Planowanie i implementacja tras User-Defined (UDR)
Możesz utworzyć trasy niestandardowe lub zdefiniowane przez użytkownika (statyczne) na platformie Azure, aby zastąpić domyślne trasy systemowe platformy Azure lub dodać więcej tras do tabeli tras podsieci. Na platformie Azure tworzysz tabelę tras, a następnie kojarzysz ją przynajmniej z zerową liczbą podsieci sieci wirtualnej. Każda podsieć może mieć przypisaną zero lub jedną tabelę tras. Aby dowiedzieć się więcej o maksymalnej liczbie tras, które można dodać do tabeli tras i maksymalnej liczbie tabel tras zdefiniowanych przez użytkownika, które można utworzyć dla subskrypcji platformy Azure, zobacz Limity platformy Azure. Podczas tworzenia tabeli tras i kojarzenia jej z podsiecią trasy tabeli są łączone z trasami domyślnymi podsieci. Jeśli występują konflikty przypisań tras, trasy zdefiniowane przez użytkownika zastępują trasy domyślne.
Podczas tworzenia trasy zdefiniowanej przez użytkownika można określić następujące typy następnego przeskoku:
Urządzenie wirtualne: urządzenie wirtualne to maszyna wirtualna, na której zwykle działa aplikacja sieci, taka jak zapora. Aby dowiedzieć się więcej o różnych wstępnie skonfigurowanych wirtualnych urządzeniach sieciowych, które można wdrożyć w sieci wirtualnej, zobacz witrynę Azure Marketplace. Podczas tworzenia trasy z typem przeskoku Urządzenie wirtualne należy określić także adres IP następnego przeskoku. Adresem IP może być:
- Prywatny adres IP interfejsu sieciowego dołączonego do maszyny wirtualnej. Każdy interfejs sieciowy dołączony do maszyny wirtualnej, która przesyła dalej ruch sieciowy do adresu innego niż własny, musi mieć w tym celu włączoną opcję Włącz przekazywanie IP platformy Azure. To ustawienie wyłącza sprawdzanie przez platformę Azure elementu źródłowego i docelowego interfejsu sieciowego. Dowiedz się więcej na temat włączania przekazywania adresów IP dla interfejsu sieciowego. Chociaż pozycja Włącz przekazywanie adresu IP to ustawienie platformy Azure, włączenie przekazywania adresu IP w ramach systemu operacyjnego maszyny wirtualnej może być konieczne, aby urządzenie przekazywało dalej ruch między prywatnymi adresami IP przypisanami do interfejsów sieciowych platformy Azure. Jeśli urządzenie musi kierować ruch do publicznego adresu IP, musi albo związać ruch przez proxy, albo przeprowadzić translację adresów sieciowych (NAT) ze źródłowego prywatnego adresu IP na własny prywatny adres IP. Następnie platforma Azure wykonuje translator adresów sieciowych na publiczny adres IP przed wysłaniem ruchu do Internetu. Aby ustalić wymagane ustawienia maszyny wirtualnej, zobacz dokumentację swojego systemu operacyjnego lub aplikacji sieciowej. Aby zrozumieć połączenia wychodzące na platformie Azure, zobacz Omówienie połączeń wychodzących.
- Prywatny adres IP wewnętrznego modułu równoważenia obciążenia platformy Azure. Moduł równoważenia obciążenia jest często używany jako część strategii wysokiej dostępności sieciowych urządzeń wirtualnych.
- Prywatny adres IP interfejsu sieciowego dołączonego do maszyny wirtualnej. Każdy interfejs sieciowy dołączony do maszyny wirtualnej, która przesyła dalej ruch sieciowy do adresu innego niż własny, musi mieć w tym celu włączoną opcję Włącz przekazywanie IP platformy Azure. To ustawienie wyłącza sprawdzanie przez platformę Azure elementu źródłowego i docelowego interfejsu sieciowego. Dowiedz się więcej na temat włączania przekazywania adresów IP dla interfejsu sieciowego. Chociaż pozycja Włącz przekazywanie adresu IP to ustawienie platformy Azure, włączenie przekazywania adresu IP w ramach systemu operacyjnego maszyny wirtualnej może być konieczne, aby urządzenie przekazywało dalej ruch między prywatnymi adresami IP przypisanami do interfejsów sieciowych platformy Azure. Jeśli urządzenie musi kierować ruch do publicznego adresu IP, musi albo związać ruch przez proxy, albo przeprowadzić translację adresów sieciowych (NAT) ze źródłowego prywatnego adresu IP na własny prywatny adres IP. Następnie platforma Azure wykonuje translator adresów sieciowych na publiczny adres IP przed wysłaniem ruchu do Internetu. Aby ustalić wymagane ustawienia maszyny wirtualnej, zobacz dokumentację swojego systemu operacyjnego lub aplikacji sieciowej. Aby zrozumieć połączenia wychodzące na platformie Azure, zobacz Omówienie połączeń wychodzących.
