Planejar e implementar UDRs (rotas definidas pelo usuário)
É possível criar rotas personalizadas ou definidas pelo usuário no Azure para substituir as rotas de sistema padrão do Azure ou mais rotas a uma tabela de rotas da sub-rede. No Azure, você cria uma tabela de rotas e depois a associa para zero ou mais sub-redes de rede virtual. Cada sub-rede pode ter zero ou uma tabela de rotas associada a ela. Para saber mais sobre o número máximo de rotas que podem ser adicionadas a uma tabela de rotas e o número máximo de tabelas de rotas definidas pelo usuário que podem ser criadas por assinatura do Azure, confira os Limites do Azure. Quando você cria uma tabela de rotas e a associa a uma sub-rede, as rotas dessa tabela são combinadas com as rotas padrão da sub-rede. Se houver atribuições de rota conflitantes, as rotas definidas pelo usuário substituirão as rotas padrão.
Você pode especificar os seguintes tipos do próximo salto ao criar uma rota definida pelo usuário:
Solução de virtualização: uma solução de virtualização é uma máquina virtual que normalmente executa um aplicativo de rede, como um firewall. Para saber mais sobre as várias soluções de virtualização de rede pré-configuradas que você pode implantar em uma rede virtual, confira Azure Marketplace. Quando você cria uma rota com o tipo de salto solução de virtualização, também especifica o endereço IP de um próximo salto. O endereço IP pode ser:
- O endereço IP privado de uma interface de rede anexada a uma máquina virtual. Qualquer interface de rede anexada a uma máquina virtual que encaminhe tráfego de rede para um endereço diferente do seu próprio deve ter a opção Habilitar encaminhamento de IP do Azure habilitada para isso. A configuração desabilita a verificação do Azure sobre a origem e o destino de uma interface de rede. Saiba mais sobre como habilitar o encaminhamento de IP de uma interface de rede. Embora Habilitar encaminhamento de IP seja uma configuração do Azure, talvez também seja preciso habilitar o encaminhamento de IP no sistema operacional da máquina virtual para que o dispositivo encaminhe o tráfego entre os endereços IP para as interfaces de rede do Azure. Se precisar rotear o tráfego para um endereço IP público, o dispositivo precisará fazer proxy do tráfego ou executar uma conversão de endereços de rede (NAT) do endereço IP privado da origem para seu próprio endereço IP privado. A seguir, o Azure executa uma NAT em um endereço IP público antes de enviar o tráfego para a internet. Para determinar as configurações necessárias na máquina virtual, confira a documentação para seu sistema operacional ou aplicativo de rede. Para entender as conexões de saída no Azure, consulte Entender as conexões de saída.
- O endereço IP privado de um balanceador de carga interno do Azure. Um balanceador de carga geralmente é usado como parte de uma estratégia de alta disponibilidade para soluções de virtualização de rede.
- O endereço IP privado de uma interface de rede anexada a uma máquina virtual. Qualquer interface de rede anexada a uma máquina virtual que encaminhe tráfego de rede para um endereço diferente do seu próprio deve ter a opção Habilitar encaminhamento de IP do Azure habilitada para isso. A configuração desabilita a verificação do Azure sobre a origem e o destino de uma interface de rede. Saiba mais sobre como habilitar o encaminhamento de IP de uma interface de rede. Embora Habilitar encaminhamento de IP seja uma configuração do Azure, talvez também seja preciso habilitar o encaminhamento de IP no sistema operacional da máquina virtual para que o dispositivo encaminhe o tráfego entre os endereços IP para as interfaces de rede do Azure. Se precisar rotear o tráfego para um endereço IP público, o dispositivo precisará fazer proxy do tráfego ou executar uma conversão de endereços de rede (NAT) do endereço IP privado da origem para seu próprio endereço IP privado. A seguir, o Azure executa uma NAT em um endereço IP público antes de enviar o tráfego para a internet. Para determinar as configurações necessárias na máquina virtual, confira a documentação para seu sistema operacional ou aplicativo de rede. Para entender as conexões de saída no Azure, consulte Entender as conexões de saída.
Você pode definir uma rota com o prefixo de endereço 0.0.0.0/0 e um tipo de solução de virtualização de próximo salto. Essa configuração permite que o dispositivo inspecione o tráfego e determine se deve encaminhar ou remover o tráfego. Se você pretende criar uma rota definida pelo usuário que contenha o prefixo de endereço 0.0.0.0/0, primeiro confira Prefixo de endereço 0.0.0.0/0.
