Routeringsmogelijkheden van een virtueel Azure-netwerk vaststellen

Voltooid

Als u de verkeersstroom in uw virtuele netwerk wilt beheren, moet u weten wat het doel en de voordelen van aangepaste routes zijn. U moet ook leren hoe u de routes configureert om de verkeersstroom via een virtueel netwerk apparaat (NVA) door te sturen.

Azure-routering

Azure routeert netwerkverkeer automatisch tussen Azure-subnetten, virtuele netwerken en on-premises netwerken. Systeemroutes beheren deze routering. Ze worden standaard toegewezen aan elk subnet in een virtueel netwerk. Met deze systeemroutes kan elke virtuele Azure-machine die in een virtueel netwerk is geïmplementeerd, communiceren met andere machines in het netwerk. Deze virtuele machines zijn mogelijk ook vanaf on-premises netwerken toegankelijk middels een hybride netwerk of internet.

U kunt geen systeemroutes maken of verwijderen, maar u kunt de systeemroutes overschrijven door aangepaste routes toe te voegen om de verkeersstroom naar de volgende hop te beheren.

Elk subnet heeft de volgende standaardsysteemroutes:

Adresvoorvoegsel	Volgend hoptype
Uniek voor het virtuele netwerk	Virtueel netwerk
0.0.0.0/0	Internet
10.0.0.0/8	Geen
172.16.0.0/12	Geen
192.168.0.0/16	Geen
100.64.0.0/10	Geen

In de kolom Volgend hoptype wordt het netwerkpad vermeld dat wordt gebruikt door verkeer dat naar elk adresvoorvoegsel wordt verzonden. Het pad kan een van de volgende hoptypen zijn:

• Virtueel netwerk: er wordt een route gemaakt in het adresvoorvoegsel. Het voorvoegsel staat voor elk adresbereik dat is gemaakt op het niveau van het virtuele netwerk. Als er meerdere adresbereiken zijn opgegeven, worden er meerdere routes gemaakt voor elk adresbereik.
• Internet: De standaardsysteemroute 0.0.0.0/0 routeert elk adresbereik naar internet, tenzij u de standaardroute van Azure overschrijft met een aangepaste route.
• Geen: verkeer dat naar dit hoptype wordt gerouteerd, wordt verwijderd en wordt niet buiten het subnet gerouteerd. Standaard worden de volgende privé-IPv4-adresvoorvoegsels gemaakt: 10.0.0.0/8, 172.16.0.0/12 en 192.168.0.0/16. Het voorvoegsel 100.64.0.0/10 voor een gedeelde adresruimte wordt ook toegevoegd. Geen van deze adresbereiken is globaal routeerbaar.

In het volgende diagram vindt u een overzicht van systeemroutes en wordt getoond hoe verkeer standaard tussen subnetten en internet stroomt. U kunt in het diagram zien dat het verkeer vrijelijk stroomt tussen de twee subnetten en internet.

Binnen Azure zijn er andere systeemroutes. Azure maakt deze routes als de volgende mogelijkheden zijn ingeschakeld:

• Peering op virtueel netwerk
• Servicechaining
• Gateway voor een virtueel netwerk
• Service-eindpunt voor virtueel netwerk

Peering voor het virtueel netwerk en servicechaining

Met peering van virtuele netwerken en servicechaining kunnen virtuele netwerken in Azure verbinding maken met elkaar. Dankzij deze verbinding kunnen virtuele machines met elkaar communiceren in dezelfde regio of in verschillende regio's. Deze communicatie maakt op zijn beurt meer routes binnen de standaardroutetabel. Met servicechaining kunt u deze routes overschrijven door routes tussen netwerken die als peers met elkaar zijn verbonden te maken die door de gebruiker zijn gedefinieerd.

In het volgende diagram ziet u twee virtuele netwerken waarvoor peering is geconfigureerd. De door de gebruiker gedefinieerde routes zijn geconfigureerd om verkeer via een NVA of een Azure VPN-gateway te routeren.

Gateway voor een virtueel netwerk

Gebruik een gateway voor een virtueel netwerk om versleuteld verkeer tussen Azure en een on-premises netwerk te verzenden via internet en om versleuteld verkeer tussen Azure-netwerken te verzenden. Een virtuele netwerkgateway bevat routeringstabellen en gatewayservices.

Service-eindpunt voor virtueel netwerk

Met eindpunten voor virtuele netwerken breidt u uw privé-adresruimte in Azure uit door te voorzien in een directe verbinding met uw Azure-services. Deze verbinding beperkt de verkeersstroom: uw Azure-VM's hebben rechtstreeks toegang tot uw opslagaccount vanuit de privéadresruimte en weigeren de toegang vanaf een openbare VM. Wanneer u service-eindpunten inschakelt, maakt Azure routes in de routetabel om dit verkeer door te sturen.

Aangepaste routes

Systeemroutes kunnen het u gemakkelijk maken om snel aan de slag te gaan met uw omgeving. Er zijn echter veel scenario's waarin u de verkeersstroom binnen uw netwerk nauwkeuriger wilt beheren. U kunt bijvoorbeeld verkeer routeren via een NVA of via een firewall. Dit kunt u regelen met aangepaste routes.

U hebt twee opties voor het implementeren van aangepaste routes: een door de gebruiker gedefinieerde route maken of Border Gateway Protocol (BGP) gebruiken om routes uit te wisselen tussen Azure- en on-premises netwerken.

Door de gebruiker gedefinieerde routes

U kunt een door de gebruiker gedefinieerde route gebruiken om de standaardsysteemroutes te overschrijven, zodat verkeer kan worden gerouteerd via firewalls of NVA's.

