虛擬設備的案例
在較大的 Azure 客戶中,常見的案例是需要對網際網路公開兩層式的應用程式,同時允許從內部部署資料中心存取後層。 本文件會逐步引導您完成案例,使用路由表、VPN 閘道和網路虛擬裝置來部署符合下列需求的兩層式環境:
Web 應用程式必須只允許從公用網際網路存取。
裝載應用程式的網頁伺服器必須能夠存取後端應用程式伺服器。
從網際網路到 Web 應用程式的所有流量都必須通過防火牆虛擬設備。 這個虛擬設備只用於網際網路流量。
經過應用程式伺服器的所有流量都必須通過防火牆虛擬設備。 這個虛擬設備會用於存取後端伺服器,以及存取透過 VPN 閘道來自內部部署的網路。
系統管理員必須能夠使用管理用途專用的第三個防火牆虛擬設備,從他們的內部部署電腦來管理防火牆虛擬設備。
此範例是標準的周邊網路 (也稱為 DMZ) 案例,具有 DMZ 和受保護的網路。 您可利用 NSG、防火牆虛擬設備或兩者的組合,在 Azure 中建構這類案例。
下表會顯示 NSG 和防火牆虛擬設備之間的優缺點。
| 項目 | 優點 | 缺點 |
|---|---|---|
| NSG | 無成本。 已整合至 Azure 角色型存取。 您可以在 Azure Resource Manager 範本中建立規則。 |
大型環境中的複雜性各有不同。 |
| 防火牆 | 完全掌控資料面。 透過防火牆主控台集中管理。 |
防火牆設備的成本。 未與 Azure 角色型存取整合。 |
下列解決方案使用防火牆虛擬設備實作周邊網路 (DMZ) / 受保護網路案例。
考量
您可以使用目前可用的不同功能,在 Azure 中部署先前說明的環境,如下所示。
虛擬網路。 Azure 虛擬網路運作的方式與內部部署網路相似,可以切割成一或多個子網路提供流量隔離並區隔問題。
虛擬設備。 Azure Marketplace 中有數家合作夥伴提供的虛擬設備,可用於先前所述的三種防火牆。
路由表。 Azure 網路會使用路由表來控制虛擬網路內的封包流程。 這些路由表可以套用至子網路。 您可以將路由表套用至 GatewaySubnet,其會將所有輸入 Azure 虛擬網路的流量從混合式連線轉送至虛擬設備。
IP 轉送。 根據預設,只有封包目的地 IP 位址符合 NIC IP 位址時,Azure 網路引擎才會將封包轉送到虛擬網路介面卡 (NIC)。 因此,如果路由表定義封包必須傳送到指定的虛擬設備,則 Azure 網路引擎就會卸除此封包。 為確保將封包遞送到不是封包實際目的地的 VM (本例中為虛擬設備),請為虛擬設備啟用「IP 轉送」。
網路安全性群組 (NSG)。 下列範例不會使用 NSG,但您可以使用套用至此解決方案中子網和/或 NIC 的 NSG。 NSG 會進一步篩選進出這些子網路和 NIC 的流量。
此範例中,有一個訂用帳戶包含下列項目:
兩個資源群組,不顯示在圖表中。
ONPREMRG。 包含模擬內部部署網路所需要的所有資源。
AZURERG。 包含 Azure 虛擬網路環境所需要的所有資源。
名為 onpremvnet 的虛擬網路,用於模仿內部部署資料中心,分段如下。
onpremsn1。 子網路,內含執行 Linux 發行版以模擬內部部署伺服器的虛擬機器 (VM)。
onpremsn2。 子網路,內含執行 Linux 發行版以模擬系統管理員所用之內部部署電腦的 VM。
onpremvnet 上有一個防火牆虛擬設備名為 OPFW,用來維護 azurevnet 的通道。
名為 azurevnet 的虛擬網路,區隔如下。
azsn1。 專門用於外部防火牆的外部防火牆子網路。 所有的網際網路流量都會從這個子網路進入。 這個子網路只包含連結至外部防火牆的 NIC。
azsn2。 前端子網路,裝載的 VM 會作為從網際網路存取的 Web 伺服器執行。
azsn3。 後端子網路,裝載的 VM 所執行的後端應用程式伺服器會由前端 Web 伺服器存取。
azsn4。 專門提供所有防火牆虛擬設備管理存取的管理子網路。 這個子網路只包含解決方案中所用之每個防火牆虛擬設備的 NIC。
GatewaySubnet。 ExpressRoute 和 VPN 閘道所需要的 Azure 混合式連線子網路,以提供 Azure Vnet 和其他網路間的連線。
azurevnet 網路有 3 個防火牆虛擬裝置。
AZF1。 在 Azure 中使用公用 IP 位址資源對公用網際網路公開的外部防火牆。 您必須確定擁有來自 Marketplace,或直接來自部署 3-NIC 虛擬設備之設備供應商的範本。
AZF2。 用以控制 azsn2 和 azsn3 間流量的內部防火牆。 此防火牆也是 3-NIC 虛擬設備。
AZF3。 內部部署資料中心系統管理員可存取的管理防火牆,且已連線到用來管理所有防火牆設備的管理子網路。 您可以在 Marketplace 中找到 2-NIC 虛擬設備的範本,或直接向您的設備廠商要求一份。
路由表
Azure 中的每個子網路都可以連結至路由表,這份路由表用以定義如何路由在該子網路中起始的流量。 如未定義任何 UDR,Azure 就會使用預設的路由允許流量在子網路之間流動。 若要進一步了解路由表和流量路由,請參閱 Azure 虛擬網路流量路由。
為確保通訊經由正確的防火牆設備完成,根據先前所列的最後一個需求,您必須在 azurevnet 中建立下列路由表。
azgwudr
在這個案例中,會透過連接到 AZF3,使用唯一從內部部署流至 Azure 的流量來管理防火牆,且流量必須通過內部防火牆 AZF2。 因此,GatewaySubnet 中只有一個必要路由,如下所示。
