Identifizieren von Routingfunktionen eines virtuellen Azure-Netzwerks

  • 10 Minuten

Zum Steuern des Datenverkehrsflusses innerhalb Ihres virtuellen Netzwerks müssen Sie den Nutzen und die Vorteile benutzerdefinierter Routen kennenlernen. Außerdem müssen Sie lernen, wie Sie die Routen konfigurieren müssen, um den Datenverkehrsfluss durch ein virtuelles Netzwerkgerät zu leiten.

Azure-Routing

Der Netzwerkdatenverkehr wird automatisch über Azure-Subnetze, virtuelle Netzwerke und lokale Netzwerke geleitet. Systemrouten steuern dieses Routing. Sie werden standardmäßig jedem Subnetz in einem virtuellen Netzwerk zugewiesen. Mit diesem Systemrouten kann jede Azure-VM, die in einem virtuellen Netzwerk bereitgestellt wird, mit allen anderen Azure-VMs im Netzwerk kommunizieren. Auf diese VMs kann möglicherweise auch lokal über ein hybrides Netzwerk oder über das Internet zugegriffen werden.

Sie können Systemrouten nicht erstellen oder löschen, jedoch können Sie die Systemrouten überschreiben, indem Sie benutzerdefinierte Routen hinzufügen, um den Datenverkehr zum nächsten Hop zu steuern.

Jedes Subnetz verfügt über die folgenden Standardsystemrouten:

Adresspräfix Typ des nächsten Hops
Für das virtuelle Netzwerk eindeutig Virtuelles Netzwerk
0.0.0.0/0 Internet
10.0.0.0/8 Keiner
172.16.0.0/12 Keiner
192.168.0.0/16 Keiner
100.64.0.0/10 Keine

Die Spalte Typ des nächstem Hops gibt den Netzwerkpfad des Datenverkehrs an, der an alle Adresspräfixe gesendet wurde. Der Pfad kann einem der folgenden Hoptypen entsprechen:

  • Virtuelles Netzwerk: Eine Route wird im Adresspräfix erstellt. Das Präfix stellt alle Adressenbereiche dar, die auf virtueller Netzwerkebene erstellt wurden. Wenn mehrere Adressenbereiche festgelegt wurden, werden mehrere Routen für jeden Adressenbereich erstellt.
  • Internet: Die Standardsystemroute 0.0.0.0/0 leitet alle Adressenbereiche an das Internet weiter, es sei denn, Sie überschreiben die Standardroute von Azure mit einer benutzerdefinierten Route.
  • Keiner: Jeglicher Datenverkehr, der an diesen Hoptyp geleitet wird, wird gelöscht und nicht außerhalb des Subnetzes weitergeleitet. Standardmäßig werden die folgenden privaten IPv4-Adresspräfixe erstellt: 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16. Das Präfix 100.64.0.0/10 für einen freigegebenen Adressenbereich wird ebenfalls hinzugefügt. Keiner dieser Adressenbereiche ist global routingfähig.

Das folgende Diagramm bietet eine Übersicht über Systemrouten und den standardmäßigen Datenverkehr zwischen Subnetzen und dem Internet. Im Diagramm sehen Sie, dass der Datenverkehr zwischen den beiden Subnetzen und dem Internet frei fließt.

Diagramm: Datenverkehr zwischen Subnetzen und dem Internet

Innerhalb von Azure gibt es weitere Systemrouten. Azure erstellt diese Routen, wenn die folgenden Funktionen aktiviert sind:

  • Peering virtueller Netzwerke
  • Dienstverkettung
  • Gateway des virtuellen Netzwerks
  • VNET-Dienstendpunkt

Peering virtueller Netzwerke und Dienstverkettung

Mit Peering virtueller Netzwerke und Dienstverkettung können virtuelle Netzwerke in Azure sich miteinander verbinden. Mit dieser Verbindung können VMs regionsübergreifend und innerhalb derselben Region kommunizieren. Durch diese Kommunikation werden wiederum weitere Routen in der Standardroutentabelle erstellt. Mit der Dienstverkettung können Sie diese Routen überschreiben, indem Sie benutzerdefinierte Routen zwischen Netzwerken mit Peering erstellen.

