Partilhar via

Automatize o gerenciamento de rotas definidas pelo usuário (UDRs) com o Azure Virtual Network Manager

  • Artigo

Este artigo fornece uma visão geral do gerenciamento UDR, por que ele é importante, como funciona e cenários de roteamento comuns que você pode simplificar e automatizar usando o gerenciamento UDR.

O que é a gestão UDR?

O Azure Virtual Network Manager permite descrever o comportamento de roteamento desejado e orquestrar rotas definidas pelo usuário (UDRs) para criar e manter o comportamento de roteamento desejado. As rotas definidas pelo usuário atendem à necessidade de automação e simplificação no gerenciamento de comportamentos de roteamento. Atualmente, você criaria manualmente UDRs (Rotas Definidas pelo Usuário) ou utilizaria scripts personalizados. No entanto, esses métodos são propensos a erros e excessivamente complicados. Você pode utilizar o hub gerenciado pelo Azure na WAN Virtual. Esta opção tem certas limitações (como a incapacidade de personalizar o hub ou a falta de suporte a IPV6) que não são relevantes para a sua organização. Com o gerenciamento UDR em seu gerenciador de rede virtual, você tem um hub centralizado para gerenciar e manter comportamentos de roteamento.

Como funciona a gestão UDR?

No gerenciador de rede virtual, você cria uma configuração de roteamento. Dentro da configuração, você cria coleções de regras para descrever os UDRs necessários para um grupo de rede (grupo de rede de destino). Na coleção de regras, as regras de rota são usadas para descrever o comportamento de roteamento desejado para as sub-redes ou redes virtuais no grupo de rede de destino. Depois que a configuração é criada, você precisa implantar a configuração para que ela seja aplicada aos seus recursos. Após a implantação, todas as rotas são armazenadas em uma tabela de rotas localizada dentro de um grupo de recursos gerenciado pelo gerenciador de rede virtual.

As configurações de roteamento criam UDRs para você com base no que as regras de rota especificam. Por exemplo, você pode especificar que o grupo de rede spoke, que consiste em duas redes virtuais, acesse o endereço do serviço DNS por meio de um Firewall. Seu gerente de rede cria UDRs para fazer esse comportamento de roteamento acontecer.

Diagrama de regras definidas pelo usuário sendo aplicadas a redes virtuais para rotear o tráfego DNS através do firewall.

Configurações de roteamento

As configurações de roteamento são os blocos de construção do gerenciamento UDR. Eles são usados para descrever o comportamento de roteamento desejado para um grupo de rede. Uma configuração de roteamento consiste nas seguintes configurações:

Atributo Descrição
Nome O nome da configuração de roteamento.
Descrição A descrição da configuração de roteamento.

Configurações de coleta de rotas

Uma coleção de rotas consiste nas seguintes configurações:

Atributo Descrição
Nome O nome da coleção de rotas.
Habilitar a propagação de rota BGP As configurações de BGP para a coleção de rotas.
Grupo de rede alvo O grupo de rede de destino para a coleção de rotas.
Regras de rota As regras de rota que descrevem o comportamento de roteamento desejado para o grupo de rede de destino.

Captura de tela de uma coleção de regras configurada com uma regra de roteamento.

Configurações de regra de rota

Cada regra de rota consiste nas seguintes configurações:

Atributo Descrição
Nome O nome da regra de rota.
Tipo de destino
Endereço IP O endereço IP do destino.
Endereços IP de destino/intervalos CIDR O endereço IP ou intervalo CIDR do destino.
Etiqueta de serviço A etiqueta de serviço do destino.
Tipo de salto seguinte
Gateway de rede virtual O gateway de rede virtual como o próximo salto.
Rede virtual A rede virtual como o próximo salto.
Internet A Internet como o próximo salto.
Aplicação virtual O dispositivo virtual como o próximo salto.
Endereço do próximo salto O endereço IP do próximo salto.

