Scenario: Verkeer routeren via een NVA
Wanneer u werkt met routering van virtuele WAN-hubs, zijn er vrij veel beschikbare scenario's. In dit NVA-scenario is het doel verkeer te routeren via een NVA (virtueel netwerkapparaat) voor vertakking naar VNet en VNet naar vertakking. Zie Over routering van virtuele hubs voor meer informatie over routering van virtuele hubs.
Notitie
Als u al een configuratie hebt met routes die vooraf gaan aan de nieuwe mogelijkheden voor het configureren van routering van virtuele hubs, gebruikt u de stappen in deze versies van de artikelen:
Ontwerpen
In dit scenario gebruiken we de volgende naamconventie:
- 'NVA-VNets' voor virtuele netwerken waarin gebruikers een NVA hebben geïmplementeerd en andere virtuele netwerken als spokes hebben verbonden (VNet 2 en VNet 4 in de afbeelding 2 verderop in het artikel).
- 'NVA Spokes' voor virtuele netwerken die zijn verbonden met een NVA-VNet (VNet 5, VNet 6, VNet 7 en VNet 8 in de afbeelding 2 verderop in het artikel).
- 'Niet-NVA-VNets' voor virtuele netwerken die zijn verbonden met Virtual WAN waarvoor geen NVA of andere VNets zijn gekoppeld (VNet 1 en VNet 3 in de afbeelding 2 verderop in het artikel).
- Hubs voor door Microsoft beheerde Virtual WAN-hubs, waar NVA-VNets zijn verbonden. VNets met NVA-spoke hoeven niet te worden verbonden met Virtual WAN-hubs, alleen met NVA-VNets.
De volgende connectiviteitsmatrix bevat een overzicht van de stromen die in dit scenario worden ondersteund:
Connectiviteitsmatrix
Van | Aan: | NVA Spokes | NVA-VNets | Niet-NVA-VNets | Takken |
---|---|---|---|---|---|
NVA Spokes | → | Via NVA VNet | Peering | Via NVA VNet | Via NVA VNet |
NVA-VNets | → | Peering | Direct | Direct | Direct |
Niet-NVA-VNets | → | Via NVA VNet | Direct | Direct | Direct |
Takken | → | Via NVA VNet | Direct | Direct | Direct |
Elk van de cellen in de connectiviteitsmatrix beschrijft hoe een VNet of vertakking (de 'Van'-zijde van de stroom, de rijkoppen in de tabel) communiceert met een doel-VNet of vertakking (de 'Aan'-zijde van de stroom, de kolomkoppen cursief in de tabel). 'Direct' betekent dat connectiviteit systeemeigen wordt geleverd door Virtual WAN, peering, betekent dat connectiviteit wordt geboden door een door de gebruiker gedefinieerde route in het VNet, 'Via NVA VNet', betekent dat de connectiviteit de NVA doorkruist die is geïmplementeerd in het NVA-VNet. Houd rekening met de volgende items:
- NVA Spokes worden niet beheerd door Virtual WAN. Als gevolg hiervan worden de mechanismen waarmee ze communiceren met andere VNets of vertakkingen onderhouden door de gebruiker. Connectiviteit met het NVA-VNet wordt geleverd door een VNet-peering en een standaardroute naar 0.0.0.0/0 die verwijst naar de NVA als volgende hop moet betrekking hebben op de connectiviteit met internet, andere spokes en naar vertakkingen
- NVA-VNets weten over hun eigen NVA-spokes, maar niet over NVA-spokes die zijn verbonden met andere NVA-VNets. In de afbeelding 2 verderop in dit artikel weet VNet 2 bijvoorbeeld over VNet 5 en VNet 6, maar niet over andere spokes, zoals VNet 7 en VNet 8. Een statische route is vereist om de voorvoegsels van andere spokes in NVA-VNets te injecteren
- Op dezelfde manier weten vertakkingen en niet-NVA-VNets niet over een NVA-spoke, omdat NVA-spokes niet zijn verbonden met Virtual WAN-hubs. Als gevolg hiervan zijn hier ook statische routes nodig.
