Směrování provozu virtuální sítě

Zjistěte, jak Azure směruje provoz mezi Azure, místním prostředím a internetovými prostředky. Azure pro každou podsíť v rámci virtuální sítě Azure automaticky vytvoří směrovací tabulku a přidá do ní výchozí systémové trasy. Další informace o virtuálních sítích a podsítích najdete v tématu Přehled virtuálních sítí. Některé systémové trasy Azure můžete přepsat vlastními trasami a přidat další vlastní trasy do směrovacích tabulek. Azure směruje odchozí provoz z podsítě na základě tras ve směrovací tabulce dané podsítě.

Systémové trasy

Azure automaticky vytvoří systémové trasy a přiřadí je ke každé podsíti ve virtuální síti. Systémové trasy nemůžete vytvořit ani odebrat, ale některé z nich můžete přepsat vlastními trasami. Azure vytváří výchozí systémové trasy pro každou podsíť a přidává další volitelné výchozí trasy do konkrétních podsítí nebo každé podsítě, když používáte konkrétní funkce Azure.

Výchozí

Každá trasa obsahuje předponu adresy a typ dalšího segmentu směrování. Při odeslání odchozího provozu z podsítě na IP adresu v rozsahu předpony adresy nějaké trasy použije Azure trasu obsahující danou předponu. Zjistěte, jak Azure vybírá trasu v případě, že několik tras obsahuje stejné předpony nebo překrývající se předpony. Kdykoli se vytvoří virtuální síť, Azure pro všechny podsítě v rámci této virtuální sítě automaticky vytvoří následující výchozí systémové trasy:

Zdroj Předpony adres Typ dalšího segmentu směrování
Výchozí Jedinečné pro virtuální síť Virtuální síť
Výchozí 0.0.0.0/0 Internet
Výchozí 10.0.0.0/8 Žádné
Výchozí 172.16.0.0/12 Žádný
Výchozí 192.168.0.0/16 Žádné
Výchozí 100.64.0.0/10 Žádný

Typy dalších segmentů směrování uvedené v předchozí tabulce představují způsob, jakým Azure směruje provoz určený pro uvedenou předponu adresy. Následuje vysvětlení jednotlivých typů dalších segmentů směrování:

  • Virtuální síť: Směruje provoz v mezích rozsahů adres v rámci adresního prostoru virtuální sítě. Azure vytvoří trasy s předponami adres, které odpovídají jednotlivým rozsahům adres definovaným v rámci adresního prostoru virtuální sítě. Pokud je v adresním prostoru virtuální sítě definováno více rozsahů adres, Azure pro každý z nich vytvoří samostatnou trasu. Azure automaticky směruje provoz mezi podsítěmi pomocí tras vytvořených pro jednotlivé rozsahy adres. Azure pro směrování provozu mezi podsítěmi nevyžaduje definování bran. Přestože virtuální síť obsahuje podsítě a každá podsíť má definovaný rozsah adres, Azure nevytvoří výchozí trasy pro rozsahy adres podsítě, protože každý rozsah adres podsítě je v rozsahu adresního prostoru virtuální sítě.

  • Internet: Směruje provoz určený předponou adresy do internetu. Výchozí systémová trasa určuje předponu adresy 0.0.0.0/0. Pokud nepřepíšete výchozí trasy Azure, až na jednu výjimku směruje Azure provoz pro všechny adresy, které nejsou určené rozsahem adres v rámci nějaké virtuální sítě, do internetu. Pokud je cílová adresa adresou některé ze služeb Azure, místo směrování provozu do internetu směruje Azure provoz přes páteřní síť Azure přímo do služby. Provoz mezi službami Azure neprochází internetem bez ohledu na to, ve které oblasti Azure virtuální síť existuje nebo ve které oblasti Azure je nasazena instance služby Azure. Výchozí systémovou trasu Azure pro předponu adresy 0.0.0.0/0 není možné přepsat vlastní trasou.

  • Žádný: Provoz směrovaný na další segment směrování typu Žádný se zahodí, a nesměruje se mimo podsíť. Azure automaticky vytvoří výchozí trasy pro následující předpony adres:

    • 10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16: Rezervované pro soukromé použití v RFC 1918.
    • 100.64.0.0/10: Rezervovaná v RFC 6598.

    Pokud přiřadíte jakýkoli z předchozích rozsahů adres v rámci adresního prostoru virtuální sítě, Azure automaticky změní typ dalšího segmentu směrování pro příslušnou trasu z Žádný na Virtuální síť. Pokud přiřadíte rozsah adres k adresnímu prostoru virtuální sítě, který zahrnuje jednu ze čtyř vyhrazených předpon adres (ale není stejný), Azure odebere trasu pro danou předponu a přidá trasu pro předponu adresy, kterou jste přidali, s typem dalšího segmentu směrování Virtuální síť.