Captura de tela da regra de roteamento configurada.

Para cada tipo de salto seguinte, consulte rotas definidas como usadas.

Padrões de destino comuns para endereços IP

Ao criar regras de rota, você pode especificar o tipo e o endereço de destino. Ao especificar o tipo de destino como um endereço IP, você pode especificar as informações de endereço IP. A seguir estão os padrões de destino comuns: A seguir estão os padrões de destino comuns:

Destino do tráfego Descrição
Internet > NVA Para o tráfego destinado à Internet através de um dispositivo virtual de rede, digite 0.0.0.0/0 como o destino na regra.
Tráfego > privado NVA Para o tráfego destinado ao espaço privado através de um dispositivo virtual de rede, digite 192.168.0.0/16, 172.16.0.0/12, 40.0.0.0/24, 10.0.0.0/24 como destino na regra. Esses destinos são baseados no RFC1918 espaço de endereço IP privado.
Rede Spoke > NVA Para tráfego vinculado entre duas redes virtuais spoke conectando-se através de um dispositivo virtual de rede, insira os CIDRs dos raios como o destino na regra.

Usar o Firewall do Azure como o próximo salto

Você também pode escolher facilmente um Firewall do Azure como o próximo salto selecionando Importar endereço IP privado do firewall do Azure ao criar sua regra de roteamento. O endereço IP do Firewall do Azure é usado como o próximo salto.

Captura de ecrã da regra de encaminhamento com a opção Firewall do Azure.

Usar mais rotas definidas pelo usuário em uma única tabela de rotas

No gerenciamento UDR do Azure Virtual Network Manager, os usuários agora podem criar até 1.000 rotas definidas pelo usuário (UDRs) em uma única tabela de rotas, em comparação com o limite tradicional de 400 rotas. Esse limite superior permite configurações de roteamento mais complexas, como direcionar o tráfego de data centers locais por meio de um firewall para cada rede virtual spoke em uma topologia hub-and-spoke. Essa capacidade expandida é especialmente útil para gerenciar a inspeção de tráfego e a segurança em arquiteturas de rede de grande escala com vários raios.

Por exemplo, em uma topologia de hub e spoke, é comum que os usuários exijam que o tráfego de rede seja inspecionado ou filtrado por um firewall na rede virtual do hub antes de chegar às redes virtuais faladas. O Gestor de Rede Virtual do Azure suporta até 1000 redes virtuais spoke e permite a configuração da tabela de rotas da sub-rede de firewall para suportar até 1000 Rotas Definidas pelo Utilizador para o tráfego da firewall para as redes virtuais faladas. Para conseguir isso, execute as seguintes etapas:

  1. Crie uma instância do Azure Virtual Network Manager.
  2. Crie um grupo de rede e inclua a sub-rede que contém o firewall nesse grupo.
  3. Estabeleça uma configuração de roteamento e crie uma coleção de regras, definindo o grupo de rede de destino como o criado na Etapa 2.
  4. Defina uma regra de roteamento adicionando os espaços de endereço das redes virtuais faladas. Defina o próximo salto como "dispositivo virtual" e especifique o endereço IP do firewall como o endereço do próximo salto.
  5. Implante essa configuração de roteamento na região onde a sub-rede do firewall está localizada.

Esse método permite que a tabela de rotas da sub-rede do firewall acomode até 1000 UDRs. Ao adicionar uma nova rede virtual spoke, basta incluir seus espaços de endereço na regra existente e reimplantar a configuração de roteamento.

Cenários de roteamento comuns com gerenciamento UDR

Aqui estão os cenários de roteamento comuns que você pode simplificar e automatizar usando o gerenciamento UDR.

