Планирование и реализация определяемых пользователем маршрутов (UDR)
Вы можете создать настраиваемые или определяемые пользователем (статические), маршруты в Azure для переопределения системных маршрутов Azure по умолчанию или добавить дополнительные маршруты в таблицу маршрутов подсети. В Azure вы создаете таблицу маршрутов, которую можно не связывать или связать с несколькими подсетями виртуальной сети. С каждой подсетью может быть связана одна таблица маршрутов (или ноль). Сведения о максимальном количестве маршрутов, которые можно добавить в таблицу маршрутов, и о максимальном количестве таблиц маршрутов, определяемых пользователем, на подписку Azure см. в разделе Ограничения сети. Когда вы создаете таблицу маршрутизации и связываете ее с подсетью, маршруты из этой таблицы объединяются с маршрутами по умолчанию в подсети. Если имеются конфликтующие назначения маршрутов, определяемые пользователем маршруты переопределяют маршруты по умолчанию.
При создании маршрута, определяемого пользователем, можно указать приведенные ниже типы следующего прыжка.
- Виртуальный модуль. Виртуальный модуль — это виртуальная машина, на которой обычно выполняется сетевое приложение, например брандмауэр. Сведения о различных предварительно настроенных виртуальных (модуль) сети, которые можно развернуть в виртуальной сети, см. в Azure Marketplace. При создании маршрута с типом прыжка Виртуальный модуль можно также указать IP-адрес следующего прыжка одного из таких типов:
- Частный IP-адрес сетевого интерфейса, подключенного к виртуальной машине. Для такого сетевого интерфейса, который перенаправляет сетевой трафик на адрес, отличный от своего собственного, требуется активировать параметр Azure Enable IP forwarding (Включить IP-пересылку). Параметр отключает проверку источника и назначения для сетевого интерфейса, выполняемую Azure. См. дополнительные сведения о способах включения IP-пересылки для сетевого интерфейса. См. дополнительные сведения о способах включения IP-пересылки для сетевого интерфейса. Хотя параметр Включить IP-пересылку относится к Azure, вам также может потребоваться включить IP-пересылку в операционной системе виртуальной машины, чтобы устройство перенаправляло трафик между частными IP-адресами, назначенными сетевым интерфейсам Azure. Если (модуль) необходимо маршрутизировать трафик к общедоступному IP-адресу, он должен либо прокси-сервер трафика, либо выполнять преобразование сетевых адресов (NAT) из частного IP-адреса источника в собственный частный IP-адрес. Затем Azure выполняет NAT на общедоступный IP-адрес перед отправкой трафика в Интернет. Чтобы определить требуемые параметры на виртуальной машине, ознакомьтесь с документацией вашей операционной системы или сетевого приложения. См. дополнительные сведения об исходящих подключениях в Azure.
- Частный IP-адрес внутренней подсистемы балансировки нагрузки Azure. Подсистема балансировки нагрузки часто используется как часть стратегии обеспечения высокой доступности виртуальных сетевых модулей.
- Частный IP-адрес сетевого интерфейса, подключенного к виртуальной машине. Для такого сетевого интерфейса, который перенаправляет сетевой трафик на адрес, отличный от своего собственного, требуется активировать параметр Azure Enable IP forwarding (Включить IP-пересылку). Параметр отключает проверку источника и назначения для сетевого интерфейса, выполняемую Azure. См. дополнительные сведения о способах включения IP-пересылки для сетевого интерфейса. См. дополнительные сведения о способах включения IP-пересылки для сетевого интерфейса. Хотя параметр Включить IP-пересылку относится к Azure, вам также может потребоваться включить IP-пересылку в операционной системе виртуальной машины, чтобы устройство перенаправляло трафик между частными IP-адресами, назначенными сетевым интерфейсам Azure. Если (модуль) необходимо маршрутизировать трафик к общедоступному IP-адресу, он должен либо прокси-сервер трафика, либо выполнять преобразование сетевых адресов (NAT) из частного IP-адреса источника в собственный частный IP-адрес. Затем Azure выполняет NAT на общедоступный IP-адрес перед отправкой трафика в Интернет. Чтобы определить требуемые параметры на виртуальной машине, ознакомьтесь с документацией вашей операционной системы или сетевого приложения. См. дополнительные сведения об исходящих подключениях в Azure.
Маршрут можно определить с префиксом адреса 0.0.0.0/0 и типом следующего прыжка виртуального (модуль). Эта конфигурация позволяет (модуль) проверять трафик и определять, следует ли пересылать или удалять трафик. Если вы хотите создать определяемый пользователем маршрут, который содержит префикс адреса 0.0.0.0/0, ознакомьтесь со статьей Определяемые пользователем маршруты и IP-пересылка.