Rekening houdend met het feit dat de NVA-spokes niet worden beheerd door Virtual WAN, geven alle andere rijen hetzelfde verbindingspatroon weer. Als gevolg hiervan is één routetabel (de standaardtabel):
- Virtuele netwerken (niet-hub-VNets en VNets van gebruikershub):
- Gekoppelde routetabel: standaard
- Doorgeven aan routetabellen: standaard
- Takken:
- Gekoppelde routetabel: standaard
- Doorgeven aan routetabellen: standaard
In dit scenario moeten we echter nadenken over welke statische routes moeten worden geconfigureerd. Elke statische route heeft twee onderdelen, één deel in de Virtual WAN-hub die de Virtual WAN-onderdelen vertelt welke verbinding voor elke spoke moet worden gebruikt, en een andere in die specifieke verbinding die verwijst naar het concrete IP-adres dat is toegewezen aan de NVA (of aan een load balancer vóór meerdere NVA's), zoals in afbeelding 1 wordt weergegeven:
Afbeelding 1
Hiermee zijn de statische routes die we nodig hebben in de standaardtabel om verkeer naar de NVA-spokes achter het NVA-VNet te verzenden als volgt:
Beschrijving | Routetabel | Statische route |
---|---|---|
VNet 2 | Standaardinstelling | 10.2.0.0/16 -> eastusconn |
VNet 4 | Standaardinstelling | 10.4.0.0/16 -> weconn |
Deze statische routes worden nu geadverteerd naar uw on-premises vertakkingen en de Virtual WAN-hub weet naar welke VNet-verbinding verkeer moet worden doorgestuurd. De VNet-verbinding moet echter weten wat er moet worden uitgevoerd bij het ontvangen van dit verkeer: hier worden de verbindingsroutetabellen gebruikt. Hier gebruiken we de kortere voorvoegsels (/24 in plaats van de langere /16) om ervoor te zorgen dat deze routes voorkeur hebben voor routes die worden geïmporteerd uit de NVA-VNets (VNet 2 en VNet 4):
Beschrijving | Connection | Statische route |
---|---|---|
VNet 5 | eastusconn | 10.2.1.0/24 -> 10.2.0.5 |
VNet 6 | eastusconn | 10.2.2.0/24 -> 10.2.0.5 |
VNet 7 | weconn | 10.4.1.0/24 -> 10.4.0.5 |
VNet 8 | weconn | 10.4.2.0/24 -> 10.4.0.5 |
Nu weten NVA-VNets, niet-NVA-VNets en vertakkingen hoe u alle NVA-spokes kunt bereiken. Zie Over routering van virtuele hubs voor meer informatie over routering van virtuele hubs.
Architectuur
In afbeelding 2 zijn er twee hubs; Hub1 en Hub2.
Hub1 en Hub2 zijn rechtstreeks verbonden met NVA VNets VNet 2 en VNet 4.
VNet 5 en VNet 6 zijn gekoppeld aan VNet 2.
VNet 7 en VNet 8 zijn gekoppeld aan VNet 4.
VNets 5,6,7,8 zijn indirecte spokes, niet rechtstreeks verbonden met een virtuele hub.
Afbeelding 2
Scenariowerkstroom
Als u routering via NVA wilt instellen, volgt u de volgende stappen:
Identificeer de NVA spoke-VNet-verbinding. In afbeelding 2 zijn dit VNet 2-verbinding (eastusconn) en VNet 4-verbinding (weconn).
Zorg ervoor dat er UDR's zijn ingesteld:
- Van VNet 5 en VNet 6 naar VNet 2 NVA IP
- Van VNet 7 en VNet 8 naar VNet 4 NVA IP
U hoeft VNets 5,6,7,8 niet rechtstreeks te verbinden met de virtuele hubs. Zorg ervoor dat NSG's in VNets 5,6,7,8 verkeer toestaan voor vertakkingen (VPN/ER/P2S) of VNets die zijn verbonden met hun externe VNets. VNets 5,6 moet er bijvoorbeeld voor zorgen dat NSG's verkeer toestaan voor on-premises adresvoorvoegsels en VNets 7,8 die zijn verbonden met de externe Hub 2.
Virtual WAN biedt geen ondersteuning voor een scenario waarbij VNets 5,6 verbinding maken met virtuele hub en communiceren via VNet 2 NVA IP; daarom moet VNets 5,6 worden verbonden met VNet2 en op dezelfde manier VNet 7,8 met VNet 4.
Voeg een geaggregeerde statische routevermelding toe voor VNets 2,5,6 aan de standaardroutetabel van Hub 1.
Notitie
Om de routering te vereenvoudigen en de wijzigingen in de routetabellen van de Virtual WAN-hub te verminderen, raden we de nieuwe BGP-peering aan met virtual WAN-hub. Raadpleeg voor meer informatie de volgende artikelen:
Configureer een statische route voor VNets 5,6 in de virtuele netwerkverbinding van VNet 2. Zie routeringsroutering voor virtuele hubs om de routeringsconfiguratie voor een virtuele netwerkverbinding in te stellen.
Voeg een geaggregeerde statische routevermelding toe voor VNets 4,7,8 aan de standaardroutetabel van Hub 1.
Herhaal stap 2, 3 en 4 voor de standaardroutetabel van Hub 2.
Dit resulteert in de wijzigingen in de routeringsconfiguratie, zoals wordt weergegeven in afbeelding 3.
Afbeelding 3
Volgende stappen
- Zie de veelgestelde vragen voor meer informatie over Virtual WAN.
- Zie Over routering van virtuele hubs voor meer informatie over routering van virtuele hubs.