使用 Azure 虛擬網絡 Manager 自動管理使用者定義的路由 (UDR)
本文提供UDR管理的概觀、為何重要、運作方式,以及您可以使用UDR管理簡化和自動化的常見路由案例。
重要
使用 Azure 虛擬網絡 Manager 進行使用者定義的路由管理處於公開預覽狀態。 公開預覽會根據您同意 Microsoft Azure 預覽版補充使用條款的條件提供給您。 有些功能可能不受支援,也可能已經限制功能。 此預覽版本是在沒有服務等級協定的情況下提供,不建議用於生產工作負載。
什麼是 UDR 管理?
Azure 虛擬網絡 Manager (AVNM) 可讓您描述所需的路由行為,並協調使用者定義的路由 (UDR) 來建立和維護所需的路由行為。 用戶定義的路由可解決管理路由行為自動化和簡化的需求。 目前,您會手動建立使用者定義的路由(UDR)或使用自定義腳本。 不過,這些方法很容易出錯,而且過於複雜。 您可以在虛擬 WAN 中使用 Azure 管理的中樞。 此選項有某些限制(例如無法自定義中樞或缺乏 IPV6 支援),與您的組織無關。 在虛擬網路管理員中使用 UDR 管理,您有一個集中式中樞來管理和維護路由行為。
UDR 管理如何運作?
在虛擬網路管理員中,您會建立路由設定。 在組態內,您可以建立規則集合來描述網路群組 (目標網路群組) 所需的 UDR。 在規則集合中,路由規則可用來描述目標網路群組中子網或虛擬網路所需的路由行為。 建立組態之後,您必須 部署組態 以套用至您的資源。 部署時,所有路由都會儲存在位於虛擬網路管理員管理資源群組內的路由表中。
路由設定會根據路由規則所指定的內容,為您建立 UDR。 例如,您可以指定支點網路群組,由兩個虛擬網路組成,可透過防火牆存取 DNS 服務的位址。 您的網路管理員會建立 UDR,讓此路由行為發生。
路由設定
路由設定是 UDR 管理的建置組塊。 它們用來描述網路群組所需的路由行為。 路由組態包含下列設定:
| Attribute | 說明 |
|---|---|
| 名稱 | 路由組態的名稱。 |
| 說明 | 路由組態的描述。 |
路由收集設定
路由集合包含下列設定:
| Attribute | 說明 |
|---|---|
| 名稱 | 路由集合的名稱。 |
| 本機路由設定 | 路由集合的本機路由設定。 |
| 啟用 BGP 路由傳播 | 路由集合的 BGP 設定。 |
| 目標網路群組 | 路由集合的目標網路群組。 |
| 路由規則 | 描述目標網路群組所需路由行為的路由規則。 |
路由規則設定
每個路由規則都包含下列設定:
| Attribute | 說明 |
|---|---|
| 名稱 | 路由規則的名稱。 |
| 目的地類型 | |
| IP 位址 | 目的地的 IP 位址。 |
| 目的地 IP 位址/CIDR 範圍 | 目的地的IP位址或 CIDR 範圍。 |
| 服務標記 | 目的地的服務標籤。 |
| 下一個躍點類型 | |
| 虛擬網路閘道 | 作為下一個躍點的虛擬網路閘道。 |
| 虛擬網路 | 虛擬網路作為下一個躍點。 |
| 網際網路 | 互聯網作為下一個躍點。 |
| 虛擬設備 | 虛擬設備作為下一個躍點。 |
| 下一個躍點位址 | 下一個躍點的IP位址。 |
針對每個下一個躍點類型,請參閱 已使用定義的路由。
IP 位址的常見目的地模式
建立路由規則時,您可以指定目的地類型和位址。 當您將目的地類型指定為IP位址時,您可以指定IP位址資訊。 以下是常見的目的地模式:以下是常見的目的地模式:
| 流量目的地 | 說明 |
|---|---|
