你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure Virtual Network Manager 自动管理用户定义的路由 (UDR)
本文概述了 UDR 管理、它的重要性、工作原理以及可以使用 UDR 管理简化和自动化的常见路由场景。
重要
使用 Azure Virtual Network Manager 管理用户定义的路由功能在选定区域中正式发布。 有关详细信息和区域列表,请参阅正式发布。
上一链接中未列出的区域以公共预览版提供。 若你同意 Microsoft Azure 预览版的补充使用条款,便可以使用公共预览版。 某些功能可能不受支持或者受限。 此预览版在提供时没有附带服务级别协议,不建议将其用于生产工作负荷。
什么是 UDR 管理?
Azure Virtual Network Manager 允许描述所需的路由行为,并协调用户定义的路由 (UDR) 来创建和维护所需的路由行为。 用户定义的路由解决了管理路由行为所需的自动化和简化。 目前,你应手动创建用户定义的路由 (UDR) 或使用自定义脚本。 但是,这些方法容易出错且过于复杂。 你可以利用虚拟 WAN 中的 Azure 托管中心。 此选项受到某些限制(例如无法自定义中心或缺少 IPV6 支持),与组织无关。 在虚拟网络管理器中通过 UDR 管理,你将拥有一个集中式中心,用于管理和维护路由行为。
UDR 管理的工作原理是什么?
在虚拟网络管理器中,创建路由配置。 在该配置中,创建规则集合来描述网络组(目标网络组)所需的 UDR。 在规则集合中,路由规则用于描述目标网络组中子网或虚拟网络的所需路由行为。 创建配置后,需要部署配置以便将其应用于资源。 部署后,所有路由都存储在 Virtual Network Manager 受管理资源组内的路由表中。
路由配置会根据路由规则指定的内容为你创建 UDR。 例如,可以指定分支网络组(由两个虚拟网络组成)通过防火墙访问 DNS 服务的地址。 网络管理器会创建 UDR,使此路由行为发生。
路由配置
路由配置是 UDR 管理的构建基块。 它们用于描述网络组的所需路由行为。 路由配置由以下设置组成:
| Attribute | 描述 |
|---|---|
| Name | 路由配置的名称。 |
| 描述 | 路由配置的说明。 |
路由集合设置
路由集合包含以下设置:
| Attribute | 描述 |
|---|---|
| Name | 路由集合的名称。 |
| 启用 BGP 路由传播 | 路由集合的 BGP 设置。 |
| 目标网络组 | 路由集合的目标网络组。 |
| 路由规则 | 描述目标网络组所需路由行为的路由规则。 |
路由规则设置
每个路由规则都包含以下设置:
| Attribute | 描述 |
|---|---|
| Name | 路由规则的名称。 |
| 目标类型 | |
| IP 地址 | 目标的 IP 地址。 |
| 目标 IP 地址/CIDR 范围 | 目标 CIDR 范围的 IP 地址。 |
| 服务标记 | 目的地的服务标记。 |
| 下一跃点类型 | |
| 虚拟网络网关 | 作为下一跃点的虚拟网络网关。 |
| 虚拟网络 | 作为下一跃点的虚拟网络。 |
| Internet | 作为下一跃点的 Internet。 |
| 虚拟设备 | 作为下一跃点的虚拟设备。 |
| 下一跃点地址 | 下一跃点的 IP 地址。 |
对于每种类型的下一跃点,请参阅“用户定义的路由”。
IP 地址的常见目标模式
创建路由规则时,可以指定目标类型和地址。 将目标类型指定为 IP 地址时,可以指定 IP 地址信息。 以下是常见的目标模式:以下是常见的目标模式:
| 流量目标 | 描述 |
|---|---|
| Internet > NVA | 对于通过网络虚拟设备发往 Internet 的流量,请输入 0.0.0.0/0 作为规则中的目标。 |
| 专用流量 > NVA | 对于通过网络虚拟设备发往专用空间的流量,请输入 192.168.0.0/16, 172.16.0.0/12, 40.0.0.0/24, 10.0.0.0/24 作为规则中的目标。 这些目标基于 RFC1918 专用 IP 地址空间。 |
| 分支网络> NVA | 对于通过网络虚拟设备连接的两个分支虚拟网络之间的流量,请输入分支的 CIDR 作为规则中的目标。 |
使用 Azure 防火墙作为下一跃点
你还可以通过在创建路由规则时选择“导入 Azure 防火墙专用 IP 地址”,轻松选择 Azure 防火墙作为下一跃点。 然后,Azure 防火墙的 IP 地址将用作下一跃点。