Trasę można zdefiniować z prefiksem adresu 0.0.0.0/0 i typem następnego przeskoku urządzenia wirtualnego. Ta konfiguracja umożliwia urządzeniu inspekcję ruchu i określenie, czy przekazywać ruch, czy go odrzucać. Jeśli zamierzasz utworzyć trasę zdefiniowaną przez użytkownika, która zawiera prefiks adresu 0.0.0.0/0, przeczytaj najpierw 0.0.0.0/0 address prefix (Prefiks adresu 0.0.0.0/0).
- Brama sieci wirtualnej: określ, kiedy ruch przeznaczony dla określonych prefiksów adresów ma być kierowany do bramy sieci wirtualnej. Brama sieci wirtualnej musi zostać utworzona z typem VPN. Nie można określić bramy sieci wirtualnej utworzonej jako typu ExpressRoute w trasie zdefiniowanej przez użytkownika, ponieważ w przypadku usługi ExpressRoute należy użyć protokołu BGP dla tras niestandardowych. Nie można określić bram sieci wirtualnej, jeśli masz współistniejące połączenia sieci VPN i ExpressRoute. Możesz zdefiniować trasę, która kieruje ruch przeznaczony dla prefiksu adresu 0.0.0.0/0 do bramy sieci wirtualnej opartej na trasach. Na swoim terenie możesz mieć urządzenie, które sprawdza ruch i określa, czy go przekazać dalej lub odrzucić. Jeśli zamierzasz utworzyć zdefiniowaną przez użytkownika trasę dla prefiksu adresu 0.0.0.0/0, przeczytaj najpierw 0.0.0.0/0 address prefix (Prefiks adresu 0.0.0.0/0). Zamiast konfigurować zdefiniowaną przez użytkownika trasę dla prefiksu adresu 0.0.0.0/0, możesz anonsować trasę z prefiksem 0.0.0.0/0 za pomocą protokołu BGP, jeśli masz włączony protokół BGP dla bramy sieci wirtualnej sieci VPN.
- Brak: określ, kiedy chcesz porzucić ruch do prefiksu adresu, zamiast przekazywać ten ruch do miejsca docelowego. Jeśli nie skonfigurowano w pełni możliwości, platforma Azure może wyświetlać pozycję Brak dla niektórych opcjonalnych tras systemowych. Jeśli na przykład pozycja Brak zostanie wyświetlona jako Adres IP następnego przeskoku dla Typu następnego przeskoku równego Brama sieci wirtualnej lub Urządzenie wirtualne, może to wynikać z tego, że urządzenie nie jest uruchomione lub nie jest w pełni skonfigurowane. Platforma Azure tworzy domyślne trasy systemowe dla zarezerwowanych prefiksów adresów mające pozycję Brak jako typ następnego przeskoku.
- Sieć wirtualna: określ opcję Sieć wirtualna, jeśli chcesz zastąpić domyślny routing w sieci wirtualnej.
- Internet: określ opcję Internet, jeśli chcesz jawnie kierować ruch kierowany do prefiksu adresu do Internetu lub jeśli chcesz, aby ruch przeznaczony dla usług platformy Azure z publicznymi adresami IP przechowywanymi w sieci szkieletowej platformy Azure. Zobacz Przykład routingu, aby zrozumieć, dlaczego warto utworzyć trasę z typem przeskoku do wirtualnej sieci.
Nie można określić komunikacji równorzędnej sieci wirtualnej ani elementu VirtualNetworkServiceEndpoint jako typu następnego przeskoku w trasach zdefiniowanych przez użytkownika. Trasy z komunikacją równorzędną sieci wirtualnych lub typami następnego przeskoku VirtualNetworkServiceEndpoint są tworzone tylko przez platformę Azure podczas konfigurowania komunikacji równorzędnej sieci wirtualnej lub punktu końcowego usługi.
Tagi usługi dla tras zdefiniowanych przez użytkownika
Teraz można określić tag usługi jako prefiks adresu dla trasy zdefiniowanej przez użytkownika zamiast jawnego zakresu adresów IP. Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów. W ten sposób minimalizując złożoność częstych aktualizacji tras zdefiniowanych przez użytkownika i zmniejszając liczbę tras, które należy utworzyć. Obecnie można tworzyć 25 lub mniej tras z tagami usługi w każdej tabeli tras. W tej wersji obsługiwane jest również używanie tagów usługi w scenariuszach routingu dla kontenerów.
