Scenario: Verkeer routeren via een NVA
Wanneer u werkt met Virtual WAN virtuele hubroutering, zijn er een groot aantal beschikbare scenario's. In dit NVA-scenario is het doel om verkeer via een NVA (virtueel netwerkapparaat) voor vertakking naar VNet en VNet te vertakken. Zie Over virtuele hubroutering voor meer informatie over routering van virtuele hubs.
Notitie
Als u al een set hebt met routes die vóór de nieuwe mogelijkheden liggen Virtuele hubroutering configureren die beschikbaar komt, gebruikt u de stappen in deze versies van de artikelen:
Ontwerp
In dit scenario gebruiken we de naamconventie:
- 'NVA VNets' voor virtuele netwerken waar gebruikers een NVA hebben geïmplementeerd en andere virtuele netwerken als spokes hebben verbonden (VNet 2 en VNet 4 in afbeelding 2 verderop in het artikel).
- 'NVA-spokes' voor virtuele netwerken die zijn verbonden met een NVA-VNet (VNet 5, VNet 6, VNet 7 en VNet 8 in afbeelding 2 verderop in het artikel).
- 'Niet-NVA-VNets' voor virtuele netwerken die zijn verbonden met Virtual WAN die geen NVA of andere VNets hebben die er aan zijn gekoppeld (VNet 1 en VNet 3 in afbeelding 2 verderop in het artikel).
- 'Hubs' voor door Microsoft beheerde Virtual WAN Hubs, waar NVA-VNets mee zijn verbonden. NVA-spoke-VNets hoeven niet te worden verbonden met Virtual WAN hubs, alleen met NVA-VNets.
De volgende connectiviteitsmatrix bevat een overzicht van de stromen die in dit scenario worden ondersteund:
Connectiviteitsmatrix
| Van | Aan: | NVA-spokes | NVA-VNets | Niet-NVA-VNets | Vertakkingen |
|---|---|---|---|---|---|
| NVA-spokes | → | Via NVA VNet | Peering | Via NVA VNet | Via NVA VNet |
| NVA-VNets | → | Peering | Direct | Direct | Direct |
| Niet-NVA-VNets | → | Via NVA VNet | Direct | Direct | Direct |
| Vertakkingen | → | Via NVA VNet | Direct | Direct | Direct |
Elk van de cellen in de connectiviteitsmatrix beschrijft hoe een VNet of vertakking (de 'Van'-zijde van de stroom, de rijkoppen in de tabel) communiceert met een doel-VNet of -vertakking (de 'Naar'-zijde van de stroom, de kolomkoppen in de tabel). 'Direct' betekent dat connectiviteit native wordt geleverd door Virtual WAN, 'Peering' betekent dat de connectiviteit wordt geleverd door een User-Defined-route in het VNet. 'Via NVA VNet' betekent dat de connectiviteit de NVA passeert die is geïmplementeerd in het NVA-VNet. Overweeg de volgende:
- NVA-spokes worden niet beheerd door Virtual WAN. Als gevolg hiervan worden de mechanismen waarmee ze communiceren met andere VNets of vertakkingen onderhouden door de gebruiker. Connectiviteit met het NVA-VNet wordt geleverd door een VNet-peering en een standaardroute naar 0.0.0.0/0 die verwijst naar de NVA, aangezien de volgende hop de verbinding met internet, andere spokes en vertakkingen moet omvatten
- NVA-VNets weten over hun eigen NVA-spokes, maar niet over NVA-spokes die zijn verbonden met andere NVA-VNets. In afbeelding 2 verderop in dit artikel is VNet 2 bijvoorbeeld bekend met VNet 5 en VNet 6, maar niet over andere spokes, zoals VNet 7 en VNet 8. Een statische route is vereist om de voorvoegsels van andere spokes in NVA-VNets te injecteren
- Vertakkingen en niet-NVA-VNets weten ook niets over een NVA-spoke, omdat NVA-spokes niet zijn verbonden met Virtual WAN hubs. Als gevolg hiervan zijn hier ook statische routes nodig.