Volitelné výchozí trasy

Azure přidává další výchozí systémové trasy pro různé funkce Azure, ale jenom v případě, že povolíte možnosti. V závislosti na možnosti přidá Azure volitelné výchozí trasy buď do konkrétních podsítí v rámci virtuální sítě, nebo do všech podsítí v rámci virtuální sítě. Další systémové trasy a další typy směrování, které Může Azure přidat, když povolíte různé možnosti, jsou:

Zdroj Předpony adres Typ dalšího segmentu směrování Podsíť v rámci virtuální sítě, ke které je trasa přidaná
Výchozí Jedinečné pro virtuální síť, například 10.1.0.0/16 Partnerské vztahy virtuálních sítí Vše
Brána virtuální sítě Předpony inzerované z místního prostředí přes protokol BGP nebo nakonfigurované v místní síťové bráně Brána virtuální sítě Vše
Výchozí Několik VirtualNetworkServiceEndpoint Pouze podsíť, pro kterou je povolený koncový bod služby.
  • Partnerský vztah virtuálních sítí (VNet): Když mezi dvěma virtuálními sítěmi vytvoříte partnerský vztah, přidá se trasa pro každý rozsah adres v rámci adresního prostoru obou virtuálních sítí, pro které je partnerský vztah vytvořený. Další informace o partnerském vztahu virtuálních sítí.

  • Brána virtuální sítě: Po přidání brány virtuální sítě do virtuální sítě se přidá jedna nebo více tras s uvedeným typem dalšího segmentu směrování Brána virtuální sítě. Zdrojem je také brána virtuální sítě, protože brána přidá trasy do podsítě. Pokud vaše místní síťová brána vyměňuje trasy protokolu BGP (Border Gateway Protocol) s bránou virtuální sítě Azure, přidá se trasa pro každou trasu rozšířenou z místní síťové brány. Doporučuje se shrnout místní trasy do největších možných rozsahů adres, aby se do brány virtuální sítě Azure šířilo co nejméně tras. Počet tras, které můžete rozšířit do brány virtuální sítě Azure, je omezený. Podrobnosti najdete v tématu věnovaném omezením Azure.

  • VirtualNetworkServiceEndpoint: Když pro určité služby povolíte koncový bod služby, Azure do směrovací tabulky přidá veřejné IP adresy těchto služeb. Koncové body služby se povolují pro jednotlivé podsítě v rámci virtuální sítě, takže se trasa přidá pouze do směrovací tabulky podsítě, pro kterou je koncový bod služby povolený. Veřejné IP adresy služeb Azure se pravidelně mění. Azure při změně adres spravuje adresy ve směrovací tabulce automaticky. Další informace o koncových bodech služby pro virtuální síť a službách, pro které můžete koncové body služby vytvořit.

    Poznámka

    Typy dalších segmentů směrování Partnerský vztah virtuálních sítí a VirtualNetworkServiceEndpoint se přidají pouze do směrovacích tabulek podsítí v rámci virtuálních sítí vytvořených prostřednictvím modelu nasazení Azure Resource Manager. Další typy směrování se nepřidají do směrovacích tabulek přidružených k podsítím virtuální sítě vytvořené prostřednictvím modelu nasazení Classic. Přečtěte si další informace o modelech nasazení Azure.

Vlastní trasy

Vlastní trasy můžete vytvořit buď vytvořením tras definovaných uživatelem, nebo výměnou tras protokolu BGP (Border Gateway Protocol) mezi místní síťovou bránou a bránou virtuální sítě Azure.

Definované uživatelem

Můžete vytvořit vlastní nebo uživatelem definované trasy( statické), trasy v Azure k přepsání výchozích systémových tras Azure nebo přidání dalších tras do směrovací tabulky podsítě. V Azure vytvoříte směrovací tabulku a pak ji přidružíte k žádné nebo několika podsítím virtuální sítě. Každá podsíť může mít přidruženou žádnou nebo jednu směrovací tabulku. Další informace o maximálním počtu tras, které můžete přidat do směrovací tabulky, a maximálním počtu směrovacích tabulek definovaných uživatelem, které můžete vytvořit pro jedno předplatné Azure, najdete v tématu věnovaném omezením Azure. Když vytvoříte směrovací tabulku a přidružíte ji k podsíti, trasy tabulky se zkombinují s výchozími trasami podsítě. Pokud existují konfliktní přiřazení tras, trasy definované uživatelem přepíší výchozí trasy.

Při vytváření trasy definované uživatelem můžete zadat následující typy dalších segmentů směrování:

  • Virtuální zařízení: Virtuální zařízení je virtuální počítač, na kterém je obvykle spuštěná síťová aplikace, jako je například brána firewall. Informace o různých předem nakonfigurovaných síťových virtuálních zařízeních, která můžete nasadit ve virtuální síti, najdete v Azure Marketplace. Při vytváření trasy s typem segmentu směrování Virtuální zařízení zadáváte také IP adresu dalšího segmentu směrování. Tato IP adresa může být:

    • Privátní IP adresa síťového rozhraní připojeného k virtuálnímu počítači. Pro každé síťové rozhraní připojené k virtuálnímu počítači, který předává provoz na jinou adresu než svou vlastní, musí být povolená možnost Azure Povolit předávání IP. Toto nastavení pro síťové rozhraní zakáže kontrolu zdroje a cíle, kterou provádí Azure. Další informace o povolení předávání IP pro síťové rozhraní. Přestože je možnost Povolit předávání IP nastavením Azure, možná bude nutné povolit předávání IP také v operačním systému virtuálního počítače, aby zařízení předávalo provoz mezi privátními IP adresami přiřazenými k síťovým rozhraním Azure. Pokud zařízení musí směrovat provoz na veřejnou IP adresu, musí buď předávat provoz přes proxy, nebo přeložit privátní IP adresu zdroje na vlastní privátní IP adresu, kterou pak Azure před odesláním provozu do internetu přeloží na veřejnou IP adresu. Informace o určení požadovaných nastavení v rámci virtuálního počítače najdete v dokumentaci k vašemu operačnímu systému nebo síťové aplikaci. Vysvětlení odchozích připojení v Azure najdete v tématu Principy odchozích připojení.

      Poznámka

      Nasaďte virtuální zařízení do jiné podsítě, pak se nasadí prostředky, které směrují přes virtuální zařízení. Nasazení virtuálního zařízení do stejné podsítě a následné použití směrovací tabulky na podsíť, která směruje provoz přes toto virtuální zařízení, může mít za následek smyčky směrování, kdy provoz nikdy neopustí podsíť.

      Privátní IP adresa dalšího segmentu směrování musí mít přímé připojení, aniž by bylo nutné směrovat přes bránu ExpressRoute nebo Virtual WAN. Nastavení dalšího segmentu směrování na IP adresu bez přímého připojení vede k neplatné konfiguraci směrování definované uživatelem.

    • Privátní IP adresa interního nástroje pro vyrovnávání zatížení Azure. Nástroj pro vyrovnávání zatížení se často používá jako součást strategie pro dosažení vysoké dostupnosti virtuálních síťových zařízení.

    Můžete definovat trasu s předponou adresy 0.0.0.0/0 a typem dalšího segmentu směrování Virtuální zařízení a tím umožnit zařízení kontrolovat provoz a určit, jestli ho předat, nebo zahodit. Pokud máte v úmyslu vytvořit trasu definovanou uživatelem, která obsahuje předponu adresy 0.0.0.0/0, přečtěte si nejprve část Předpona adresy 0.0.0.0/0.

  • Brána virtuální sítě: Určete, kdy chcete směrovat provoz určený pro konkrétní předpony adres do brány virtuální sítě. Brána virtuální sítě musí být vytvořená s typem VPN. Bránu virtuální sítě vytvořenou jako typ ExpressRoute nemůžete zadat v trasy definované uživatelem, protože s ExpressRoute musíte pro vlastní trasy použít protokol BGP. Brány Virtual Network není možné zadat, pokud máte současně existující připojení VPN a ExpressRoute. Můžete definovat trasu, která směruje provoz určený pro předponu adresy 0.0.0.0/0 do brány virtuální sítě založené na trasách. V místním prostředí můžete mít zařízení, které kontroluje provoz a určuje, jestli ho předat, nebo zahodit. Pokud máte v úmyslu vytvořit trasu definovanou uživatelem pro předponu adresy 0.0.0.0/0, přečtěte si nejprve část Předpona adresy 0.0.0.0/0. Pokud jste povolili protokol BGP pro bránu virtuální sítě VPN, místo konfigurace trasy definované uživatelem pro předponu adresy 0.0.0.0/0 můžete trasu s předponou 0.0.0.0/0 inzerovat přes protokol BGP.

  • Žádný: Určete, kdy chcete zahodit provoz určený pro předponu adresy, a nepředávat ho do cíle. Pokud jste nějakou možnost plně nenakonfigurovali, Azure může pro některé volitelné systémové trasy uvést typ Žádný. Pokud se například typ Žádný zobrazí jako IP adresa dalšího segmentu směrování s Typem dalšího segmentu směrováníBrána virtuální sítě nebo Virtuální zařízení, může být důvodem zastavení nebo neúplná konfigurace zařízení. Azure vytvoří výchozí systémové trasy pro vyhrazené předpony adres s typem dalšího segmentu směrování Žádný.

  • Virtuální síť: Určete, kdy chcete přepsat výchozí směrování v rámci virtuální sítě. V části Příklad směrování najdete příklad, proč byste mohli vytvořit trasu s typem segmentu směrování Virtuální síť.

  • Internet: Určete, kdy chcete explicitně směrovat provoz směřující na předponu adresy do internetu, nebo jestli chcete provoz určený pro služby Azure s veřejnými IP adresami zachovat v páteřní síti Azure.

Jako typ dalšího segmentu směrování v trasách definovaných uživatelem nemůžete zadat partnerský vztah virtuálních sítí ani VirtualNetworkServiceEndpoint . Trasy s typy dalších segmentů směrování Partnerský vztah virtuálních sítí nebo VirtualNetworkServiceEndpoint vytvoří Azure pouze v případě, že nakonfigurujete partnerský vztah virtuálních sítí nebo koncový bod služby.

