Globální přenosová architektura sítě a virtuální síť WANGlobal transit network architecture and Virtual WAN

Moderní podniky vyžadují připojení všudypřítomný mezi aplikacemi, daty a uživateli distribuovanými na Hyper-v cloudu a místním prostředím.Modern enterprises require ubiquitous connectivity between hyper-distributed applications, data, and users across the cloud and on-premises. Podniková architektura pro globální tranzitní sítě se přijímá v rámci konsolidace, připojení a řízení moderního a celosvětového podnikového provozu zaměřeného na Cloud.Global transit network architecture is being adopted by enterprises to consolidate, connect, and control the cloud-centric modern, global enterprise IT footprint.

Architektura globální přenosové sítě je založená na klasickém modelu připojení hub a hvězdicové sítě, ve kterém cloudová hostovaná síť "centrum" umožňuje přenosné připojení mezi koncovými body, které mohou být distribuovány napříč různými typy "paprsků".The global transit network architecture is based on a classic hub-and-spoke connectivity model where the cloud hosted network 'hub' enables transitive connectivity between endpoints that may be distributed across different types of 'spokes'.

V tomto modelu může být paprsek:In this model, a spoke can be:

  • Virtuální síť (virtuální sítě)Virtual network (VNets)
  • Lokalita fyzické pobočkyPhysical branch site
  • Vzdálený uživatelRemote user
  • InternetInternet

střed a paprskový

Obrázek 1: globální přenosová centra a síť paprskůFigure 1: Global transit hub-and-spoke network

Obrázek 1 znázorňuje logické zobrazení globální tranzitní sítě, kde geograficky distribuované uživatele, fyzické lokality a virtuální sítě jsou propojeny prostřednictvím síťového centra hostovaného v cloudu.Figure 1 shows the logical view of the global transit network where geographically distributed users, physical sites, and VNets are interconnected via a networking hub hosted in the cloud. Tato architektura umožňuje v rámci logického připojení mezi koncovými body sítě logický přenos s jedním směrováním.This architecture enables logical one-hop transit connectivity between the networking endpoints.

Globální tranzitní síť s virtuální sítí WANGlobal transit network with Virtual WAN

Azure Virtual WAN je cloudová síťová služba spravovaná Microsoftem.Azure Virtual WAN is a Microsoft-managed cloud networking service. Všechny síťové součásti, ze kterých se tato služba skládá, je hostována a spravována společností Microsoft.All the networking components that this service is composed of are hosted and managed by Microsoft. Další informace o virtuální síti WAN najdete v článku Přehled virtuálních sítí WAN .For more information about Virtual WAN, see the Virtual WAN Overview article.

Azure Virtual WAN umožňuje globální přenosovou architekturu sítě díky tomu, že umožňuje všudypřítomný připojení mezi globálně distribuovanými sadami cloudových úloh v virtuální sítě, pobočkových lokalitách, SaaS a PaaS aplikacemi a uživateli.Azure Virtual WAN allows a global transit network architecture by enabling ubiquitous, any-to-any connectivity between globally distributed sets of cloud workloads in VNets, branch sites, SaaS and PaaS applications, and users.

Azure Virtual WAN

Obrázek 2: globální tranzitní síť a virtuální síť WANFigure 2: Global transit network and Virtual WAN

V architektuře Azure Virtual WAN se virtuální rozbočovače sítě WAN zřídí v oblastech Azure, ke kterým se můžete rozhodnout připojit své větve, virtuální sítě a vzdálené uživatele.In the Azure Virtual WAN architecture, virtual WAN hubs are provisioned in Azure regions, to which you can choose to connect your branches, VNets, and remote users. Fyzické větve jsou připojené k centru podle úrovně Premium nebo Standard ExpressRoute nebo site-to-VPN, virtuální sítě jsou připojené k rozbočovači podle připojení virtuální sítě a vzdálení uživatelé se můžou přímo připojit k centru pomocí uživatelské sítě VPN (VPN typu Point-to-site).The physical branch sites are connected to the hub by Premium or Standard ExpressRoute or site-to site-VPNs, VNets are connected to the hub by VNet connections, and remote users can directly connect to the hub using User VPN (point-to-site VPNs). Virtuální síť WAN taky podporuje připojení virtuální sítě mezi oblastmi, kde virtuální síť v jedné oblasti může být připojená k virtuálnímu rozbočovači WAN v jiné oblasti.Virtual WAN also supports cross-region VNet connection where a VNet in one region can be connected to a virtual WAN hub in a different region.