Cenários de encaminhamento Descrição
Rede Spoke -> Network Virtual Appliance -> Rede Spoke Use este cenário para tráfego vinculado entre duas redes virtuais spoke conectando-se por meio de um dispositivo virtual de rede.
Rede spoke -> Network Virtual Appliance -> Ponto de extremidade ou serviço na rede Hub Use este cenário para tráfego de rede spoke para um ponto de extremidade de serviço em uma rede de hub conectando-se por meio de um dispositivo virtual de rede.
Sub-rede -> Network Virtual Appliance -> Sub-rede mesmo na mesma rede virtual
Rede spoke -> Network Virtual Appliance -> Rede local/internet Use esse cenário quando tiver tráfego de saída da Internet por meio de um dispositivo virtual de rede ou um local local, como cenários de rede híbrida.
Rede cross-hub e spoke via Network Virtual Appliances em cada hub
hub e rede spoke com rede Spoke para o local precisa ir via Network Virtual Appliance
Gateway -> Network Virtual Appliance -> Rede Spoke

Adicionar outras redes virtuais

Quando você adiciona outras redes virtuais a um grupo de rede, a configuração de roteamento é aplicada automaticamente à nova rede virtual. O seu gestor de rede deteta automaticamente a nova rede virtual e aplica-lhe a configuração de encaminhamento. Quando você remove uma rede virtual do grupo de rede, a configuração de roteamento aplicada também é removida automaticamente.

Sub-redes recém-criadas ou excluídas têm sua tabela de rotas atualizada com eventual consistência. O tempo de processamento pode variar com base no volume de criação e exclusão de sub-rede.

Impacto do Gerenciamento UDR em rotas e tabelas de rotas

A seguir estão os impactos do gerenciamento UDR com o Azure Virtual Network Manager em rotas e tabelas de rotas:

  • Quando existirem regras de roteamento conflitantes (regras com o mesmo destino, mas saltos seguintes diferentes), apenas uma das regras conflitantes será aplicada, enquanto as outras serão ignoradas. Qualquer uma das regras conflitantes pode ser selecionada aleatoriamente. É importante observar que regras conflitantes dentro ou entre coleções de regras direcionadas à mesma rede virtual ou sub-rede não são suportadas.
  • Quando você cria uma regra de roteamento com o mesmo destino de uma rota existente na tabela de rotas, a regra de roteamento é ignorada.
  • Quando uma tabela de rotas com UDRs existentes está presente, o Gerenciador de Rede Virtual do Azure cria uma nova tabela de rotas gerenciada que inclui as rotas existentes e as novas rotas com base na configuração de roteamento implantada.
  • Outros UDRs adicionados a uma tabela de rotas gerenciada permanecem inalterados e não serão excluídos quando a configuração de roteamento for removida. Apenas as rotas criadas pelo Azure Virtual Network Manager são removidas.
  • Se uma UDR gerenciada do Azure Virtual Network Manager for editada manualmente na tabela de rotas, essa rota será excluída quando a configuração for removida da região.
  • O Azure Virtual Network Manager não interfere com as UDRs existentes. Ele apenas adiciona os novos UDRs aos atuais, garantindo que seu roteamento continue a funcionar como agora. Além disso, as UDRs para serviços específicos do Azure ainda funcionam junto com as UDRs do seu gerenciador de rede sem encontrar novas limitações.
  • O Azure Virtual Network Manager requer um grupo de recursos gerenciados para armazenar a tabela de rotas. Se uma Política do Azure impor marcas ou propriedades específicas em grupos de recursos, essas políticas deverão ser desabilitadas ou ajustadas para o grupo de recursos gerenciado para evitar problemas de implantação. Além disso, se você precisar excluir esse grupo de recursos gerenciados, certifique-se de que a exclusão ocorra antes de iniciar novas implantações de recursos dentro da mesma assinatura.
  • O gerenciamento de UDR permite que os usuários criem até 1000 UDRs por tabela de rotas.

Próximo passo

Saiba como criar rotas definidas pelo usuário no Gerenciador de Rede Virtual do Azure.