Маршрутизация трафика в виртуальной сетиVirtual network traffic routing

Узнайте, как Azure маршрутизирует трафик между средой Azure, локальными и интернет-ресурсами.Learn about how Azure routes traffic between Azure, on-premises, and Internet resources. Azure автоматически создает таблицу маршрутов для каждой подсети в виртуальной сети Azure и добавляет в нее системные маршруты по умолчанию.Azure automatically creates a route table for each subnet within an Azure virtual network and adds system default routes to the table. Дополнительные сведения о виртуальных сетях и подсетях см. в статье Виртуальная сеть Azure.To learn more about virtual networks and subnets, see Virtual network overview. Вы можете переопределить некоторые из системных маршрутов Azure с помощью настраиваемых маршрутов и добавить дополнительные настраиваемые маршруты в таблицу.You can override some of Azure's system routes with custom routes, and add additional custom routes to route tables. Azure направляет исходящий трафик из подсети на основе маршрутов в соответствующей таблице.Azure routes outbound traffic from a subnet based on the routes in a subnet's route table.

Системные маршрутыSystem routes

Azure автоматически создает системные маршруты и назначает их каждой подсети в виртуальной сети.Azure automatically creates system routes and assigns the routes to each subnet in a virtual network. Вы не можете создавать и удалять системные маршруты, но вы можете переопределить некоторые из них с помощью настраиваемых маршрутов.You can't create system routes, nor can you remove system routes, but you can override some system routes with custom routes. Azure создает системные маршруты по умолчанию для каждой подсети и добавляет необязательные маршруты по умолчанию к конкретным подсетям или к каждой подсети при использовании определенных возможностей Azure.Azure creates default system routes for each subnet, and adds additional optional default routes to specific subnets, or every subnet, when you use specific Azure capabilities.

Значение по умолчаниюDefault

Каждый маршрут содержит префикс адреса и тип следующего прыжка.Each route contains an address prefix and next hop type. Трафик, выходящий из подсети, отправляется на IP-адрес в префиксе адреса маршрута, который используется Azure.When traffic leaving a subnet is sent to an IP address within the address prefix of a route, the route that contains the prefix is the route Azure uses. Узнайте больше о том, как Azure выбирает маршрут, когда несколько маршрутов содержат одинаковые или перекрывающиеся префиксы.Learn more about how Azure selects a route when multiple routes contain the same prefixes, or overlapping prefixes. Всякий раз, когда создается виртуальная сеть, Azure автоматически создает для каждой содержащейся в ней подсети следующие системные маршруты по умолчанию:Whenever a virtual network is created, Azure automatically creates the following default system routes for each subnet within the virtual network:

SourceSource Префиксы адресовAddress prefixes Тип следующего прыжкаNext hop type
Значение по умолчаниюDefault Уникальные для виртуальной сетиUnique to the virtual network Виртуальная сетьVirtual network
Значение по умолчаниюDefault 0.0.0.0/00.0.0.0/0 ИнтернетInternet
Значение по умолчаниюDefault 10.0.0.0/810.0.0.0/8 НетNone
Значение по умолчаниюDefault 192.168.0.0/16192.168.0.0/16 НетNone
Значение по умолчаниюDefault 100.64.0.0/10100.64.0.0/10 НетNone

Типы следующих прыжков, перечисленные в предыдущей таблице, показывают, как Azure направляет трафик, предназначенный для указанного префикса адреса.The next hop types listed in the previous table represent how Azure routes traffic destined for the address prefix listed. Ниже приведены описания типов следующих прыжков.Explanations for the next hop types follow:

  • Виртуальная сеть. Осуществляет маршрутизацию трафика между диапазонами адресов адресного пространства виртуальной сети.Virtual network: Routes traffic between address ranges within the address space of a virtual network. Azure создает маршрут с префиксом адреса, который соответствует каждому диапазону адресов, определенному в адресном пространстве виртуальной сети.Azure creates a route with an address prefix that corresponds to each address range defined within the address space of a virtual network. Если в адресном пространстве определено несколько диапазонов адресов, Azure создает индивидуальный маршрут для каждого из них.If the virtual network address space has multiple address ranges defined, Azure creates an individual route for each address range. Azure автоматически перенаправляет трафик между подсетями, используя маршруты, созданные для каждого из диапазонов адресов.Azure automatically routes traffic between subnets using the routes created for each address range. Вам не нужно определять шлюзы, чтобы Azure направлял трафик между подсетями.You don't need to define gateways for Azure to route traffic between subnets. Хотя виртуальная сеть содержит подсети, каждая из которых имеет определенный диапазон адресов, Azure не создает маршруты по умолчанию для каждого диапазона, так как все они находятся в пределах диапазона адресов адресного пространства виртуальной сети.Though a virtual network contains subnets, and each subnet has a defined address range, Azure does not create default routes for subnet address ranges, because each subnet address range is within an address range of the address space of a virtual network.

  • Интернет. Направляет трафик, указанный префиксом адреса, в Интернет.Internet: Routes traffic specified by the address prefix to the Internet. Системный маршрут по умолчанию указывает префикс адреса 0.0.0.0/0.The system default route specifies the 0.0.0.0/0 address prefix. Если вы не переопределяете маршруты по умолчанию, Azure направляет трафик по любому адресу, не указанному диапазоном адресов в виртуальной сети, в Интернет, за одним исключением.If you don't override Azure's default routes, Azure routes traffic for any address not specified by an address range within a virtual network, to the Internet, with one exception. Если целевой адрес предназначен для одной из служб Azure, Azure направляет трафик непосредственно в службу через магистральную сеть Azure, а не в Интернет.If the destination address is for one of Azure's services, Azure routes the traffic directly to the service over Azure's backbone network, rather than routing the traffic to the Internet. Трафик между службами Azure не проходит через Интернет, независимо от того, в каком регионе Azure находится виртуальная сеть или в каком регионе развернута служба Azure.Traffic between Azure services does not traverse the Internet, regardless of which Azure region the virtual network exists in, or which Azure region an instance of the Azure service is deployed in. Можно переопределить системный маршрут Azure по умолчанию, указывающий префикс адреса 0.0.0.0/0, с помощью настраиваемого маршрута.You can override Azure's default system route for the 0.0.0.0/0 address prefix with a custom route.

  • Нет. Трафик, направляемый на тип следующего прыжка Нет, прерывается, а не направляется за пределы подсети.None: Traffic routed to the None next hop type is dropped, rather than routed outside the subnet. Azure автоматически создает маршруты по умолчанию для следующих префиксов адресов:Azure automatically creates default routes for the following address prefixes:

    • 10.0.0.0/8 и 192.168.0.0/16: Зарезервированы для частного использования в RFC 1918.10.0.0.0/8 and 192.168.0.0/16: Reserved for private use in RFC 1918.
    • 100.64.0.0/10. Зарезервирован в RFC 6598.100.64.0.0/10: Reserved in RFC 6598.

    Если назначить какой-либо из предыдущих диапазонов адресов в пределах адресного пространства виртуальной сети, Azure автоматически изменит тип следующего прыжка для маршрута с Нет на Виртуальная сеть.If you assign any of the previous address ranges within the address space of a virtual network, Azure automatically changes the next hop type for the route from None to Virtual network. Если назначить для адресного пространства виртуальной сети диапазон адресов, который включает в себя один из четырех префиксов зарезервированных адресов, но не совпадает с ними, Azure удаляет маршрут для префикса и добавляет маршрут для добавленного префикса адреса с типом Виртуальная сеть в качестве типа следующего прыжка.If you assign an address range to the address space of a virtual network that includes, but isn't the same as, one of the four reserved address prefixes, Azure removes the route for the prefix and adds a route for the address prefix you added, with Virtual network as the next hop type.

