Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Podczas pracy z routingiem koncentratora wirtualnego Virtual WAN istnieje wiele dostępnych scenariuszy. W tym scenariuszu celem jest bezpośrednie kierowanie ruchu między sieciami wirtualnymi, ale używanie usługi Azure Firewall do zarządzania przepływem ruchu z sieci wirtualnych do Internetu/oddziałów oraz z oddziałów do sieci wirtualnych.
Projektowanie
Aby ustalić, ile tabel tras będzie potrzebnych, można utworzyć macierz połączeń, w której każda komórka reprezentuje, czy źródło (wiersz) może komunikować się z miejscem docelowym (kolumną). Macierz łączności w tym scenariuszu jest banalna, ale aby zachować spójność z innymi scenariuszami, nadal możemy się jej przyjrzeć.
Macierz łączności
| Źródło | Do: | Sieci wirtualne | Oddziały | Internet |
|---|---|---|---|---|
| VNets | → | Bezpośredni | AzFW | AzFW |
| Oddziały | → | AzFW | Bezpośredni | Bezpośredni |
W poprzedniej tabeli "Direct" reprezentuje bezpośrednią łączność między dwoma połączeniami bez przechodzenia ruchu przez usługę Azure Firewall w wirtualnej sieci WAN i "AzFW" wskazuje, że przepływ przejdzie przez usługę Azure Firewall. Ponieważ w macierzy istnieją dwa odrębne wzorce łączności, potrzebne będą dwie tabele tras, które zostaną skonfigurowane w następujący sposób:
- Sieci wirtualne:
- Skojarzona tabela tras: RT_VNet
- Propagowanie do tabel tras: RT_VNet
- Oddziały
- Powiązana tabela tras: Domyślna
- Propagacja do tabel tras: ustawienie domyślne
Uwaga
W każdym regionie można utworzyć oddzielne wystąpienie usługi Virtual WAN z jednym bezpiecznym wirtualnym centrum Secure Virtual Hub, a następnie można połączyć każde wystąpienie Virtual WAN między sobą za pomocą VPN typu site-to-site.
Aby uzyskać informacje na temat routingu koncentratora wirtualnego, zobacz About virtual hub routing (Informacje o routingu koncentratora wirtualnego).
Przepływ pracy
W tym scenariuszu chcesz kierować ruch przez Azure Firewall dla ruchu z sieci VNet do internetu, z sieci VNet do oddziału lub z oddziału do sieci VNet, ale chcesz kierować ruch między sieciami VNet bezpośrednio. Jeśli używasz usługi Azure Firewall Manager, ustawienia trasy są automatycznie wypełniane w domyślnej tabeli tras. Ruch prywatny dotyczy sieci wirtualnej (VNet) i oddziałów, ruch internetowy dotyczy 0.0.0.0/0.
Połączenia sieci VPN, usługi ExpressRoute i sieci VPN użytkownika są łącznie nazywane gałęziami i kojarzą się z tą samą tabelą tras (domyślna). Wszystkie połączenia sieci VPN, usługi ExpressRoute i sieci VPN użytkownika propagują trasy do tego samego zestawu tabel tras. Aby skonfigurować ten scenariusz, należy wziąć pod uwagę następujące czynności:
Utwórz niestandardową tabelę tras RT_VNet.
Utwórz trasę, aby aktywować łącze VNet-do-Internetu i łącze VNet-do-Gałęzi: 0.0.0.0/0 z następnym przeskokiem kierującym do usługi Azure Firewall. W sekcji Propagacja upewnij się, że wybrano sieci wirtualne, które zapewniłyby bardziej szczegółowe trasy, umożliwiając w ten sposób bezpośredni przepływ ruchu między sieciami wirtualnymi.
- W obszarze Skojarzenie: wybierz sieci wirtualne, które będą oznaczać, że sieci wirtualne będą docierać do miejsca docelowego zgodnie z trasami tej tabeli tras.
- W obszarze Propagacja: wybierz sieci wirtualne, które będą oznaczać, że sieci wirtualne będą propagowane do tej tabeli tras; innymi słowy, bardziej szczegółowe trasy będą propagowane do tej tabeli tras, zapewniając tym samym bezpośredni przepływ ruchu między siecią wirtualną a siecią wirtualną.
Dodaj zagregowaną statyczną trasę dla sieci wirtualnych do tabeli Default Route w celu aktywacji przepływu między oddziałem a siecią VNet poprzez Azure Firewall.
- Pamiętaj, że gałęzie są skojarzone i propagowane do domyślnej tabeli tras.
- Gałęzie nie są zawarte w tabeli tras RT_VNet. Zapewnia to przepływ ruchu z sieci VNet do oddziału za pośrednictwem usługi Azure Firewall.
Spowoduje to zmianę konfiguracji routingu, jak pokazano na rysunku 1.
Rysunek 1
Następne kroki
- Aby uzyskać więcej informacji na temat usługi Virtual WAN, zobacz często zadawane pytania.
- Aby uzyskać więcej informacji na temat routingu koncentratora wirtualnego, zobacz About virtual hub routing (Informacje o routingu koncentratora wirtualnego).
- Aby uzyskać więcej informacji na temat konfigurowania routingu koncentratora wirtualnego, zobacz Jak skonfigurować routing koncentratora wirtualnego.