Dokładne dopasowanie
System zapewnia preferencję trasy z jawnym prefiksem, gdy istnieje dokładne dopasowanie prefiksu między trasą z jawnym prefiksem IP a trasą z tagiem usługi. Jeśli wiele tras z tagami usługi ma pasujące prefiksy IP, trasy są oceniane w następującej kolejności:
- Tagi regionalne (na przykład Storage.EastUS, AppService.AustraliaCentral)
- Tagi najwyższego poziomu (na przykład Storage, AppService)
- Tagi regionalne usługi AzureCloud (na przykład AzureCloud.canadacentral, AzureCloud.eastasia)
- Tag usługi AzureCloud
Aby użyć tej funkcji, określ nazwę tagu usługi dla parametru prefiksu adresu w poleceniach tabeli tras. Na przykład w programie PowerShell można utworzyć nową trasę, aby kierować ruch wysyłany do prefiksu IP usługi Azure Storage do urządzenia wirtualnego przy użyciu:
$param = @{ Name = 'StorageRoute' AddressPrefix = 'Storage' NextHopType = 'VirtualAppliance' NextHopIpAddress = '10.0.100.4' } New-AzRouteConfig @param
To samo polecenie dla Azure CLI to:
az network route-table route create \ --resource-group MyResourceGroup \ --route-table-name MyRouteTable \ --name StorageRoute \ --address-prefix Storage \ --next-hop-type VirtualAppliance \ --next-hop-ip-address 10.0.100.4
Typy następnego przeskoku dla narzędzi platformy Azure
Nazwa wyświetlana i odniesienia do typów następnego przeskoku różnią się pomiędzy portalem Azure oraz narzędziami wiersza polecenia, a także między modelami wdrażania menedżera zasobów i klasycznymi modelami wdrażania. W poniższej tabeli wymieniono nazwy używane do odwoływania się do każdego typu następnego przeskoku przy użyciu różnych narzędzi i modeli wdrażania.
Rozwiń tabelę
| Typ następnego przeskoku | Interfejs wiersza polecenia platformy Azure i program PowerShell (Menedżer zasobów) | Klasyczny interfejs wiersza polecenia platformy Azure i program PowerShell (klasyczny) |
|---|---|---|
| Brama sieci wirtualnej | VirtualNetworkGateway | VPNGateway |
| Sieć wirtualna | Lokalna sieć wirtualna | VNETLocal (niedostępna w klasycznym interfejsie wiersza polecenia w trybie klasycznego modelu wdrażania) |
| Internet | Internet | Internet (niedostępny w klasycznym interfejsie wiersza polecenia w trybie klasycznego modelu wdrażania) |
| Urządzenie wirtualne | VirtualAppliance | VirtualAppliance |
| Żaden | Żaden | Wartość null (niedostępna w klasycznym interfejsie wiersza polecenia w trybie klasycznego modelu wdrażania) |
| Peerowanie sieci wirtualnej | Peerowanie sieci wirtualnej | Nie dotyczy |
| Punkt końcowy usługi dla sieci wirtualnej | VirtualNetworkServiceEndpoint | Nie dotyczy |
Protokół BGP (Border Gateway Protocol)
Brama sieci lokalnej może wymieniać trasy z bramą sieci wirtualnej platformy Azure przy użyciu protokołu BGP. Użycie protokołu BGP z bramą sieci wirtualnej platformy Azure zależy od typu wybranego podczas tworzenia bramy:
- ExpressRoute: musisz użyć protokołu BGP, aby anonsować lokalne trasy do routera brzegowego firmy Microsoft. Nie można utworzyć tras zdefiniowanych przez użytkownika, aby wymusić ruch do bramy sieci wirtualnej ExpressRoute, jeśli brama sieci wirtualnej została wdrożona jako typ ExpressRoute. Można użyć tras zdefiniowanych przez użytkownika (UDR) do wymuszania ruchu z usługi ExpressRoute do, na przykład, wirtualnego urządzenia sieciowego.
- Sieć VPN: opcjonalnie możesz użyć protokołu BGP. Aby uzyskać więcej informacji, zobacz BGP z połączeniami VPN site-to-site.
W przypadku wymiany tras z platformą Azure przy użyciu protokołu BGP oddzielna trasa jest dodawana do tabeli tras wszystkich podsieci w sieci wirtualnej dla każdego anonsowanego prefiksu. Trasa jest dodawana z bramą sieci wirtualnej wymienioną jako element źródłowy i typ następnego przeskoku.