- Шлюз виртуальной сети: укажите, когда трафик, предназначенный для конкретных префиксов адресов, следует направлять в шлюз виртуальной сети. Шлюз виртуальной сети должен быть шлюзом VPN. Невозможно указать шлюз виртуальной сети типа ExpressRoute в определяемом пользователем маршруте, так как для ExpressRoute с настраиваемыми маршрутами необходимо использовать BGP. Указать шлюзы виртуальной сети, если установлены параллельные подключения VPN и ExpressRoute, невозможно. Вы можете определить маршрут, который направляет трафик, предназначенный для префикса адресов 0.0.0.0/0, в виртуальный сетевой шлюз на основе маршрутов. В локальной среде у вас может быть устройство, которое проверяет трафик и определяет, следует ли пересылать или прерывать трафик. Если вы хотите создать определяемый пользователем маршрут для префикса адреса 0.0.0.0/0, ознакомьтесь со статьей Определяемые пользователем маршруты и IP-пересылка. Вместо настройки определяемого пользователем маршрута для префикса адреса 0.0.0.0/0 вы можете объявить этот маршрут с помощью BGP, если вы включили BGP для виртуального сетевого шлюза VPN.
- Нет: укажите, когда следует прерывать трафик, предназначенный для префикса адреса, а не перенаправлять трафик в пункт назначения. Если вы еще не полностью настроили функцию, Azure может указать Нет для некоторых необязательных системных маршрутов. Например, если для IP-адреса следующего прыжка указано значение Нет, а для типа следующего прыжка указано значение Виртуальный сетевой шлюз или Виртуальный модуль, возможно, модуль не работает или не настроен полностью. Azure создает системные маршруты по умолчанию для зарезервированных префиксов адресов со значением Нет в качестве типа следующего прыжка.
- Виртуальная сеть. Укажите параметр виртуальной сети, если требуется переопределить маршрутизацию по умолчанию в виртуальной сети.
- Интернет. Укажите параметр Интернета, если вы хотите явно направлять трафик, предназначенный для префикса адреса в Интернет, или если требуется трафик, предназначенный для служб Azure с общедоступными IP-адресами, хранящихся в магистральной сети Azure. Пример маршрутизации см . в примере того, почему можно создать маршрут с типом прыжка виртуальной сети.
Вы не можете указать пиринг виртуальной сети или VirtualNetworkServiceEndpoint в качестве типа следующего прыжка в определяемых пользователем маршрутах. Маршруты с пирингом виртуальной сети или типами следующего прыжка VirtualNetworkServiceEndpoint создаются только в Azure при настройке пиринга виртуальной сети или конечной точки службы.
Теги служб для определяемых пользователем маршрутов
Теперь можно указать тег службы в качестве префикса адреса для определяемого пользователем маршрута вместо явного диапазона IP-адресов. Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов. Это сводит к минимуму сложность частых обновлений определяемых пользователем маршрутов и сокращает количество маршрутов, которые вам приходится создавать. В настоящее время в каждой таблице маршрутов можно создать не более 25 маршрутов с тегами службы. В этом выпуске также поддерживается использование тегов служб в сценариях маршрутизации для контейнеров.
Точное совпадение
Система предоставляет предпочтение маршруту с явным префиксом, если между маршрутом с явным префиксом IP-адреса и маршрутом с тегом службы имеется точный префикс. Если несколько маршрутов с тегами службы имеют соответствующие префиксы IP-адресов, маршруты оцениваются в следующем порядке:
- Региональные теги (например, Storage.EastUS, AppService.AustraliaCentral).
- Теги верхнего уровня (например, Storage, AppService).
- Региональные теги AzureCloud (например, AzureCloud.canadacentral, AzureCloud.eastasia).
- Тег AzureCloud
Чтобы использовать эту функцию, укажите имя тега службы для параметра префикса адреса в командах таблицы маршрутов. Например, в PowerShell можно создать новый маршрут для перенаправления трафика, отправленного в префикс IP-адреса служба хранилища Azure виртуальной (модуль) с помощью:
Azure PowerShell
$param = @{ Name = 'StorageRoute' AddressPrefix = 'Storage' NextHopType = 'VirtualAppliance' NextHopIpAddress = '10.0.100.4' } New-AzRouteConfig @param
Та же команда для ИНТЕРФЕЙСА командной строки выглядит следующим образом:
Azure CLI
az network route-table route create \ --resource-group MyResourceGroup \ --route-table-name MyRouteTable \ --name StorageRoute \ --address-prefix Storage \ --next-hop-type VirtualAppliance \ --next-hop-ip-address 10.0.100.4