Необязательные маршруты по умолчаниюOptional default routes

Azure добавляет дополнительные системные маршруты по умолчанию для различных функций Azure, но только если функции включены.Azure adds additional default system routes for different Azure capabilities, but only if you enable the capabilities. В зависимости от функций Azure добавляет дополнительные маршруты по умолчанию для определенных подсетей в виртуальной сети или для всех подсетей.Depending on the capability, Azure adds optional default routes to either specific subnets within the virtual network, or to all subnets within a virtual network. Дополнительные системные маршруты и типы следующего прыжка, которые Azure может добавлять, когда включены различные функции:The additional system routes and next hop types that Azure may add when you enable different capabilities are:

SourceSource Префиксы адресовAddress prefixes Тип следующего прыжкаNext hop type Подсеть в виртуальной сети, к которой добавлен маршрутSubnet within virtual network that route is added to
Значение по умолчаниюDefault Уникальные для виртуальной сети, например: 10.1.0.0/16Unique to the virtual network, for example: 10.1.0.0/16 Пиринговая связь между виртуальными сетямиVNet peering ВсеAll
Шлюз виртуальной сетиVirtual network gateway Префиксы, объявленные в локальной среде через BGP или настроенные в шлюзе локальной сетиPrefixes advertised from on-premises via BGP, or configured in the local network gateway Шлюз виртуальной сетиVirtual network gateway ВсеAll
Значение по умолчаниюDefault НесколькоMultiple VirtualNetworkServiceEndpointVirtualNetworkServiceEndpoint Только для подсети, для которой включена конечная точка службыOnly the subnet a service endpoint is enabled for.
  • Пиринг виртуальных сетей. При создании пиринга между двумя виртуальными сетями добавляется маршрут для каждого диапазона адресов в адресном пространстве каждой из этих виртуальных сетей.Virtual network (VNet) peering: When you create a virtual network peering between two virtual networks, a route is added for each address range within the address space of each virtual network a peering is created for. См. дополнительные сведения о пиринге виртуальных сетей.Learn more about virtual network peering.

  • Шлюз виртуальной сети. Если в виртуальную сеть включить шлюз виртуальной сети, добавляется один или несколько маршрутов со шлюзом виртуальной сети, указанным в качестве типа следующего прыжка.Virtual network gateway: One or more routes with Virtual network gateway listed as the next hop type are added when a virtual network gateway is added to a virtual network. Источником также является шлюз виртуальной сети, так как он добавляет маршруты в подсеть.The source is also virtual network gateway, because the gateway adds the routes to the subnet. Если локальный сетевой шлюз обменивается маршрутами протокола пограничного шлюза (BGP) со шлюзом виртуальной сети Azure, маршрут добавляется для каждого маршрута, распространяемого из локального сетевого шлюза.If your on-premises network gateway exchanges border gateway protocol (BGP) routes with an Azure virtual network gateway, a route is added for each route propagated from the on-premises network gateway. Рекомендуется суммировать локальные маршруты до самых больших диапазонов адресов, чтобы наименьшее количество маршрутов распространялись на шлюз виртуальной сети Azure.It's recommended that you summarize on-premises routes to the largest address ranges possible, so the fewest number of routes are propagated to an Azure virtual network gateway. Существуют ограничения на количество маршрутов, которые вы можете распространять на шлюз виртуальной сети Azure.There are limits to the number of routes you can propagate to an Azure virtual network gateway. Дополнительные сведения см. в разделе Ограничения сети.For details, see Azure limits.

  • VirtualNetworkServiceEndpoint. Когда вы включаете конечные точки службы, Azure добавляет в таблицу маршрутов общедоступные IP-адреса для определенных служб.VirtualNetworkServiceEndpoint: The public IP addresses for certain services are added to the route table by Azure when you enable a service endpoint to the service. Конечные точки службы включаются для отдельных подсетей в виртуальной сети, поэтому маршрут добавляется только в таблицу маршрутов подсети, для которой включена конечная точка службы.Service endpoints are enabled for individual subnets within a virtual network, so the route is only added to the route table of a subnet a service endpoint is enabled for. Общедоступные IP-адреса служб Azure периодически изменяются.The public IP addresses of Azure services change periodically. При изменении адресов Azure автоматически управляет ими в таблице маршрутов.Azure manages the addresses in the route table automatically when the addresses change. См. дополнительные сведения о конечных точках служб для виртуальной сети и службах, для которых вы можете создать конечные точки служб.Learn more about virtual network service endpoints, and the services you can create service endpoints for.

    Примечание

    Типы следующего прыжка Пиринг виртуальных сетей и VirtualNetworkServiceEndpoint добавляются только в таблицы маршрутов подсетей в виртуальных сетях, созданных с помощью модели развертывания Azure Resource Manager.The VNet peering and VirtualNetworkServiceEndpoint next hop types are only added to route tables of subnets within virtual networks created through the Azure Resource Manager deployment model. Типы следующих прыжков не добавляются в таблицы маршрутов, которые связаны с подсетями виртуальных сетей, созданными в классической модели развертывания.The next hop types are not added to route tables that are associated to virtual network subnets created through the classic deployment model. См. дополнительные сведения о моделях развертывания Azure.Learn more about Azure deployment models.

Настраиваемые маршрутыCustom routes

Создать настраиваемые маршруты можно путем создания определяемых пользователем маршрутов или путем обмена маршрутами протокола BGP между локальным сетевым шлюзом и шлюзом виртуальной сети Azure.You create custom routes by either creating user-defined routes, or by exchanging border gateway protocol (BGP) routes between your on-premises network gateway and an Azure virtual network gateway.

Определяемые пользователем маршрутыUser-defined

Вы можете создать настраиваемые (определяемые пользователем) маршруты в Azure, чтобы переопределить системные маршруты Azure по умолчанию или добавить дополнительные маршруты в таблицу маршрутов подсети.You can create custom, or user-defined, routes in Azure to override Azure's default system routes, or to add additional routes to a subnet's route table. В Azure вы создаете таблицу маршрутов, которую можно не связывать или связать с несколькими подсетями виртуальной сети.In Azure, you create a route table, then associate the route table to zero or more virtual network subnets. С каждой подсетью может быть связана одна таблица маршрутов (или ноль).Each subnet can have zero or one route table associated to it. Сведения о максимальном количестве маршрутов, которые можно добавить в таблицу маршрутов, и о максимальном количестве таблиц маршрутов, определяемых пользователем, на подписку Azure см. в разделе Ограничения сети.To learn about the maximum number of routes you can add to a route table and the maximum number of user-defined route tables you can create per Azure subscription, see Azure limits. Если вы создаете таблицу маршрутов и связываете ее с подсетью, маршруты внутри нее объединяются с маршрутами по умолчанию, которые добавляет Azure, или переопределяют ее.If you create a route table and associate it to a subnet, the routes within it are combined with, or override, the default routes Azure adds to a subnet by default.