Virtuální síť WAN můžete vytvořit tak, že vytvoříte jedno virtuální centrum sítě WAN v oblasti s největším počtem paprsků (větví, virtuální sítě, uživatelů) a potom propojíte paprsky, které jsou v jiných oblastech, do centra.You can establish a virtual WAN by creating a single virtual WAN hub in the region that has the largest number of spokes (branches, VNets, users), and then connecting the spokes that are in other regions to the hub. Tato možnost je vhodná v případě, že podniková technologie je převážně v jedné oblasti s několika vzdálenými paprsky.This is a good option when an enterprise footprint is mostly in one region with a few remote spokes.

Připojení k rozbočovačiHub-to-hub connectivity

Podnikové cloudové nároky můžou zahrnovat víc cloudových oblastí a je optimální (latence) pro přístup ke cloudu z oblasti nejbližší jejich fyzické lokalitě a uživatelům.An Enterprise cloud footprint can span multiple cloud regions and it is optimal (latency-wise) to access the cloud from a region closest to their physical site and users. Jedním z klíčových zásad globální architektury přenosové sítě je umožnění připojení mezi oblastmi mezi všemi koncovými body cloudu a místními sítěmi.One of the key principles of global transit network architecture is to enable cross-region connectivity between all cloud and on-premises network endpoints. To znamená, že provoz z větve, která je připojená ke cloudu v jedné oblasti, může získat přístup k jiné větvi nebo virtuální síti v jiné oblasti pomocí připojení typu hub, které povoluje globální síť Azure.This means that traffic from a branch that is connected to the cloud in one region can reach another branch or a VNet in a different region using hub-to-hub connectivity enabled by Azure Global Network.

mezi oblastmi

Obrázek 3: připojení mezi oblastmi virtuálních sítí WANFigure 3: Virtual WAN cross-region connectivity

Pokud je v jedné virtuální síti WAN povolené víc rozbočovačů, rozbočovače se automaticky propojí prostřednictvím odkazů z centra na hub. tím se tak umožní globální připojení mezi větvemi a virtuální sítě distribuovanými napříč několika oblastmi.When multiple hubs are enabled in a single virtual WAN, the hubs are automatically interconnected via hub-to-hub links, thus enabling global connectivity between branches and Vnets that are distributed across multiple regions.

Kromě toho je možné přidružit centra, která jsou součástí stejné virtuální sítě WAN, k různým místním přístupům a zásadám zabezpečení.Additionally, hubs that are all part of the same virtual WAN, can be associated with different regional access and security policies. Další informace najdete v části zabezpečení a řízení zásad dále v tomto článku.For more information, see Security and policy control later in this article.

Jakékoli připojeníAny-to-any connectivity

Globální přenosová architektura sítě umožňuje jakékoli připojení prostřednictvím virtuálních rozbočovačů WAN.Global transit network architecture enables any-to-any connectivity via virtual WAN hubs. Tato architektura eliminuje nebo omezuje nutnost připojení celé sítě nebo částečné sítě mezi paprsky, které jsou složitější pro sestavování a údržbu.This architecture eliminates or reduces the need for full mesh or partial mesh connectivity between spokes, that are more complex to build and maintain. Kromě toho je snazší konfigurovat a udržovat řízení směrování v sítích s rozbočovačem a s mřížkou.In addition, routing control in hub-and-spoke vs. mesh networks is easier to configure and maintain.

Připojení typu any-to-Any (v kontextu globální architektury) umožňuje podnik s globálně distribuovanými uživateli, pobočkami, datacentry, virtuální sítě a aplikacemi, aby se vzájemně připojovali přes "transitní" centra.Any-to-any connectivity (in the context of a global architecture) allows an enterprise with globally distributed users, branches, datacenters, VNets, and applications to connect to each other through the “transit” hub(s). Azure Virtual WAN funguje jako globální tranzitní systém.Azure Virtual WAN acts as the global transit system.

libovolný

Obrázek 4: cesty provozu virtuální sítě WANFigure 4: Virtual WAN traffic paths

Azure Virtual WAN podporuje následující cesty pro připojení globálního přenosu.Azure Virtual WAN supports the following global transit connectivity paths. Písmena v závorkách se mapují na obrázek 4.The letters in parentheses map to Figure 4.