Możesz wyłączyć propagację tras ExpressRoute i Azure VPN Gateway w podsieci, używając właściwości tabeli tras. Po wyłączeniu propagacji tras system nie dodaje tras do tabeli tras wszystkich podsieci z wyłączoną propagacją tras bramy sieci wirtualnej. Ten proces dotyczy zarówno tras statycznych, jak i tras protokołu BGP. Łączność z połączeniami sieci VPN jest osiągana przy użyciu tras niestandardowych z typem następnego przeskoku bramy sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Wyłączanie propagacji tras przez bramę sieci wirtualnej.
Uwaga / Notatka
Propagacja trasy nie powinna być wyłączona w podsieci GatewaySubnet. Brama nie będzie działać, jeśli to ustawienie jest wyłączone.
Jak platforma Azure wybiera trasę
Gdy ruch wychodzący jest wysyłany z podsieci, platforma Azure wybiera trasę na podstawie docelowego adresu IP przy użyciu najdłuższego algorytmu dopasowania prefiksu. Na przykład tabela tras zawiera dwie trasy. Jedna trasa określa prefiks adresu 10.0.0.0/24, a druga trasa określa prefiks adresu 10.0.0.0/16.
Platforma Azure kieruje ruch przeznaczony dla wersji 10.0.0.5 do typu następnego przeskoku określonego w trasie z prefiksem adresu 10.0.0.0/24. Ten proces występuje, ponieważ 10.0.0.0/24 jest dłuższym prefiksem niż 10.0.0.0/16, mimo że 10.0.0.5 mieści się w obu prefiksach adresów.
Azure kieruje ruch przeznaczony dla adresu 10.0.1.5 do typu następnego punktu przeskoku określonego w trasie z prefiksem adresu 10.0.0.0/16. Ten proces występuje, ponieważ prefiks adresu 10.0.1.5 nie jest uwzględniony w prefiksie adresu 10.0.0.0/24, co sprawia, że trasa z prefiksem adresu 10.0.0.0/16 jest najdłużej pasującym prefiksem.
Jeśli wiele tras zawiera ten sam prefiks adresu, platforma Azure wybiera typ trasy na podstawie następującego priorytetu:
- Trasa zdefiniowana przez użytkownika
- Trasa protokołu BGP
- Ścieżka systemowa
Uwaga / Notatka
Trasy systemowe dla ruchu związanego z siecią wirtualną, równorzędnymi połączeniami sieci wirtualnych lub końcowymi punktami usług sieci wirtualnej są preferowanymi trasami. Są one preferowane, nawet jeśli trasy BGP są bardziej szczegółowe. Trasy z punktem końcowym usługi w sieci wirtualnej jako typem następnego przeskoku nie mogą zostać zastąpione, nawet wtedy, gdy używasz tabeli tras.
Na przykład tabela tras zawiera następujące trasy:
Rozwiń tabelę
| Źródło | Prefiksy adresów | Typ następnego przeskoku |
|---|---|---|
| Wartość domyślna | 0.0.0.0/0 | Internet |
| Użytkownik | 0.0.0.0/0 | Brama sieci wirtualnej |
Gdy ruch jest przeznaczony dla adresu IP spoza prefiksów adresów innych tras w tabeli tras, Azure wybiera trasę ze źródłem użytkownika. Platforma Azure wybiera tę opcję, ponieważ trasy zdefiniowane przez użytkownika mają wyższy priorytet niż trasy domyślne systemu.
Aby uzyskać kompleksową tabelę routingu z wyjaśnieniami tras w tabeli, zobacz Przykład routingu.
prefiks adresu 0.0.0.0/0
Trasa z prefiksem adresu 0.0.0.0/0 zawiera instrukcje dotyczące platformy Azure. Platforma Azure używa tych instrukcji do kierowania ruchu przeznaczonego dla adresu IP, który nie mieści się w prefiksie adresu żadnej innej trasy w tabeli tras podsieci. Po utworzeniu podsieci platforma Azure tworzy trasę domyślną do prefiksu adresu 0.0.0.0/0 z typem następnego przeskoku na Internet. Jeśli nie zastąpisz tej trasy, platforma Azure kieruje cały ruch do adresów IP, które nie są uwzględnione w prefiksie adresu żadnej innej trasy do Internetu.
Wyjątkiem jest to, że ruch do publicznych adresów IP usług platformy Azure pozostaje w sieci szkieletowej platformy Azure i nie jest kierowany do Internetu. Po zastąpieniu tej trasy trasą niestandardową, ruch kierowany do adresów, które nie mieszczą się w prefiksach adresowych żadnej innej trasy w tabeli tras, jest odpowiednio przekierowywany. Miejsce docelowe zależy od tego, czy w ustawieniach trasy niestandardowej określono wirtualne urządzenie sieciowe lub bramę sieci wirtualnej.