| 因特網 > NVA | 針對透過網路虛擬設備傳送到因特網的流量,請輸入 0.0.0.0/0 作為規則中的目的地。 |
| 私人流量 > NVA | 針對透過網路虛擬設備傳送至私人空間的流量,請輸入 192.168.0.0/16、172.16.0.0/12、40.0.0.0/24、10.0.0.0/24 作為規則中的目的地。 這些目的地是以私人IP位址空間RFC1918為基礎。 |
| 輪輻網路 > NVA | 針對透過網路虛擬設備連線的兩個輪輻虛擬網路之間的流量,請輸入輪輻的 CIDR 作為規則中的目的地。 |
使用 Azure 防火牆 作為下一個躍點
您也可以在建立路由規則時選取 [匯入 Azure 防火牆私人 IP 位址],輕鬆地選擇 Azure 防火牆 作為下一個躍點。 接著會使用 Azure 防火牆的IP位址作為下一個躍點。
常見的路由案例
以下是您可以使用 UDR 管理簡化和自動化的常見路由案例。
| 路由案例 | 說明 |
|---|---|
| 輪輻網路 -> 網路虛擬設備 -> 輪輻網路 | 針對透過網路虛擬設備連線的兩個輪輻虛擬網路之間的流量,使用此案例。 |
| 輪輻網路 -> 網路虛擬設備 -> 中樞網路中的端點或服務 | 針對透過網路虛擬設備連線中樞網路中的服務端點輪輻網路流量,使用此案例。 |
| 子網 -> 網路虛擬設備 -> 即使在相同虛擬網路中的子網 | |
| 輪輻網路 -> 網路虛擬設備 -> 內部部署網路/因特網 | 當您透過網路虛擬設備或內部部署位置輸出因特網流量,例如混合式網路案例時,請使用此案例。 |
| 透過每個中樞的網路虛擬設備跨中樞和輪輻網路 | |
| 中樞和輪輻網路與輪輻網路到內部部署需要透過網路虛擬設備 | |
| 閘道 -> 網路虛擬設備 -> 輪輻網路 |
本機路由設定
當您建立規則集合時,會定義本機路由設定。 本機路由設定會決定如何在相同的虛擬網路或子網路由流量。 以下是本機路由設定:
| 本機路由設定 | 說明 |
|---|---|
| 虛擬網路內的直接路由 | 將流量直接路由傳送至相同虛擬網路內的目的地。 |
| 子網內的直接路由 | 將流量直接路由傳送至相同子網內的目的地。 |
| 未指定 | 將流量路由傳送至路由規則中指定的下一個躍點。 |
當您在虛擬網路內選取 [直接路由] 或 [t] 內的 [直接路由] 時,系統會針對相同虛擬網络或子網內的本機流量路由建立具有虛擬網络下一個躍點的 UDR。 不過,如果目的地 CIDR 完全包含在來源 CIDR 內的這些選取專案下,且已選取直接路由,則會將網路設備指定為下一個躍點的 UDR 將不會設定。
UDR 管理的限制
以下是使用 Azure 虛擬網絡 Manager 進行 UDR 管理的限制:
- 當衝突路由規則存在時(具有相同目的地但不同下一個躍點的規則),這些規則在以相同虛擬網路或子網為目標的規則集合內或跨規則集合都不受支援。
- 當您建立與路由表中現有路由相同的目的地路由規則時,會忽略路由規則。
- 在路由表中手動修改虛擬網路管理員建立的 UDR 時,執行空白認可時,路由就不會啟動。 此外,規則的任何更新不會反映在具有相同目的地的路由中。
- 中樞虛擬網路中現有的 Azure 服務會維持其路由表和 UDR 的現有限制。
- Azure 虛擬網絡 Manager 需要受控資源群組來儲存路由表。 如果您需要刪除資源群組,必須先刪除,才能針對相同訂用帳戶中的資源嘗試任何新的部署。
後續步驟
瞭解如何在 Azure 虛擬網絡 Manager 中建立使用者定義的路由。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應