Rekening houdend met het feit dat de NVA-spokes niet worden beheerd door Virtual WAN, hebben alle andere rijen hetzelfde connectiviteitspatroon. Als gevolg hiervan kan één routetabel (de Standaardtabel) het volgende doen:
- Virtuele netwerken (niet-hub-VNets en gebruikershub-VNets):
- Gekoppelde routetabel: Standaard
- Doorgeven aan routetabellen: standaard
- Takken:
- Gekoppelde routetabel: Standaard
- Doorgeven aan routetabellen: standaard
In dit scenario moeten we echter nadenken over welke statische routes moeten worden geconfigureerd. Elke statische route heeft twee onderdelen, één onderdeel in de Virtual WAN-hub die de Virtual WAN-onderdelen vertelt welke verbinding voor elke spoke moet worden gebruikt, en een ander onderdeel in die specifieke verbinding dat verwijst naar het concrete IP-adres dat is toegewezen aan de NVA (of naar een load balancer vóór meerdere NVA's), zoals in afbeelding 1 wordt laten zien:
Afbeelding 1
De statische routes die we in de standaardtabel nodig hebben om verkeer naar de NVA-spokes achter het NVA-VNet te verzenden, zijn als volgt:
| Beschrijving | Routetabel | Statische route |
|---|---|---|
| VNet 2 | Standaard | 10.2.0.0/16 -> eastusconn |
| VNet 4 | Standaard | 10.4.0.0/16 -> weconn |
Virtual WAN weet nu naar welke verbinding de pakketten moeten worden verzenden, maar de verbinding moet weten wat er moet worden gebeurd bij het ontvangen van deze pakketten: Hier worden de verbindingsroutetabellen gebruikt. Hier gebruiken we de kortere voorvoegsels (/24 in plaats van de langere /16) om ervoor te zorgen dat deze routes een voorkeur hebben boven routes die worden geïmporteerd uit de NVA-VNets (VNet 2 en VNet 4):
| Beschrijving | Verbinding | Statische route |
|---|---|---|
| VNet 5 | eastusconn | 10.2.1.0/24 -> 10.2.0.5 |
| VNet 6 | eastusconn | 10.2.2.0/24 -> 10.2.0.5 |
| VNet 7 | weconn | 10.4.1.0/24 -> 10.4.0.5 |
| VNet 8 | weconn | 10.4.2.0/24 -> 10.4.0.5 |
Nu weten NVA-VNets, niet-NVA-VNets en vertakkingen hoe alle NVA-spokes kunnen worden bereikt. Zie About virtual hub routing (Virtuele hubroutering) voor meer informatie over routering van virtuele hubs.
Architectuur
In afbeelding 2 zijn er twee hubs; Hub1 en Hub2.
Hub1 en Hub2 zijn rechtstreeks verbonden met NVA VNets VNet 2 en VNet 4.
VNet 5 en VNet 6 zijn peering met VNet 2.
VNet 7 en VNet 8 zijn peered met VNet 4.
VNets 5.6.7,8 zijn indirecte spokes, niet rechtstreeks verbonden met een virtuele hub.
Afbeelding 2
Werkstroom voor scenario's
Voor het instellen van routering via NVA, zijn dit de stappen die u moet overwegen:
Identificeer de NVA-spoke-VNet-verbinding. In afbeelding 2 zijn dit VNet 2-verbinding (eastusconn) en VNet 4 Connection (weconn).
Zorg ervoor dat er UDR's zijn ingesteld:
- Van VNet 5 en VNet 6 naar VNet 2 NVA IP
- Van VNet 7 en VNet 8 naar VNet 4 NVA IP
U hoeft VNets 5,6,7,8 niet rechtstreeks met de virtuele hubs te verbinden. Zorg ervoor dat NSG's in VNets 5,6,7,8 verkeer toestaan voor vertakkingen (VPN/ER/P2S) of VNets die zijn verbonden met hun externe VNets. VNets 5,6 moeten er bijvoorbeeld voor zorgen dat NSG's verkeer toestaan voor on-premises adres voorvoegsels en VNets 7,8 die zijn verbonden met de externe Hub 2.
Virtual WAN biedt geen ondersteuning voor een scenario waarin VNets 5,6 verbinding maken met een virtuele hub en communiceren via VNet 2 NVA IP; daarom is het nodig om VNets 5,6 te verbinden met VNet2 en op dezelfde manier VNet 7,8 met VNet 4.
Voeg een geaggregeerde statische route-vermelding voor VNets 2,5,6 toe aan de standaardroutetabel van Hub 1.
Configureer een statische route voor VNets 5,6 in de virtuele netwerkverbinding van VNet 2. Zie Routering van virtuele hub voor het instellen van routeringsconfiguratie voor een virtuele netwerkverbinding.
Voeg een geaggregeerde statische route-vermelding voor VNets 4,7,8 toe aan de standaardroutetabel van Hub 1.
Herhaal stap 2, 3 en 4 voor de standaardroutetabel van Hub 2.
Dit resulteert in de wijzigingen in de routeringsconfiguratie, zoals wordt weergegeven in afbeelding 3 hieronder.
Afbeelding 3
Volgende stappen
- Zie de Veelgestelde vragen Virtual WAN meer informatie over de gegevens.
- Zie About virtual hub routing (Virtuele hubroutering) voor meer informatie over routering van virtuele hubs.