Delen via

Azure Firewall gebruiken om een topologie met meerdere hubs en spokes te routeren

  • Artikel

De hub- en spoke-topologie is een gemeenschappelijk patroon voor netwerkarchitectuur in Azure. De hub is een virtueel netwerk (VNet) in Azure dat fungeert als centraal punt van connectiviteit naar uw on-premises netwerk. De knooppunten zijn VNets die via peering zijn verbonden met de hub en die kunnen worden gebruikt om workloads te isoleren. De hub kan worden gebruikt om verkeer tussen spokes te isoleren en te beveiligen. De hub kan ook worden gebruikt om verkeer tussen spokes te routeren. De hub kan worden gebruikt om verkeer tussen spokes te routeren met behulp van verschillende methoden.

U kunt bijvoorbeeld Azure Route Server gebruiken met dynamische routering en virtuele netwerkapparaten (NVA's) om verkeer tussen spokes te routeren. Dit kan een redelijk complexe implementatie zijn. Een minder complexe methode maakt gebruik van Azure Firewall en statische routes om verkeer tussen spokes te routeren.

In dit artikel leest u hoe u Azure Firewall kunt gebruiken met statische door de gebruiker gedefinieerde routes (UDR's) om een topologie met meerdere hubs en spokes te routeren. In het volgende diagram ziet u de topologie:

Conceptueel diagram met hub- en spoke-architectuur.

Basislijnarchitectuur

Azure Firewall beveiligt en inspecteert netwerkverkeer, maar routeert ook verkeer tussen VNets. Het is een beheerde resource die automatisch systeemroutes maakt naar de lokale spokes, hub en de on-premises voorvoegsels die zijn geleerd door de lokale virtuele netwerkgateway. Het plaatsen van een NVA op de hub en het uitvoeren van query's op de effectieve routes zou resulteren in een routetabel die lijkt op wat er in de Azure Firewall wordt gevonden.

Omdat dit een statische routeringsarchitectuur is, kan het kortste pad naar een andere hub worden uitgevoerd met behulp van globale VNet-peering tussen de hubs. De hubs weten dus van elkaar en elke lokale firewall bevat de routetabel van elke rechtstreeks verbonden hub. De lokale hubs weten echter alleen over hun lokale spokes. Daarnaast kunnen deze hubs zich in dezelfde regio of in een andere regio bevinden.

Routering op het firewallsubnet

Elke lokale firewall moet weten hoe u de andere externe spokes bereikt, dus u moet UDR's maken in de firewallsubnetten. Hiervoor moet u eerst een standaardroute van elk type maken, zodat u vervolgens specifiekere routes naar de andere spokes kunt maken. In de volgende schermafbeeldingen ziet u bijvoorbeeld de routetabel voor de twee hub-VNets:

Hub-01-routetabelSchermopname van de routetabel voor Hub-01.

Hub-02-routetabelSchermopname van de routetabel voor Hub-02.

Routering op de spoke-subnetten

Het voordeel van het implementeren van deze topologie is dat u met verkeer dat van de ene hub naar de andere gaat, de volgende hop kunt bereiken die rechtstreeks is verbonden via de wereldwijde peering.

Zoals u in het diagram kunt zien, is het beter om een UDR in de spoke-subnetten te plaatsen met een route van 0/0 (standaardgateway) met de lokale firewall als de volgende hop. Hiermee wordt het afsluitpunt voor één volgende hop vergrendeld als de lokale firewall. Het vermindert ook het risico op asymmetrische routering als er meer specifieke voorvoegsels van uw on-premises omgeving worden geleerd waardoor het verkeer de firewall kan omzeilen. Zie Voor meer informatie, laat uw Azure Routes u niet bijten.

Hier volgt een voorbeeld van een routetabel voor de spoke-subnetten die zijn verbonden met Hub-01:

Schermopname van de routetabel voor de spoke-subnetten.

Volgende stappen