Scénář: Azure Firewall – vlastní
Při práci se směrováním Virtual WAN virtuálním rozbočovači existuje několik dostupných scénářů. V tomto scénáři je cílem směrování provozu mezi virtuálními sítěmi přímo, ale použít Azure Firewall pro toky provozu VNet-to-Internet/Branch a Branch-to-VNet.
Návrh
Abyste zjistili, kolik směrovacích tabulek bude potřeba, můžete vytvořit matici připojení, kde každá buňka představuje, jestli zdroj (řádek) může komunikovat s cílem (sloupcem). Matice připojení je v tomto scénáři triviální, ale být konzistentní s jinými scénáři, můžeme se na to podívat.
Matice připojení
| Z | Do: | Virtuální sítě | Větve | Internet |
|---|---|---|---|---|
| Virtuální sítě | → | Direct | AzFW | AzFW |
| Větve | → | AzFW | Direct | Direct |
V předchozí tabulce představuje "Přímé" přímé připojení mezi dvěma připojeními bez provozu procházejícího přes Azure Firewall v Virtual WAN a AzFW označuje, že tok bude procházet přes Azure Firewall. Vzhledem k tomu, že matice obsahuje dva odlišné vzory připojení, budeme potřebovat dvě směrovací tabulky, které budou nakonfigurovány takto:
- Virtuální sítě:
- Přidružená směrovací tabulka: RT_VNet
- Šíření do směrovací tabulky: RT_VNet
- Poboček:
- Přidružená směrovací tabulka: Výchozí
- Šíření do směrovací tabulky: Výchozí
Poznámka
Můžete vytvořit samostatnou instanci Virtual WAN s jedním zabezpečeným virtuálním centrem v každé oblasti a pak můžete každou instanci Virtual WAN propojit prostřednictvím sítě VPN typu site-to-site.
Informace o směrování virtuálního rozbočovače najdete v tématu Informace o směrování virtuálního rozbočovače.
Pracovní postup
V tomto scénáři chcete směrovat provoz přes protokol Azure Firewall pro provoz VNet-to-Internet, VNet-to-Branch nebo Branch-to-VNet, ale chcete přejít přímo na provoz VNet-to-VNet. Pokud jste použili Azure Firewall Manager, nastavení trasy se automaticky vyplní do výchozí směrovací tabulky. Privátní provoz se vztahuje na virtuální síť a větve, internetový provoz se vztahuje na 0.0.0.0/0.
Připojení VPN, ExpressRoute a VPN uživatele se souhrnně nazývají větve a přidružují se ke stejné (výchozí) směrovací tabulce. Všechna připojení VPN, ExpressRoute a VPN uživatele šíří trasy do stejné sady směrovací tabulky. Při konfiguraci tohoto scénáře je třeba vzít v úvahu následující kroky:
Vytvořte vlastní směrovací tabulku RT_VNet.
Vytvořte trasu pro aktivaci připojení VNet-to-Internet a VNet-to-Branch: 0.0.0.0/0 s dalším segmentem směrování odkazující na Azure Firewall. V části Šíření se ujistěte, že jsou vybrané virtuální sítě, které by zajistily konkrétnější trasy, což by umožnilo tok přímého provozu mezi virtuálními sítěmi.
- V části Přidružení: Vyberte virtuální sítě, které budou naznačovat, že se virtuální sítě dostanou do cíle podle tras této směrovací tabulky.
- V části Šíření: Vyberte virtuální sítě, které budou z toho mít za to, že se virtuální sítě rozšíří do této směrovací tabulky. Jinými slovy se do této směrovací tabulky rozšíří konkrétnější trasy, což zajistí tok přímého provozu mezi virtuální sítí a virtuální sítí.
Přidejte agregovanou statickou trasu pro virtuální sítě do tabulky Výchozí trasa, která aktivuje tok mezi pobočkami přes Azure Firewall.
- Nezapomeňte, že větve jsou přidružené k výchozí směrovací tabulce a šíří se do výchozí směrovací tabulky.
- Větve se nešířely do RT_VNet směrovací tabulky. Tím se zajistí tok provozu VNet-to-Branch přes Azure Firewall.
Výsledkem budou změny konfigurace směrování, jak je znázorněno na obrázku 1.
Obrázek 1
Další kroky
- Další informace o těchto Virtual WAN najdete v nejčastějších dotazech.
- Další informace o směrování virtuálního rozbočovače najdete v tématu Informace o směrování virtuálního rozbočovače.
- Další informace o konfiguraci směrování virtuálního centra najdete v tématu Postup konfigurace směrování virtuálního centra.