  • Větev do virtuální sítě (a)Branch-to-VNet (a)
  • Větev do větve (b)Branch-to-branch (b)
    • ExpressRoute Global Reach a virtuální síť WANExpressRoute Global Reach and Virtual WAN
  • Vzdálený uživatel – virtuální síť (c)Remote User-to-VNet (c)
  • Vzdálený uživatel-do větve (d)Remote User-to-branch (d)
  • VNet-to-VNet (e)VNet-to-VNet (e)
  • Větev do větve – hub (f)Branch-to-hub-hub-to-Branch (f)
  • Větvení do sítě VNet – hub (g)Branch-to-hub-hub-to-VNet (g)
  • VNet-to-hub-hub (h)VNet-to-hub-hub-to-VNet (h)

Mezi větvemi (a) a mezi různými oblastmi (g) mezi virtuálními sítěmiBranch-to-VNet (a) and Branch-to-VNet Cross-region (g)

Větev-to-VNet je primární cesta podporovaná službou Azure Virtual WAN.Branch-to-VNet is the primary path supported by Azure Virtual WAN. Tato cesta umožňuje připojit větve k podnikovým úlohám Azure IAAS nasazeným v Azure virtuální sítě.This path allows you to connect branches to Azure IAAS enterprise workloads that are deployed in Azure VNets. Větve se dají připojit k virtuální síti WAN přes ExpressRoute nebo VPN typu Site-to-site.Branches can be connected to the virtual WAN via ExpressRoute or site-to-site VPN. Přenos dat do virtuální sítě, která jsou připojená k virtuálním rozbočovačům sítě WAN prostřednictvím připojení virtuální sítě.The traffic transits to VNets that are connected to the virtual WAN hubs via VNet Connections. Pro virtuální síť WAN není vyžadován explicitní přenos brány , protože virtuální síť WAN automaticky povoluje přenos brány do sítě.Explicit gateway transit is not required for Virtual WAN because Virtual WAN automatically enables gateway transit to branch site. Informace o tom, jak připojit SD-WAN CPE k virtuální síti WAN, najdete v článku věnovaném virtuálním partnerům WAN .See Virtual WAN Partners article on how to connect an SD-WAN CPE to Virtual WAN.

ExpressRoute Global Reach a virtuální síť WANExpressRoute Global Reach and Virtual WAN

ExpressRoute je soukromý a odolný způsob, jak připojit vaše místní sítě k Microsoft Cloud.ExpressRoute is a private and resilient way to connect your on-premises networks to the Microsoft Cloud. Virtuální síť WAN podporuje připojení okruhu Express Route.Virtual WAN supports Express Route circuit connections. Připojení lokality pobočky k virtuální síti WAN pomocí Express Route vyžaduje 1) okruh úrovně Premium nebo Standard okruh 2), aby byl v umístění s povoleným Global Reach.Connecting a branch site to Virtual WAN with Express Route requires 1) Premium or Standard Circuit 2) Circuit to be in a Global Reach enabled location.

ExpressRoute Global Reach je doplňková funkce pro ExpressRoute.ExpressRoute Global Reach is an add-on feature for ExpressRoute. Pomocí Global Reach můžete propojit okruhy ExpressRoute dohromady a vytvořit tak soukromou síť mezi místními sítěmi.With Global Reach, you can link ExpressRoute circuits together to make a private network between your on-premises networks. Větve, které jsou připojené k Azure Virtual WAN pomocí ExpressRoute, vyžadují vzájemnou komunikaci ExpressRoute Global Reach.Branches that are connected to Azure Virtual WAN using ExpressRoute require the ExpressRoute Global Reach to communicate with each other.

V tomto modelu se může každá větev, která je připojená k virtuálnímu rozbočovači WAN pomocí ExpressRoute, připojit k virtuální sítě pomocí cesty k virtuální síti.In this model, each branch that is connected to the virtual WAN hub using ExpressRoute can connect to VNets using the branch-to-VNet path. Provoz z větve do větve nebude přenášet do služby hub, protože ExpressRoute Global Reach umožňuje lepší cestu přes Azure WAN.Branch-to-branch traffic won't transit the hub because ExpressRoute Global Reach enables a more optimal path over Azure WAN.

