Scénář: Azure Firewall – vlastní
Při práci se směrováním Virtual WAN virtuálního centra existuje poměrně několik dostupných scénářů. V tomto scénáři je cílem směrovat provoz mezi virtuálními sítěmi přímo, ale použít Azure Firewall pro toky provozu typu VNet-to-Internet/Branch a Branch-to-VNet.
Návrh
Pokud chcete zjistit, kolik směrovacích tabulek bude potřeba, můžete vytvořit matici připojení, kde každá buňka představuje, jestli zdroj (řádek) může komunikovat s cílem (sloupcem). Matice připojení je v tomto scénáři triviální, ale být konzistentní s jinými scénáři, můžeme se na to ještě podívat.
Matice připojení
| Z | Do: | Virtuální sítě | Větve | Internetu |
|---|---|---|---|---|
| Virtuální sítě | → | Direct | AzFW | AzFW |
| Větve | → | AzFW | Direct | Direct |
V předchozí tabulce "Přímé" představuje přímé připojení mezi dvěma připojeními bez provozu procházejícího Azure Firewall v Virtual WAN, a AzFW znamená, že tok projde Azure Firewall. Vzhledem k tomu, že v matici existují dva odlišné vzory připojení, budeme potřebovat dvě směrovací tabulky, které budou nakonfigurovány následujícím způsobem:
- Virtuální sítě:
- Přidružená směrovací tabulka: RT_VNet
- Šíření do směrovacích tabulek: RT_VNet
- Poboček:
- Přidružená směrovací tabulka: Výchozí
- Šíření do směrovacích tabulek: Výchozí
Poznámka
Můžete vytvořit samostatnou instanci Virtual WAN s jedním zabezpečeným virtuálním centrem v každé oblasti a pak můžete jednotlivé Virtual WAN vzájemně propojit prostřednictvím sítě VPN typu Site-to-Site.
Informace o směrování virtuálního centra najdete v tématu Informace o směrování virtuálního centra.
Pracovní postup
V tomto scénáři chcete směrovat provoz přes Azure Firewall pro provoz typu VNet-to-Internet, VNet-to-Branch nebo Branch-to-VNet, ale chcete přejít přímo pro provoz typu VNet-to-VNet. Pokud jste použili Azure Firewall Manager, nastavení trasy se automaticky vyplní do výchozí směrovací tabulky. Privátní provoz se vztahuje na virtuální síť a větve, internetový provoz se vztahuje na 0.0.0.0/0.
Připojení VPN, ExpressRoute a vpn uživatele se souhrnně nazývají větve a přidružují se ke stejné (výchozí) směrovací tabulce. Všechna připojení VPN, ExpressRoute a vpn uživatele šíří trasy do stejné sady směrovacích tabulek. Při konfiguraci tohoto scénáře vezměte v úvahu následující kroky:
Vytvořte vlastní směrovací tabulku RT_VNet.
Vytvořte trasu pro aktivaci VNet-to-Internet a VNet-to-Branch: 0.0.0.0/0 s dalším segmentem směrování ukazující na Azure Firewall. V části Šíření se ujistěte, že jsou vybrané virtuální sítě, které zajistí konkrétnější trasy a umožní tak přímý tok provozu typu VNet-to-VNet.
- V přidružení: Vyberte virtuální sítě, které budou znamenat, že virtuální sítě dosáhnou cíle podle tras této směrovací tabulky.
- V části Šíření: Vyberte virtuální sítě, které budou znamenat, že se virtuální sítě rozšíří do této směrovací tabulky. Jinými slovy, do této směrovací tabulky se rozšíří konkrétnější trasy, čímž se zajistí přímý tok provozu mezi virtuální sítí do virtuální sítě.
Přidejte agregovanou statickou trasu pro virtuální sítě do tabulky Výchozí směrování, abyste prostřednictvím Azure Firewall aktivovali tok typu Branch-to-VNet.
- Nezapomeňte, že větve jsou přidružené a šíří se do výchozí směrovací tabulky.
- Větve se nerozšírují do RT_VNet směrovací tabulky. Tím se zajistí tok provozu typu VNet-to-Branch přes Azure Firewall.
Výsledkem jsou změny konfigurace směrování, jak je znázorněno na obrázku 1.
Obrázek 1
Další kroky
- Další informace o Virtual WAN najdete v nejčastějších dotazech.
- Další informace o směrování virtuálního centra najdete v tématu Informace o směrování virtuálního centra.
- Další informace o konfiguraci směrování virtuálního centra najdete v tématu Postup konfigurace směrování virtuálního centra.