Po zastąpieniu prefiksu adresu 0.0.0.0/0 ruch wychodzący z podsieci przepływa przez bramę sieci wirtualnej lub urządzenie wirtualne. W przypadku routingu domyślnego platformy Azure występują również następujące zmiany:
Platforma Azure wysyła cały ruch do typu następnego przeskoku określonego w trasie, uwzględniając ruch przeznaczony dla publicznych adresów IP usług platformy Azure.
Gdy typ następnego skoku trasy o prefiksie adresu 0.0.0.0/0 to Internet, ruch z podsieci skierowany do publicznych adresów IP usług Azure nigdy nie opuszcza sieci szkieletowej Azure, bez względu na region, w którym znajduje się wirtualna sieć lub zasób usługi Azure.
Podczas tworzenia trasy zdefiniowanej przez użytkownika lub trasy BGP z typem następnego przeskoku bramy sieci wirtualnej lub urządzenia wirtualnego cały ruch jest wysyłany do typu następnego przeskoku określonego w trasie. Obejmuje to ruch wysyłany do publicznych adresów IP usług platformy Azure, dla których nie włączono punktów końcowych usługi.
Gdy włączysz punkt końcowy dla usługi, platforma Azure tworzy trasę z prefiksami adresowymi dla tej usługi. Ruch do usługi nie jest kierowany do kolejnego węzła w trasie z prefiksem adresu 0.0.0.0/0. Prefiksy adresów dla usługi są dłuższe niż 0.0.0.0/0.
Nie można już bezpośrednio uzyskiwać dostępu do zasobów w podsieci z Internetu. Dostęp do zasobów w podsieci można uzyskać pośrednio z Internetu. Urządzenie wskazane przez typ następnego przeskoku dla ścieżki z prefiksem adresu 0.0.0.0/0 musi przetwarzać ruch przychodzący. Po przejściu przez urządzenie ruch dociera do zasobu w sieci wirtualnej. Jeśli trasa zawiera następujące wartości dla typu następnego przeskoku:
Urządzenie wirtualne: urządzenie musi:
- Być dostępny z Internetu.
- Przypisz do niego publiczny adres IP.
- Nie ma skojarzonej z nią reguły sieciowej grupy zabezpieczeń, która uniemożliwia komunikację z urządzeniem.
- Nie odmawiaj komunikacji.
- Być zdolnym do translacji adresu sieciowego i przesyłania dalej, lub pośredniczenia w ruchu do zasobu docelowego w podsieci i zwracania ruchu z powrotem do Internetu.
Brama sieci wirtualnej: jeśli brama jest bramą sieci wirtualnej usługi ExpressRoute, lokalne urządzenie podłączone do Internetu może tłumaczyć adresy sieciowe i przesyłać dalej ruch lub go proxy'ować do zasobu docelowego w podsieci poprzez prywatne połączenie równorzędne usługi ExpressRoute.
Jeśli twoja sieć wirtualna jest połączona z bramą sieci VPN platformy Azure, nie przypisuj tabeli tras do podsieci bramy, która zawiera trasę z miejscem docelowym 0.0.0.0/0. Zaniedbanie tego może spowodować nieprawidłowe działanie bramy. Aby uzyskać więcej informacji, zobacz Dlaczego niektóre porty są otwarte w bramie sieci VPN?.
Aby uzyskać szczegółowe informacje o implementacji podczas korzystania z bram sieci wirtualnych między internetem a platformą Azure, zobacz DMZ między platformą Azure a lokalnym centrum danych.
Przykład routingu
Aby zilustrować pojęcia przedstawione w tym artykule, opisano następujące sekcje:
- Scenariusz z wymaganiami.
- Trasy niestandardowe, które są niezbędne do spełnienia wymagań.
- Tabela tras, która istnieje dla jednej podsieci, która zawiera trasy domyślne i niestandardowe, które są niezbędne do spełnienia wymagań.
Uwaga / Notatka
Ten przykład nie jest przeznaczony do implementacji zalecanych ani najlepszych rozwiązań. Jest on udostępniany tylko w celu zilustrowania pojęć w tym artykule.
Wymagania
Implementacja dwóch sieci wirtualnych w tym samym regionie platformy Azure i umożliwienie zasobom komunikacji między sieciami wirtualnymi.
Włącz sieć lokalną, aby bezpiecznie komunikować się z obiem sieciami wirtualnymi za pośrednictwem tunelu VPN przez Internet. Alternatywnie możesz użyć połączenia usługi ExpressRoute, ale w tym przykładzie jest używane połączenie sieci VPN.
Dla jednej podsieci w jednej sieci wirtualnej:
- Przepuścić cały ruch wychodzący z podsieci przez wirtualne urządzenie sieciowe w celu inspekcji i rejestrowania. Wyklucz ruch do usługi Azure Storage i w podsieci z tego routingu.