Mezioblast mezi větvemi (b) a mezi větvemi (f)Branch-to-branch (b) and Branch-to-Branch cross-region (f)

Větve se dají připojit ke službě Azure Virtual WAN pomocí okruhů ExpressRoute a připojení VPN typu Site-to-site.Branches can be connected to an Azure virtual WAN hub using ExpressRoute circuits and/or site-to-site VPN connections. Větve můžete připojit k virtuálnímu rozbočovači WAN, který je v oblasti nejbližší k této větvi.You can connect the branches to the virtual WAN hub that is in the region closest to the branch.

Tato možnost umožňuje podnikům využít páteřní síť Azure pro připojení větví.This option lets enterprises leverage the Azure backbone to connect branches. I když je tato možnost k dispozici, měli byste zvážit výhody propojení větví přes Azure Virtual WAN vs. pomocí privátní sítě WAN.However, even though this capability is available, you should weigh the benefits of connecting branches over Azure Virtual WAN vs. using a private WAN.

Poznámka

Zakázání připojení mezi větvemi ve virtuální síti WAN – virtuální síť WAN se dá nakonfigurovat tak, aby se zakázalo připojení mezi větvemi.Disabling Branch-to-Branch Connectivity in Virtual WAN - Virtual WAN can be configured to disable Branch-to-Branch connectivity. Tento konfiguračním zablokuje šíření tras mezi sítěmi VPN (S2S a P2S) a připojenými weby Express Route.This configuation will block route propagation between VPN (S2S and P2S) and Express Route connected sites. Tato konfigurace nebude mít vliv na směrování mezi virtuálními sítěmi a propogation a připojení VNet-to-VNet.This configuration will not affect branch-to-Vnet and Vnet-to-Vnet route propogation and connectivity. Pokud chcete nakonfigurovat toto nastavení pomocí webu Azure Portal: v nabídce konfigurace virtuální sítě WAN vyberte nastavení: větev-do-větev – zakázáno.To configure this setting using Azure Portal: Under Virtual WAN Configuration menu, Choose Setting: Branch-to-Branch - Disabled.

Vzdálený uživatel – virtuální síť (c)Remote User-to-VNet (c)

Můžete povolit přímý zabezpečený vzdálený přístup k Azure pomocí připojení typu Point-to-site od vzdáleného klienta uživatele k virtuální síti WAN.You can enable direct, secure remote access to Azure using point-to-site connection from a remote user client to a virtual WAN. Podnikoví vzdálení uživatelé už nemusí hairpin do cloudu pomocí podnikové sítě VPN.Enterprise remote users no longer have to hairpin to the cloud using a corporate VPN.

Vzdálený uživatel-do větve (d)Remote User-to-branch (d)

Cesta vzdáleného uživatele k větvi umožňuje vzdáleným uživatelům, kteří používají připojení Point-to-site k Azure, přistupovat k místním úlohám a aplikacím prostřednictvím přenosu v cloudu.The Remote User-to-branch path lets remote users who are using a point-to-site connection to Azure access on-premises workloads and applications by transiting through the cloud. Tato cesta dává vzdáleným uživatelům flexibilitu při přístupu k úlohám, které jsou nasazené v Azure i v místním prostředí.This path gives remote users the flexibility to access workloads that are both deployed in Azure and on-premises. Podniky můžou povolit centrální cloudovou službu vzdáleného přístupu založenou na Azure Virtual WAN.Enterprises can enable central cloud-based secure remote access service in Azure Virtual WAN.

Tranzitní síť VNet-to-VNet (e) a více oblastí VNet-to-VNet (h)VNet-to-VNet transit (e) and VNet-to-VNet cross-region (h)

Průjezd VNet-to-VNet umožňuje, aby se virtuální sítě vzájemně připojovaly, aby bylo možné propojit vícevrstvé aplikace, které jsou implementované v rámci více virtuální sítě.The VNet-to-VNet transit enables VNets to connect to each other in order to interconnect multi-tier applications that are implemented across multiple VNets. Volitelně můžete vzájemně propojit virtuální sítě prostřednictvím partnerského vztahu virtuálních sítí a to může být vhodné pro některé scénáře, kdy není nutné přenos prostřednictvím centra VWAN.Optionally, you can connect VNets to each other through VNet Peering and this may be suitable for some scenarios where transit via the VWAN hub is not necessary.

