Implementieren des IP-Routings für eine IaaS-VM
Da Sie bei Contoso als Network System Engineer arbeiten, ist der Fluss des Netzwerkdatenverkehrs besonders relevant, der in und zwischen Azure-Ressourcen, zum und aus dem Internet und innerhalb der lokalen Infrastruktur stattfindet. Sie beschließen, sich näher mit dem Routing in Azure und dessen Umsetzung zu befassen, um die Anforderungen von Contoso zu erfüllen. Sie finden heraus, dass Azure für jedes Subnetz in einem Azure-VNET eine Routingtabelle erstellt und diese mit den Standardsystemrouten auffüllt. Sie können zusätzlich zu den Standardrouten auch benutzerdefinierte Routen erstellen.
Systemrouten
Es ist nicht möglich, Systemrouten zu erstellen oder vorhandene Systemrouten zu überschreiben. Sie können jedoch das Routingverhalten ändern, indem Sie benutzerdefinierte Routen definieren.
Hinweis
Azure leitet Datenverkehr aus einem Subnetz basierend auf den Routen in der Routingtabelle des jeweiligen Subnetzes weiter.
Standard
Wenn Sie eine Route erstellen, müssen Sie das Adresspräfix und den nächsten Hop definieren. Wenn Datenverkehr, der ein Subnetz verlässt, an eine IP-Adresse innerhalb des Adresspräfix einer definierten Route gesendet wird, verwendet Azure die Route mit dem Präfix. Wenn mehrere Routen das gleiche Präfix aufweisen, wählt Azure die Route nach den folgenden Kriterien (in dieser Reihenfolge) aus:
- Verwenden einer benutzerdefinierten Route
- Verwenden einer BGP-Route (Border Gateway Protocol)
- Verwenden einer Systemroute, sofern keine Alternativen vorhanden sind
Wenn Sie ein VNET erstellen, erstellt Azure automatisch einige Standardrouten. Diese werden in der folgenden Tabelle aufgeführt.
| `Source` | Adresspräfixe | Typ des nächsten Hops |
|---|---|---|
| Standard | Für das virtuelle Netzwerk eindeutig | Virtuelles Netzwerk |
| Standard | 0.0.0.0/0 | Internet |
| Standard | 10.0.0.0/8 | Keine |
| Standard | 192.168.0.0/16 | Keine |
| Standard | 100.64.0.0/10 | Keine |
In der folgenden Tabelle wird erläutert, wie Azure die Art des nächsten Hops interpretiert.
| Typ des nächsten Hops | Routenbestimmung durch Azure |
|---|---|
| Virtuelles Netzwerk | Datenverkehr wird zwischen den Adressbereichen im Adressraum eines VNET weitergeleitet. Azure erstellt eine Route mit einem Adresspräfix, das dem jeweiligen Adressbereich entspricht, der im Adressraum eines VNET definiert ist. Wenn für den Adressraum des VNET mehrere Adressbereiche definiert sind, erstellt Azure für jeden Adressbereich eine gesonderte Route. Azure leitet Datenverkehr automatisch zwischen Subnetzen weiter, indem die Routen verwendet werden, die für jeden Adressbereich erstellt wurden. |
| Internet | Datenverkehr, der vom Adresspräfix angegeben wird, wird an das Internet weitergeleitet. Für die Systemstandardroute wird das Adresspräfix 0.0.0.0/0 angegeben. Azure leitet Datenverkehr an das Internet für alle Adressen weiter, die nicht durch einen Adressbereich innerhalb eines VNET angegeben sind. Die einzige Ausnahme stellt Datenverkehr an andere Azure-Dienste dar. Wenn die Zieladresse die Adresse für einen Azure-Dienst ist, leitet Azure den Datenverkehr über das Azure-Backbonenetzwerk direkt an den Dienst weiter, nicht über das Internet. |
| Keine | Datenverkehr, der über diesen Hoptyp weitergeleitet wird, wird außerhalb des Subnetzes nicht weitergeleitet, sondern verworfen. |
Tipp
Sie können eine benutzerdefinierte Route verwenden, um die Standardsystemroute von Azure für das Adresspräfix 0.0.0.0/0 zu überschreiben.
Tipp
Es ist nicht erforderlich, dass Sie Gateways für Azure definieren, um Datenverkehr zwischen Subnetzen weiterzuleiten.