Im folgenden Diagramm werden zwei virtuelle Netzwerke mit konfiguriertem Peering veranschaulicht. Die benutzerdefinierten Routen werden zum Weiterleiten des Datenverkehrs über ein virtuelles Netzwerkgerät oder ein Azure VPN-Gateway konfiguriert.

Diagramm: Peering virtueller Netzwerke mit benutzerdefinierten Routen

Gateway des virtuellen Netzwerks

Verwenden Sie ein Gateway für virtuelle Netzwerke, um verschlüsselten Datenverkehr zwischen Azure und lokalen Netzwerken über das Internet und um Datenverkehr zwischen Azure-Netzwerken zu übermitteln. Ein Gateway für virtuelle Netzwerke enthält Routingtabellen und Gatewaydienste.

Diagramm: Struktur eines Gateways für virtuelle Netzwerke

VNET-Dienstendpunkt

Virtuelle Netzwerkendpunkte erweitern Ihren privaten Adressraum in Azure, indem eine direkte Verbindung mit Ihren Azure-Ressourcen hergestellt wird. Diese Verbindung schränkt den Datenverkehr ein: Ihre Azure-VMs können direkt über den privaten Adressraum auf Ihr Speicherkonto zugreifen und den Zugriff über öffentliche VMs verweigern. Wenn Sie Dienstendpunkte aktivieren, erstellt Azure Routen in der Routingtabelle, um diesen Datenverkehr weiterzuleiten.

Benutzerdefinierte Routen

Mit Systemrouten können Sie Ihre Umgebung schnell einrichten und in Betrieb nehmen. Es gibt jedoch viele Szenarien, in denen Sie den Datenverkehrsflow in Ihrem Netzwerk genauer steuern möchten. Beispielsweise möchten Sie Datenverkehr vielleicht über ein virtuelles Netzwerkgerät oder eine Firewall leiten. Mit benutzerdefinierten Routen ist diese Steuerung möglich.

Ihnen stehen zwei Optionen zum Implementieren von benutzerdefinierten Routen zur Verfügung: Sie können eine benutzerdefinierte Route erstellen oder das Border Gateway Protocol (BGP) verwenden, um Routen zwischen Azure und lokalen Netzwerken auszutauschen.

Benutzerdefinierte Routen

Sie können eine benutzerdefinierte Route zum Überschreiben der Standardsystemrouten verwenden, sodass der Datenverkehr durch Firewalls oder über virtuelle Netzwerkgeräte geleitet werden kann.

Angenommen Sie verfügen über ein Netzwerk mit zwei Subnetzen, und Sie möchten eine VM zum Umkreisnetzwerk hinzufügen, die als Firewall fungieren soll. Sie können eine benutzerdefinierte Route erstellen, damit der Datenverkehr die Firewall durchläuft, anstatt ihn direkt zwischen den Subnetz zu übermitteln.

Beim Erstellen benutzerdefinierter Routen können Sie folgende Typen des nächsten Hops festlegen:

  • Virtuelles Gerät: Ein virtuelles Gerät ist in der Regel ein Firewallgerät, das zum Analysieren oder Filtern des eingehenden oder ausgehenden Datenverkehrs Ihres Netzwerks verwendet wird. Sie können die private IP-Adresse einer Netzwerkschnittstellenkarte (NIC) angeben, die an eine VM angefügt ist, damit die IP-Weiterleitung aktiviert werden kann. Alternativ können Sie die private IP-Adresse eines internen Lastenausgleichs angeben.
  • Gateway für virtuelle Netzwerke: Verwenden Sie diesen Typ, wenn Sie bestimmte Adressen an ein Gateway für virtuelle Netzwerke umleiten möchten. Das Gateway für virtuelle Netzwerke wird als VPN für den Typ des nächsten Hops angegeben.
  • Virtuelles Netzwerk: Verwenden Sie diesen Typ, um die Standardsystemroute innerhalb eines virtuellen Netzwerks zu überschreiben.
  • Internet: Verwenden Sie diesen Typ, um den Datenverkehr an ein festgelegtes Adresspräfix zu leiten, das an das Internet weitergeleitet wird.
  • Keiner: Verwenden Sie diesen Typ, um Datenverkehr an ein bestimmtes Adresspräfix zu verwerfen.

