Использование брандмауэра Azure для маршрутизации звездообразной топологии с несколькими концентраторами и периферийными узлами

Топология концентратора и периферийной топологии — это распространенный шаблон сетевой архитектуры в Azure. Концентратор (центр топологии) — это виртуальная сеть в Azure, которая выступает в качестве центральной точки подключения к локальной сети. Периферийные зоны — это виртуальные сети, которые устанавливают пиринг с концентратором и могут использоваться для изоляции рабочих нагрузок. Концентратор можно использовать для изоляции и защиты трафика между периферийными устройствами. Концентратор также можно использовать для маршрутизации трафика между периферийными узлами. Концентратор можно использовать для маршрутизации трафика между периферийными устройствами с помощью различных методов.

Например, можно использовать Azure Route Server с динамической маршрутизацией и виртуальными сетевыми устройствами (NVA) для маршрутизации трафика между периферийными устройствами. Это может быть довольно сложное развертывание. Менее сложный метод использует Брандмауэр Azure и статические маршруты для маршрутизации трафика между периферийными узлами.

В этой статье показано, как использовать Брандмауэр Azure со статическими определяемыми пользователем маршрутами (UDR) для маршрутизации много концентратора и периферийной топологии. На следующей схеме показана топология:

Базовая архитектура

Брандмауэр Azure защищает и проверяет сетевой трафик, но также направляет трафик между виртуальными сетями. Это управляемый ресурс, который автоматически создает системные маршруты к локальным периферийным, концентраторам и локальным префиксам, извлеченным с помощью локального шлюза виртуальная сеть. Размещение NVA в концентраторе и запрос эффективных маршрутов приведет к таблице маршрутов, которая напоминает то, что найдено в Брандмауэр Azure.

Так как это статическая архитектура маршрутизации, кратчайший путь к другому концентратору можно сделать с помощью глобального пиринга между концентраторами. Таким образом, центры знают друг друга, и каждый локальный брандмауэр содержит таблицу маршрутов каждого непосредственно подключенного концентратора. Однако локальные центры знают только о своих местных периферийных устройствах. Кроме того, эти центры могут находиться в одном регионе или другом регионе.

Маршрутизация в подсети брандмауэра

Каждый локальный брандмауэр должен знать, как связаться с другими удаленными периферийными узлами, поэтому необходимо создать UDR в подсетях брандмауэра. Для этого сначала необходимо создать маршрут по умолчанию любого типа, который затем позволяет создавать более конкретные маршруты к другим периферийным узлам. Например, на следующих снимках экрана показана таблица маршрутов для двух центральных виртуальных сетей:

Примечание.

Префикс адреса в таблице виртуальных маршрутов концентратора должен охватывать два периферийных адресных пространства виртуальной сети.

Таблица маршрутов Hub-01

Таблица маршрутов Hub-02

Маршрутизация в периферийных подсетях

Преимущество реализации этой топологии заключается в том, что с трафиком из одного концентратора в другой можно достичь следующего прыжка, который напрямую подключен через глобальный пиринг.

Как показано на схеме, лучше поместить UDR в периферийные подсети с маршрутом 0/0 (шлюз по умолчанию) с локальным брандмауэром в качестве следующего прыжка. Это блокируется в точке выхода следующего прыжка в качестве локального брандмауэра. Он также снижает риск асимметричной маршрутизации, если он узнает более конкретные префиксы из локальной среды, что может привести к обходу брандмауэра. Дополнительные сведения см. в статье "Не разрешать вам укусить маршруты Azure".

Ниже приведен пример таблицы маршрутов для периферийных подсетей, подключенных к Hub-01:

Следующие шаги

• См. дополнительные сведения о развертывании и настройке Брандмауэра Azure.