Cenário: Azure Firewall - personalizado
Ao trabalhar com WAN Virtual encaminhamento do hub virtual, existem alguns cenários disponíveis. Neste cenário, o objetivo é encaminhar o tráfego entre VNets diretamente, mas utilizar Azure Firewall para fluxos de tráfego VNet para Internet/Branch e De Ramo para VNet.
Design
Para descobrir quantas tabelas de rotas serão necessárias, pode criar uma matriz de conectividade, onde cada célula representa se uma origem (linha) pode comunicar com um destino (coluna). A matriz de conectividade neste cenário é trivial, mas seja consistente com outros cenários, ainda podemos vê-la.
Matriz de conectividade
| De | Para: | VNets | Ramos | Internet |
|---|---|---|---|---|
| VNets | → | Direct | AzFW | AzFW |
| Ramos | → | AzFW | Direct | Direct |
Na tabela anterior, "Direct" representa a conectividade direta entre duas ligações sem o tráfego que atravessa o Azure Firewall no WAN Virtual e "AzFW" indica que o fluxo irá passar pelo Azure Firewall. Uma vez que existem dois padrões de conectividade distintos na matriz, precisamos de duas tabelas de rotas que serão configuradas da seguinte forma:
- Redes virtuais:
- Tabela de rotas associada: RT_VNet
- Propagar para tabelas de rotas: RT_VNet
- Ramos:
- Tabela de rotas associada: Predefinição
- Propagar para tabelas de rotas: Predefinição
Nota
Pode criar uma instância de WAN Virtual separada com um único Hub Virtual Seguro em cada região e, em seguida, pode ligar cada WAN Virtual entre si através da VPN Site a Site.
Para obter informações sobre o encaminhamento do hub virtual, veja Acerca do encaminhamento do hub virtual.
Fluxo de trabalho
Neste cenário, quer encaminhar o tráfego através do Azure Firewall para o tráfego VNet para Internet, VNet a Ramo ou Ramo para VNet, mas gostaria de ir diretamente para o tráfego VNet a VNet. Se utilizou Azure Firewall Manager, as definições da rota são preenchidas automaticamente na Tabela de Rotas Predefinida. O Tráfego Privado aplica-se à VNet e aos Ramos, o tráfego da Internet aplica-se a 0.0.0.0/0.
As ligações VPN, ExpressRoute e VPN de Utilizador são coletivamente denominadas Ramos e associadas à mesma tabela de rotas (Predefinição). Todas as ligações VPN, ExpressRoute e VPN de Utilizador propagam rotas para o mesmo conjunto de tabelas de rotas. Para configurar este cenário, tenha em consideração os seguintes passos:
Crie uma tabela de rotas personalizada RT_VNet.
Crie uma rota para ativar a VNet para a Internet e a VNet para Ramo: 0.0.0.0/0 com o próximo salto a apontar para Azure Firewall. Na secção Propagação, irá certificar-se de que as VNets estão selecionadas, o que garantirá rotas mais específicas, permitindo assim o fluxo de tráfego direto VNet a VNet.
- Em Associação: selecione VNets que implicam que as VNets alcancem o destino de acordo com as rotas desta tabela de rotas.
- Em Propagação: selecione VNets que implicam que as VNets se propaguem para esta tabela de rotas; por outras palavras, as rotas mais específicas serão propagadas para esta tabela de rotas, garantindo assim o fluxo de tráfego direto entre a VNet e a VNet.
Adicione uma rota estática agregada para VNets à tabela Rota Predefinida para ativar o fluxo De Ramo para VNet através do Azure Firewall.
- Lembre-se de que os ramos estão associados e propagam-se para a tabela de rotas predefinida.
- Os ramos não são propagados para RT_VNet tabela de rotas. Isto garante o fluxo de tráfego VNet a Ramo através do Azure Firewall.
Isto resulta nas alterações de configuração de encaminhamento, conforme mostrado na Figura 1.
Figura 1
Passos seguintes
- Para obter mais informações sobre WAN Virtual, consulte as FAQ.
- Para obter mais informações sobre o encaminhamento do hub virtual, veja Acerca do encaminhamento do hub virtual.
- Para obter mais informações sobre como configurar o encaminhamento do hub virtual, veja Como configurar o encaminhamento do hub virtual.