Identifiera routningsfunktioner i ett virtuellt Azure-nätverk
Om du vill styra trafikflödet i ditt virtuella nätverk måste du känna till syftet och fördelarna med anpassade vägar. Du måste också lära dig hur du konfigurerar vägarna för att dirigera trafikflödet via en virtuell nätverksinstallation.
Azure-routning
Nätverkstrafiken i Azure dirigeras automatiskt genom Azure-undernät, virtuella nätverk och lokala nätverk. Systemvägar styr den här routningen. De tilldelas som standard till varje undernät i ett virtuellt nätverk. Med dessa systemvägar kan alla virtuella Azure-datorer som distribueras till ett virtuellt nätverk kommunicera med andra i nätverket. De virtuella datorerna är också nåbara lokalt via ett hybridnätverk eller internet.
Du kan inte skapa eller ta bort systemvägar, men du kan åsidosätta systemvägarna genom att lägga till anpassade vägar för att styra trafikflödet till nästa hopp.
Varje undernät har följande standardsystemvägar:
| Adressprefix | Nästa hopptyp |
|---|---|
| Unikt för det virtuella nätverket | Virtuellt nätverk |
| 0.0.0.0/0 | Internet |
| 10.0.0.0/8 | Ingen |
| 172.16.0.0/12 | Ingen |
| 192.168.0.0/16 | Ingen |
| 100.64.0.0/10 | Ingen |
I kolumnen Nästa hopptyp visas vilken nätverkssökväg som används av trafiken som skickas till respektive adressprefix. Sökvägen kan vara en av följande hopptyper:
- Virtuellt nätverk: En väg skapas i adressprefixet. Prefixet representerar de adressintervall som skapas på nätverksnivån. Om flera adressintervall är angivna skapas vägar för varje adressintervall.
- Internet: Standardsystemvägen 0.0.0.0/0 dirigerar alla adressintervall till Internet, såvida du inte åsidosätter Azures standardväg med en anpassad väg.
- Ingen: All trafik som dirigeras till den här hopptypen tas bort och dirigeras inte utanför undernätet. Som standard skapas följande privata IPv4-adressprefix: 10.0.0.0/8, 172.16.0.0/12 och 192.168.0.0/16. Prefixet 100.64.0.0/10 för ett delat adressutrymme läggs också till. Inget av dessa adressintervall kan användas för global dirigering.
I det här diagrammet ser du en översikt över systemvägarna och hur trafiken som standard flödar mellan undernät och internet. Du kan se i diagrammet att trafiken flödar fritt mellan de två undernäten och internet.
I Azure finns det andra systemvägar. Azure skapar dessa vägar om följande funktioner är aktiverade:
- Virtuell nätverkspeering
- Tjänstlänkning
- Virtuell nätverksgateway
- Tjänstslutpunkt för virtuellt nätverk
Virtuell nätverkspeering och tjänstlänkning
Med peering och tjänstlänkning för virtuella nätverk kan virtuella nätverk i Azure ansluta till varandra. En sådan anslutning gör att virtuella datorer kan kommunicera med varandra inom samma region eller mellan olika regioner. Den här kommunikationen skapar i sin tur fler vägar i standardroutningstabellen. Med tjänstlänkning kan du åsidosätta dessa vägar genom att skapa användardefinierade vägar mellan peerkopplade nätverk.
I det här diagrammet ser du två virtuella nätverk med peering konfigurerad. De användardefinierade vägarna har konfigurerats för att dirigera trafik via en virtuell nätverksinstallation eller en VPN-gateway i Azure.
Virtuell nätverksgateway
Du använder en virtuell nätverksgateway till att skicka krypterad trafik mellan Azure och en lokal miljö via internet, och för att skicka krypterad trafik mellan olika Azure-nätverk. En virtuell nätverksgateway innehåller routningstabeller och gatewaytjänster.
Tjänstslutpunkt för virtuellt nätverk
Med virtuella nätverksslutpunkter kan du utöka ditt privata adressutrymme i Azure genom att ge en direkt anslutning till dina Azure-resurser. Den här anslutningen begränsar trafikflödet: dina virtuella Azure-datorer får åtkomst till lagringskontot direkt från det privata adressutrymmet medan åtkomsten från offentliga virtuella datorer nekas. När du aktiverar tjänstslutpunkter skapar Azure vägar i routningstabellen som dirigerar trafiken.
