使用 Azure 虛擬網絡 Manager 自動管理使用者定義路由 (UDR)
本文提供UDR管理的概觀、為何重要、運作方式,以及您可以使用UDR管理簡化和自動化的常見路由案例。
什麼是 UDR 管理?
Azure 虛擬網絡 管理員可讓您描述所需的路由行為,並協調使用者定義的路由 (UDR) 來建立和維護所需的路由行為。 用戶定義的路由可解決管理路由行為自動化和簡化的需求。 目前,您會手動建立使用者定義的路由(UDR)或使用自定義腳本。 不過,這些方法很容易出錯,而且過於複雜。 您可以在虛擬 WAN 中使用 Azure 管理的中樞。 此選項有某些限制(例如無法自定義中樞或缺乏 IPV6 支援),與您的組織無關。 在虛擬網路管理員中使用 UDR 管理,您有一個集中式中樞來管理和維護路由行為。
UDR 管理如何運作?
在虛擬網路管理員中,您會建立路由設定。 在組態內,您可以建立規則集合來描述網路群組 (目標網路群組) 所需的 UDR。 在規則集合中,路由規則可用來描述目標網路群組中子網或虛擬網路所需的路由行為。 建立組態之後,您必須 部署組態 以套用至您的資源。 部署時,所有路由都會儲存在位於虛擬網路管理員管理資源群組內的路由表中。
路由設定會根據路由規則所指定的內容,為您建立 UDR。 例如,您可以指定支點網路群組,由兩個虛擬網路組成,可透過防火牆存取 DNS 服務的位址。 您的網路管理員會建立 UDR,讓此路由行為發生。
路由設定
路由設定是 UDR 管理的建置組塊。 它們用來描述網路群組所需的路由行為。 路由組態包含下列設定:
| Attribute | 說明 |
|---|---|
| 名稱 | 路由組態的名稱。 |
| 說明 | 路由組態的描述。 |
路由收集設定
路由集合包含下列設定:
| Attribute | 說明 |
|---|---|
| 名稱 | 路由集合的名稱。 |
| 啟用 BGP 路由傳播 | 路由集合的 BGP 設定。 |
| 目標網路群組 | 路由集合的目標網路群組。 |
| 路由規則 | 描述目標網路群組所需路由行為的路由規則。 |
路由規則設定
每個路由規則都包含下列設定:
| Attribute | 說明 |
|---|---|
| 名稱 | 路由規則的名稱。 |
| 目的地類型 | |
| IP 位址 | 目的地的 IP 位址。 |
| 目的地 IP 位址/CIDR 範圍 | 目的地的IP位址或 CIDR 範圍。 |
| 服務標記 | 目的地的服務標籤。 |
| 下一個躍點類型 | |
| 虛擬網路閘道 | 作為下一個躍點的虛擬網路閘道。 |
| 虛擬網路 | 虛擬網路作為下一個躍點。 |
| 網際網路 | 互聯網作為下一個躍點。 |
| 虛擬設備 | 虛擬設備作為下一個躍點。 |
| 下一個躍點位址 | 下一個躍點的IP位址。 |
針對每個下一個躍點類型,請參閱 已使用定義的路由。
IP 位址的常見目的地模式
建立路由規則時,您可以指定目的地類型和位址。 當您將目的地類型指定為IP位址時,您可以指定IP位址資訊。 以下是常見的目的地模式:以下是常見的目的地模式:
| 流量目的地 | 說明 |
|---|---|
| 因特網 > NVA | 針對透過網路虛擬設備傳送到因特網的流量,請輸入 0.0.0.0/0 作為規則中的目的地。 |
| 私人流量 > NVA | 針對透過網路虛擬設備傳送至私人空間的流量,請輸入 192.168.0.0/16、172.16.0.0/12、40.0.0.0/24、10.0.0.0/24 作為規則中的目的地。 這些目的地是以私人IP位址空間RFC1918為基礎。 |
| 輪輻網路 > NVA | 針對透過網路虛擬設備連線的兩個輪輻虛擬網路之間的流量,請輸入輪輻的 CIDR 作為規則中的目的地。 |
使用 Azure 防火牆 作為下一個躍點
您也可以在建立路由規則時選取 [匯入 Azure 防火牆私人 IP 位址],輕鬆地選擇 Azure 防火牆 作為下一個躍點。 接著,Azure 防火牆的IP位址會作為下一個躍點。
![具有 [Azure 防火牆] 選項之路由規則的螢幕快照。](media/how-to-deploy-user-defined-routes/add-routing-rule-azure-firewall.png)
在單一路由表中使用更多用戶定義的路由