Mit benutzerdefinierten Routen können Sie das Peering virtueller Netzwerke (VirtualNetworkServiceEndpoint) nicht als Typ des nächsten Hops festlegen.

Diensttags für benutzerdefinierte Routen

Sie können ein Diensttag als Adresspräfix für eine benutzerdefinierte Route anstelle eines expliziten IP-Bereichs angeben. Ein Diensttag steht für eine Gruppe von IP-Adresspräfixen eines bestimmten Azure-Diensts. Microsoft verwaltet die im Diensttag enthaltenen Adresspräfixe, und aktualisiert das Diensttag automatisch, wenn sich die Adressen ändern. Dadurch wird die Komplexität häufiger Aktualisierungen benutzerdefinierter Routen minimiert und die Anzahl der Routen reduziert, die Sie erstellen müssen.

Border Gateway Protocol

Ein Netzwerkgateway in Ihrem lokalen Netzwerk kann Routen mit einem Gateway für virtuelle Netzwerke in Azure austauschen, indem das BGP (Border Gateway Protocol) verwendet wird. BGP ist das Standardroutingprotokoll, das normalerweise zum Austausch von Routinginformationen zwischen zwei oder mehr Netzwerken verwendet wird. Das BGP wird zum Übertragen von Daten und Informationen zwischen autonomen Systemen im Internet, z. B. verschiedene Hostgateways, verwendet.

In der Regel verwenden Sie das BGP, um lokale Routen für Azure anzukündigen, wenn Sie über Azure ExpressRoute mit einem Azure-Rechenzentrum verbunden sind. Sie können das BGP auch konfigurieren, wenn Sie eine Verbindung mit einem virtuellen Azure-Netzwerk mithilfe einer Site-to-Site-VPN-Verbindung herstellen.

In der folgenden Abbildung wird eine Topologie mit Pfaden gezeigt, die Daten zwischen Azure-VPN-Gateway und lokalen Netzwerken übermitteln kann:

Darstellung eines Verwendungsbeispiels des Border Gateway Protocol

Das BGP stellt Netzwerkstabilität bereit, da Router Verbindungen schnell ändern können, um Pakete zu senden, wenn ein Verbindungspfad ausfällt.

Routenauswahl und Priorität

Wenn mehrere Routen in einer Routingtabelle zur Verfügung stehen, verwendet Azure die Route mit der längsten Präfixübereinstimmung. Beispiel: Eine Nachricht wird an die IP-Adresse 10.0.0.2 gesendet, aber es sind zwei Routen mit den Präfixen 10.0.0.0/16 und 10.0.0.0/24 verfügbar. Azure wählt die Route mit dem Präfix 10.0.0.0/24 aus, weil sie spezifischer ist.

Je länger das Adresspräfix ist, desto kürzer ist die Liste der über dieses Präfix verfügbaren IP-Adressen. Bei Verwendung längerer Präfixe kann der Routingalgorithmus die gewünschte Adresse schneller auswählen.

Sie können nicht mehrere benutzerdefinierte Routen mit demselben Adresspräfix konfigurieren.

Wenn mehrere Routen mit demselben Adresspräfix vorhanden sind, wählt Azure die Route anhand des Typs in der folgenden Prioritätsreihenfolge aus:

  1. Benutzerdefinierte Routen
  2. BGP-Routen
  3. Systemrouten

Überprüfen Sie Ihr Wissen

1.

Wieso sollten Sie eine benutzerdefinierte Route in einem virtuellen Netzwerk verwenden?

2.

Zu welchem Zweck würden Sie Peering virtueller Netzwerke verwenden?