| Destination | 下一個躍點 | 說明 |
|---|---|---|
| 10.0.4.0/24 | 10.0.3.11 | 允許內部部署流量觸達管理防火牆 AZF3 |
azsn2udr
| Destination | 下一個躍點 | 說明 |
|---|---|---|
| 10.0.3.0/24 | 10.0.2.11 | 允許流量透過 AZF2 |
| 0.0.0.0/0 | 10.0.2.10 | 允許透過 AZF1 |
azsn3udr
| Destination | 下一個躍點 | 說明 |
|---|---|---|
| 10.0.2.0/24 | 10.0.3.10 | 允許 azsn2 的流量透過 AZF2 從應用程式伺服器流向 Web 伺服器 |
您也必須為 onpremvnet 中的子網路建立路由表,以模擬內部部署資料中心。
onpremsn1udr
| Destination | 下一個躍點 | 說明 |
|---|---|---|
| 192.168.2.0/24 | 192.168.1.4 | 允許 onpremsn2 的流量通過 OPFW |
onpremsn2udr
| Destination | 下一個躍點 | 說明 |
|---|---|---|
| 10.0.3.0/24 | 192.168.2.4 | 允許流量透過 OPFW |
| 192.168.1.0/24 | 192.168.2.4 | 允許 onpremsn1 的流量通過 OPFW |
IP 轉送
路由表和 IP 轉送兩種功能可以組合使用,以使用虛擬設備來控制 Azure 虛擬網路中的流量流程。 虛擬應用裝置無非就是一個 VM,可執行用來以某種方式處理網路流量的應用程式,例如防火牆或 NAT 裝置。
此虛擬設備 VM 必須能夠接收未定址到本身的連入流量。 若要讓 VM 接收定址到其他目的地的流量,您必須針對 VM 啟用 IP 轉送。 此設定是 Azure 設定,不是客體作業系統中的設定。 虛擬設備仍然需要執行某些類型的應用程式,以處理連入流量並正確予以路由。
若要深入了解 IP 轉送,請參閱 Azure 虛擬網路流量路由。
例如,假設 Azure 虛擬網路中有下列安裝程式︰
子網路 onpremsn1 包含名為 onpremvm1 的 VM。
子網路 onpremsn2 包含名為 onpremvm2 的 VM。
名為 OPFW 的虛擬設備連線到 onpremsn1 和 onpremsn2。
連結至 onpremsn1 的使用者定義路由,指定 onpremsn2 的所有流量都必須傳送至 OPFW。
此時,如果 onpremvm1 嘗試建立與 onpremvm2 的連線,則會使用 UDR,並將流量傳送至 OPFW 作為下一個躍點。 請記住,實際的封包目的地並未變更,目的地仍顯示 onpremvm2。
若 OPFW 未啟用 IP 轉送,Azure 虛擬網路邏輯會卸除封包,因為如果 VM 的 IP 位址是封包的目的地,其只允許將封包傳送到 VM。
若使用 IP 轉送,Azure 虛擬網路邏輯會將封包轉送到 OPFW,而不會變更其原始的目的地位址。 OPFW 必須處理封包,並決定如何加以處理。
為使先前案例得以運作,您必須對用於路由的 OPFW、AZF1、AZF2 和 AZF3 的 NIC 啟用 IP 轉送 (所有 NIC,連結到管理子網路的 NIC 除外)。
防火牆規則
如上所述,IP 轉送只確保將封包傳送到虛擬設備。 您的設備仍然需要決定如何處理這些封包。 在上述案例中,您需要在設備中建立下列規則:
OPFW
OPFW 代表包含下列規則的內部部署裝置︰
路由:10.0.0.0/16 (azurevnet) 的所有流量都必須通過通道 ONPREMAZURE 傳送。
原則︰允許 port2 和 ONPREMAZURE 之間所有的雙向流量。
AZF1
AZF1 代表包含下列規則的 Azure 虛擬設備︰
- 原則︰允許 port1 和 port2 之間所有的雙向流量。
AZF2
AZF2 代表包含下列規則的 Azure 虛擬設備︰
- 原則︰允許 port1 和 port2 之間所有的雙向流量。
AZF3
AZF3 代表包含下列規則的 Azure 虛擬設備:
- 路由:192.168.0.0/16 (onpremvnet) 的所有流量都必須通過 port1 傳送至 Azure 閘道 IP 位址 (即 10.0.0.1)。
網路安全性群組 (NSG)
這個案例中不會使用 NSG。 不過,您可以將 NSG 套用到每個子網路來限制流量的出入。 例如,您可以將下列 NSG 規則套用至外部 FW 子網路。
連入
允許所有來自網際網路的 TCP 流量流向子網路任何 VM 的連接埠 80。
拒絕來自網際網路的所有其他流量。
連出
- 拒絕所有流向網際網路的流量。
高階步驟
部署此案例會涉及下列高階步驟。
登入 Azure 訂用帳戶。
如果您想要部署虛擬網路來模擬內部部署網路,請部署屬於 ONPREMRG 的資源。
部署屬於 AZURERG 的資源。
部署 onpremvnet 到 azurevnet 的通道。
佈建好所有資源之後,請登入 onpremvm2 並 ping 10.0.3.101 來測試 onpremsn2 和 azsn3 之間的連線。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應