Vynucené tunelování a výchozí trasa ve službě Azure Virtual WANForce Tunneling and Default Route in Azure Virtual WAN

Vynucené tunelování se dá povolit tak, že v virtuální síti WAN nakonfigurujeme možnost Povolit výchozí trasu pro připojení VPN, ExpressRoute nebo Virtual Network.Force Tunneling can be enabled by configuring the enable default route on a VPN, ExpressRoute, or Virtual Network connection in Virtual WAN.

Virtuální rozbočovač šíří naučenou výchozí trasu k síti VPN/ExpressRoute připojení typu Site-to-site, pokud je možnost Povolit výchozí příznak povoleno u připojení.A virtual hub propagates a learned default route to a virtual network/site-to-site VPN/ExpressRoute connection if enable default flag is 'Enabled' on the connection.

Tento příznak se zobrazí, když uživatel upraví připojení k virtuální síti, připojení k síti VPN nebo připojení ExpressRoute.This flag is visible when the user edits a virtual network connection, a VPN connection, or an ExpressRoute connection. Ve výchozím nastavení je tento příznak zakázán, pokud je lokalita nebo okruh ExpressRoute připojen k rozbočovači.By default, this flag is disabled when a site or an ExpressRoute circuit is connected to a hub. Ve výchozím nastavení je povolená, když se přidá připojení k virtuální síti, které virtuální síť připojí k virtuálnímu rozbočovači.It is enabled by default when a virtual network connection is added to connect a VNet to a virtual hub. Výchozí trasa nepochází do virtuálního centra WAN. Výchozí trasa je šířena v případě, že ji již služba Virtual WAN hub vyvolala v důsledku nasazení brány firewall v centru nebo v případě, že je povoleno vynucené tunelování na jiném připojeném serveru.The default route does not originate in the Virtual WAN hub; the default route is propagated if it is already learned by the Virtual WAN hub as a result of deploying a firewall in the hub, or if another connected site has forced-tunneling enabled.

Zabezpečení a řízení zásadSecurity and policy control

Rozbočovače Azure Virtual WAN propojování všech koncových bodů sítě v rámci hybridní sítě a potenciálně uvidí veškerý tranzitní síťový provoz.The Azure Virtual WAN hubs interconnect all the networking end points across the hybrid network and potentially see all transit network traffic. Virtuální rozbočovače WAN je možné převést na zabezpečená virtuální centra tím, že nasadíte Azure Firewall do Center VWAN a povolíte cloudové zabezpečení, přístup a řízení zásad.Virtual WAN hubs can be converted to Secured Virtual Hubs by deploying the Azure Firewall inside VWAN hubs to enable cloud-based security, access, and policy control. Orchestrace bran Azure firewall ve virtuálních sítích WAN může provádět Azure Firewall Manager.Orchestration of Azure Firewalls in virtual WAN hubs can be performed by Azure Firewall Manager.

Azure firewall Manager poskytuje možnosti pro správu a škálování zabezpečení pro globální přenosové sítě.Azure Firewall Manager provides the capabilities to manage and scale security for global transit networks. Azure Firewall Manager nabízí možnost centrálně spravovat směrování, správu globálních zásad a rozšířené služby internetového zabezpečení prostřednictvím třetích stran spolu s Azure Firewall.Azure Firewall Manager provides ability to centrally manage routing, global policy management, advanced Internet security services via third-party along with the Azure Firewall.

zabezpečené virtuální centrum s Azure Firewall

Obrázek 5: zabezpečené virtuální centrum s Azure FirewallFigure 5: Secured virtual hub with Azure Firewall

Azure Firewall k virtuální síti WAN podporuje následující cesty globálního připojení pro zabezpečené průjezdy.Azure Firewall to the virtual WAN supports the following global secured transit connectivity paths. Písmena v závorkách se mapují na obrázek 5.The letters in parentheses map to Figure 5.

  • Zabezpečený přenos VNet-to-VNet (e)VNet-to-VNet secure transit (e)
  • Síť VNet-to-Internet nebo služba zabezpečení třetích stran (i)VNet-to-Internet or third-party Security Service (i)
  • Služba zabezpečení z více stran na Internet nebo pro službu zabezpečení třetí strany (j)Branch-to-Internet or third-party Security Service (j)

Zabezpečený přenos VNet-to-VNet (e)VNet-to-VNet secured transit (e)

Zabezpečený průjezd typu VNet-to-VNet umožňuje, aby se virtuální sítě vzájemně připojovaly prostřednictvím Azure Firewall ve virtuálním centru WAN.The VNet-to-VNet secured transit enables VNets to connect to each other via the Azure Firewall in the virtual WAN hub.