Značky služeb pro trasy definované uživatelem

Teď můžete jako předponu adresy pro trasu definovanou uživatelem zadat značku služby místo explicitního rozsahu IP adres. Značka služby představuje skupinu předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres. Tím minimalizujete složitost častých aktualizací tras definovaných uživatelem a snížíte počet tras, které potřebujete vytvořit. V současné době můžete vytvořit 25 nebo méně tras se značkami služeb v každé směrovací tabulce. V této verzi se podporuje také použití značek služeb ve scénářích směrování pro kontejnery.

Přesná shoda

Pokud existuje přesná shoda předpony mezi trasou s explicitní předponou IP a trasou se značkou služby, předvolba se dá trase s explicitní předponou. Pokud má několik tras se značkami služeb odpovídající předpony IP, budou trasy vyhodnoceny v následujícím pořadí:

  1. Regionální značky (například Storage. EastUS, AppService.AustraliaCentral)
  2. Značky nejvyšší úrovně (například Storage, AppService)
  3. Regionální značky AzureCloudu (například AzureCloud.canadacentral, AzureCloud.eastasia)
  4. Značka AzureCloud

Pokud chcete tuto funkci použít, zadejte název značky služby pro parametr předpony adresy v příkazech směrovací tabulky. V PowerShellu můžete například vytvořit novou trasu, která bude směrovat provoz odesílaný na předponu IP adresy Azure Storage virtuálnímu zařízení pomocí:

New-AzRouteConfig -Name "StorageRoute" -AddressPrefix "Storage" -NextHopType "VirtualAppliance" -NextHopIpAddress "10.0.100.4"

Stejný příkaz pro rozhraní příkazového řádku bude:

az network route-table route create -g MyResourceGroup --route-table-name MyRouteTable -n StorageRoute --address-prefix Storage --next-hop-type VirtualAppliance --next-hop-ip-address 10.0.100.4

Známé problémy (duben 2021)

Pokud jsou v podsíti nakonfigurované trasy protokolu BGP nebo je ve vaší podsíti nakonfigurovaný koncový bod služby, nemusí být trasy vyhodnoceny se správnou prioritou. Tato funkce v současné době nefunguje pro virtuální sítě s duálním zásobníkem (IPv4+IPv6). Právě probíhá oprava těchto scénářů.

Typy dalších segmentů směrování napříč nástroji Azure

Zobrazené a odkazované názvy typů dalších segmentů směrování se liší na webu Azure Portal a v nástrojích příkazového řádku a v modelech nasazení Azure Resource Manager a Classic. Následující tabulka uvádí názvy používané k odkazování na jednotlivé typy dalších segmentů směrování v různých nástrojích a modelech nasazení:

Typ dalšího přesměrování Azure CLI a PowerShell (Resource Manager) Azure Classic CLI a PowerShell (Classic)
Brána virtuální sítě VirtualNetworkGateway VPNGateway
Virtuální síť VNetLocal VNETLocal (není k dispozici v klasickém rozhraní příkazového řádku v režimu správy služeb)
Internet Internet Internet (není k dispozici v klasickém rozhraní příkazového řádku v režimu správy služeb)
Virtuální zařízení VirtualAppliance VirtualAppliance
Žádné Žádné Null (není k dispozici v klasickém rozhraní příkazového řádku v režimu správy služeb)
Peering virtuálních sítí Partnerské vztahy virtuálních sítí Nelze použít
Koncový bod služby pro virtuální síť VirtualNetworkServiceEndpoint Nelze použít

Protokol BGP (Border Gateway Protocol)

Místní síťová brána si může vyměňovat trasy s bránou virtuální sítě Azure pomocí protokolu BGP (Border Gateway Protocol). Použití protokolu BGP s bránou virtuální sítě Azure závisí na typu, který jste vybrali při vytváření brány. Pokud jste vybrali typ:

  • ExpressRoute: K inzerování místních tras do směrovače Microsoft Edge musíte použít protokol BGP. Pokud jste bránu virtuální sítě nasadili s typem ExpressRoute, nemůžete vytvářet trasy definované uživatelem pro vynucení provozu do brány virtuální sítě ExpressRoute. Pro vynucení provozu z ExpressRoute třeba do virtuálního síťového zařízení můžete použít trasy definované uživatelem.
  • VPN: Volitelně můžete použít protokol BGP. Podrobnosti najdete v tématu Protokol BGP s připojeními VPN typu Site-to-Site.

Pokud vyměňujete trasy s Azure pomocí protokolu BGP, do směrovací tabulky všech podsítí ve virtuální síti se přidá samostatná trasa pro každou inzerovanou předponu. Trasa se přidá s bránou virtuální sítě uvedenou jako zdroj a typ dalšího segmentu směrování.