При создании маршрута, определяемого пользователем, можно указать приведенные ниже типы следующего прыжка.You can specify the following next hop types when creating a user-defined route:

  • Виртуальный модуль. Виртуальный модуль — это виртуальная машина, на которой обычно выполняется сетевое приложение, например брандмауэр.Virtual appliance: A virtual appliance is a virtual machine that typically runs a network application, such as a firewall. Дополнительные сведения о различных предварительно настроенных виртуальных сетевых модулях, которые можно развернуть в виртуальной сети, см. на странице Azure Marketplace.To learn about a variety of pre-configured network virtual appliances you can deploy in a virtual network, see the Azure Marketplace. При создании маршрута с типом прыжка Виртуальный модуль можно также указать IP-адрес следующего прыжкаWhen you create a route with the virtual appliance hop type, you also specify a next hop IP address. одного из таких типов:The IP address can be:

    • Частный IP-адрес сетевого интерфейса, подключенного к виртуальной машине.The private IP address of a network interface attached to a virtual machine. Для такого сетевого интерфейса, который перенаправляет сетевой трафик на адрес, отличный от своего собственного, требуется активировать параметр Azure Enable IP forwarding (Включить IP-пересылку).Any network interface attached to a virtual machine that forwards network traffic to an address other than its own must have the Azure Enable IP forwarding option enabled for it. Параметр отключает проверку источника и назначения для сетевого интерфейса, выполняемую Azure.The setting disables Azure's check of the source and destination for a network interface. См. дополнительные сведения о способах включения IP-пересылки для сетевого интерфейса.Learn more about how to enable IP forwarding for a network interface. Хотя параметр Включить IP-пересылку относится к Azure, вам также может потребоваться включить IP-пересылку в операционной системе виртуальной машины, чтобы устройство перенаправляло трафик между частными IP-адресами, назначенными сетевым интерфейсам Azure.Though Enable IP forwarding is an Azure setting, you may also need to enable IP forwarding within the virtual machine's operating system for the appliance to forward traffic between private IP addresses assigned to Azure network interfaces. Если устройство должно направлять трафик на общедоступный IP-адрес, ему нужно либо проксировать трафик, либо преобразовать методом NAT частный IP-адрес источника в собственный частный IP-адрес, который Azure затем сможет соответствующим образом преобразовать в общедоступный IP-адрес, прежде чем отправлять трафик в Интернет.If the appliance must route traffic to a public IP address, it must either proxy the traffic, or network address translate the private IP address of the source's private IP address to its own private IP address, which Azure then network address translates to a public IP address, before sending the traffic to the Internet. Чтобы определить требуемые параметры на виртуальной машине, ознакомьтесь с документацией вашей операционной системы или сетевого приложения.To determine required settings within the virtual machine, see the documentation for your operating system or network application. См. дополнительные сведения об исходящих подключениях в Azure.To understand outbound connections in Azure, see Understanding outbound connections.

      Примечание

      Разверните виртуальный модуль в подсети, отличной от той, в которой развертываются ресурсы, направляемые через виртуальный модуль.Deploy a virtual appliance into a different subnet than the resources that route through the virtual appliance are deployed in. Развертывание виртуального модуля в той же подсети с последующим применением таблицы маршрутов к подсети, которая направляет трафик через виртуальный модуль, может привести к зацикливанию маршрутизации, в результате чего трафик никогда не покидает подсеть.Deploying the virtual appliance to the same subnet, then applying a route table to the subnet that routes traffic through the virtual appliance, can result in routing loops, where traffic never leaves the subnet.

    • Частный IP-адрес внутренней подсистемы балансировки нагрузки Azure.The private IP address of an Azure internal load balancer. Подсистема балансировки нагрузки часто используется как часть стратегии обеспечения высокой доступности виртуальных сетевых модулей.A load balancer is often used as part of a high availability strategy for network virtual appliances.

    Вы можете определить маршрут с префиксом адреса 0.0.0.0/0 и типом следующего прыжка "Виртуальный модуль". Таким образом модуль будет проверять трафик и определять, следует ли пересылать или прерывать трафик.You can define a route with 0.0.0.0/0 as the address prefix and a next hop type of virtual appliance, enabling the appliance to inspect the traffic and determine whether to forward or drop the traffic. Если вы хотите создать определяемый пользователем маршрут, который содержит префикс адреса 0.0.0.0/0, ознакомьтесь со статьей Определяемые пользователем маршруты и IP-пересылка.If you intend to create a user-defined route that contains the 0.0.0.0/0 address prefix, read 0.0.0.0/0 address prefix first.

  • Шлюз виртуальной сети. Укажите, когда трафик, предназначенный для конкретных префиксов адресов, следует направлять в шлюз виртуальной сети.Virtual network gateway: Specify when you want traffic destined for specific address prefixes routed to a virtual network gateway. Шлюз виртуальной сети должен быть шлюзом VPN.The virtual network gateway must be created with type VPN. Невозможно указать шлюз виртуальной сети типа ExpressRoute в определяемом пользователем маршруте, так как для ExpressRoute с настраиваемыми маршрутами необходимо использовать BGP.You cannot specify a virtual network gateway created as type ExpressRoute in a user-defined route because with ExpressRoute, you must use BGP for custom routes. Вы можете определить маршрут, который направляет трафик, предназначенный для префикса адресов 0.0.0.0/0, в виртуальный сетевой шлюз на основе маршрутов.You can define a route that directs traffic destined for the 0.0.0.0/0 address prefix to a route-based virtual network gateway. В локальной среде у вас может быть устройство, которое проверяет трафик и определяет, следует ли пересылать или прерывать трафик.On your premises, you might have a device that inspects the traffic and determines whether to forward or drop the traffic. Если вы хотите создать определяемый пользователем маршрут для префикса адреса 0.0.0.0/0, ознакомьтесь со статьей Определяемые пользователем маршруты и IP-пересылка.If you intend to create a user-defined route for the 0.0.0.0/0 address prefix, read 0.0.0.0/0 address prefix first. Вместо настройки определяемого пользователем маршрута для префикса адреса 0.0.0.0/0 вы можете объявить этот маршрут с помощью BGP, если вы включили BGP для виртуального сетевого шлюза VPN.Instead of configuring a user-defined route for the 0.0.0.0/0 address prefix, you can advertise a route with the 0.0.0.0/0 prefix via BGP, if you've enabled BGP for a VPN virtual network gateway.

  • Нет. Укажите, когда следует прерывать трафик, предназначенный для префикса адреса, а не перенаправлять трафик в пункт назначения.None: Specify when you want to drop traffic to an address prefix, rather than forwarding the traffic to a destination. Если вы еще не полностью настроили функцию, Azure может указать Нет для некоторых необязательных системных маршрутов.If you haven't fully configured a capability, Azure may list None for some of the optional system routes. Например, если для IP-адреса следующего прыжка указано значение Нет, а для типа следующего прыжка указано значение Виртуальный сетевой шлюз или Виртуальный модуль, возможно, модуль не работает или не настроен полностью.For example, if you see None listed as the Next hop IP address with a Next hop type of Virtual network gateway or Virtual appliance, it may be because the device isn't running, or isn't fully configured. Azure создает системные маршруты по умолчанию для зарезервированных префиксов адресов со значением Нет в качестве типа следующего прыжка.Azure creates system default routes for reserved address prefixes with None as the next hop type.

  • Виртуальная сеть. Укажите, когда следует переопределить маршрутизацию по умолчанию в виртуальной сети.Virtual network: Specify when you want to override the default routing within a virtual network. Пример сценария создания маршрута с типом прыжка Виртуальная сеть см. в статье Определяемые пользователем маршруты и IP-пересылка.See Routing example, for an example of why you might create a route with the Virtual network hop type.