- Nie sprawdzaj ruchu między prywatnymi adresami IP w podsieci. Zezwalaj na przepływ ruchu bezpośrednio między wszystkimi zasobami.
- Porzucaj wszelki ruch wychodzący przeznaczony dla innej sieci wirtualnej.
- Włącz ruch wychodzący do Azure Storage, aby przepływał bezpośrednio do Azure Storage, bez wymuszania przepływu przez wirtualne urządzenie sieciowe.
Zezwalaj na cały ruch między wszystkimi innymi podsieciami i sieciami wirtualnymi.
Implementacja
Na poniższym diagramie przedstawiono implementację za pomocą modelu wdrażania usługi Resource Manager, który spełnia poprzednie wymagania.
Uwaga / Notatka
Strzałki oznaczają przepływu ruchu.
Tabele routingu
Poniżej przedstawiono tabele tras dla poprzedniego przykładu routingu.
Subnet1
Tabela tras dla podsieci Subnet1 na powyższym diagramie zawiera następujące trasy:
Rozwiń tabelę
| ID | Źródło | Stan | Prefiksy adresów | Typ następnego przeskoku | Adres IP następnego przeskoku | Nazwa UDR |
|---|---|---|---|---|---|---|
| 1 | Wartość domyślna | Nieprawidłowy | 10.0.0.0/16 | Sieć wirtualna | ||
| 2 | Użytkownik | Aktywny | 10.0.0.0/16 | Urządzenie wirtualne | 10.0.100.4 | W obrębie VNet1 |
| 3 | Użytkownik | Aktywny | 10.0.0.0/24 | Sieć wirtualna | W ramach podsieci Subnet1 | |
| 4 | Wartość domyślna | Nieprawidłowy | 10.1.0.0/16 | Peerowanie sieci wirtualnej | ||
| 5 | Wartość domyślna | Nieprawidłowy | 10.2.0.0/16 | Peerowanie sieci wirtualnej | ||
| 6 | Użytkownik | Aktywny | 10.1.0.0/16 | Żaden | ToVNet2-1-usuń | |
| 7 | Użytkownik | Aktywny | 10.2.0.0/16 | Żaden | ToVNet2-2-Opuść | |
| 8 | Wartość domyślna | Nieprawidłowy | 10.10.0.0/16 | Brama sieci wirtualnej | [X.X.X.X.X] | |
| 9 | Użytkownik | Aktywny | 10.10.0.0/16 | Urządzenie wirtualne | 10.0.100.4 | Do lokalnego |
| 10 | Wartość domyślna | Aktywny | [X.X.X.X.X] | VirtualNetworkServiceEndpoint | ||
| 11 | Wartość domyślna | Nieprawidłowy | 0.0.0.0/0 | Internet | ||
| 12 | Użytkownik | Aktywny | 0.0.0.0/0 | Urządzenie wirtualne | 10.0.100.4 | Domyślne NVA |
Oto wyjaśnienie każdego identyfikatora trasy:
ID1: Platforma Azure automatycznie dodała tę trasę dla wszystkich podsieci w obszarze Virtual-network-1 , ponieważ 10.0.0.0/16 jest jedynym zakresem adresów zdefiniowanym w przestrzeni adresowej sieci wirtualnej. Jeśli nie utworzysz UDR w trasie ID2, ruch wysyłany do dowolnego adresu z zakresu od 10.0.0.1 do 10.0.255.254 jest kierowany wewnątrz sieci wirtualnej. Ten proces występuje, ponieważ prefiks jest dłuższy niż 0.0.0.0/0 i nie mieści się w prefiksach adresów innych tras.
Platforma Azure automatycznie zmieniła stan z Aktywny na Nieprawidłowy, gdy dodano trasę zdefiniowaną przez użytkownika (UDR) o identyfikatorze ID2. Ma ten sam prefiks co trasa domyślna, a trasy zdefiniowane przez użytkownika mają pierwszeństwo przed trasami domyślnymi. Stan tej trasy jest nadal aktywny dla Subnet2, ponieważ tabela tras, ID2, nie jest powiązana z Subnet2.
ID2: Platforma Azure dodała tę trasę, gdy trasa zdefiniowana przez użytkownika (UDR) dla prefiksu adresu 10.0.0.0/16 została skojarzona z podsiecią Subnet1 w sieci wirtualnej Virtual-network-1. Trasa zdefiniowana przez użytkownika (UDR) określa adres IP 10.0.100.4 jako adres urządzenia wirtualnego, ponieważ jest to prywatny adres IP przypisany do maszyny wirtualnej tego urządzenia. Tabela tras, w której istnieje ta trasa, nie jest skojarzona z podsiecią Subnet2, więc trasa nie jest wyświetlana w tabeli tras dla podsieci Subnet2.