Šíření tras ER a VPN Gateway je možné v podsíti zakázat pomocí vlastnosti ve směrovací tabulce. Pokud je šíření trasy zakázané, trasy se nepřidají do směrovací tabulky všech podsítí se zakázaným šířením trasy brány virtuální sítě (statické trasy i trasy protokolu BGP). Připojení pomocí připojení VPN se dosahuje pomocí vlastních tras s typem dalšího segmentu směrování brány virtuální sítě. Šíření tras by nemělo být v podsítě GatewaySubnet zakázané. Pokud bude toto nastavení zakázané, nebude brána fungovat. Podrobnosti najdete v tématu Jak zakázat šíření tras brány virtuální sítě.

Jak Azure vybírá trasu

Při odeslání odchozího provozu z podsítě vybere Azure trasu na základě cílové IP adresy pomocí algoritmu shody nejdelších předpon. Směrovací tabulka například obsahuje dvě trasy: Jedna trasa určuje předponu adresy 10.0.0.0/24, zatímco druhá trasa určuje předponu adresy 10.0.0.0/16. Azure směruje provoz určený pro adresu 10.0.0.5 na typ dalšího segmentu směrování určený v trase s předponou adresy 10.0.0.0/24, protože předpona 10.0.0.0/24 je delší než 10.0.0.0/16, přestože adresa 10.0.0.5 je v rozsahu obou předpon adres. Azure směruje provoz směřující na adresu 10.0.1.5 na typ dalšího segmentu směrování určený v trase s předponou adresy 10.0.0.0/16, protože adresa 10.0.1.5 není zahrnutá v předponě adresy 10.0.0.0/24, a proto je předpona adresy 10.0.0.0/16 nejdelší odpovídající předpona.

Pokud několik tras obsahuje stejnou předponu adresy, Azure vybere typ trasy na základě následující priority:

  1. Trasa definovaná uživatelem
  2. Trasa protokolu BGP
  3. Systémová trasa

Poznámka

Pro provoz související s virtuální sítí, partnerskými vztahy virtuálních sítí nebo koncovými body služby pro virtuální síť doporučujeme používat systémové trasy, i když jsou trasy protokolu BGP konkrétnější.

Směrovací tabulka obsahuje například následující trasy:

Zdroj Předpony adres Typ dalšího segmentu směrování
Výchozí 0.0.0.0/0 Internet
Uživatel 0.0.0.0/0 Brána virtuální sítě

Pokud je provoz určený pro IP adresu mimo předpony adres jakýchkoli jiných tras ve směrovací tabulce, Azure vybere trasu se zdrojem Uživatel, protože trasy definované uživatelem mají vyšší prioritu než výchozí systémové trasy.

V části Příklad směrování najdete komplexní směrovací tabulku s vysvětlením tras, které obsahuje.

Předpona adresy 0.0.0.0/0

Trasa s předponou adresy 0.0.0.0/0 dává Azure pokyn, jak směrovat provoz určený pro IP adresu, která není v předponě adresy žádné jiné trasy ve směrovací tabulce podsítě. Po vytvoření podsítě Azure vytvoří výchozí trasu na předponu adresy 0.0.0.0/0 s typem dalšího směrování internetu . Pokud tuto trasu nepřepíšete, Azure bude veškerý provoz směřující na IP adresy, které nejsou zahrnuté v předponě adresy žádné jiné trasy, směrovat do internetu. Výjimkou je, že provoz na veřejné IP adresy služeb Azure zůstává v páteřní síti Azure a není směrován na internet. Pokud tuto trasu přepíšete vlastní trasou, provoz směřující na adresy, které nejsou zahrnuté v předponách adres žádné jiné trasy ve směrovací tabulce, se bude odesílat na virtuální síťové zařízení nebo do brány virtuální sítě v závislosti na tom, který cíl zadáte ve vlastní trase.

Když přepíšete předponu adresy 0.0.0.0/0, kromě přenosu odchozího provozu z podsítě přes bránu virtuální sítě nebo virtuální zařízení dojde u výchozího směrování Azure k následujícím změnám:

  • Azure odesílá veškerý provoz na typ dalšího segmentu směrování určený v trase, včetně provozu určeného pro veřejné IP adresy služeb Azure. Pokud je typ dalšího segmentu směrování pro trasu s předponou adresy 0.0.0.0/0 Internet, provoz z podsítě směřující na veřejné IP adresy služeb Azure nikdy neopustí páteřní síť Azure, a to bez ohledu na oblast Azure, ve které virtuální síť nebo prostředek služby Azure existuje. Pokud však vytvoříte trasu definovanou uživatelem nebo trasu protokolu BGP s typem dalšího segmentu směrování Brána virtuální sítě nebo Virtuální zařízení, veškerý provoz včetně provozu odeslaného na veřejné IP adresy služeb Azure, pro které jste nepovolili koncové body služby, se odesílá na typ dalšího segmentu směrování určený v této trase. Pokud jste pro službu povolili koncový bod služby, provoz do služby se nepřesměruje na typ dalšího segmentu směrování s předponou adresy 0.0.0.0/0, protože předpony adres pro službu jsou zadané v trase, kterou Azure vytvoří, když povolíte koncový bod služby, a předpony adres pro službu jsou delší než 0.0.0.0/0.

