Scenario: перенаправление трафика через сетевой виртуальный модуль

При работе с маршрутизацией виртуальных концентраторов Виртуальной глобальной сети существует несколько доступных сценариев. Назначение этого сценария NVA заключается в маршрутизации трафика через модуль NVA (сетевой виртуальный модуль) от ветви к виртуальной сети и от виртуальной сети к ветви. Дополнительные сведения см. в статье О маршрутизации виртуальных концентраторов.

Примечание.

Если у вас уже используются настроенные маршруты, прежде чем новые возможности настройки маршрутизации виртуальных концентраторов станут доступными, выполните действия, описанные в следующих редакциях статей.

• Статья о портале Azure
• Статья о PowerShell

Проект

В этом сценарии мы будем использовать следующее соглашение об именовании:

• "Виртуальные сети NVA" для виртуальных сетей, где пользователи развернули модуль NVA и подключили другие виртуальные сети в качестве периферийных точек (VNet 2 и VNet 4 на рис. 2 далее в статье).
• "Периферийные точки NVA" для виртуальных сетей, подключенных к виртуальной сети NVA (VNet 5, VNet 6, VNet 7 и VNet 8 на рис. 2 далее в статье).
• "Виртуальные сети, отличные от NVA", для виртуальных сетей, подключенных к Виртуальная глобальная сеть, у которых нет NVA или других виртуальных сетей, пиринговых с ними (виртуальная сеть 1 и виртуальная сеть 3 на рисунке 2 ниже в статье).
• "Концентраторы" для концентраторов Виртуальных глобальных сетей, управляемых корпорацией Майкрософт, где подключены виртуальные сети NVA. Виртуальным сетям периферийных точек NVA не нужно подключаться к концентраторам Виртуальной глобальной сети, только к виртуальным сетям NVA.

В следующей матрице подключения перечислены потоки, поддерживаемые в этом сценарии:

Матрица подключений

From	Кому:	Периферийные точки NVA	Виртуальные сети NVA	Виртуальные сети не-VNA	Ветви
Периферийные точки NVA	→	Через виртуальную сеть NVA	Пиринг	Через виртуальную сеть NVA	Через виртуальную сеть NVA
Виртуальные сети NVA	→	Пиринг	Напрямую	Напрямую	Напрямую
Виртуальные сети не-VNA	→	Через виртуальную сеть NVA	Напрямую	Напрямую	Напрямую
Ветви	→	Через виртуальную сеть NVA	Напрямую	Напрямую	Напрямую

Каждая ячейка в матрице подключения описывает, как виртуальная сеть или ветвь (сторона "от" потока, заголовки строк в таблице) взаимодействует с целевой виртуальной сетью или ветвью (сторона "к" потоку, заголовки столбцов в таблице отображаются курсивом). Direct (Прямо) означает, что подключение обеспечивается встроенной Виртуальной глобальной сетью; Peering (Пиринг) означает, что подключение предоставляется по маршруту, определяемому пользователем в виртуальной сети; Over NVA VNet (По виртуальной сети NVA) означает, что подключение осуществляется через модуль NVA, развернутый в виртуальной сети NVA. Рекомендуются следующие действия.

• Периферийные устройства NVA не управляются Виртуальная глобальная сеть. В результате механизмы, с которыми они будут взаимодействовать с другими виртуальными сетями или филиалами, поддерживаются пользователем. Подключение к виртуальной сети NVA обеспечивается пирингом виртуальных сетей и маршрутом по умолчанию 0.0.0.0/0, указывающим на модуль NVA, так как следующий прыжок должен охватывать подключение к Интернету, к другим периферийным точкам и ветвям
• Виртуальные сети NVA знают о своих собственных периферийных устройствах NVA, но не о периферийных устройствах NVA, подключенных к другим виртуальным сетям NVA. Например, на рис. 2 далее в этой статье виртуальная сеть 2 знает о виртуальной сети VNet 5 и VNet 6, но не о других периферийных точках, таких как VNet 7 и VNet 8. Для добавления префиксов в других периферийных точек в виртуальных сетях NVA требуется статический маршрут
• Аналогичным образом ветви и виртуальные сети, отличные от NVA, не будут знать о периферийных устройствах NVA, так как периферийные модули NVA не подключены к Виртуальная глобальная сеть концентраторам. В результате здесь также необходимы статические маршруты.

Учитывая, что периферийные устройства NVA не управляются Виртуальная глобальная сеть, все остальные строки показывают тот же шаблон подключения. В результате одна таблица маршрутов (по умолчанию) — это:

• Виртуальные сети (виртуальные сети, не являющиеся концентраторами и виртуальными сетями центра пользователей):
  • Связанная таблица маршрутизации: Default
  • Распространение на таблицы маршрутизации: Default
• Ветви:
  • Связанная таблица маршрутизации: Default
  • Распространение на таблицы маршрутизации: Default

Однако в этом сценарии необходимо предусмотреть настройку статических маршрутов. Каждый статический маршрут имеет два компонента, одна часть в концентраторе Виртуальная глобальная сеть сообщает Виртуальная глобальная сеть компонентам, которые нужно использовать для каждой периферии, и еще один в этом конкретном подключении, указывающий на конкретный IP-адрес, назначенный NVA (или подсистеме балансировки нагрузки перед несколькими NVA), как показано на рисунке 1:

Рисунок 1

При этом статические маршруты, которые понадобятся в таблице по умолчанию для передачи трафика на периферийные точки NVA после виртуальной сети NVA, выглядят следующим образом.

