Sdílet prostřednictvím

Použití služby Azure Firewall ke směrování topologie s vícenásobnou hvězdicovou strukturou

  • Článek

Hvězdicová topologie je běžný model síťové architektury v Azure. Centrem je virtuální síť (VNet) v Azure, která funguje jako ústřední bod připojení k vaší místní síti. Paprsky jsou virtuální sítě v partnerském vztahu s centrem, které je možné použít k izolaci úloh. Centrum se dá použít k izolaci a zabezpečení provozu mezi paprsky. Centrum se dá použít také ke směrování provozu mezi paprsky. Centrum se dá použít ke směrování provozu mezi paprsky pomocí různých metod.

K směrování provozu mezi paprsky můžete například použít Azure Route Server s dynamickým směrováním a síťovými virtuálními zařízeními. Může to být poměrně složité nasazení. Méně složitá metoda používá ke směrování provozu mezi paprsky azure Firewall a statické trasy.

Tento článek ukazuje, jak pomocí služby Azure Firewall se statickými trasami definovanými uživatelem (UDR) směrovat topologii s více rozbočovači a paprsky. Následující diagram znázorňuje topologii:

Koncepční diagram znázorňující hvězdicovou architekturu

Základní architektura

Azure Firewall zabezpečuje a kontroluje síťový provoz, ale také směruje provoz mezi virtuálními sítěmi. Jedná se o spravovaný prostředek, který automaticky vytváří systémové trasy do místních paprsků, centra a místních předpon získaných místní bránou virtuální sítě. Umístění síťového virtuálního zařízení do centra a dotazování efektivních tras by vedlo ke směrovací tabulce, která se podobá tomu, co se nachází v bráně Azure Firewall.

Vzhledem k tomu, že se jedná o architekturu statického směrování, je možné nejkratší cestu k jinému centru provést pomocí globálního partnerského vztahu virtuálních sítí mezi centry. Takže centra o sobě vědí a každá místní brána firewall obsahuje směrovací tabulku každého přímo připojeného centra. Místní centra ale vědí jenom o místních paprscích. Kromě toho mohou být tato centra ve stejné oblasti nebo jiné oblasti.

Směrování v podsíti brány firewall

Každá místní brána firewall potřebuje vědět, jak se dostat k ostatním vzdáleným paprskům, takže musíte vytvořit trasy definované uživatelem v podsítích brány firewall. Abyste to mohli udělat, musíte nejprve vytvořit výchozí trasu libovolného typu, která vám umožní vytvořit konkrétnější trasy do ostatních paprsků. Například následující snímky obrazovky ukazují směrovací tabulku pro dvě virtuální sítě centra:

Směrovací tabulka Hub-01Snímek obrazovky znázorňující směrovací tabulku pro Hub-01

Směrovací tabulka Hub-02Snímek obrazovky znázorňující směrovací tabulku pro Hub-02

Směrování v podsítích paprsků

Výhodou implementace této topologie je, že s provozem z jednoho centra do druhého můžete dosáhnout dalšího segmentu směrování, který je přímo propojený prostřednictvím globálního partnerského vztahu.

Jak je znázorněno v diagramu, je lepší umístit trasu definovanou uživatelem do paprskových podsítí, které mají trasu 0/0 (výchozí bránu) s místní bránou firewall jako dalším segmentem směrování. Tím se zamkne výstupní bod dalšího segmentu směrování jako místní brána firewall. Snižuje také riziko asymetrického směrování, pokud zjistí konkrétnější předpony z vašeho místního prostředí, které by mohly způsobit obejití brány firewall provoz. Další informace najdete v tématu Nedopusťte, aby vás vaše trasy Azure ukously.

Tady je příklad směrovací tabulky pro podsítě paprsků připojené k Hub-01:

Snímek obrazovky znázorňující směrovací tabulku pro podsítě paprsků

Další kroky