Síť VNet-to-Internet nebo služba zabezpečení třetích stran (i)VNet-to-Internet or third-party Security Service (i)

Připojení typu VNet-to-Internet umožňuje virtuální sítě připojit se k Internetu prostřednictvím Azure Firewall ve virtuálním centru WAN.The VNet-to-Internet enables VNets to connect to the internet via the Azure Firewall in the virtual WAN hub. Provoz do Internetu prostřednictvím podporovaných služeb zabezpečení třetích stran neprovádí tok prostřednictvím Azure Firewall.Traffic to internet via supported third-party security services does not flow through the Azure Firewall. Pomocí správce Azure Firewall můžete nakonfigurovat cestu VNet-to-Internet prostřednictvím podporované služby zabezpečení třetí strany.You can configure Vnet-to-Internet path via supported third-party security service using Azure Firewall Manager.

Služba zabezpečení z více stran na Internet nebo pro službu zabezpečení třetí strany (j)Branch-to-Internet or third-party Security Service (j)

Síť s připojením k Internetu umožňuje větví připojit se k Internetu prostřednictvím Azure Firewall ve virtuálním centru WAN.The Branch-to-Internet enables branches to connect to the internet via the Azure Firewall in the virtual WAN hub. Provoz do Internetu prostřednictvím podporovaných služeb zabezpečení třetích stran neprovádí tok prostřednictvím Azure Firewall.Traffic to internet via supported third-party security services does not flow through the Azure Firewall. Pomocí správce Azure Firewall můžete nakonfigurovat cestu k síti Internet prostřednictvím podporované služby zabezpečení třetí strany.You can configure Branch-to-Internet path via supported third-party security service using Azure Firewall Manager.

Zabezpečený tranzitní přechod mezi jednotlivými větvemi (f)Branch-to-branch secured transit cross-region (f)

Větve je možné připojit k zabezpečenému virtuálnímu rozbočovači pomocí Azure Firewall s využitím okruhů ExpressRoute a připojení VPN typu Site-to-site.Branches can be connected to a secured virtual hub with Azure Firewall using ExpressRoute circuits and/or site-to-site VPN connections. Větve můžete připojit k virtuálnímu rozbočovači WAN, který je v oblasti nejbližší k této větvi.You can connect the branches to the virtual WAN hub that is in the region closest to the branch.

Tato možnost umožňuje podnikům využít páteřní síť Azure pro připojení větví.This option lets enterprises leverage the Azure backbone to connect branches. I když je tato možnost k dispozici, měli byste zvážit výhody propojení větví přes Azure Virtual WAN vs. pomocí privátní sítě WAN.However, even though this capability is available, you should weigh the benefits of connecting branches over Azure Virtual WAN vs. using a private WAN.

Poznámka

V současné době není podporováno souběžné zpracování provozu přes bránu firewall.Inter-hub processing of traffic via firewall is currently not supported. Provoz mezi rozbočovači bude směrován do správné větve v rámci zabezpečeného virtuálního rozbočovače, ale přenosy budou obejít Azure Firewall v každém centru.Traffic between hubs will be routed to the proper branch within the secured virtual hub, however traffic will bypass the Azure Firewall in each hub.

Zabezpečený tranzitní větev mezi virtuálními sítěmi (g)Branch-to-VNet secured transit (g)

Zabezpečený přenos větví na virtuální síť umožňuje větvím komunikovat s virtuálními sítěmi ve stejné oblasti jako virtuální síť WAN a také v jiné virtuální síti připojené k jinému virtuálnímu rozbočovači WAN v jiné oblasti.The Branch-to-VNet secured transit enables branches to communicate with virtual networks in the same region as the virtual WAN hub as well as another virtual network connected to another virtual WAN hub in another region.

Poznámka

Mezi centrem s bránou firewall se aktuálně nepodporují.Inter-hub with firewall is currently not supported. Provoz mezi rozbočovači se přesune přímo z Azure Firewall v každém centru.Traffic between hubs will move directly bypassing the Azure Firewall in each hub. Přenos prostřednictvím připojení určeného pro virtuální síť ve stejné oblasti bude zpracován Azure Firewall v zabezpečeném centru.Traffic via a connection destined to a virtual network in the same region will be processed by the Azure Firewall in the secured hub.