  • Už nemáte přístup k prostředkům v podsíti z internetu. K prostředkům v podsítí můžete z internetu přistupovat nepřímo, pokud příchozí provoz před dosažením prostředku ve virtuální síti prochází zařízením určeným typem dalšího segmentu směrování pro trasu s předponou adresy 0.0.0.0/0. Pokud trasa obsahuje pro typ dalšího segmentu směrování následující hodnoty:

    • Virtuální zařízení: Zařízení musí:

      • Být přístupné z internetu
      • Mít přiřazenou veřejnou IP adresu
      • Nemít přidružené pravidlo skupiny zabezpečení sítě, které by bránilo komunikaci se zařízením
      • Neodepírat komunikaci
      • Být schopné překládat a předávat síťové adresy nebo předávat provoz přes proxy do cílového prostředku v podsíti a vracet provoz zpět do internetu.
    • Brána virtuální sítě: Pokud je brána bránou virtuální sítě ExpressRoute, místní zařízení připojené k internetu musí být schopné překládat a předávat síťové adresy nebo předávat provoz přes proxy do cílového prostředku v podsíti přes soukromý partnerský vztah ExpressRoute.

Pokud je vaše virtuální síť připojená k bráně Azure VPN Gateway, nepřidružujte směrovací tabulku k podsíti brány , která zahrnuje trasu s cílem 0.0.0.0/0. Mohli byste tím bráně znemožnit správné fungování. Podrobnosti najdete v otázce Proč jsou některé porty brány VPN otevřené? v nejčastějších dotazech ke službě VPN Gateway.

Podrobnosti o implementaci při používání bran virtuální sítě mezi internetem a Azure najdete v tématu DMZ mezi Azure a místním datacentrem .

Příklad směrování

Pro objasnění konceptů v tomto článku následující části popisují:

  • Scénář s požadavky
  • Vlastní trasy potřebné ke splnění těchto požadavků
  • Směrovací tabulku pro jednu podsíť, která obsahuje výchozí a vlastní trasy potřebné ke splnění těchto požadavků

Poznámka

Tento příklad není zamýšlený jako doporučený nebo osvědčený postup implementace. Jeho účelem je spíše objasnění konceptů v tomto článku.

Požadavky

  1. Implementace dvou virtuálních sítí ve stejné oblasti Azure a povolení komunikace prostředků mezi těmito virtuálními sítěmi.

  2. Povolení zabezpečené komunikace místní sítě s oběma virtuálními sítěmi přes internet prostřednictvím tunelu VPN. Alternativně můžete použít připojení ExpressRoute, ale v tomto příkladu se používá připojení VPN.

  3. Pro jednu podsíť v jedné virtuální síti:

    • Vynucení toku veškerého odchozího provozu z podsítě, kromě provozu do služby Azure Storage a provozu v rámci podsítě, přes virtuální síťové zařízení pro účely zkoumání a protokolování.
    • Neprovázejte provoz mezi privátními IP adresami v rámci podsítě; povolit tok provozu přímo mezi všemi prostředky.
    • Zahození veškerého odchozího provozu určeného pro druhou virtuální síť.
    • Povolení toku odchozího provozu do úložiště Azure přímo do úložiště bez vynucování jeho průchodu přes virtuální síťové zařízení.
  4. Povolení veškerého provozu mezi všemi ostatními podsítěmi a virtuálními sítěmi.

Implementace

Následující obrázek ukazuje implementaci prostřednictvím modelu nasazení Azure Resource Manager, která splňuje předchozí požadavky:

Network diagram

Šipky ukazují tok provozu.

Směrovací tabulky

Podsíť Subnet1

Směrovací tabulka pro podsíť Subnet1 na obrázku obsahuje následující trasy:

ID Zdroj Stav Předpony adres Typ dalšího segmentu směrování IP adresa dalšího segmentu směrování Název trasy definované uživatelem
1 Výchozí Neplatný 10.0.0.0/16 Virtuální síť
2 Uživatel Aktivní 10.0.0.0/16 Virtuální zařízení 10.0.100.4 Within-VNet1
3 Uživatel Aktivní 10.0.0.0/24 Virtuální síť Within-Subnet1
4 Výchozí Neplatný 10.1.0.0/16 Partnerské vztahy virtuálních sítí
5 Výchozí Neplatný 10.2.0.0/16 Partnerské vztahy virtuálních sítí
6 Uživatel Aktivní 10.1.0.0/16 Žádné ToVNet2-1-Drop
7 Uživatel Aktivní 10.2.0.0/16 Žádné ToVNet2-2-Drop
8 Výchozí Neplatný 10.10.0.0/16 Brána virtuální sítě [X.X.X.X]
9 Uživatel Aktivní 10.10.0.0/16 Virtuální zařízení 10.0.100.4 To-On-Prem
10 Výchozí Aktivní [X.X.X.X] VirtualNetworkServiceEndpoint
11 Výchozí Neplatný 0.0.0.0/0 Internet
12 Uživatel Aktivní 0.0.0.0/0 Virtuální zařízení 10.0.100.4 Default-NVA

