Konfigurace vynuceného tunelování pomocí modelu nasazení Classic
Vynucené tunelování umožňuje přesměrování nebo „vynucení“ směrování veškerého provozu vázaného na internet zpět do místního umístění prostřednictvím tunelu VPN typu site-to-site pro kontrolu a auditování. Toto je zásadní požadavek na zabezpečení pro většinu podnikových zásad IT. Bez vynuceného tunelování se internetový provoz z vašich virtuálních počítačů v Azure vždycky přesměruje z síťové infrastruktury Azure přímo na Internet bez možnosti, která vám umožní kontrolovat nebo auditovat provoz. Neoprávněný přístup k Internetu může potenciálně vést k odhalení informací nebo jiným typům porušení zabezpečení.
Azure v současné době používá dva modely nasazení: Resource Manager a Classic. Tyto dva modely nejsou navzájem zcela kompatibilní. Než začnete, musíte vědět, ve kterém modelu chcete pracovat. Informace o modelech nasazení najdete v tématu Vysvětlení modelů nasazení. Pokud s Azure začínáte, doporučujeme vám použít model nasazení Resource Manager.
Tento článek vás provede konfigurací vynuceného tunelování pro virtuální sítě vytvořené pomocí modelu nasazení Classic. Vynucené tunelování se dá nakonfigurovat pomocí PowerShellu, ne přes portál. Pokud chcete pro model nasazení Správce prostředkůnakonfigurovat vynucené tunelování, vyberte Správce prostředků článek z následujícího rozevíracího seznamu:
Požadavky a předpoklady
Vynucené tunelování v Azure se konfiguruje prostřednictvím uživatelsky definovaných tras (UDR) virtuální sítě. Přesměrování provozu do místní lokality se vyjádří jako výchozí trasa k bráně Azure VPN. Následující část uvádí aktuální omezení směrovací tabulky a tras pro Azure Virtual Network:
Každá podsíť virtuální sítě má vestavěnou systémovou směrovací tabulku. Tabulka směrování systému má následující tři skupiny tras:
- Trasy místní virtuální sítě: Přímo k cílovým virtuálním počítačům ve stejné virtuální síti.
- Místní trasy: K bráně Azure VPN Gateway.
- Výchozí trasa: Přímo na Internet. Pakety určené k privátním IP adresám, které nejsou pokryté předchozími dvěma trasami, budou vyřazeny.
S vydáním uživatelsky definovaných tras můžete vytvořit směrovací tabulku pro přidání výchozí trasy a potom přidružit směrovací tabulku k vašim virtuálním podsítím, aby bylo možné v těchto podsítích povolit vynucené tunelové propojení.
Musíte nastavit výchozí lokalitu mezi místními lokalitami, které jsou připojené k virtuální síti.
Vynucené tunelování musí být přidruženo k virtuální síti s bránou VPN s dynamickým směrováním (ne se statickou bránou).
Vynucené tunelování ExpressRoute není nakonfigurované prostřednictvím tohoto mechanismu, ale místo toho je povolené inzerováním výchozí trasy prostřednictvím relací partnerských vztahů protokolu BGP ExpressRoute. Další informace najdete v tématu co je ExpressRoute?.
Přehled konfigurace
V následujícím příkladu není podsíť front-endu vynucená tunelem. Úlohy v podsíti front-endu mohou nadále přijímat a reagovat na žádosti zákazníků přímo z Internetu. Podsítě střední úrovně a back-end jsou vynucené tunelování. Všechna odchozí připojení z těchto dvou podsítí na Internet se vynutí nebo přesměrují zpátky na místní lokalitu prostřednictvím jednoho z tunelových propojení VPN S2S.
Díky tomu můžete omezit a prozkoumat přístup k Internetu z virtuálních počítačů nebo cloudových služeb v Azure a zároveň pokračovat v povolení vaší vícevrstvé architektury služeb. Vynucené tunelování můžete také použít pro celé virtuální sítě, pokud ve svých virtuálních sítích neexistují žádné úlohy s přístupem k Internetu.
Požadavky
Před zahájením konfigurace ověřte, zda máte následující:
- Předplatné Azure. Pokud ještě nemáte předplatné Azure, můžete si aktivovat výhody pro předplatitele MSDN nebo si zaregistrovat bezplatný účet.
- Nakonfigurovaná virtuální síť.
- Při práci s modelem nasazení Classic nemůžete použít Azure Cloud Shell. Místo toho musíte na svém počítači nainstalovat nejnovější verzi rutin PowerShellu pro správu služeb Azure (SM). Tyto rutiny se liší od rutin AzureRM nebo AZ. Pokud chcete nainstalovat rutiny SM, přečtěte si téma instalace rutin služby Service Management. Další informace o Azure PowerShell obecně najdete v dokumentaci k Azure PowerShell.
