Identyfikowanie możliwości routingu sieci wirtualnej platformy Azure
Aby sterować przepływem ruchu w sieci wirtualnej, należy poznać cel i zalety tras niestandardowych. Należy również dowiedzieć się, jak skonfigurować trasy, aby kierować przepływ ruchu przez wirtualne urządzenie sieciowe (WUS).
Routing na platformie Azure
Ruch sieciowy na platformie Azure jest automatycznie kierowany do podsieci platformy Azure, sieci wirtualnych i sieci lokalnych. Trasy systemowe kontrolują ten routing. Są one domyślnie przypisywane do każdej podsieci w sieci wirtualnej. Dzięki tym trasom systemowym każda maszyna wirtualna platformy Azure wdrożona w sieci wirtualnej może komunikować się z dowolną inną maszyną wirtualną w sieci. Te maszyny wirtualne są również potencjalnie dostępne ze środowiska lokalnego za pośrednictwem sieci hybrydowej lub internetowej.
Nie można tworzyć ani usuwać tras systemowych, ale można zastąpić trasy systemowe, dodając niestandardowe trasy do sterowania przepływem ruchu do następnego przeskoku.
Każda podsieć ma następujące domyślne trasy systemowe:
| Prefiks adresu | Typ następnego przeskoku |
|---|---|
| Unikatowy dla sieci wirtualnej | Sieć wirtualna |
| 0.0.0.0/0 | Internet |
| 10.0.0.0/8 | Brak |
| 172.16.0.0/12 | Brak |
| 192.168.0.0/16 | Brak |
| 100.64.0.0/10 | Brak |
Kolumna Typ następnego przeskoku zawiera ścieżkę sieciową, którą podąża ruch wysyłany do każdego prefiksu adresu. Ścieżka może być jednym z następujących typów przeskoku:
- Sieć wirtualna: trasa jest tworzona w prefiksie adresu. Prefiks reprezentuje każdy zakres adresów utworzony na poziomie sieci wirtualnej. Jeśli określono wiele zakresów adresów, dla każdego zakresu adresu jest tworzona osobna trasa.
- Internet: domyślna trasa systemowa 0.0.0.0/0 kieruje dowolny zakres adresów do Internetu, chyba że domyślna trasa platformy Azure zostanie zastąpiona trasą niestandardową.
- Brak: każdy ruch kierowany do tego typu przeskoku jest porzucony i nie jest kierowany poza podsieć. Domyślnie tworzone są następujące prefiksy adresów prywatnych IPv4: 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/166. Dodawany jest również prefiks 100.64.0.0/10 dla udostępnionej przestrzeni adresowej. Żaden z tych zakresów adresów nie podlega routingowi globalnemu.
Na poniższym diagramie przedstawiono przegląd tras systemowych oraz sposób domyślnego przepływu ruchu między podsieciami i Internetem. Na diagramie widać, że ruch przepływa swobodnie między dwiema podsieciami i Internetem.
Na platformie Azure istnieją inne trasy systemowe. Platforma Azure tworzy te trasy, jeśli są włączone następujące możliwości:
- Komunikacja równorzędna sieci wirtualnej
- Tworzenie łańcuchów usług
- Brama sieci wirtualnej
- Punkt końcowy usługi dla sieci wirtualnej
Komunikacja równorzędna sieci wirtualnej i tworzenie łańcuchów usług
Komunikacja równorzędna sieci wirtualnej i tworzenie łańcuchów usług umożliwiają łączenie ze sobą sieci wirtualnych na platformie Azure. Dzięki temu połączeniu maszyny wirtualne mogą komunikować się ze sobą w tym samym regionie lub w różnych regionach. Ta komunikacja z kolei tworzy więcej tras w domyślnej tabeli tras. Funkcja tworzenia łańcuchów usług umożliwia przesłanianie tych tras za pomocą tworzenia tras zdefiniowanych przez użytkownika między sieciami równorzędnymi.
Na poniższym diagramie przedstawiono dwie sieci wirtualne, dla których skonfigurowano komunikację równorzędną. Trasy zdefiniowane przez użytkownika są skonfigurowane tak, aby kierować ruch przez urządzenie WUS lub przez bramę sieci VPN platformy Azure.
Brama sieci wirtualnej
Brama sieci wirtualnej umożliwia przesyłanie zaszyfrowanego ruchu między platformą Azure i środowiskiem lokalnym za pośrednictwem Internetu oraz przesyłanie zaszyfrowanego ruchu między sieciami na platformie Azure. Brama sieci wirtualnej zawiera tabele routingu i usługi bramy.
Punkt końcowy usługi dla sieci wirtualnej
Punkty końcowe sieci wirtualnej rozszerzają prywatną przestrzeń adresową na platformie Azure, zapewniając bezpośrednie połączenie z zasobami platformy Azure. To połączenie ogranicza przepływ ruchu: maszyny wirtualne platformy Azure mogą uzyskiwać dostęp do konta magazynu bezpośrednio z prywatnej przestrzeni adresowej, blokując jednocześnie dostęp z publicznej maszyny wirtualnej. Po włączeniu punktów końcowych usługi w tabeli tras na platformie Azure są tworzone trasy kierujące tym ruchem.