- Gateway de rede virtual: especifique quando você deseja que o tráfego destinado para prefixos de endereço específicos seja encaminhado para um gateway de rede virtual. O gateway de rede virtual deve ser criado com o tipo VPN. Você não pode especificar um gateway de rede virtual criado como tipo ExpressRoute em uma rota definida pelo usuário porque, com o ExpressRoute, você deve usar BGP para rotas personalizadas. Você não pode especificar Gateways de Rede Virtual se houver conexões coexistentes de VPN e ExpressRoute. Você pode definir uma rota que direciona o tráfego destinado para o prefixo de endereço 0.0.0.0/0 para um gateway de rede virtual baseado em rota. Em seus locais, você pode ter um dispositivo que inspecione o tráfego e determine encaminhar ou descartar o tráfego. Se você pretende criar uma rota definida pelo usuário para o prefixo de endereço 0.0.0.0/0, primeiro confira Prefixo de endereço 0.0.0.0/0. Em vez de configurar uma rota definida pelo usuário para o prefixo de endereço 0.0.0.0/0, é possível anunciar uma rota com o prefixo 0.0.0.0/0 por meio do BGP, caso tenha habilitado o BGP para um gateway de rede virtual de VPN.
- Nenhum: especifique quando você deseja remover o tráfego para um prefixo de endereço em vez de encaminhar o tráfego para um destino. Se você ainda não configurou totalmente um recurso, o Azure pode listar Nenhum para algumas das rotas de sistema opcionais. Por exemplo, se você vir Nenhum listado como o Endereço IP do próximo salto com um Tipo do próximo salto de Gateway de rede virtual ou Solução de virtualização, isso pode ocorrer porque o dispositivo não está em execução ou não está totalmente configurado. O Azure cria rotas padrão de sistema para prefixos de endereço reservados com Nenhum como o tipo do próximo salto.
- Rede virtual: Especifique a opção de rede virtual quando quiser substituir o roteamento padrão em uma rede virtual.
- Internet: Especifique a opção de Internet quando você deseja encaminhar explicitamente o tráfego destinado a um prefixo de endereço para a Internet ou se desejar que o tráfego destinado para serviços do Azure com endereços IP públicos seja mantido dentro da rede de backbone do Azure. Confira Exemplo de roteamento para ver um exemplo do motivo da possível criação de uma rota com o tipo de salto Rede virtual.
Você não pode especificar um Peering de rede virtual ou VirtualNetworkServiceEndpoint como o tipo próximo salto nas rotas definidas pelo usuário. As rotas com os tipos de próximo salto Peering de rede virtual ou VirtualNetworkServiceEndpoint somente são criadas pelo Azure quando você configura um peering de rede virtual ou um ponto de extremidade de serviço.
Marcas de serviço para rotas definidas pelo usuário
Agora você pode especificar uma marca de serviço como o prefixo de endereço para uma rota definida pelo usuário em vez de um intervalo de IP explícito. Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços. Minimizando assim a complexidade das atualizações frequentes para rotas definidas pelo usuário e reduzindo o número de rotas que você precisa criar. No momento, você pode criar 25 ou menos rotas com marcas de serviço em cada tabela de rotas. Com essa versão, também há suporte para o uso de marcas de serviço em cenários de roteamento para contêineres.
Correspondência exata
O sistema dá preferência à rota que tiver o prefixo explícito quando há uma correspondência de prefixo exata entre uma rota com um prefixo de IP explícito e uma rota com uma Marca de Serviço. Quando várias rotas com Marcas de Serviço tiverem prefixos de IP correspondentes, as rotas serão avaliadas na seguinte ordem:
- Marcas regionais (por exemplo, Storage.EastUS, AppService.AustraliaCentral)
- Marcas de nível superior (por exemplo, Storage, AppService)
- Marcas regionais do AzureCloud (por exemplo, AzureCloud.canadacentral, AzureCloud.eastasia)
- A marca AzureCloud
Para usar esse recurso, especifique um nome de Marca de Serviço para o parâmetro de prefixo de endereço nos comandos da tabela de rotas. Por exemplo, no PowerShell, você pode criar uma nova rota para direcionar o tráfego enviado para um prefixo IP do Armazenamento do Microsoft Azure para um dispositivo virtual usando:
PowerShell do Azure
$param = @{ Name = 'StorageRoute' AddressPrefix = 'Storage' NextHopType = 'VirtualAppliance' NextHopIpAddress = '10.0.100.4' } New-AzRouteConfig @param
O mesmo comando para CLI é o seguinte:
CLI do Azure
az network route-table route create \ --resource-group MyResourceGroup \ --route-table-name MyRouteTable \ --name StorageRoute \ --address-prefix Storage \ --next-hop-type VirtualAppliance \ --next-hop-ip-address 10.0.100.4