  • Интернет. Укажите, требуется ли явно направлять трафик, предназначенный для префикса адреса, в Интернет или вы хотите, чтобы трафик, предназначенный для служб Azure с общедоступными IP-адресами, оставался в пределах магистральной сети Azure.Internet: Specify when you want to explicitly route traffic destined to an address prefix to the Internet, or if you want traffic destined for Azure services with public IP addresses kept within the Azure backbone network.

Вы не можете указать Пиринг виртуальных сетей или VirtualNetworkServiceEndpoint в качестве типа следующего прыжка в маршрутах, определяемых пользователем.You cannot specify VNet peering or VirtualNetworkServiceEndpoint as the next hop type in user-defined routes. Маршруты с типами следующего прыжка Пиринг виртуальных сетей или VirtualNetworkServiceEndpoint создаются Azure только при настройке пиринга виртуальных сетей или конечной точки службы.Routes with the VNet peering or VirtualNetworkServiceEndpoint next hop types are only created by Azure, when you configure a virtual network peering, or a service endpoint.

Типы следующего прыжка в средствах AzureNext hop types across Azure tools

Имя, отображаемое и указанное для типов следующего прыжка, отличается между порталом Azure и программами командной строки, а также в Azure Resource Manager и классических моделях развертывания.The name displayed and referenced for next hop types is different between the Azure portal and command-line tools, and the Azure Resource Manager and classic deployment models. В следующей таблице перечислены имена, используемые для обозначения каждого типа следующего прыжка в разных инструментах и моделях развертывания:The following table lists the names used to refer to each next hop type with the different tools and deployment models:

Тип следующего прыжкаNext hop type Azure CLI и PowerShell (Resource Manager)Azure CLI and PowerShell (Resource Manager) Классический Azure CLI и PowerShell (классическая модель развертывания)Azure classic CLI and PowerShell (classic)
Шлюз виртуальной сетиVirtual network gateway VirtualNetworkGatewayVirtualNetworkGateway VPNGatewayVPNGateway
Виртуальная сетьVirtual network VNetLocalVNetLocal VNETLocal (недоступно при использовании классического CLI в режиме ASM)VNETLocal (not available in the classic CLI in asm mode)
ИнтернетInternet ИнтернетInternet Интернет (недоступно при использовании классического CLI в режиме ASM)Internet (not available in the classic CLI in asm mode)
Виртуальный модульVirtual appliance VirtualApplianceVirtualAppliance VirtualApplianceVirtualAppliance
НетNone НетNone Null (недоступно при использовании классического CLI в режиме ASM)Null (not available in the classic CLI in asm mode)
Пиринг между виртуальными сетямиVirtual network peering Пиринговая связь между виртуальными сетямиVNet peering НеприменимоNot applicable
Конечная точка службы для виртуальной сетиVirtual network service endpoint VirtualNetworkServiceEndpointVirtualNetworkServiceEndpoint НеприменимоNot applicable

Протокол BGPBorder gateway protocol

Локальный сетевой шлюз может обмениваться маршрутами со шлюзом виртуальной сети Azure с использованием протокола BGP.An on-premises network gateway can exchange routes with an Azure virtual network gateway using the border gateway protocol (BGP). Использование BGP со шлюзом виртуальной сети Azure зависит от типа, выбранного вами при создании шлюза.Using BGP with an Azure virtual network gateway is dependent on the type you selected when you created the gateway. В частности:If the type you selected were:

  • ExpressRoute. Необходимо использовать BGP для объявления локальных маршрутов на пограничном маршрутизаторе Microsoft.ExpressRoute: You must use BGP to advertise on-premises routes to the Microsoft Edge router. Вы не можете создавать определяемые пользователем маршруты для принудительного перенаправления трафика в шлюз виртуальной сети ExpressRoute, если вы развертываете шлюз виртуальный сети типа ExpressRoute.You cannot create user-defined routes to force traffic to the ExpressRoute virtual network gateway if you deploy a virtual network gateway deployed as type: ExpressRoute. Определяемые пользователем маршруты можно использовать для принудительного перенаправления трафика от Express Route на, например, виртуальные сетевые модули.You can use user-defined routes for forcing traffic from the Express Route to, for example, a Network Virtual Appliance.
  • VPN. При необходимости можно использовать протокол BGP.VPN: You can, optionally use BGP. Дополнительные сведения см. в статье Обзор использования BGP с VPN-шлюзами Azure.For details, see BGP with site-to-site VPN connections.

При обмене маршрутами с Azure с использованием протокола BGP отдельный маршрут добавляется в таблицу маршрутов всех подсетей в виртуальной сети для каждого объявляемого префикса.When you exchange routes with Azure using BGP, a separate route is added to the route table of all subnets in a virtual network for each advertised prefix. При этом в качестве источника и типа следующего прыжка указано значение Шлюз виртуальной сети.The route is added with Virtual network gateway listed as the source and next hop type.

Распространение маршрутов ExpressRoute и VPN-шлюзов можно отключить для подсети с помощью свойства в таблице маршрутов.ER and VPN Gateway route propagation can be disabled on a subnet using a property on a route table. При обмене маршрутами с Azure с помощью BGP маршруты не добавляются в таблицу маршрутов всех подсетей с отключенным распространением маршрутов шлюза виртуальной сети.When you exchange routes with Azure using BGP, routes are not added to the route table of all subnets with Virtual network gateway route propagation disabled. Активировать VPN-подключения можно с помощью пользовательских маршрутов и VPN-шлюза с типом следующего прыжка.Connectivity with VPN connections is achieved using custom routes with a next hop type of Virtual network gateway. Дополнительные сведения см. в разделе Отключение распространения маршрутов шлюза виртуальной сети.For details, see How to disable Virtual network gateway route propagation.

Как Azure выбирает маршрутHow Azure selects a route

Когда исходящий трафик передается из подсети, Azure выбирает маршрут на основе целевого IP-адреса, используя самый длинный алгоритм сопоставления префикса.When outbound traffic is sent from a subnet, Azure selects a route based on the destination IP address, using the longest prefix match algorithm. Например, таблица маршрутов содержит два маршрута: один маршрут указывает префикс адреса 10.0.0.0/24, а второй — префикс адреса 10.0.0.0/16.For example, a route table has two routes: One route specifies the 10.0.0.0/24 address prefix, while the other route specifies the 10.0.0.0/16 address prefix. Azure направляет трафик, предназначенный для 10.0.0.5, к типу следующего прыжка, указанному в маршруте с префиксом адреса 10.0.0.0/24, так как этот маршрут длиннее, чем маршрут с префиксом адреса 10.0.0.0/16, хотя 10.0.0.5 содержится в обоих префиксах адресов.Azure routes traffic destined for 10.0.0.5, to the next hop type specified in the route with the 10.0.0.0/24 address prefix, because 10.0.0.0/24 is a longer prefix than 10.0.0.0/16, even though 10.0.0.5 is within both address prefixes. Azure направляет трафик, предназначенный для 10.0.1.5, к типу следующего прыжка, указанному в маршруте с префиксом адреса 10.0.0.0/16. Этот маршрут является самым длинным и самым подходящим, так как 10.0.1.5 не включен в префикс адреса 10.0.0.0/24.Azure routes traffic destined to 10.0.1.5, to the next hop type specified in the route with the 10.0.0.0/16 address prefix, because 10.0.1.5 isn't included in the 10.0.0.0/24 address prefix, therefore the route with the 10.0.0.0/16 address prefix is the longest prefix that matches.

