以下是常见的目标模式:
| 流量目标 | 描述 |
|---|---|
| Internet > NVA | 对于通过网络虚拟设备发往 Internet 的流量,请输入 0.0.0.0/0 作为规则中的目标。 |
| 专用流量 > NVA | 对于通过网络虚拟设备发往专用空间的流量,请输入 192.168.0.0/16, 172.16.0.0/12, 40.0.0.0/24, 10.0.0.0/24 作为规则中的目标。 这些目标基于 RFC1918 专用 IP 地址空间。 |
| 分支网络> NVA | 对于通过网络虚拟设备连接的两个分支虚拟网络之间的流量,请输入分支的 CIDR 作为规则中的目标。 |
使用 Azure 防火墙作为下一跃点
你还可以通过在创建路由规则时选择“导入 Azure 防火墙专用 IP 地址”,轻松选择 Azure 防火墙作为下一跃点。 然后,Azure 防火墙的 IP 地址将用作下一跃点。
常见路由方案
下面是可以使用 UDR 管理实现简化和自动化的常见路由方案。
| 路由方案 | 描述 |
|---|---|
| 分支网络 -> 网络虚拟设备 -> 分支网络 | 将此方案用于通过网络虚拟设备连接的两个分支虚拟网络之间的流量。 |
| 分支网络 -> 网络虚拟设备 -> 中心网络中的终结点或服务 | 将此方案用于通过网络虚拟设备连接的中心网络中的服务终结点的分支网络流量。 |
| 子网 -> 网络虚拟设备 -> 子网,即使在同一虚拟网络中 | |
| 分支网络 -> 网络虚拟设备 -> 本地网络/Internet | 如果通过网络虚拟设备或本地位置(例如混合网络方案)出站 Internet 流量,请使用此方案。 |
| 通过每个中心的网络虚拟设备跨中心的分支网络 | |
| 中心分支网络(包含满足本地需求的 Spoke 网络)需要使用网络虚拟设备 | |
| 网关 -> 网络虚拟设备 -> 分支网络 |
本地路由设置
创建规则集合时,可以定义本地路由设置。 本地路由设置确定如何在同一虚拟网络或子网中路由流量。 以下是本地路由设置:
| 本地路由设置 | 描述 |
|---|---|
| 虚拟网络中的直接路由 | 将流量路由到同一虚拟网络中的目的地。 |
| 子网中的直接路由 | 将流量直接路由到同一子网中的目的地。 |
| 未指定 | 将流量路由到路由规则中指定的下一跃点。 |
选择“虚拟网络中的直接路由”或“子网中的直接路由”时,会为同一虚拟网络或子网中的本地流量路由创建具有虚拟网络下一跃点的 UDR。 但是,如果目标 CIDR 完全包含在这些选择下的源 CIDR 中,并且选择了直接路由,则不会设置将网络设备指定为下一跃点的 UDR。
添加其他虚拟网络
将其他虚拟网络添加到网络组时,路由配置会自动应用到新的虚拟网络。 网络管理器会自动检测新的虚拟网络,并将路由配置应用于它。 从网络组中删除虚拟网络时,也会自动删除应用的路由配置。
UDR 管理的限制
使用 Azure Virtual Network Manager 执行 UDR 管理的限制如下:
- 如果存在冲突的传递规则(规则的目标相同但下一跃点不同),则在针对同一虚拟网络或子网的规则集合内部或之间不支持这些规则。
- 创建与路由表中的现有路由具有相同目标的传递规则时,将忽略该传递规则。
- 如果在路由表中手动修改了 Virtual Network Manager 创建的 UDR,则执行空提交时路由不会启动。 此外,规则的任何更新都不会反映在具有相同目标的路由中。
- 中心虚拟网络中的现有 Azure 服务在路由表和 UDR 方面保持其现有限制。
- Azure Virtual Network Manager 需要一个受管理资源组来存储路由表。 如果需要删除该资源组,必须先执行删除操作,然后才能尝试对同一订阅中的资源执行新的部署。
下一步
了解如何在 Azure Virtual Network Manager 中创建用户定义的路由。