Anpassade vägar
Systemvägar kan vara ett enkelt sätt att snabbt få igång din miljö. Det finns dock många scenarier där du vill styra trafikflödet i nätverket närmare. Du kanske till exempel vill dirigera trafik via en NVA eller genom en brandvägg. Det här kan du göra med anpassade vägar.
Du har två alternativ för att implementera anpassade vägar: skapa en användardefinierad väg eller använd Border Gateway Protocol (BGP) för att utbyta vägar mellan Azure och lokala nätverk.
Användardefinierade vägar
Du kan använda en användardefinierad väg för att åsidosätta standardsystemvägarna så att trafik kan dirigeras via brandväggar eller NVA:er.
Du kan till exempel ha ett nätverk med två undernät och lägga till en virtuell dator i perimeternätverket som ska användas som en brandvägg. Du kan skapa en användardefinierad väg så att trafiken passerar genom brandväggen och inte går direkt mellan undernäten.
När du skapar en användardefinierad väg kan du ange följande nästa hopptyper:
- Virtuell installation: En virtuell installation är vanligtvis en brandväggsenhet som används för att analysera eller filtrera trafik som kommer in i eller lämnar nätverket. Du kan ange den privata IP-adressen för ett nätverkskort (NIC) som är kopplat till en virtuell dator så att IP-vidarebefordran kan aktiveras. Eller så kan du ange den privata IP-adressen till en intern lastbalanserare.
- Virtuell nätverksgateway: Används för att ange när du vill att vägar för en specifik adress ska dirigeras till en virtuell nätverksgateway. Den virtuella nätverksgatewayen anges som ett VPN för nästa hopptyp.
- Virtuellt nätverk: Använd för att åsidosätta standardsystemvägen i ett virtuellt nätverk.
- Internet: Används för att dirigera trafik till ett angivet adressprefix som dirigeras till Internet.
- Ingen: Använd för att släppa trafik som skickas till ett angivet adressprefix.
För användardefinierade vägar kan du inte ange hopptypen VirtualNetworkServiceEndpoint, som indikerar virtuell nätverkspeering.
Tjänsttaggar för användardefinierade vägar
Du kan ange en tjänsttagg som adressprefix för en användardefinierad väg i stället för ett explicit IP-intervall. En tjänsttagg representerar en grupp IP-adressprefix från en viss Azure-tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras, vilket minimerar komplexiteten i frekventa uppdateringar av användardefinierade vägar och minskar antalet vägar som du behöver skapa.
Border Gateway Protocol
BGP gör att en nätverksgateway i det lokala nätverket kan utbyta vägar med en virtuell nätverksgateway i Azure. BGP är standardroutningsprotokollet som normalt används för att utbyta routningsinformation mellan två eller flera nätverk. BGP används för att överföra data och information mellan autonoma system på Internet, till exempel olika värdgatewayer.
Vanligtvis använder du BGP för att annonsera lokala vägar till Azure när du är ansluten till ett Azure-datacenter via Azure ExpressRoute. Du kan också konfigurera BGP om du ansluter till ett virtuellt Azure-nätverk via VPN.
I det här diagrammet ser du en topologi med vägar som kan överföra data mellan Azure VPN Gateway och lokala nätverk:
BGP erbjuder nätverksstabilitet, eftersom routrar snabbt kan ändra anslutningar för att skicka paket om en anslutningssökväg slutar fungera.
Val av vägar och prioritet
Om det finns flera vägar i en routningstabell använder Azure vägen med den längsta prefixmatchningen. Ett meddelande skickas till exempel till IP-adressen 10.0.0.2, men två vägar är tillgängliga med prefixen 10.0.0.0/16 och 10.0.0.0/24. Azure väljer vägen med prefixet 10.0.0.0/24 eftersom den är mer specifik.
Ju längre vägprefixet är desto kortare blir listan med IP-adresser som är tillgängliga via prefixet. När du använder längre prefix kan routningsalgoritmen välja den avsedda adressen snabbare.
Du kan inte konfigurera eller flera användardefinierade vägar med samma adressprefix.
Om det finns flera vägar med samma adressprefix väljer Azure vägen baserat på typen i följande prioritetsordning:
- Användardefinierade vägar
- BGP-vägar
- Systemvägar