Если несколько маршрутов содержат один и тот же префикс адреса, Azure выбирает тип маршрута на основе следующего приоритета:If multiple routes contain the same address prefix, Azure selects the route type, based on the following priority:

  1. определяемый пользователем маршрут;User-defined route
  2. маршрут BGP;BGP route
  3. Системные маршрутыSystem route

Примечание

Системные маршруты для трафика, связанного с виртуальной сетью, пиринговыми подключениями между виртуальными сетями или конечными точками служб для виртуальной сети, являются предпочтительными, даже если маршруты BGP более четко определены.System routes for traffic related to virtual network, virtual network peerings, or virtual network service endpoints, are preferred routes, even if BGP routes are more specific.

Например, таблица маршрутов содержит следующие маршруты:For example, a route table contains the following routes:

SourceSource Префиксы адресовAddress prefixes Тип следующего прыжкаNext hop type
Значение по умолчаниюDefault 0.0.0.0/00.0.0.0/0 ИнтернетInternet
пользователяUser 0.0.0.0/00.0.0.0/0 Шлюз виртуальной сетиVirtual network gateway

Если трафик предназначен для IP-адреса за пределами префиксов адресов любых других маршрутов в таблице маршрутов, Azure выбирает маршрут с источником Пользователь, так как определяемые пользователем маршруты имеют более высокий приоритет, чем системные маршруты по умолчанию.When traffic is destined for an IP address outside the address prefixes of any other routes in the route table, Azure selects the route with the User source, because user-defined routes are higher priority than system default routes.

Подробную таблицу маршрутизации с пояснениями маршрутов см. в статье Определяемые пользователем маршруты и IP-пересылка.See Routing example for a comprehensive routing table with explanations of the routes in the table.

Префикс адреса 0.0.0.0/00.0.0.0/0 address prefix

Маршрут с префиксом адреса 0.0.0.0/0 указывает Azure, как направлять трафик, предназначенный для IP-адреса, который не находится в префиксе адреса любого другого маршрута в таблице маршрутов подсети.A route with the 0.0.0.0/0 address prefix instructs Azure how to route traffic destined for an IP address that is not within the address prefix of any other route in a subnet's route table. При создании подсети Azure создает маршрут по умолчанию с префиксом адреса 0.0.0.0/0 и типом следующего прыжка Интернет.When a subnet is created, Azure creates a default route to the 0.0.0.0/0 address prefix, with the Internet next hop type. Если вы не переопределите этот маршрут, Azure направляет в Интернет весь трафик, предназначенный для IP-адресов, не включенных в префикс адреса любого другого маршрута.If you don't override this route, Azure routes all traffic destined to IP addresses not included in the address prefix of any other route, to the Internet. Исключением является лишь трафик к общедоступным IP-адресам служб Azure, который не перенаправляется в Интернет, а остается в магистральной сети Azure.The exception is that traffic to the public IP addresses of Azure services remains on the Azure backbone network, and is not routed to the Internet. Если вы переопределите этот маршрут с помощью настраиваемого маршрута, трафик, предназначенный для адресов, не входящих в префиксы адресов любого другого маршрута в таблице маршрутов, направляется на виртуальный сетевой модуль или шлюз виртуальной сети, в зависимости от того, что указано в настраиваемом маршруте.If you override this route, with a custom route, traffic destined to addresses not within the address prefixes of any other route in the route table is sent to a network virtual appliance or virtual network gateway, depending on which you specify in a custom route.

Если вы переопределите префикс адреса 0.0.0.0/0, при условии, что исходящий трафик из подсети проходит через виртуальный сетевой шлюз или виртуальный модуль, в маршруте Azure по умолчанию происходят следующие изменения:When you override the 0.0.0.0/0 address prefix, in addition to outbound traffic from the subnet flowing through the virtual network gateway or virtual appliance, the following changes occur with Azure's default routing:

  • Azure отправляет весь трафик к типу следующего прыжка, указанному в маршруте, включая трафик, предназначенный для общедоступных IP-адресов служб Azure.Azure sends all traffic to the next hop type specified in the route, including traffic destined for public IP addresses of Azure services. Когда типом следующего прыжка для маршрута с префиксом адреса 0.0.0.0/0 является Интернет, трафик из подсети, предназначенный для общедоступных IP-адресов служб Azure, никогда не покидает магистральную сеть Azure, независимо от региона Azure, в котором находится виртуальная сеть или ресурс службы Azure.When the next hop type for the route with the 0.0.0.0/0 address prefix is Internet, traffic from the subnet destined to the public IP addresses of Azure services never leaves Azure's backbone network, regardless of the Azure region the virtual network or Azure service resource exist in. Вы можете создать определяемый пользователем маршрут или маршрут BGP с типом следующего прыжка Шлюз виртуальной сети или Виртуальный модуль. Тогда весь трафик, включая трафик, отправленный на общедоступные IP-адреса служб Azure, для которых не разрешены конечные точки службы, отправляется к типу следующего прыжка, указанному в маршруте.When you create a user-defined or BGP route with a Virtual network gateway or Virtual appliance next hop type however, all traffic, including traffic sent to public IP addresses of Azure services you haven't enabled service endpoints for, is sent to the next hop type specified in the route. Если для службы включить конечную точку службы, трафик к ней не направляется по типу следующего прыжка в маршруте с префиксом адреса 0.0.0.0/0, потому что префиксы адресов для службы указаны в маршруте, который Azure создает при включении конечной точки службы, и они будут длиннее префикса 0.0.0.0/0.If you've enabled a service endpoint for a service, traffic to the service is not routed to the next hop type in a route with the 0.0.0.0/0 address prefix, because address prefixes for the service are specified in the route that Azure creates when you enable the service endpoint, and the address prefixes for the service are longer than 0.0.0.0/0.

  • Вы больше не сможете напрямую получать доступ к ресурсам в подсети из Интернета.You are no longer able to directly access resources in the subnet from the Internet. Вы можете косвенно обращаться к ресурсам в подсети из Интернета, если входящий трафик проходит через устройство, указанное типом следующего прыжка для маршрута с префиксом адреса 0.0.0.0/0, прежде чем достичь ресурса в виртуальной сети.You can indirectly access resources in the subnet from the Internet, if inbound traffic passes through the device specified by the next hop type for a route with the 0.0.0.0/0 address prefix before reaching the resource in the virtual network. Если маршрут содержит указанные ниже значения для типа следующего прыжка:If the route contains the following values for next hop type:

    • Виртуальный модуль. Модуль должен:Virtual appliance: The appliance must:

      • быть доступным из Интернета;Be accessible from the Internet
      • иметь назначенный общедоступный IP-адрес;Have a public IP address assigned to it,
      • не иметь связанного с ним правила группы безопасности сети, которое предотвращает связь с устройством;Not have a network security group rule associated to it that prevents communication to the device
      • не запрещать обмен данными;Not deny the communication
      • иметь возможность преобразовывать и переадресовывать сетевой адрес или передавать трафик на целевой ресурс в подсети и возвращать его обратно в Интернет.Be able to network address translate and forward, or proxy the traffic to the destination resource in the subnet, and return the traffic back to the Internet.
    • Шлюз виртуальной сети. Если шлюз является шлюзом виртуальной сети ExpressRoute, подключенное к Интернету локальное устройство может преобразовывать и переадресовывать сетевой адрес или передавать трафик на целевой ресурс в подсети через частный пиринг ExpressRoute.Virtual network gateway: If the gateway is an ExpressRoute virtual network gateway, an Internet-connected device on-premises can network address translate and forward, or proxy the traffic to the destination resource in the subnet, via ExpressRoute's private peering.