Ta trasa zastępuje domyślną trasę dla prefiksu 10.0.0.0/16 (ID1), która automatycznie kieruje ruch adresowany do 10.0.0.1 i 10.0.255.254 w ramach sieci wirtualnej poprzez typ następnego przeskoku tej sieci. Ta trasa została stworzona w celu spełnienia wymagania 3, które polega na przekierowaniu całego ruchu wychodzącego przez urządzenie wirtualne.
ID3: Platforma Azure dodała tę trasę, gdy UDR dla prefiksu adresu 10.0.0.0/24 została powiązana z podsiecią Subnet1. Ruch przeznaczony dla adresów z zakresu od 10.0.0.1 do 10.0.0.254 pozostaje w podsieci. Ruch nie jest kierowany do urządzenia wirtualnego określonego w poprzedniej regule (ID2), ponieważ urządzenie to ma dłuższy prefiks niż trasa ID2.
Ta trasa nie była skojarzona z podsiecią Subnet2, więc trasa nie jest wyświetlana w tabeli tras dla podsieci Subnet2. Ta trasa skutecznie zastępuje trasę ID2 dla ruchu w podsieci Subnet1. Ta trasa istnieje, aby spełnić wymagania 3.
Platforma Azure automatycznie dodała trasy o identyfikatorach 4 i 5 dla wszystkich podsieci w sieci Virtual-network-1, gdy sieć wirtualna była połączona z siecią Virtual-network-2. Virtual-network-2 ma dwa zakresy adresów w swojej przestrzeni adresowej: 10.1.0.0/16 i 10.2.0.0/16, więc platforma Azure dodała trasę dla każdego z tych zakresów. Jeśli nie utworzysz UDR w identyfikatorach tras 6 i 7, ruch wysyłany do dowolnego adresu między 10.1.0.1-10.1.255.254 i 10.2.0.1-10.2.255.254 jest kierowany do równorzędnej sieci wirtualnej. Ten proces występuje, ponieważ prefiks jest dłuższy niż 0.0.0.0/0 i nie mieści się w prefiksach adresów innych tras.
Po dodaniu tras w identyfikatorach 6 i 7 platforma Azure automatycznie zmieniła stan z Aktywny na Nieprawidłowy. Ten proces występuje, ponieważ mają te same prefiksy co trasy w identyfikatorach 4 i 5, a trasy zdefiniowane przez użytkownika (UDR) zastępują trasy domyślne. Stan tras w identyfikatorach 4 i 5 pozostaje nadal aktywny dla podsieci Subnet2, ponieważ tabela tras, w której trasy definiowane przez użytkownika z identyfikatorami 6 i 7, nie jest powiązana z podsiecią Subnet2. Utworzono połączenie równorzędne sieci wirtualnej w celu spełnienia wymogu 1.
ID5: takie samo wyjaśnienie jak ID4.
ID6: Platforma Azure dodała tę trasę i trasę w identyfikatorze ID7, gdy trasy zdefiniowane przez użytkownika dla prefiksów adresowych 10.1.0.0/16 i 10.2.0.0/16 zostały skojarzone z podsiecią Subnet1. Platforma Azure odrzuca ruch przeznaczony dla adresów z zakresu od 10.1.0.1 do 10.1.255.254 oraz od 10.2.0.1 do 10.2.255.254, zamiast być kierowanym do równorzędnej sieci wirtualnej, ponieważ trasy zdefiniowane przez użytkownika zastępują trasy domyślne. Trasy nie są skojarzone z podsiecią Subnet2, więc trasy nie są wyświetlane w tabeli tras dla podsieci Subnet2. Trasy zastępują trasy ID4 i ID5 dla ruchu opuszczającego podsieć Subnet1. Trasy ID6 i ID7 istnieją, aby spełnić wymaganie 3, aby usunąć ruch kierowany do innej sieci wirtualnej.
ID7: takie samo wyjaśnienie jak ID6.
ID8: Platforma Azure automatycznie dodała tę trasę dla wszystkich podsieci w ramach sieci wirtualnej Virtual-network-1 , gdy brama sieci wirtualnej typu VPN została utworzona w sieci wirtualnej. Platforma Azure dodała publiczny adres IP bramy sieci wirtualnej do tabeli tras. Ruch wysyłany do dowolnego adresu z zakresu od 10.10.0.1 do 10.10.255.254 jest kierowany do bramy sieci wirtualnej. Prefiks jest dłuższy niż 0.0.0.0/0 i nie mieści się w prefiksach adresów jakichkolwiek innych tras. Brama sieci wirtualnej została utworzona w celu spełnienia wymagań 2.