Trasy niestandardowe
Trasy systemowe mogą ułatwić szybkie rozpoczęcie pracy w środowisku. Istnieje jednak wiele scenariuszy, w których chcesz ściślej kontrolować przepływ ruchu w sieci. Na przykład możesz chcieć kierować ruch przez urządzenie WUS lub przez zaporę. Taką kontrolę można osiągnąć za pomocą tras niestandardowych.
Dostępne są dwie opcje implementowania tras niestandardowych: tworzenie trasy zdefiniowanej przez użytkownika lub używanie protokołu BGP (Border Gateway Protocol) do wymiany tras między platformą Azure i sieciami lokalnymi.
Trasy zdefiniowane przez użytkownika
Możesz użyć trasy zdefiniowanej przez użytkownika, aby zastąpić domyślne trasy systemowe, aby ruch mógł być kierowany przez zapory lub urządzenia WUS.
Na przykład w sieci z dwiema podsieciami może zaistnieć potrzeba dodania w sieci obwodowej maszyny wirtualnej, która będzie używana jako zapora. Możesz utworzyć trasę zdefiniowaną przez użytkownika, aby ruch przechodził przez zaporę i nie przechodził bezpośrednio między podsieciami.
Podczas tworzenia tras zdefiniowanych przez użytkownika można określić następujące typy następnych przeskoków:
- Urządzenie wirtualne: urządzenie wirtualne jest zwykle urządzeniem zapory używanym do analizowania lub filtrowania ruchu przychodzącego lub opuszczającego sieć. Możesz określić prywatny adres IP karty sieciowej dołączonej do maszyny wirtualnej, aby można było włączyć przekazywanie adresów IP. Możesz też podać prywatny adres IP wewnętrznego modułu równoważenia obciążenia.
- Brama sieci wirtualnej: użyj polecenia , aby wskazać, kiedy trasy dla określonego adresu mają być kierowane do bramy sieci wirtualnej. Brama sieci wirtualnej jest określana jako sieć VPN dla typu następnego przeskoku.
- Sieć wirtualna: użyj polecenia , aby zastąpić domyślną trasę systemową w sieci wirtualnej.
- Internet: służy do kierowania ruchu do określonego prefiksu adresu, który jest kierowany do Internetu.
- Brak: służy do porzucania ruchu wysyłanego do określonego prefiksu adresu.
W przypadku tras zdefiniowanych przez użytkownika nie można określić typu następnego przeskoku VirtualNetworkServiceEndpoint, który wskazuje komunikację równorzędną sieci wirtualnej.
Tagi usługi dla tras zdefiniowanych przez użytkownika
Tag usługi można określić jako prefiks adresu dla trasy zdefiniowanej przez użytkownika zamiast jawnego zakresu adresów IP. Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów. W ten sposób minimalizując złożoność częstych aktualizacji tras zdefiniowanych przez użytkownika i zmniejszając liczbę tras, które należy utworzyć.
Protokół BGP (Border Gateway Protocol)
Brama sieci w Twojej sieci lokalnej może wymieniać trasy z bramą sieci wirtualnej na platformie Azure przy użyciu protokołu BGP. Protokół BGP to standardowy protokół routingu, który jest zwykle używany do wymiany informacji o routingu między co najmniej dwiema sieciami. Protokół BGP służy do transferu danych i informacji między systemami autonomicznymi w Internecie, takimi jak różne bramy hosta.
Zazwyczaj protokół BGP służy do anonsowania tras lokalnych na platformę Azure po nawiązaniu połączenia z centrum danych platformy Azure za pośrednictwem usługi Azure ExpressRoute. Protokół BGP możesz również skonfigurować, jeśli łączysz się z siecią wirtualną platformy Azure przy użyciu połączenia sieci VPN typu lokacja-lokacja.
Na poniższym diagramie przedstawiono topologię ze ścieżkami, którymi można przekazywać dane między usługą Azure VPN Gateway i sieciami lokalnymi:
Protokół BGP zapewnia stabilność sieci, ponieważ routery mogą szybko zmieniać połączenia w celu wysyłania pakietów, jeśli ścieżka połączenia ulegnie awarii.
Wybór i priorytet tras
Jeśli w tabeli tras jest dostępnych wiele tras, platforma Azure używa dla trasy kryterium najdłuższego dopasowanego prefiksu. Na przykład komunikat jest wysyłany do adresu IP 10.0.0.2, ale dwie trasy są dostępne z prefiksami 10.0.0.0/16 i 10.0.0.0/24. Platforma Azure wybiera trasę z prefiksem 10.0.0.0/24, ponieważ jest bardziej szczegółowy.
Im dłuższy prefiks trasy, tym krótsza jest lista adresów IP dostępnych za pomocą tego prefiksu. W przypadku używania dłuższych prefiksów algorytm routingu może szybciej wybrać zamierzony adres.
Nie można skonfigurować wielu tras zdefiniowanych przez użytkownika z tym samym prefiksem adresu.
Jeśli istnieje wiele tras z tym samym prefiksem adresu, platforma Azure wybiera trasę na podstawie typu w następującej kolejności priorytetu:
- Trasy zdefiniowane przez użytkownika
- Trasy protokołu BGP
- Trasy systemowe