Если виртуальная сеть подключена к шлюзу Azure VPN, не связывайте таблицу маршрутов с подсетью шлюза, включающей маршрут с назначением 0.0.0.0/0.If your virtual network is connected to an Azure VPN gateway, do not associate a route table to the gateway subnet that includes a route with a destination of 0.0.0.0/0. Это может привести к неправильной работе шлюза.Doing so can prevent the gateway from functioning properly. Дополнительные сведения см. в ответе на вопрос Почему на моем VPN-шлюзе открыты определенные порты? в статье VPN-шлюз: вопросы и ответы.For details, see the Why are certain ports opened on my VPN gateway? question in the VPN Gateway FAQ.

Дополнительные сведения об использовании шлюзов виртуальной сети и виртуальных модулей между Интернетом и Azure см. в статьях Сеть периметра между Azure и локальным центром обработки данных и Сеть периметра между Azure и Интернетом.See DMZ between Azure and your on-premises datacenter and DMZ between Azure and the Internet for implementation details when using virtual network gateways and virtual appliances between the Internet and Azure.

Пример маршрутизацииRouting example

Чтобы продемонстрировать основные понятия в этой статье, в последующих разделах представлено следующее:To illustrate the concepts in this article, the sections that follow describe:

  • сценарий с описанием требований;A scenario, with requirements
  • настраиваемые маршруты, необходимые для соответствия требованиям;The custom routes necessary to meet the requirements
  • таблица маршрутов для одной подсети, которая содержит стандартные и настраиваемые маршруты, необходимые для соответствия требованиям.The route table that exists for one subnet that includes the default and custom routes necessary to meet the requirements

Примечание

Этот пример не является рекомендуемым или лучшим типом реализации.This example is not intended to be a recommended or best practice implementation. Его предназначение — проиллюстрировать основные понятия в этой статье.Rather, it is provided only to illustrate concepts in this article.

ТребованияRequirements

  1. Реализуйте две виртуальные сети в одном регионе Azure и настройте ресурсы для обмена данными между виртуальными сетями.Implement two virtual networks in the same Azure region and enable resources to communicate between the virtual networks.

  2. Настройте в локальной сети безопасный обмен данными с обеими виртуальными сетями через Интернет с помощью туннеля VPN.Enable an on-premises network to communicate securely with both virtual networks through a VPN tunnel over the Internet. Можно также использовать подключение ExpressRoute, но в этом примере используется VPN-подключение.Alternatively, an ExpressRoute connection could be used, but in this example, a VPN connection is used.

  3. Для одной подсети в одной виртуальной сети:For one subnet in one virtual network:

    • Настройте принудительную передачу всего трафика из подсети (за исключением хранилища Azure и внутри подсети) через виртуальный сетевой модуль для проверки и регистрации.Force all outbound traffic from the subnet, except to Azure Storage and within the subnet, to flow through a network virtual appliance, for inspection and logging.
    • Не проверяйте трафик между частными IP-адресами в подсети и разрешите прохождение трафика непосредственно между всеми ресурсами.Do not inspect traffic between private IP addresses within the subnet; allow traffic to flow directly between all resources.
    • Прервите весь исходящий трафик, предназначенный для другой виртуальной сети.Drop any outbound traffic destined for the other virtual network.
    • Разрешите прохождение исходящего трафика непосредственно в хранилище Azure без принудительного прохождения через виртуальный сетевой модуль.Enable outbound traffic to Azure storage to flow directly to storage, without forcing it through a network virtual appliance.
  4. Разрешите весь трафик между всеми подсетями и виртуальными сетями.Allow all traffic between all other subnets and virtual networks.

РеализацияImplementation

На следующем рисунке показана реализация с помощью модели развертывания Azure Resource Manager, которая соответствует предыдущим требованиям:The following picture shows an implementation through the Azure Resource Manager deployment model that meets the previous requirements:

Схема сети

Стрелки показывают поток трафика.Arrows show the flow of traffic.

Таблицы маршрутовRoute tables

Подсеть 1Subnet1

Таблица маршрутов Subnet 1 (Подсеть 1) на рисунке содержит следующие маршруты:The route table for Subnet1 in the picture contains the following routes:

idID SourceSource СостояниеState Префиксы адресовAddress prefixes Тип следующего прыжкаNext hop type IP-адрес следующего прыжкаNext hop IP address Название определяемого пользователем маршрутаUser-defined route name
11 Значение по умолчаниюDefault НедопустимоInvalid 10.0.0.0/1610.0.0.0/16 Виртуальная сетьVirtual network
22 пользователяUser АктивнаActive 10.0.0.0/1610.0.0.0/16 Виртуальный модульVirtual appliance 10.0.100.410.0.100.4 В пределах виртуальной сети (VNet) 1Within-VNet1
33 пользователяUser АктивнаActive 10.0.0.0/2410.0.0.0/24 Виртуальная сетьVirtual network В пределах подсети 1Within-Subnet1
44 Значение по умолчаниюDefault НедопустимоInvalid 10.1.0.0/1610.1.0.0/16 Пиринговая связь между виртуальными сетямиVNet peering
55 Значение по умолчаниюDefault НедопустимоInvalid 10.2.0.0/1610.2.0.0/16 Пиринговая связь между виртуальными сетямиVNet peering
66 пользователяUser АктивнаActive 10.1.0.0/1610.1.0.0/16 НетNone К виртуальной сети 2 — 1 —прерватьToVNet2-1-Drop
77 пользователяUser АктивнаActive 10.2.0.0/1610.2.0.0/16 НетNone К виртуальной сети 2 — 2 —прерватьToVNet2-2-Drop
88 Значение по умолчаниюDefault НедопустимоInvalid 10.10.0.0/1610.10.0.0/16 Шлюз виртуальной сетиVirtual network gateway [X.X.X.X][X.X.X.X]
99 пользователяUser АктивнаActive 10.10.0.0/1610.10.0.0/16 Виртуальный модульVirtual appliance 10.0.100.410.0.100.4 К локальной средеTo-On-Prem
1010 Значение по умолчаниюDefault АктивнаActive [X.X.X.X][X.X.X.X] VirtualNetworkServiceEndpointVirtualNetworkServiceEndpoint
1111 Значение по умолчаниюDefault НедопустимоInvalid 0.0.0.0/00.0.0.0/0 ИнтернетInternet
1212 пользователяUser АктивнаActive 0.0.0.0/00.0.0.0/0 Виртуальный модульVirtual appliance 10.0.100.410.0.100.4 Виртуальный сетевой модуль по умолчаниюDefault-NVA

Пояснение для идентификатора каждого маршрута:An explanation of each route ID follows:

  1. Azure автоматически добавляет этот маршрут для всех подсетей в виртуальной сети 1, так как 10.0.0.0/16 — это единственный диапазон адресов, определенный в адресном пространстве для виртуальной сети.Azure automatically added this route for all subnets within Virtual-network-1, because 10.0.0.0/16 is the only address range defined in the address space for the virtual network. Если определяемый пользователем маршрут в маршруте 2 не создан, трафик, отправленный на любой адрес между 10.0.0.1 и 10.0.255.254, будет направляться в виртуальную сеть, так как префикс длиннее 0.0.0.0/0 и не находится внутри префиксов адресов любого из других маршрутов.If the user-defined route in route ID2 weren't created, traffic sent to any address between 10.0.0.1 and 10.0.255.254 would be routed within the virtual network, because the prefix is longer than 0.0.0.0/0, and not within the address prefixes of any of the other routes. В Azure было автоматически изменено состояние с Активно на Недопустимо, когда был добавлен определяемый пользователем маршрут 2, так как он имеет тот же префикс, что и маршрут по умолчанию, а определяемые пользователем маршруты переопределяют маршруты по умолчанию.Azure automatically changed the state from Active to Invalid, when ID2, a user-defined route, was added, since it has the same prefix as the default route, and user-defined routes override default routes. Состояние этого маршрута по-прежнему имеет значение Активно для подсети 2, потому что таблица маршрутов, в которой находится определяемый пользователем маршрут 2, не связана с подсетью 2.The state of this route is still Active for Subnet2, because the route table that user-defined route, ID2 is in, isn't associated to Subnet2.
  2. В Azure был добавлен этот маршрут, когда определяемый пользователем маршрут для префикса адреса 10.0.0.0/16 был связан с подсетью 1 в виртуальной сети 1.Azure added this route when a user-defined route for the 10.0.0.0/16 address prefix was associated to the Subnet1 subnet in the Virtual-network-1 virtual network. Определяемый пользователем маршрут указывает 10.0.100.4 в качестве IP-адреса виртуального модуля, так как это частный IP-адрес, назначенный виртуальной машине виртуального модуля.The user-defined route specifies 10.0.100.4 as the IP address of the virtual appliance, because the address is the private IP address assigned to the virtual appliance virtual machine. Таблица маршрутов, в которой существует этот маршрут, не связана с подсетью 2 и поэтому не отображается в таблице маршрутов подсети 2.The route table this route exists in is not associated to Subnet2, so doesn't appear in the route table for Subnet2. Этот маршрут переопределяет маршрут по умолчанию для префикса 10.0.0.0/16 (маршрут 1), который автоматически направляет трафик, адресованный 10.0.0.1 и 10.0.255.254 в виртуальной сети, с помощью типа следующего прыжка "Виртуальная сеть".This route overrides the default route for the 10.0.0.0/16 prefix (ID1), which automatically routed traffic addressed to 10.0.0.1 and 10.0.255.254 within the virtual network through the virtual network next hop type. Этот маршрут существует в соответствии с требованием 3, чтобы принудительно направить весь исходящий трафик через виртуальный модуль.This route exists to meet requirement 3, to force all outbound traffic through a virtual appliance.
  3. В Azure был добавлен этот маршрут, когда определяемый пользователем маршрут для префикса адреса 10.0.0.0/24 был связан с подсетью 1.Azure added this route when a user-defined route for the 10.0.0.0/24 address prefix was associated to the Subnet1 subnet. Трафик, предназначенный для адресов между 10.0.0.1 и 10.0.0.254, остается в подсети, а не направляется к виртуальному модулю, указанному в предыдущем правиле (маршрут 2), так как он имеет более длинный префикс, чем маршрут 2.Traffic destined for addresses between 10.0.0.1 and 10.0.0.254 remains within the subnet, rather than being routed to the virtual appliance specified in the previous rule (ID2), because it has a longer prefix than the ID2 route. Этот маршрут не связан с подсетью 2 и поэтому не отображается в таблице маршрутов подсети 2.This route was not associated to Subnet2, so the route does not appear in the route table for Subnet2. Этот маршрут эффективно переопределяет маршрут 2 для трафика в подсети 1.This route effectively overrides the ID2 route for traffic within Subnet1. Этот маршрут существует в соответствии с требованием 3.This route exists to meet requirement 3.
  4. В Azure были автоматически добавлены маршруты 4 и 5 для всех подсетей в виртуальной сети 1, когда между ней и виртуальной сетью 2 была установлена пиринговая связь.Azure automatically added the routes in IDs 4 and 5 for all subnets within Virtual-network-1, when the virtual network was peered with Virtual-network-2. Виртуальная сеть 2 содержит два диапазона адресов в адресном пространстве (10.1.0.0/16 и 10.2.0.0/16), поэтому Azure добавил маршрут для каждого диапазона.Virtual-network-2 has two address ranges in its address space: 10.1.0.0/16 and 10.2.0.0/16, so Azure added a route for each range. Если определяемые пользователем маршруты в маршрутах 6 и 7 не созданы, трафик, отправленный на любой адрес между 10.1.0.1-10.1.255.254 и 10.2.0.1-10.2.255.254, будет направляться в пиринговую виртуальную сеть, так как префикс длиннее, чем 0.0.0.0/0, и не находится внутри префиксов адресов любого из других маршрутов.If the user-defined routes in route IDs 6 and 7 weren't created, traffic sent to any address between 10.1.0.1-10.1.255.254 and 10.2.0.1-10.2.255.254 would be routed to the peered virtual network, because the prefix is longer than 0.0.0.0/0, and not within the address prefixes of any of the other routes. В Azure было автоматически изменено состояние с Активно на Недопустимо, когда были добавлены маршруты 6 и 7, так как они имеют те же префиксы, что и маршруты 4 и 5, а определяемые пользователем маршруты переопределяют маршруты по умолчанию.Azure automatically changed the state from Active to Invalid, when the routes in IDs 6 and 7 were added, since they have the same prefixes as the routes in IDs 4 and 5, and user-defined routes override default routes. Состояние маршрутов в идентификаторах 4 и 5 по-прежнему активно для подсети 2, так как таблица маршрутов, в которой определены определяемые пользователем маршруты с идентификаторами 6 и 7, не связана с подсети 2.The state of the routes in IDs 4 and 5 are still Active for Subnet2, because the route table that the user-defined routes in IDs 6 and 7 are in, isn't associated to Subnet2. Пиринг виртуальных сетей был создан в соответствии с требованием 1.A virtual network peering was created to meet requirement 1.
  5. То же касается и маршрута 4.Same explanation as ID4.
  6. Azure добавляет этот маршрут и маршрут в маршрут с ИД 7, когда определяемые пользователем маршруты для префиксов адресов 10.1.0.0/16 и 10.2.0.0/16 связываются с подсетью 1.Azure added this route and the route in ID7, when user-defined routes for the 10.1.0.0/16 and 10.2.0.0/16 address prefixes were associated to the Subnet1 subnet. Трафик, предназначенный для адресов между 10.1.0.1-10.1.255.254 и 10.2.0.1-10.2.255.254, прерывается Azure, а не направляется в пиринговую виртуальную сеть, так как определяемые пользователем маршруты переопределяют маршруты по умолчанию.Traffic destined for addresses between 10.1.0.1-10.1.255.254 and 10.2.0.1-10.2.255.254 is dropped by Azure, rather than being routed to the peered virtual network, because user-defined routes override default routes. Эти маршруты не связаны с подсетью 2 и поэтому не отображаются в таблице маршрутов подсети 2.The routes are not associated to Subnet2, so the routes do not appear in the route table for Subnet2. Эти маршруты переопределяют маршруты 4 и 5 трафика, выходящего из подсети 1.The routes override the ID4 and ID5 routes for traffic leaving Subnet1. Маршруты 6 и 7 существует в соответствии с требованием 3, чтобы прервать трафик, предназначенный для другой виртуальной сети.The ID6 and ID7 routes exist to meet requirement 3 to drop traffic destined to the other virtual network.
  7. То же касается и маршрута 6.Same explanation as ID6.
  8. Azure автоматически добавляет этот маршрут для всех подсетей в виртуальной сети 1 при создании шлюза виртуальной сети типа VPN.Azure automatically added this route for all subnets within Virtual-network-1 when a VPN type virtual network gateway was created within the virtual network. Azure добавляет общедоступный IP-адрес шлюза виртуальной сети в таблицу маршрутов.Azure added the public IP address of the virtual network gateway to the route table. Трафик, отправленный на любой адрес между 10.10.0.1 и 10.10.255.254, направляется в шлюз виртуальной сети.Traffic sent to any address between 10.10.0.1 and 10.10.255.254 is routed to the virtual network gateway. Префикс длиннее, чем 0.0.0.0/0, и не находится внутри префиксов адресов других маршрутов.The prefix is longer than 0.0.0.0/0 and not within the address prefixes of any of the other routes. Шлюз виртуальной сети был создан в соответствии с требованием 2.A virtual network gateway was created to meet requirement 2.
  9. В Azure был добавлен этот маршрут, когда определяемый пользователем маршрут для префикса адреса 10.10.0.0/16 был добавлен в таблицу маршрутов, связанную с подсетью 1.Azure added this route when a user-defined route for the 10.10.0.0/16 address prefix was added to the route table associated to Subnet1. Этот маршрут переопределяет маршрут 8.This route overrides ID8. Маршрут отправляет весь трафик, предназначенный для локальной сети, в виртуальный сетевой модуль для проверки вместо маршрутизации трафика локально.The route sends all traffic destined for the on-premises network to an NVA for inspection, rather than routing traffic directly on-premises. Этот маршрут был создан в соответствии с требованием 3.This route was created to meet requirement 3.
  10. Azure автоматически добавляет этот маршрут в подсеть, когда для нее настраивается конечная точка службы для службы Azure.Azure automatically added this route to the subnet when a service endpoint to an Azure service was enabled for the subnet. Azure направляет трафик из подсети на общедоступный IP-адрес службы через сеть инфраструктуры Azure.Azure routes traffic from the subnet to a public IP address of the service, over the Azure infrastructure network. Префикс длиннее, чем 0.0.0.0/0, и не находится внутри префиксов адресов других маршрутов.The prefix is longer than 0.0.0.0/0 and not within the address prefixes of any of the other routes. Конечная точка службы была создана в соответствии с требованием 3, чтобы направить трафик, предназначенный для хранилища Azure, непосредственно в хранилище.A service endpoint was created to meet requirement 3, to enable traffic destined for Azure Storage to flow directly to Azure Storage.
  11. Azure автоматически добавляет этот маршрут в таблицу маршрутов всех подсетей в виртуальной сети 1 и 2.Azure automatically added this route to the route table of all subnets within Virtual-network-1 and Virtual-network-2. Префикс адреса 0.0.0.0/0 является кратчайшим префиксом.The 0.0.0.0/0 address prefix is the shortest prefix. Любой трафик, отправленный адресам с более длинными префиксами, направляется согласно другим маршрутам.Any traffic sent to addresses within a longer address prefix are routed based on other routes. По умолчанию Azure направляет весь трафик, предназначенный для адресов, отличных от указанных для одного из других маршрутов, в Интернет.By default, Azure routes all traffic destined for addresses other than the addresses specified in one of the other routes to the Internet. Azure автоматически изменяет состояние с Активно на Недоступно для подсети 1, когда определяемый пользователем маршрут для префикса адреса 0.0.0.0/0 (12) связывается с подсетью.Azure automatically changed the state from Active to Invalid for the Subnet1 subnet when a user-defined route for the 0.0.0.0/0 address prefix (ID12) was associated to the subnet. Состояние этого маршрута по-прежнему имеет состояние Active для всех других подсетей в обеих виртуальных сетях, поскольку маршрут не связан ни с какими другими подсетями в любых виртуальных сетях.The state of this route is still Active for all other subnets within both virtual networks, because the route isn't associated to any other subnets within any other virtual networks.
  12. В Azure был добавлен этот маршрут, когда определяемый пользователем маршрут для префикса адреса 0.0.0.0/0 был связан с подсетью 1.Azure added this route when a user-defined route for the 0.0.0.0/0 address prefix was associated to the Subnet1 subnet. Определяемый пользователем маршрут указывает 10.0.100.4 в качестве IP-адреса виртуального модуля.The user-defined route specifies 10.0.100.4 as the IP address of the virtual appliance. Этот маршрут не связан с подсетью 2 и поэтому не отображается в таблице маршрутов подсети 2.This route is not associated to Subnet2, so the route does not appear in the route table for Subnet2. Весь трафик для любых адресов, не включенных в префиксы адресов других маршрутов, отправляется на виртуальный модуль.All traffic for any address not included in the address prefixes of any of the other routes is sent to the virtual appliance. Добавление этого маршрута меняет состояние маршрута по умолчанию для префикса адреса 0.0.0.0/0 (11) с Активно на Недоступно для подсети 1, потому что определяемый пользователем маршрут переопределяет маршрут по умолчанию.The addition of this route changed the state of the default route for the 0.0.0.0/0 address prefix (ID11) from Active to Invalid for Subnet1, because a user-defined route overrides a default route. Этот маршрут существует в соответствии с третьим требованием.This route exists to meet the third requirement.