ID9: Platforma Azure dodała tę trasę, gdy do tabeli tras skojarzonej z podsiecią Subnet1 dodano trasę UDR dla prefiksu adresu 10.10.0.0/16. Ta trasa zastępuje ID8. Trasa wysyła cały ruch przeznaczony dla sieci lokalnej do wirtualnego urządzenia sieciowego do inspekcji, zamiast kierować ruch bezpośrednio do sieci lokalnej. Ta trasa została utworzona w celu spełnienia wymagań 3.
ID10: Platforma Azure automatycznie dodała tę trasę do podsieci, kiedy punkt końcowy do usługi platformy Azure został włączony dla podsieci. Platforma Azure kieruje ruch z podsieci na publiczny adres IP usługi za pośrednictwem sieci infrastruktury platformy Azure. Prefiks jest dłuższy niż 0.0.0.0/0 i nie mieści się w prefiksach adresów jakichkolwiek innych tras. Utworzono punkt końcowy usługi, aby spełnić wymaganie 3 i umożliwić bezpośredni przepływ ruchu do usługi Azure Storage.
ID11: Platforma Azure automatycznie dodała tę trasę do tabeli tras wszystkich podsieci w obszarze Virtual-network-1 i Virtual-network-2. Prefiks adresu 0.0.0.0/0 jest najkrótszym prefiksem. Wszelki ruch wysyłany na adresy w ramach dłuższego prefiksu adresu jest kierowany na podstawie innych tras.
Domyślnie platforma Azure kieruje cały ruch przeznaczony dla adresów innych niż adresy określone w jednej z innych tras do Internetu. Platforma Azure automatycznie zmieniła stan podsieci Subnet1 z aktywnego na nieważny, gdy do podsieci została skojarzona trasa zdefiniowana przez użytkownika dla prefiksu adresu 0.0.0.0/0 (ID12). Stan tej trasy jest nadal aktywny dla wszystkich innych podsieci w obu sieciach wirtualnych, ponieważ trasa nie jest skojarzona z żadnymi innymi podsieciami w innych sieciach wirtualnych.
ID12: Azure dodało tę trasę, gdy trasa zdefiniowana przez użytkownika (UDR) dla prefiksu adresu 0.0.0.0/0 została powiązana z podsiecią Subnet1. UDR określa wartość 10.0.100.4 jako adres IP urządzenia wirtualnego. Ta trasa nie jest skojarzona z podsiecią Subnet2, więc trasa nie jest wyświetlana w tabeli tras dla podsieci Subnet2. Cały ruch dla dowolnego adresu, który nie jest objęty prefiksami adresów wszelkich innych tras, jest wysyłany do urządzenia wirtualnego.
Dodanie tej trasy zmieniło stan domyślnej trasy dla prefiksu adresowego 0.0.0.0/0 (ID11) z Aktywny na Nieprawidłowy dla Subnet1, ponieważ trasa zdefiniowana przez użytkownika zastępuje trasę domyślną. Ta trasa istnieje, aby spełnić wymagania 3.
Podsieć 2
Tabela tras dla podsieci Subnet2 na powyższym diagramie zawiera następujące trasy:
Rozwiń tabelę
| Źródło | Stan | Prefiksy adresów | Typ następnego przeskoku | Adres IP następnego przeskoku |
|---|---|---|---|---|
| Wartość domyślna | Aktywny | 10.0.0.0/16 | Sieć wirtualna | |
| Wartość domyślna | Aktywny | 10.1.0.0/16 | Peerowanie sieci wirtualnej | |
| Wartość domyślna | Aktywny | 10.2.0.0/16 | Peerowanie sieci wirtualnej | |
| Wartość domyślna | Aktywny | 10.10.0.0/16 | Brama sieci wirtualnej | [X.X.X.X.X] |
| Wartość domyślna | Aktywny | 0.0.0.0/0 | Internet | |
| Wartość domyślna | Aktywny | 10.0.0.0/8 | Żaden | |
| Wartość domyślna | Aktywny | 100.64.0.0/10 | Żaden | |
| Wartość domyślna | Aktywny | 192.168.0.0/16 | Żaden |
Tabela tras dla podsieci Subnet2 zawiera wszystkie trasy domyślne utworzone przez platformę Azure oraz opcjonalne trasy peeringu sieci wirtualnej i bramy sieci wirtualnej. Platforma Azure dodała opcjonalne trasy do wszystkich podsieci w sieci wirtualnej po dodaniu bramy sieciowej i peeringu do sieci wirtualnej.
Platforma Azure usunęła trasy dla prefiksów adresów 10.0.0.0/8, 192.168.0.0/16 i 100.64.0.0/10 z tabeli tras Subnet1, kiedy UDR dla prefiksu adresu 0.0.0.0/0 został dodany do Subnet1.