Optionale Standardregeln
Azure erstellt zusätzliche Standardregeln, wenn Sie bestimmte Azure-Funktionen hinzufügen. Sie müssen diese Funktionen für Azure aktivieren, damit diese optionalen Standardregeln erstellt werden. In der folgenden Tabelle werden diese Regeln erläutert.
| `Source` | Präfix | Typ des nächsten Hops | Subnetz innerhalb des VNET, dem Azure die Route hinzufügt |
|---|---|---|---|
| Standard | Für das VNET eindeutig, Beispiel: 10.2.0.0/16 | VNet-Peering | All |
| Gateway des virtuellen Netzwerks | Präfixe, die lokal oder mit dem BGP angekündigt werden oder im Gateway des lokalen Netzwerks konfiguriert sind | Gateway des virtuellen Netzwerks | All |
| Standard | Mehrere | VirtualNetworkServiceEndpoint | Nur das Subnetz, für das ein Dienstendpunkt aktiviert ist |
In der folgenden Tabelle wird erläutert, wie Azure die Art des nächsten Hops interpretiert.
| Typ des nächsten Hops | Routing durch Azure |
|---|---|
| VNet-Peering | Wenn Sie das VNET-Peering zwischen zwei VNETs einrichten, fügt Azure eine Route für jeden Adressbereich innerhalb des Adressraums der betroffenen VNETs hinzu. |
| Gateway des virtuellen Netzwerks | Wenn Sie einem virtuellen Netzwerk ein VNET-Gateway hinzufügen, fügt Azure eine oder mehrere Routen mit dem VNET-Gateway hinzu, das als Typ des nächsten Hops aufgeführt ist. Die Quelle ist ebenfalls das VNET-Gateway, da es die Routen dem Subnetz hinzufügt. Wenn Ihr Gateway des lokalen Netzwerks BGP-Routen (Border Gateway Protocol) mit einem Azure-Gateway für virtuelle Netzwerke austauscht, wird für jede Route, die vom lokalen Netzwerkgateway weiterverteilt wird, eine Route hinzugefügt. |
| VirtualNetworkServiceEndpoint | Wenn Sie einen Dienstendpunkt für bestimmte Dienste aktivieren, fügt Azure die öffentlichen IP-Adressen für diese Dienste der Routingtabelle hinzu. Dienstendpunkte werden für einzelne Subnetze in einem VNET aktiviert, sodass die Route nur der Routingtabelle von Subnetzen hinzugefügt wird, für die ein Dienstendpunkt aktiviert ist. |
Hinweis
Die öffentlichen IP-Adressen von Azure-Diensten ändern sich regelmäßig. Wenn sich die Adressen ändern, verwaltet Azure diese automatisch in der Routingtabelle.
Benutzerdefinierte Routen
Sie können benutzerdefinierte Routen entweder in Azure erstellen oder diese generieren, indem Sie BGP-Routen mit Ihrer lokalen Netzwerkinfrastruktur und einem Azure-VNET-Gateway austauschen.
Benutzerdefiniert
Sie können in Azure benutzerdefinierte Routen erstellen, um die Standardsystemrouten von Azure zu überschreiben. In Azure erstellen Sie eine Routentabelle und ordnen die Routentabelle dann null oder mehr Subnetzen eines virtuellen Netzwerks zu. Jedem Subnetz können null oder mehr Routentabellen zugeordnet sein. Wenn Sie eine Routingtabelle erstellen und einem Subnetz zuordnen, werden die Routen innerhalb der Tabelle entweder mit den Routen kombiniert, die Azure standardmäßig zum Subnetz hinzufügt, oder sie überschreiben diese.
In der folgenden Tabelle wird definiert, welche Typen für den nächsten Hop bei der Erstellung einer benutzerdefinierten Route ausgewählt werden können.
| Typ des nächsten Hops | Erklärung |
|---|---|
| Virtuelles Gerät | Wählen Sie diese Option, wenn der Datenverkehr an eine Netzwerkanwendung (z. B. eine Firewall) gerichtet ist. Wenn Sie eine Route mit dem Hop-Typ Virtuelles Gerät erstellen, können Sie auch eine IP-Adresse des nächsten Hops angeben. Die IP-Adresse kann die private IP-Adresse einer Netzwerkschnittstelle sein, die an eine VM angefügt ist, oder die private IP-Adresse einer internen Azure Load Balancer-Instanz. |
| Gateway des virtuellen Netzwerks | Wählen Sie diese Option, wenn der Datenverkehr an bestimmte Adresspräfixe gerichtet und über ein VNET-Gateway weitergeleitet werden soll. |
| Keine | Wählen Sie diese Option, wenn Netzwerkdatenverkehr an ein bestimmtes Präfix verworfen werden soll. |
| VNet | Wählen Sie diese Option, wenn das Standardrouting innerhalb eines VNET überschrieben werden soll. |
| Internet | Wählen Sie diese Option, wenn über ein Adresspräfix an das Internet gerichteter Datenverkehr explizit weitergeleitet werden soll oder wenn Datenverkehr, der an Azure-Dienste mit öffentlichen IP-Adressen gerichtet ist, im Azure-Backbonenetzwerk verbleiben soll. |
Zusätzliche Lektüre
Weitere Informationen finden Sie in den folgenden Dokumenten:
- Routing von Datenverkehr für virtuelle Netzwerke
- Was ist Routingpräferenz?
- Was ist Azure Virtual Network?