Následuje vysvětlení jednotlivých ID tras:

  • ID1: Azure tuto trasu automaticky přidala pro všechny podsítě v rámci virtuální sítě-1, protože 10.0.0.0/16 je jediný rozsah adres definovaný v adresní prostoru pro virtuální síť. Kdyby nebyla vytvořená trasa definovaná uživatelem s ID 2, provoz odeslaný na jakoukoli adresu v rozsahu 10.0.0.1 až 10.0.255.254 by se směroval v rámci virtuální sítě, protože předpona je delší než 0.0.0.0/0 a není v rozsahu předpon adres žádné jiné trasy. Platforma Azure automaticky změnila stav z Aktivní na Neplatný při přidání trasy definované uživatelem s ID 2, protože má stejnou předponu jako výchozí trasa a trasy definované uživatelem přepisují výchozí trasy. Stav této trasy je stále Aktivní pro podsíť Subnet2, protože směrovací tabulka, ve které je trasa definovaná uživatelem s ID 2, není přidružená k podsíti Subnet2.
  • ID2: Azure tuto trasu přidala, když byla k podsíti Podsítě 10.0.0.0/16 přidružená trasa definovaná uživatelem pro předponu adresy 10.0.0/16 ve virtuální síti Virtual-network-1 . Trasa definovaná uživatelem určuje 10.0.100.4 jako IP adresu virtuálního zařízení, protože tato adresa je privátní IP adresa přidružená k virtuálnímu počítači virtuálního zařízení. Směrovací tabulka, ve které tato trasa existuje, není přidružená k podsíti2, takže se nezobrazuje ve směrovací tabulce pro Podsíť2. Tato trasa přepisuje výchozí trasu pro předponu 10.0.0.0/16 (ID 1), která automaticky směrovala provoz určený pro adresy 10.0.0.1 a 10.0.255.254 v rámci virtuální sítě přes typ dalšího segmentu směrování této virtuální sítě. Tato trasa existuje kvůli splnění požadavku 3 na vynucení průchodu veškerého odchozího provozu přes virtuální zařízení.
  • ID3 Azure tuto trasu přidala, když byla k podsíti Subnet1 přidružena trasa definovaná uživatelem pro předponu adresy 10.0.0.0/24. Provoz určený pro adresy v rozsahu 10.0.0.1 až 10.0.0.254 zůstává v rámci podsítě, a nesměruje se do virtuálního zařízení určeného v předchozím pravidle (ID 2), protože má delší předponu než trasa s ID 2. Tato trasa nebyla přidružená k podsíti2, takže se trasa nezobrazuje ve směrovací tabulce pro Podsíť2. Tato trasa ve výsledku přepíše trasu s ID 2 pro provoz v rámci podsítě Subnet1. Tato trasa existuje kvůli splnění požadavku 3.
  • ID4: Azure automaticky přidal trasy v ID 4 a 5 pro všechny podsítě v rámci virtuální sítě-1, když byla virtuální síť v partnerském vztahu s virtual-network-2.Virtuální síť-2 má ve svém adresovém prostoru dva rozsahy adres: 10.1.0.0/16 a 10.2.0.0/16, takže Azure přidal trasu pro každý rozsah. Kdyby nebyly vytvořené trasy definované uživatelem s ID 6 a 7, provoz odeslaný na jakoukoli adresu v rozsahu 10.1.0.1 až 10.1.255.254 a 10.2.0.1 až 10.2.255.254 by se směroval do partnerské virtuální sítě, protože předpona je delší než 0.0.0.0/0 a není v rozsahu předpon adres žádné jiné trasy. Platforma Azure automaticky změnila stav z Aktivní na Neplatný při přidání tras s ID 6 a 7, protože mají stejné předpony jako trasy s ID 4 a 5 a trasy definované uživatelem přepisují výchozí trasy. Stav tras v ID 4 a 5 je stále aktivní pro podsíť2, protože směrovací tabulka, ve které jsou trasy definované uživatelem v ID 6 a 7, nejsou přidružené k podsíti2. Partnerský vztah virtuálních sítí byl vytvořený kvůli splnění požadavku 1.
  • ID5: Stejné vysvětlení jako ID4.
  • ID6: Azure přidal tuto trasu a trasu v ID7, když byly k podsíti Subnet1 přidruženy trasy definované uživatelem pro podsíť Subnet1 . Provoz určený pro adresy v rozsahu 10.1.0.1 až 10.1.255.254 a 10.2.0.1 až 10.2.255.254 Azure zahodí, a nesměruje ho do partnerské virtuální sítě, protože trasy definované uživatelem přepisují výchozí trasy. Trasy nejsou přidružené k podsíti2, takže se trasy nezobrazují v směrovací tabulce pro Podsíť2. Trasy přepisují trasy s ID 4 a 5 pro odchozí provoz z podsítě Subnet1. Trasy s ID 6 a 7 existují kvůli splnění požadavku 3 na zahození provozu směřujícího do druhé virtuální sítě.
  • ID7: Stejné vysvětlení jako ID6.
  • ID8: Azure tuto trasu automaticky přidala pro všechny podsítě v rámci virtuální sítě 1 , když byla v rámci virtuální sítě vytvořena brána typu VPN. Platforma Azure přidala veřejnou IP adresu brány virtuální sítě do směrovací tabulky. Provoz odeslaný na jakoukoli adresu v rozsahu 10.10.0.1 až 10.10.255.254 se směruje do brány virtuální sítě. Předpona je delší než 0.0.0.0/0 a není v rozsahu předpon adres žádné jiné trasy. Brána virtuální sítě byla vytvořená kvůli splnění požadavku 2.
  • ID9: Azure tuto trasu přidala, když se do směrovací tabulky přidružené k Podsíti1 přidala trasa definovaná uživatelem pro předponu adresy 10.10.0.0/16. Tato trasa přepisuje trasu s ID 8. Trasa odesílá veškerý provoz určený pro místní síť do NVA pro kontrolu, a nesměruje provoz přímo v místním prostředí. Tato trasa byla vytvořená kvůli splnění požadavku 3.
  • ID10: Azure tuto trasu automaticky přidala do podsítě, když byl pro tuto podsíť povolený koncový bod služby do služby Azure. Azure směruje provoz z této podsítě na veřejnou IP adresu služby přes síťovou infrastrukturu Azure. Předpona je delší než 0.0.0.0/0 a není v rozsahu předpon adres žádné jiné trasy. Koncový bod služby byl vytvořený kvůli splnění požadavku 3 na povolení toku provozu určeného pro službu Azure Storage přímo do služby Azure Storage.
  • ID11: Azure tuto trasu automaticky přidala do směrovací tabulky všech podsítí v rámci virtuální sítě 1 a virtuální sítě 2. Předpona adresy 0.0.0.0/0 je nejkratší předpona. Veškerý provoz odeslaný na adresy s delší předponou adresy se směruje podle jiných tras. Azure ve výchozím nastavení směruje veškerý provoz určený pro jiné adresy, než jsou adresy zadané v některé z ostatních tras, do internetu. Platforma Azure automaticky změnila stav z Aktivní na Neplatný pro podsíť Subnet1 při přidružení trasy definované uživatelem pro předponu adresy 0.0.0.0/0 (ID 12) k této podsíti. Stav této trasy je stále Aktivní pro všechny ostatní podsítě v rámci obou virtuálních sítí, protože trasa není přidružená k žádné jiné podsíti v rámci žádné jiné virtuální sítě.
  • ID12: Azure tuto trasu přidala, když byla k podsíti Subnet1 přidružena trasa definovaná uživatelem pro předponu adresy 0.0.0.0/0. Trasa definovaná uživatelem určuje 10.0.100.4 jako IP adresu virtuálního zařízení. Tato trasa není přidružená k podsíti2, takže se trasa nezobrazí v směrovací tabulce pro Podsíť2. Veškerý provoz pro jakoukoli adresu, která není zahrnutá v předponách adres žádné jiné trasy, se odesílá do virtuálního zařízení. Přidáním této trasy se změnil stav výchozí trasy pro předponu adresy 0.0.0.0/0 (ID 11) z Aktivní na Neplatný pro podsíť Subnet1, protože trasa definovaná uživatelem přepisuje výchozí trasu. Tato trasa existuje, aby splňovala třetí požadavek.

