使用 Azure 防火牆 路由傳送多中樞和輪輻拓撲

中樞和輪輻拓撲是 Azure 中一種常見的網路架構模式。 中樞是 Azure 中的虛擬網路 (VNet)，會作為對您內部部署網路之連線能力的中心點。 「輪輻」是與中樞對等的 VNet，可用於隔離工作負載。 中樞可用來隔離和保護輪輻之間的流量。 中樞還可用於在輪輻之間路由流量。 中樞可用於透過各種方法在輪輻之間路由流量。

例如，可以將 Azure 路由伺服器與動態路由和網路虛擬設備 (NVA) 搭配使用，以便在輪輻之間路由流量。 這可能是相當複雜的部署。 較不複雜的方法會使用 Azure 防火牆和靜態路由在輪輻之間路由流量。

本文說明如何將 Azure 防火牆與靜態使用者定義路由 (UDR) 搭配使用，以路由多中樞和輪輻拓撲。 下圖顯示該拓撲：

基準結構

Azure 防火牆會保護並檢查網路流量，但也會在 VNet 之間路由流量。 這是一種受控資源，會自動建立指向其本機輪輻、中樞，以及其本機虛擬網路閘道所學習的內部部署前置詞的系統路由。 將 NVA 放在中樞上，並查詢有效路由會導致一個類似於 Azure 防火牆中找到的路由表。

由於這是一種靜態路由架構，可以透過使用中樞之間的全域 VNet 對等互連來構建與另一個中樞的最短路徑。 因此，各個中樞彼此瞭解，而每個本機防火牆都包含每個直接連線中樞的路由表。 不過，本機中樞只會知道本身的本機輪輻。 此外，這些中樞可以位於相同的區域或不同的區域。

防火牆子網路上的路由

每個本機防火牆都需要知道如何連線到其他遠端輪輻，因此您必須在防火牆子網路中建立 UDR。 若要這樣做，您必須先建立任何類型的預設路由，然後可讓您建立其他輪輻的更特定路由。 例如，下列螢幕擷取畫面顯示兩個中樞 VNet 的路由表：

Hub-01 路由表

Hub-02 路由表

輪輻子網路上的路由

實作此拓撲的優點是，隨著流量從一個中樞流向另一個中樞，就可以連線到透過全域對等互連直接連線的下一個躍點。

如圖所示，最好將 UDR 放在具有 0/0 路由 (預設閘道) 且將本機防火牆作為下一個躍點的輪輻子網路中。 這會將單個下一個躍點退出點鎖定為本機防火牆。 如果它從內部部署環境中學習了可能會導致流量略過防火牆的更特定前置詞，則其也會降低非對稱路由的風險。 如需詳細資訊，請參閱不要讓 Azure 路由影響您。

以下是連線至 Hub-01 的輪輻子網路的範例路由表：

下一步

• 深入了解如何部署和設定 Azure 防火牆。