Stel dat u een netwerk met twee subnetten hebt en u een virtuele machine aan het perimeternetwerk wilt toevoegen zodat deze als een firewall kan worden gebruikt. U kunt een door de gebruiker gedefinieerde route maken, zodat verkeer via de firewall verloopt en niet rechtstreeks tussen de subnetten gaat.

Wanneer u door de gebruiker gedefinieerde routes maakt, kunt u deze volgende hoptypen opgeven:

• Virtueel apparaat: een virtueel apparaat is doorgaans een firewallapparaat dat wordt gebruikt om verkeer te analyseren of te filteren dat uw netwerk binnenkomt of verlaat. U kunt het privé-IP-adres opgeven van een NIC (Network Interface Card) die is gekoppeld aan een virtuele machine, zodat doorsturen via IP kan worden ingeschakeld. U kunt ook het privé-IP-adres van een interne load balancer opgeven.
• Virtuele netwerkgateway: gebruik deze functie om aan te geven wanneer u wilt dat routes voor een specifiek adres worden gerouteerd naar een virtuele netwerkgateway. De gateway voor een virtueel netwerk is opgegeven als een VPN voor het volgende hoptype.
• Virtueel netwerk: gebruik dit om de standaardsysteemroute binnen een virtueel netwerk te overschrijven.
• Internet: Gebruik dit om verkeer te routeren naar een opgegeven adresvoorvoegsel dat naar internet wordt gerouteerd.
• Geen: Gebruik dit om verkeer dat wordt verzonden naar een opgegeven adresvoorvoegsel te verwijderen.

Met door de gebruiker gedefinieerde routes kunt u het volgende hoptype VirtualNetworkServiceEndpoint, dat wijst op peering van virtuele netwerken, niet opgeven.

Servicetags voor door de gebruiker gedefinieerde routes

U kunt een servicetag opgeven als het adresvoorvoegsel voor een door de gebruiker gedefinieerde route in plaats van een expliciet IP-bereik. Een servicetag vertegenwoordigt een groep IP-adresvoorvoegsels van een bepaalde Azure-service. Microsoft beheert de adresvoorvoegsels die worden omvat door de servicetag en werkt de servicetag automatisch bij als adressen veranderen, waardoor de complexiteit van frequente updates voor door de gebruiker gedefinieerde routes wordt geminimaliseerd en het aantal routes dat u moet maken, wordt geminimaliseerd.

Border Gateway Protocol

Een netwerkgateway in uw on-premises netwerk kan via BGP routes uitwisselen met een gateway voor een virtueel netwerk in Azure. BGP is het standaardrouteringsprotocol dat normaal gesproken wordt gebruikt voor het uitwisselen van routeringsinformatie tussen twee of meer netwerken. BGP wordt gebruikt om gegevens en informatie over te dragen tussen autonome systemen op internet, zoals verschillende hostgateways.

Normaal gesproken gebruikt u BGP om on-premises routes naar Azure te adverteren wanneer u bent verbonden met een Azure-datacenter via Azure ExpressRoute. U kunt BGP ook configureren als u verbinding maakt met een virtueel Azure-netwerk door een VPN-verbinding tussen sites te gebruiken.

In het volgende diagram ziet u een topologie met paden die gegevens kunnen doorgeven tussen Azure VPN Gateway en on-premises netwerken:

BGP biedt netwerkstabiliteit, omdat routers snel verbindingen kunnen wijzigen om pakketten te verzenden als een verbindingspad uitvalt.

Selectie en prioriteit van route

Als er meerdere routes beschikbaar zijn in een routetabel, gebruikt Azure de route met het langste voorvoegsel dat overeenkomt. Een bericht wordt bijvoorbeeld verzonden naar het IP-adres 10.0.0.2, maar er zijn twee routes beschikbaar met de voorvoegsels 10.0.0.0/16 en 10.0.0.0/24. Azure selecteert de route met het voorvoegsel 10.0.0.0/24, omdat deze specifieker is.

Hoe langer het routevoorvoegsel, hoe korter de lijst met IP-adressen die beschikbaar zijn via dat voorvoegsel. Wanneer u langere voorvoegsels gebruikt, kan het routeringsalgoritmen het beoogde adres sneller selecteren.

U kunt niet meerdere door de gebruiker gedefinieerde routes met hetzelfde adresvoorvoegsel configureren.

Als er meerdere routes met hetzelfde adresvoorvoegsel zijn, selecteert Azure de route op basis van het type in de volgende volgorde van prioriteit:

1. Door de gebruiker gedefinieerde routes
2. BGP-routes
3. Systeemroutes

Kennis testen

1.

Waarom zou u een aangepaste route gebruiken in een virtueel netwerk?

Het verkeer in uw virtuele netwerk verdelen.

Om verbinding te maken met de Azure-VM's met behulp van RDP of SSH.

De verkeersstroom binnen uw virtuele Azure-netwerk beheren.

Om verbinding te maken met resources in een ander virtueel netwerk dat wordt gehost in Azure.

2.

Waarom zou u peering voor het virtuele netwerk gebruiken?

Om virtuele netwerken in dezelfde regio met elkaar te verbinden.

Om openbare IP-adressen toe te wijzen aan al uw resources in meerdere virtuele netwerken.

Zodat load balancers de verkeersstroom in uw virtuele netwerken kunnen beheren.

Om aangepaste rapporten uit te voeren die scannen en vaststellen welke resources er worden uitgevoerd in al uw virtuele netwerken, in plaats van rapporten op elk virtueel netwerk uit te voeren.

U moet alle vragen beantwoorden voordat uw werk kan worden gecontroleerd.