在单个路由表中使用更多用户定义的路由
在 Azure Virtual Network Manager UDR 管理中,用户现在可以在单个路由表中创建最多 1,000 个用户定义的路由 (UDR),而传统路由限制为 400 个。 这种更高的限制可实现更复杂的路由配置,例如将来自本地数据中心的流量通过防火墙定向至中心辐射型拓扑中的每个辐射虚拟网络。 这种扩展的容量特别适合具有大量辐射的大规模网络体系结构管理流量检查和安全性。
常见路由方案
下面是可以使用 UDR 管理实现简化和自动化的常见路由方案。
| 路由方案 | 描述 |
|---|---|
| 分支网络 -> 网络虚拟设备 -> 分支网络 | 将此方案用于通过网络虚拟设备连接的两个分支虚拟网络之间的流量。 |
| 分支网络 -> 网络虚拟设备 -> 中心网络中的终结点或服务 | 将此方案用于通过网络虚拟设备连接的中心网络中的服务终结点的分支网络流量。 |
| 子网 -> 网络虚拟设备 -> 子网,即使在同一虚拟网络中 | |
| 分支网络 -> 网络虚拟设备 -> 本地网络/Internet | 如果通过网络虚拟设备或本地位置(例如混合网络方案)出站 Internet 流量,请使用此方案。 |
| 通过每个中心的网络虚拟设备跨中心的分支网络 | |
| 中心分支网络(包含满足本地需求的 Spoke 网络)需要使用网络虚拟设备 | |
| 网关 -> 网络虚拟设备 -> 分支网络 |
添加其他虚拟网络
将其他虚拟网络添加到网络组时,路由配置会自动应用到新的虚拟网络。 网络管理器会自动检测新的虚拟网络,并将路由配置应用于它。 从网络组中删除虚拟网络时,也会自动删除应用的路由配置。
新创建或删除的子网会更新其路由表,以实现最终的一致性。 处理时间可能因子网创建和删除量而异。
UDR 管理对路由和路由表的影响
以下是使用 Azure Virtual Network Manager 对路由和路由表进行 UDR 管理的影响:
- 当存在冲突的路由规则(目的地相同但下一跃点不同的规则)时,将只应用冲突的规则中的一个,而忽略其他规则。 可能会随机选择冲突的规则中的任何一个。 需要注意的是,不支持同一规则集或不同规则集中存在的以相同虚拟网络或子网为目标的冲突规则。
- 创建与路由表中的现有路由具有相同目标的传递规则时,将忽略该传递规则。
- 当存在具有现有 UDR 的路由表时,Azure Virtual Network Manager 将创建一个新的托管路由表,其中包括现有路由和基于已部署路由配置的新路由。
- 添加到托管路由表中的任何其他 UDR 将不受影响,并且在路由配置被移除时不会被删除。 只会移除由 Azure Virtual Network Manager 创建的路由。
- 如果在路由表中手动编辑了 Azure Virtual Network Manager 管理的 UDR,则从该区域中移除配置时,该路由将被删除。
- 中心虚拟网络中的现有 Azure 服务在路由表和 UDR 方面保持其现有限制。
- Azure Virtual Network Manager 需要一个受管理资源组来存储路由表。 如果 Azure Policy 在资源组上实施特定的标记或属性,则必须为托管资源组禁用或调整这些策略,以防止出现部署问题。 此外,如果你需要删除此托管资源组,请确保在为同一订阅内的资源启动任何新部署之前进行删除。
- UDR 管理允许用户为每个路由表创建最多 1000 个 UDR。
正式发布时间
使用 Azure Virtual Network Manager 管理用户定义的路由功能在以下区域已正式发布:
澳大利亚中部
澳大利亚中部 2
澳大利亚东部
澳大利亚东南部
巴西南部
巴西东南部
加拿大中部
加拿大东部
印度中部
美国中部
东亚
美国东部
法国中部
德国北部
德国中西部
Jio 印度中部
Jio 印度西部
日本东部
韩国中部
韩国南部
美国中北部
北欧
挪威东部
挪威西部
波兰中部
卡塔尔中部
南非北部
南非西部
印度南部
东南亚
瑞典中部
瑞典南部
瑞士北部
瑞士西部
阿联酋中部
阿拉伯联合酋长国北部
英国南部
英国西部
西欧
印度西部
美国西部
美国西部 2
美国中西部
美国中部 (EUAP)
美国东部 2 (EUAP)
对于上面的列表中未定义的区域,使用 Azure Virtual Network Manager 管理用户定义的路由功能仍为公共预览版。
下一步
了解如何在 Azure Virtual Network Manager 中创建用户定义的路由。