Konfigurace vynuceného tunelování
Následující postup vám pomůže určit vynucené tunelování pro virtuální síť. Konfigurační kroky odpovídají konfiguračnímu souboru sítě virtuální sítě. V tomto příkladu má virtuální síť s více vrstvami tři podsítě: front-end, Midtier a podsítě back-end se čtyřmi připojeními mezi různými místy: DefaultSiteHQ a tři větve.
<VirtualNetworkSite name="MultiTier-VNet" Location="North Europe">
<AddressSpace>
<AddressPrefix>10.1.0.0/16</AddressPrefix>
</AddressSpace>
<Subnets>
<Subnet name="Frontend">
<AddressPrefix>10.1.0.0/24</AddressPrefix>
</Subnet>
<Subnet name="Midtier">
<AddressPrefix>10.1.1.0/24</AddressPrefix>
</Subnet>
<Subnet name="Backend">
<AddressPrefix>10.1.2.0/23</AddressPrefix>
</Subnet>
<Subnet name="GatewaySubnet">
<AddressPrefix>10.1.200.0/28</AddressPrefix>
</Subnet>
</Subnets>
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="DefaultSiteHQ">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
<LocalNetworkSiteRef name="Branch1">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
<LocalNetworkSiteRef name="Branch2">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
<LocalNetworkSiteRef name="Branch3">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
</Gateway>
</VirtualNetworkSite>
</VirtualNetworkSite>
Následující kroky nastaví jako výchozí připojení k vynucenému tunelování "DefaultSiteHQ" a nakonfigurují podsítě Midtier a back-endu na používání vynuceného tunelování.
Otevřete konzolu PowerShellu se zvýšenými právy. Připojení k účtu pomocí následujícího příkladu:
Add-AzureAccountVytvořte směrovací tabulku. Pomocí následující rutiny vytvořte tabulku směrování.
New-AzureRouteTable –Name "MyRouteTable" –Label "Routing Table for Forced Tunneling" –Location "North Europe"Přidejte výchozí trasu do směrovací tabulky.
Následující příklad přidá výchozí trasu do směrovací tabulky vytvořené v kroku 1. Všimněte si, že jedinou podporovanou trasou je cílová předpona "0.0.0.0/0" na přesměrování "VPNGateway".
Get-AzureRouteTable -Name "MyRouteTable" | Set-AzureRoute –RouteTable "MyRouteTable" –RouteName "DefaultRoute" –AddressPrefix "0.0.0.0/0" –NextHopType VPNGatewayPřidružte směrovací tabulku k podsítím.
Po vytvoření směrovací tabulky a přidání trasy použijte následující příklad k přidání nebo přidružení směrovací tabulky k podsíti virtuální sítě. V příkladu se přidá směrovací tabulka "MyRouteTable" do Midtier a back-endu podsítí virtuální sítě VNet s více vrstvami.
Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Midtier" -RouteTableName "MyRouteTable" Set-AzureSubnetRouteTable -VirtualNetworkName "MultiTier-VNet" -SubnetName "Backend" -RouteTableName "MyRouteTable"Přiřaďte výchozí web pro vynucené tunelování.
V předchozím kroku ukázkové skripty rutiny vytvořily směrovací tabulku a přidružil tabulku směrování do dvou z podsítí virtuální sítě. Zbývajícím krokem je výběr místní lokality mezi připojeními k více lokalitám virtuální sítě jako výchozí lokalitou nebo tunelem.
$DefaultSite = @("DefaultSiteHQ") Set-AzureVNetGatewayDefaultSite –VNetName "MultiTier-VNet" –DefaultSite "DefaultSiteHQ"
Další rutiny PowerShellu
Odstranění směrovací tabulky
Remove-AzureRouteTable -Name <routeTableName>
Vypsání směrovací tabulky
Get-AzureRouteTable [-Name <routeTableName> [-DetailLevel <detailLevel>]]
Postup odstranění trasy z směrovací tabulky
Remove-AzureRouteTable –Name <routeTableName>
Postup odebrání trasy z podsítě
Remove-AzureSubnetRouteTable –VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>
Výpis směrovací tabulky přidružené k podsíti
Get-AzureSubnetRouteTable -VirtualNetworkName <virtualNetworkName> -SubnetName <subnetName>
Postup odebrání výchozí lokality z virtuální sítě VPN Gateway
Remove-AzureVnetGatewayDefaultSite -VNetName <virtualNetworkName>