Description	Таблица маршрутов	Статический маршрут
Виртуальная сеть 2	По умолчанию.	10.2.0.0/16 —> eastusconn
VNet 4	По умолчанию.	10.4.0.0/16 — > weconn

Теперь эти статические маршруты будут объявлены в локальных ветвях, и центр Виртуальная глобальная сеть будет знать, в какой виртуальный сеть будет перенаправлен трафик. Однако подключение виртуальной сети должно знать, что делать при получении этого трафика: именно здесь используются таблицы маршрутов подключения. Здесь мы будем использовать более короткие префиксы (/24 вместо более длинного /16), чтобы убедиться, что эти маршруты имеют предпочтения по маршрутам, импортируемым из виртуальных сетей NVA (виртуальная сеть 2 и виртуальная сеть 4):

Description	Connection	Статический маршрут
VNet 5	eastusconn	10.2.1.0/24 — > 10.2.0.5
VNet 6	eastusconn	10.2.2.0/24 — > 10.2.0.5
VNet 7	weconn	10.4.1.0/24 — > 10.4.0.5
VNet 8	weconn	10.4.2.0/24 — > 10.4.0.5

Теперь виртуальные сети NVA, виртуальные сети не NVA и ветви узнают, как достичь всех периферийных точек NVA. Дополнительные сведения см. в статье Сведения о маршрутизации виртуальных концентраторов.

Архитектура

На рис. 2 показаны два концентратора: HUB1 и HUB2.

• HUB1 и HUB2 напрямую подключены к виртуальным сетям NVA VNet 2 и VNet 4.

• Виртуальные сети VNet 5 и VNet 6 участвуют в пиринге с сетью VNet 2.

• Виртуальные сети VNet 7 и VNet 8 участвуют в пиринге с сетью VNet 4.

• Виртуальные сети 5, 6, 7, 8 — это непрямые периферийные точки, которые не подключаются напрямую к виртуальному концентратору.

Рисунок 2

Рабочий процесс сценария

Чтобы настроить маршрутизацию через модуль NVA, выполните следующие действия.

1. Определите подключение виртуальной сети VNet периферийной точки NVA. На рис. 2 они — подключение виртуальной сети 2 (eastusconn) и подключение виртуальной сети 4 (weconn).

   Убедитесь, что настроены UDR.

   • Из VNet 5 и VNet 6 в VNet 2 NVA IP
   • Из VNet 7 и VNet 8 в VNet 4 NVA IP

   Вам не нужно напрямую подключать виртуальные сети 5,6 7,8 к виртуальным центрам. Убедитесь, что группы безопасности сети в виртуальных сетях 5, 6, 7, 8 разрешают трафик для ветви (VPN/ER/P2S) или виртуальных сетей, подключенных к удаленным виртуальным сетям. Например, виртуальные сети 5, 6 должны обеспечить, чтобы группы безопасности сети разрешали трафик для префиксов локальных адресов и виртуальных сетей 7, 8, подключенных к удаленному концентратору HUB2.

Виртуальная глобальная сеть не поддерживает сценарий, в котором виртуальные сети 5,6 подключаются к виртуальному концентратору и взаимодействуют через IP-адрес виртуальной сети 2. Поэтому необходимо подключить виртуальные сети 5,6 к виртуальной сети 2 и аналогично виртуальной сети 7,8 к виртуальной сети 4.

2. Добавьте агрегированную запись статического маршрута для виртуальных сетей VNet 2, 5, 6 в таблицу маршрутизации по умолчанию концентратора Hub 1.

   

   Примечание.

   Чтобы упростить маршрутизацию и уменьшить изменения в таблицах маршрутов концентратора Виртуальная глобальная сеть, рекомендуется использовать новый пиринг BGP с Виртуальная глобальная сеть концентратором. Дополнительные сведения см. в следующих статьях:

   • Сценарий: пиринг BGP с помощью виртуального концентратора
   • Создание пиринга BGP с помощью виртуального концентратора — портал Azure

3. Настройте статический маршрут для виртуальных сетей VNet 5, 6 в подключении виртуальной сети VNet 2. Чтобы настроить конфигурацию маршрутизации для подключения виртуальной сети, см. инструкции в разделе Маршрутизация виртуальных концентраторов.

4. Добавьте агрегированную запись статического маршрута для виртуальных сетей VNet 4, 7, 8 в таблицу маршрутизации по умолчанию концентратора Hub 1.

5. Повторите шаги 2, 3 и 4 для таблицы маршрутизации по умолчанию для концентратора HUB 2.

Это приводит к изменениям конфигурации маршрутизации, как показано на рис. 3.

Рисунок 3

Следующие шаги

• Дополнительные сведения о виртуальной глобальной сети см. в статье, содержащей Часто задаваемые вопросы о ней.
• Дополнительные сведения см. в статье Сведения о маршрутизации виртуальных концентраторов.