Podsíť Subnet2

Směrovací tabulka pro podsíť Subnet2 na obrázku obsahuje následující trasy:

Zdroj Stav Předpony adres Typ dalšího segmentu směrování IP adresa dalšího segmentu směrování
Výchozí Aktivní 10.0.0.0/16 Virtuální síť
Výchozí Aktivní 10.1.0.0/16 Partnerské vztahy virtuálních sítí
Výchozí Aktivní 10.2.0.0/16 Partnerské vztahy virtuálních sítí
Výchozí Aktivní 10.10.0.0/16 Brána virtuální sítě [X.X.X.X]
Výchozí Aktivní 0.0.0.0/0 Internet
Výchozí Aktivní 10.0.0.0/8 Žádné
Výchozí Aktivní 100.64.0.0/10 Žádný
Výchozí Aktivní 192.168.0.0/16 Žádné

Směrovací tabulka pro podsíť Subnet2 obsahuje všechny výchozí trasy a volitelné partnerské vztahy virtuálních sítí, které vytvořila platforma Azure, a volitelné trasy brány virtuální sítě. Platforma Azure přidala volitelné trasy do všech podsítí ve virtuální síti při přidání brány a partnerského vztahu do virtuální sítě. Azure odebral trasy pro předpony adres 10.0.0.0/8, 192.168.0.0/16 a 100.64.0.0/10 ze směrovací tabulky Podsítě, když byla do podsítě přidána trasa definovaná uživatelem pro předponu adresy 0.0.0.0/0.

Další kroky