在 Azure 虛擬網絡 Manager UDR 管理中,用戶現在可以在單一路由表中建立最多 1,000 個使用者定義的路由(UDR),相較於傳統的 400 路由限制。 此較高的限制可啟用更複雜的路由設定,例如透過防火牆將來自內部部署數據中心的流量導向中樞和輪輻拓撲中的每個輪輻虛擬網路。 此擴充容量特別適用於使用許多輪輻來管理大規模網路架構的流量檢查和安全性。
例如,在中樞和輪輻拓撲中,使用者通常會要求在聯機到輪輻虛擬網路之前,由中樞虛擬網路中的防火牆檢查或篩選網路流量。 Azure 虛擬網絡 Manager 支援最多 1000 個輪輻虛擬網路,並允許設定防火牆子網的路由表,以支援最多 1000 個使用者定義的路由,以便從防火牆到輪輻虛擬網路的流量。 若要達成此目的,請遵循下列步驟:
- 建立 Azure Virtual Network Manager 執行個體。
- 建立網路群組,並包含包含此群組中防火牆的子網。
- 建立路由設定並建立規則集合,將目標網路群組設定為在步驟 2 中建立的群組。
- 藉由新增輪輻虛擬網路的位址空間來定義路由規則。 將下一個躍點設定為「虛擬設備」,並將防火牆的IP位址指定為下一個躍點位址。
- 在防火牆子網所在的區域中部署此路由設定。
這個方法可讓防火牆子網的路由表容納多達 1000 個 UDR。 新增輪輻虛擬網路時,只要在現有規則中包含其位址空間,然後重新部署路由設定即可。
使用 UDR 管理的常見路由案例
以下是您可以使用 UDR 管理簡化和自動化的常見路由案例。
| 路由案例 | 說明 |
|---|---|
| 輪輻網路 -> 網路虛擬設備 -> 輪輻網路 | 針對透過網路虛擬設備連線的兩個輪輻虛擬網路之間的流量,使用此案例。 |
| 輪輻網路 -> 網路虛擬設備 -> 中樞網路中的端點或服務 | 針對透過網路虛擬設備連線中樞網路中的服務端點輪輻網路流量,使用此案例。 |
| 子網 -> 網路虛擬設備 -> 即使在相同虛擬網路中的子網 | |
| 輪輻網路 -> 網路虛擬設備 -> 內部部署網路/因特網 | 當您透過網路虛擬設備或內部部署位置輸出因特網流量,例如混合式網路案例時,請使用此案例。 |
| 透過每個中樞的網路虛擬設備跨中樞和輪輻網路 | |
| 中樞和輪輻網路與輪輻網路到內部部署需要透過網路虛擬設備 | |
| 閘道 -> 網路虛擬設備 -> 輪輻網路 |
新增其他虛擬網路
當您將其他虛擬網路新增至網路群組時,路由設定會自動套用至新的虛擬網路。 您的網路管理員會自動偵測新的虛擬網路,並將路由設定套用至該虛擬網路。 當您從網路群組移除虛擬網路時,也會自動移除套用的路由設定。
新建立或刪除的子網會以最終一致性更新其路由表。 處理時間可能會根據子網建立和刪除的磁碟區而有所不同。
UDR 管理對路由和路由表的影響
以下是在路由和路由表上使用 Azure 虛擬網絡 Manager 的 UDR 管理影響:
- 當衝突路由規則存在時(具有相同目的地但下一個躍點不同的規則),只會套用其中一個衝突的規則,而其他規則則會忽略。 任何衝突的規則都可以隨機選取。 請務必注意,不支援以相同虛擬網路或子網為目標的規則集合內或跨規則集合之間的衝突規則。
- 當您建立與路由表中現有路由相同的目的地路由規則時,會忽略路由規則。
- 當具有現有 UDR 的路由表存在時,Azure 虛擬網絡 Manager 會根據已部署的路由組態建立新的 Managed 路由表,其中包含現有的路由和新路由。
- 新增至受控路由表的其他 UDR 仍不會受到影響,而且在移除路由設定時不會刪除。 只會移除 Azure 虛擬網絡 Manager 所建立的路由。
- 如果在路由表中手動編輯 Azure 虛擬網絡 Manager 受控 UDR,則會在從區域移除設定時刪除該路由。
- Azure 虛擬網絡 管理員不會干擾您現有的 UDR。 它只會將新的 UDR 新增至目前的 UDR,以確保您的路由會像現在一樣繼續運作。 此外,特定 Azure 服務的 UDR 仍可搭配網路管理員的 UDR 運作,而不會遇到新的限制。
- Azure 虛擬網絡 管理員需要受控資源群組來儲存路由表。 如果 Azure 原則 在資源群組上強制執行特定標籤或屬性,則必須停用或調整受控資源群組的原則,以防止部署問題。 此外,如果您需要刪除此受控資源群組,請務必先刪除,再針對相同訂用帳戶內的資源起始任何新的部署。
- UDR 管理可讓使用者為每個路由表建立最多 1000 個 UDR。
後續步驟
瞭解如何在 Azure 虛擬網絡 Manager 中建立使用者定義的路由。