案例:透過 NVA 路由傳送流量
使用虛擬 WAN 虛擬中樞路由時,有許多可用的案例。 在此 NVA 案例中,我們的目標是透過 NVA (網路虛擬設備) 將流量從分支路由至 VNet,以及從 VNet 路由至分支。 如需虛擬中樞路由的相關資訊,請參閱關於虛擬中樞路由。
設計
在此案例中,我們將使用下列命名慣例:
- 「NVA VNet」,適用於使用者已部署 NVA,並連線其他虛擬網路作為輪輻的虛擬網路 (本文下方圖 2 中的 VNet 2 和 VNet 4)。
- 「NVA 輪輻」,適用於連線到 NVA VNet 的虛擬網路 (本文下方圖 2 中的 VNet 5、VNet 6、VNet 7 和 VNet 8)。
- 「非 NVA VNet」,適用於連線至虛擬 WAN 的虛擬網路,這些虛擬網路沒有 NVA 或其他 VNet 與之對等互連 (本文下方圖 2 中的 VNet 1 和 VNet 3)。
- 「中樞」,適用於 Microsoft 管理的虛擬 WAN 中樞,其中 NVA VNet 已與之連線。 NVA 輪輻 VNet 不需要連線到虛擬 WAN 中樞,只需要連線到 NVA VNet。
下列連線矩陣摘要說明此案例中支援的流程:
連線矩陣
| 從 | 變更為: | NVA 輪輻 | NVA VNet | 非 NVA VNet | 分支 |
|---|---|---|---|---|---|
| NVA 輪輻 | → | 透過 NVA VNet | 對等互連 | 透過 NVA VNet | 透過 NVA VNet |
| NVA VNet | → | 對等互連 | 直接 | 直接 | 直接 |
| 非 NVA VNet | → | 透過 NVA VNet | 直接 | 直接 | 直接 |
| 分支 | → | 透過 NVA VNet | 直接 | 直接 | 直接 |
連線矩陣中的每個資料格說明 VNet 或分支 (流程的「來源」端、資料表中的資料列標頭) 如何與目的地 VNet 或分支通訊 (流程的「目的地」端、資料表中斜體中的資料行標頭)。 「直接」表示連線是由虛擬 WAN 以原生方式提供,「對等互連」表示連線是由 VNet 中的使用定義路由所提供,「透過 NVA VNet」表示連線會周遊 NVA VNet 中部署的 NVA。 請考慮下列事項:
- NVA 輪輻不受虛擬 WAN 管理。 因此,使用者會維護其與其他 VNet 或分支通訊的機制。 與 NVA VNet 之間的連線是由 VNet 對等互連所提供,以 0.0.0.0/0 作為目的地的預設路由 (指向 NVA 作為下一個躍點) 應該涵蓋與網際網路、其他輪輻和分支之間的連線
- NVA VNet 會知道自己的 NVA 輪輻,但不會知道連線到其他 NVA VNet 的 NVA 輪輻。 例如,在本文下方的圖 2 中,VNet 2 知道 VNet 5 和 VNet 6,但不知道 VNet 7 和 VNet 8 等其他輪輻。 需要靜態路由,才能將其他輪輻的前置詞插入 NVA VNet
- 同樣地,分支和非 NVA VNet 不會知道任何 NVA 輪輻,因為 NVA 輪輻未連線到虛擬 WAN 中樞。 因此,這裡也需要靜態路由。
在考慮到 NVA 輪輻不是由虛擬 WAN 管理之後,所有其他資料列都會顯示相同的連線模式。 因此,單一路由表 (預設路由表) 會是:
- 虛擬網路 (非中樞 VNet 和使用者中樞 VNet):
- 相關聯的路由表:預設
- 傳播至路由表:預設值
- 分支:
- 相關聯的路由表:預設
- 傳播至路由表:預設值
不過,在此案例中,我們必須考慮要設定的靜態路由。 每個靜態路由會有兩個元件,其中一個元件位於虛擬 WAN 中樞,可告知虛擬 WAN 元件每個輪輻要使用哪一個連線,而該特定連線中的另一個元件則會指向已指派給 NVA 的具象 IP 位址 (或位於多個 NVA 前面的負載平衡器),如圖 1 所示:
圖 1
因此,必須存在於預設資料表中,以將流量傳送至 NVA VNet 後方 NVA 輪輻的靜態路由如下:
| 描述 | 路由表 | 靜態路由 |
|---|---|---|
| VNet 2 | 預設 | 10.2.0.0/16 -> eastusconn |
| VNet 4 | 預設 | 10.4.0.0/16 -> weconn |
現在,這些靜態路由將會公告至您的內部部署分支,而虛擬WAN 中樞將會知道要轉送流量的 VNet 連線。 不過,VNet 連線必須知道接收此流量時該怎麼做:這是使用連線路由表的位置。 在這裡,我們將使用較短的前置詞 (/24,而不是較長的 /16),以確保這些路由的優先程度高於從 NVA VNet (VNet 2 和 VNet 4) 匯入的路由:
| 描述 | [連接] | 靜態路由 |
|---|---|---|
| VNet 5 | eastusconn | 10.2.1.0/24 -> 10.2.0.5 |
| VNet 6 | eastusconn | 10.2.2.0/24 -> 10.2.0.5 |
| VNet 7 | weconn | 10.4.1.0/24 -> 10.4.0.5 |
| VNet 8 | weconn | 10.4.2.0/24 -> 10.4.0.5 |
現在 NVA VNet、非 NVA VNet 和分支都知道如何連線到所有 NVA 輪輻。 如需虛擬中樞路由的詳細資訊,請參閱關於虛擬中樞路由。
架構
在圖 2中,有兩個中樞:Hub1 和 Hub2。
Hub1 和 Hub2 會直接連線到 NVA VNet:VNet 2 和 VNet 4。
VNet 5 和 VNet 6 會與 VNet 2 對等互連。
VNet 7 和 VNet 8 會與 VNet 4 對等互連。
VNet 5、6、7、8 是間接輪輻,而不是直接連線到虛擬中樞。
圖 2
案例工作流程
若要透過 NVA 設定路由,以下是要考慮的步驟:
識別 NVA 輪輻 VNet 連線。 在圖 2中,這兩者是 VNet 2 連線 (eastusconn) 和 VNet 4 連線 (weconn)。
確定已設定 UDR:
- 從 VNet 5 和 VNet 6 到 VNet 2 NVA IP
- 從 VNet 7 和 VNet 8 到 VNet 4 NVA IP
您不需要直接將 VNet 5、6、7、8 連線到虛擬中樞。 確定 VNet 5、6、7,、8 中的 NSG 允許分支 (VPN/ER/P2S) 的流量,或連線至其遠端 VNet 的 VNet 流量。 例如,VNet 5、6 必須確定 NSG 允許內部部署位址首碼的流量,以及連線至遠端中樞 2 的 VNet 7、8 的流量。
虛擬 WAN 不支援 VNet 5、6 連線到虛擬中樞,並透過 VNet 2 NVA IP 進行通訊的案例;因此需要將 VNet 5、6 連線到 VNet 2,類似於 VNet 7、8 連線到 VNet 4 的情況。
將 VNet 2、5、6 的彙總靜態路由項目新增至中樞 1 的預設路由表。
注意
為了簡化路由,並減少虛擬 WAN 中樞路由表中的變更,我們建議使用虛擬 WAN 中樞進行新的 BGP 對等互連。 如需詳細資訊,請參閱下列文章:
在 VNet 2 的虛擬網路連線中設定 VNet 5、6 的靜態路由。 若要設定虛擬網路連線的路由設定,請參閱虛擬中樞路由。
將 VNet 4、7、8 的彙總靜態路由項目新增至中樞 1 的預設路由表。
針對中樞 2 的預設路由表重複步驟 2、3 和 4。
這會導致路由設定變更,如圖 3 所示。
圖 3
