Partilhar via

Usar a Azure Firewall para encaminhar uma topologia de multipla interação com o administrador

  • Artigo

A topologia hub e spoke é um padrão de arquitetura de rede comum no Azure. O hub é uma rede virtual (VNet) no Azure que funciona como um ponto central de conectividade à sua rede no local. Os spokes são VNets que funcionam como elemento da rede do hub e podem ser utilizados para isolar cargas de trabalho. O hub pode ser usado para isolar e proteger o tráfego entre raios. O hub também pode ser usado para rotear o tráfego entre raios. O hub pode ser usado para rotear o tráfego entre raios usando vários métodos.

Por exemplo, você pode usar o Servidor de Rotas do Azure com roteamento dinâmico e dispositivos virtuais de rede (NVAs) para rotear o tráfego entre raios. Esta pode ser uma implantação bastante complexa. Um método menos complexo usa o Firewall do Azure e rotas estáticas para rotear o tráfego entre raios.

Este artigo mostra como você pode usar o Firewall do Azure com UDRs (rotas definidas pelo usuário estáticas) para rotear uma topologia multihub e spoke. O diagrama a seguir mostra a topologia:

Diagrama conceitual mostrando a arquitetura hub e spoke.

Arquitetura de linha de base

O Firewall do Azure protege e inspeciona o tráfego de rede, mas também roteia o tráfego entre redes virtuais. É um recurso gerenciado que cria automaticamente rotas do sistema para os raios locais, hub e os prefixos locais aprendidos por seu Gateway de Rede Virtual local. Colocar um NVA no hub e consultar as rotas efetivas resultaria em uma tabela de rotas semelhante ao que é encontrado no Firewall do Azure.

Como essa é uma arquitetura de roteamento estático, o caminho mais curto para outro hub pode ser feito usando o emparelhamento global de VNet entre os hubs. Assim, os hubs se conhecem, e cada firewall local contém a tabela de rotas de cada hub conectado diretamente. No entanto, os centros locais só sabem sobre seus porta-vozes locais. Além disso, esses polos podem estar na mesma região ou em uma região diferente.

Roteamento na sub-rede do firewall

Cada firewall local precisa saber como alcançar os outros raios remotos, então você deve criar UDRs nas sub-redes do firewall. Para fazer isso, você primeiro precisa criar uma rota padrão de qualquer tipo, que permite que você crie rotas mais específicas para os outros raios. Por exemplo, as capturas de tela a seguir mostram a tabela de rotas para as duas VNets de hub:

Tabela de rotas Hub-01Captura de tela mostrando a tabela de rotas para o Hub-01.

Tabela de rotas do Hub-02Captura de tela mostrando a tabela de rotas para o Hub-02.

Roteamento nas sub-redes spoke

O benefício da implementação dessa topologia é que, com o tráfego indo de um hub para outro, você pode alcançar o próximo salto que está diretamente conectado por meio do emparelhamento global.

Como ilustrado no diagrama, é melhor colocar um UDR nas sub-redes spoke que têm uma rota 0/0 (gateway padrão) com o firewall local como o próximo salto. Isso bloqueia o único ponto de saída de salto seguinte como o firewall local. Ele também reduz o risco de roteamento assimétrico se aprender prefixos mais específicos do seu ambiente local que possam fazer com que o tráfego ignore o firewall. Para obter mais informações, consulte Não deixe que suas Rotas do Azure mordam você.

Aqui está um exemplo de tabela de rotas para as sub-redes spoke conectadas ao Hub-01:

Captura de tela mostrando a tabela de rotas para as sub-redes faladas.

Próximos passos