Подсеть 2Subnet2

Таблица маршрутов подсети 2 на рисунке содержит следующие маршруты:The route table for Subnet2 in the picture contains the following routes:

SourceSource СостояниеState Префиксы адресовAddress prefixes Тип следующего прыжкаNext hop type IP-адрес следующего прыжкаNext hop IP address
Значение по умолчаниюDefault АктивнаActive 10.0.0.0/1610.0.0.0/16 Виртуальная сетьVirtual network
Значение по умолчаниюDefault АктивнаActive 10.1.0.0/1610.1.0.0/16 Пиринговая связь между виртуальными сетямиVNet peering
Значение по умолчаниюDefault АктивнаActive 10.2.0.0/1610.2.0.0/16 Пиринговая связь между виртуальными сетямиVNet peering
Значение по умолчаниюDefault АктивнаActive 10.10.0.0/1610.10.0.0/16 Шлюз виртуальной сетиVirtual network gateway [X.X.X.X][X.X.X.X]
Значение по умолчаниюDefault АктивнаActive 0.0.0.0/00.0.0.0/0 ИнтернетInternet
Значение по умолчаниюDefault АктивнаActive 10.0.0.0/810.0.0.0/8 НетNone
Значение по умолчаниюDefault АктивнаActive 100.64.0.0/10100.64.0.0/10 НетNone
Значение по умолчаниюDefault АктивнаActive 192.168.0.0/16192.168.0.0/16 НетNone

Таблица маршрутов для подсети 2 содержит все созданные по умолчанию маршруты Azure и необязательные маршруты пиринговой виртуальной сети и шлюза виртуальной сети.The route table for Subnet2 contains all Azure-created default routes and the optional VNet peering and Virtual network gateway optional routes. Azure добавляет дополнительные маршруты во все подсети в виртуальной сети, когда шлюз и пиринг добавляются в виртуальную сеть.Azure added the optional routes to all subnets in the virtual network when the gateway and peering were added to the virtual network. В Azure были удалены маршруты для префиксов адресов 10.0.0.0/8, 192.168.0.0/16 и 100.64.0.0/10 из таблицы Subnet1 Route, когда определяемый пользователем маршрут к адресу адреса 0.0.0.0/0 был добавлен в Subnet1.Azure removed the routes for the 10.0.0.0/8, 192.168.0.0/16, and 100.64.0.0/10 address prefixes from the Subnet1 route table when the user-defined route for the 0.0.0.0/0 address prefix was added to Subnet1.

Следующие шагиNext steps