Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
When working with Virtual WAN virtual hub routing, there are quite a few available scenarios. In this scenario, the goal is to route traffic between VNets directly, but use Azure Firewall for VNet-to-Internet/Branch and Branch-to-VNet traffic flows.
Design
Para descobrir quantas tabelas de rotas serão necessárias, você pode criar uma matriz de conectividade, onde cada célula representa se uma origem (linha) pode se comunicar com um destino (coluna). A matriz de conectividade neste cenário é trivial, mas para ser consistente com outros cenários, ainda podemos olhar para ela.
Matriz de conectividade
| From | To: | VNets | Sucursais | Internet |
|---|---|---|---|---|
| VNets | → | Direct | AzFW | AzFW |
| Sucursais | → | AzFW | Direct | Direct |
Na tabela anterior, "Direct" representa a conectividade direta entre duas conexões sem o tráfego que atravessa o Firewall do Azure na WAN Virtual e "AzFW" indica que o fluxo passará pelo Firewall do Azure. Como há dois padrões de conectividade distintos na matriz, precisaremos de duas tabelas de rotas que serão configuradas da seguinte maneira:
- Redes virtuais:
- Tabela de rotas associada: RT_VNet
- Propagating to route tables: RT_VNet
- Filiais:
- Associated route table: Default
- Propagating to route tables: Default
Nota
Você pode criar uma instância de WAN Virtual separada com um único Hub Virtual Seguro em cada região e, em seguida, pode conectar cada WAN Virtual entre si por meio de VPN Site a Site.
Para obter informações sobre roteamento de hub virtual, consulte Sobre roteamento de hub virtual.
Fluxo de Trabalho
Nesse cenário, você deseja rotear o tráfego por meio do Firewall do Azure para tráfego de VNet-to-Internet, VNet-to-Branch ou Branch-to-VNet, mas gostaria de ir direto para o tráfego de VNet-to-VNet. Se você usou o Gerenciador de Firewall do Azure, as configurações de rota serão preenchidas automaticamente na Tabela de Rotas Padrão. O tráfego privado aplica-se a VNet e filiais, o tráfego da Internet aplica-se a 0.0.0.0/0.
As conexões VPN, ExpressRoute e User VPN são chamadas coletivamente de Branches e associadas à mesma tabela de rotas (Padrão). Todas as conexões VPN, ExpressRoute e User VPN propagam rotas para o mesmo conjunto de tabelas de rotas. Para configurar este cenário, considere as seguintes etapas:
Crie uma tabela de rotas personalizada RT_VNet.
Crie uma rota para ativar VNet-to-Internet e VNet-to-Branch: 0.0.0.0/0 com o próximo salto apontando para o Azure Firewall. Na seção Propagação, você se certificará de que as VNets estejam selecionadas, o que garantiria rotas mais específicas, permitindo assim o fluxo de tráfego direto de VNet para VNet.
- In Association: Select VNets that will imply that VNets will reach destination according to the routes of this route table.
- Em Propagação: Selecione VNets que implicarão que as VNets se propagarão para esta tabela de rotas, ou seja, rotas mais específicas se propagarão para essa tabela de rotas, garantindo assim o fluxo de tráfego direto entre VNet e VNet.
Adicione uma rota estática agregada para VNets na Tabela de Rotas Padrão para ativar o fluxo de filiais para a VNet através do Firewall do Azure.
- Remember, branches are associated and propagating to the default route table.
- As ramificações não se propagam para a tabela de rotas RT_VNet. Isso garante o fluxo de tráfego de rede virtual para filial por meio do Firewall do Azure.
Isso resulta nas alterações na configuração de roteamento, como mostra a Figura 1.
Gráfico 1
Próximos passos
- Para obter mais informações sobre a WAN Virtual, consulte as Perguntas frequentes.
- Para obter mais informações sobre roteamento de hub virtual, consulte Sobre roteamento de hub virtual.
- Para obter mais informações sobre como configurar o roteamento de hub virtual, consulte Como configurar o roteamento de hub virtual.