Návody povolit výchozí trasu (0.0.0.0/0) v zabezpečeném virtuálním centruHow do I enable default route (0.0.0.0/0) in a Secured Virtual Hub

Azure Firewall nasazené ve virtuálním centru sítě WAN (zabezpečený virtuální rozbočovač) se dá nakonfigurovat jako výchozí směrovač pro Internet nebo důvěryhodného poskytovatele zabezpečení pro všechny větve (připojené přes VPN nebo Express Route), paprskový virtuální sítě a uživatele (připojené přes P2S VPN).Azure Firewall deployed in a Virtual WAN hub (Secure Virtual Hub) can be configured as default router to the Internet or Trusted Security Provider for all branches (connected by VPN or Express Route), spoke Vnets and Users (connected via P2S VPN). Tato konfigurace se musí provádět pomocí správce Azure Firewall.This configuration must be done using Azure Firewall Manager. Pokud chcete nakonfigurovat veškerý provoz z větví (včetně uživatelů) a také virtuální sítě do Internetu prostřednictvím Azure Firewall, přečtěte si téma směrování provozu do vašeho rozbočovače.See Route Traffic to your hub to configure all traffic from branches (including Users) as well as Vnets to Internet via the Azure Firewall.

Jedná se o konfiguraci dvou kroků:This is a two step configuration:

  1. Nakonfigurujte směrování internetového provozu pomocí zabezpečené nabídky nastavení tras virtuálního rozbočovače.Configure Internet traffic routing using Secure Virtual Hub Route Setting menu. Nakonfigurujte virtuální sítě a větve, které mohou odesílat přenosy na Internet přes bránu firewall.Configure Vnets and Branches that can send traffic to the internet via the Firewall.

  2. Nakonfigurujte, která připojení (virtuální síť a větev) můžou směrovat provoz na Internet (0.0.0.0/0) prostřednictvím Azure FW v centru nebo důvěryhodném poskytovateli zabezpečení.Configure which Connections (Vnet and Branch) can route traffic to the internet (0.0.0.0/0) via the Azure FW in the hub or Trusted Security Provider. Tento krok zajistí, aby se výchozí trasa rozšířila na vybrané větve a virtuální sítě připojené k virtuální síti WAN prostřednictvím připojení.This step ensures that the default route is propagated to selected branches and Vnets that are attached to the Virtual WAN hub via the Connections.

Vynucení tunelového přenosu do místní brány firewall v zabezpečeném virtuálním centruForce Tunneling Traffic to On-Premises Firewall in a Secured Virtual Hub

Pokud se už virtuálním rozbočovačem z jedné z větví (lokalit VPN nebo ER) objevila výchozí trasa (přes BGP), bude tato výchozí trasa přepsaná výchozí trasou získanou z nastavení Azure Firewall Manageru.If there is already a default route learned (via BGP) by the Virtual Hub from one of the Branches (VPN or ER sites), this default route is overridden by the default route learned from Azure Firewall Manager setting. V takovém případě budou všechny přenosy, které vstupují do centra z virtuální sítě a větví určených k Internetu, směrovány na Azure Firewall nebo důvěryhodného poskytovatele zabezpečení.In this case, all traffic that is entering the hub from Vnets and branches destined to internet, will be routed to the Azure Firewall or Trusted Security Provider.

Poznámka

V současné době není k dispozici možnost vybrat místní bránu firewall nebo Azure Firewall (a důvěryhodného poskytovatele zabezpečení) pro internetový vázaný provoz pocházející z virtuální sítě, větví nebo uživatelů.Currently there is no option to select on-premises Firewall or Azure Firewall (and Trusted Security Provider) for internet bound traffic originating from Vnets, Branches or Users. Výchozí trasa získaná z nastavení Azure Firewall Manageru je vždy upřednostňována nad výchozí trasou získanou z jedné z větví.The default route learned from the Azure Firewall Manager setting is always preferred over the default route learned from one of the branches.

Další krokyNext steps

Vytvořte připojení pomocí virtuální sítě WAN a nasaďte Azure Firewall v VWANch rozbočovačích.Create a connection using Virtual WAN and Deploy Azure Firewall in VWAN hub(s).