使用 Azure 虛擬網絡 Manager 自動管理使用者定義的路由 (UDR)
本文提供UDR管理的概觀、為何重要、運作方式,以及您可以使用UDR管理簡化和自動化的常見路由案例。
重要
使用 Azure 虛擬網絡 Manager 進行使用者定義的路由管理,通常會在選取區域中提供。 如需詳細資訊和區域清單,請參閱 正式運作。
上一個連結中未列出的區域處於公開預覽狀態。 公開預覽會根據您同意 Microsoft Azure 預覽版補充使用條款的條件提供給您。 有些功能可能不受支援,也可能已經限制功能。 此預覽版本是在沒有服務等級協定的情況下提供,不建議用於生產工作負載。
什麼是 UDR 管理?
Azure 虛擬網絡 管理員可讓您描述所需的路由行為,並協調使用者定義的路由 (UDR) 來建立和維護所需的路由行為。 用戶定義的路由可解決管理路由行為自動化和簡化的需求。 目前,您會手動建立使用者定義的路由(UDR)或使用自定義腳本。 不過,這些方法很容易出錯,而且過於複雜。 您可以在虛擬 WAN 中使用 Azure 管理的中樞。 此選項有某些限制(例如無法自定義中樞或缺乏 IPV6 支援),與您的組織無關。 在虛擬網路管理員中使用 UDR 管理,您有一個集中式中樞來管理和維護路由行為。
UDR 管理如何運作?
在虛擬網路管理員中,您會建立路由設定。 在組態內,您可以建立規則集合來描述網路群組 (目標網路群組) 所需的 UDR。 在規則集合中,路由規則可用來描述目標網路群組中子網或虛擬網路所需的路由行為。 建立組態之後,您必須 部署組態 以套用至您的資源。 部署時,所有路由都會儲存在位於虛擬網路管理員管理資源群組內的路由表中。
路由設定會根據路由規則所指定的內容,為您建立 UDR。 例如,您可以指定支點網路群組,由兩個虛擬網路組成,可透過防火牆存取 DNS 服務的位址。 您的網路管理員會建立 UDR,讓此路由行為發生。
路由設定
路由設定是 UDR 管理的建置組塊。 它們用來描述網路群組所需的路由行為。 路由組態包含下列設定:
| Attribute | 說明 |
|---|---|
| 名稱 | 路由組態的名稱。 |
| 說明 | 路由組態的描述。 |
路由收集設定
路由集合包含下列設定:
| Attribute | 說明 |
|---|---|
| 名稱 | 路由集合的名稱。 |
| 啟用 BGP 路由傳播 | 路由集合的 BGP 設定。 |
| 目標網路群組 | 路由集合的目標網路群組。 |
| 路由規則 | 描述目標網路群組所需路由行為的路由規則。 |
路由規則設定
每個路由規則都包含下列設定:
| Attribute | 說明 |
|---|---|
| 名稱 | 路由規則的名稱。 |
| 目的地類型 | |
| IP 位址 | 目的地的 IP 位址。 |
| 目的地 IP 位址/CIDR 範圍 | 目的地的IP位址或 CIDR 範圍。 |
| 服務標記 | 目的地的服務標籤。 |
| 下一個躍點類型 | |
| 虛擬網路閘道 | 作為下一個躍點的虛擬網路閘道。 |
| 虛擬網路 | 虛擬網路作為下一個躍點。 |
| 網際網路 | 互聯網作為下一個躍點。 |
| 虛擬設備 | 虛擬設備作為下一個躍點。 |
| 下一個躍點位址 | 下一個躍點的IP位址。 |
針對每個下一個躍點類型,請參閱 已使用定義的路由。
IP 位址的常見目的地模式
建立路由規則時,您可以指定目的地類型和位址。 當您將目的地類型指定為IP位址時,您可以指定IP位址資訊。 以下是常見的目的地模式:以下是常見的目的地模式:
| 流量目的地 | 說明 |
|---|---|
| 因特網 > NVA | 針對透過網路虛擬設備傳送到因特網的流量,請輸入 0.0.0.0/0 作為規則中的目的地。 |
| 私人流量 > NVA | 針對透過網路虛擬設備傳送至私人空間的流量,請輸入 192.168.0.0/16、172.16.0.0/12、40.0.0.0/24、10.0.0.0/24 作為規則中的目的地。 這些目的地是以私人IP位址空間RFC1918為基礎。 |
| 輪輻網路 > NVA | 針對透過網路虛擬設備連線的兩個輪輻虛擬網路之間的流量,請輸入輪輻的 CIDR 作為規則中的目的地。 |
使用 Azure 防火牆 作為下一個躍點
您也可以在建立路由規則時選取 [匯入 Azure 防火牆私人 IP 位址],輕鬆地選擇 Azure 防火牆 作為下一個躍點。 接著,Azure 防火牆的IP位址會當做下一個躍點使用。
在單一路由表中使用更多用戶定義的路由
在 Azure 虛擬網絡 Manager UDR 管理中,用戶現在可以在單一路由表中建立最多 1,000 個使用者定義的路由(UDR),而傳統 400 個路由限制。 此較高的限制可啟用更複雜的路由設定,例如透過防火牆將來自內部部署數據中心的流量導向中樞和輪輻拓撲中的每個輪輻虛擬網路。 此擴充容量特別適用於使用許多輪輻來管理大規模網路架構的流量檢查和安全性。
常見的路由案例
以下是您可以使用 UDR 管理簡化和自動化的常見路由案例。
| 路由案例 | 說明 |
|---|---|
| 輪輻網路 -> 網路虛擬設備 -> 輪輻網路 | 針對透過網路虛擬設備連線的兩個輪輻虛擬網路之間的流量,使用此案例。 |
| 輪輻網路 -> 網路虛擬設備 -> 中樞網路中的端點或服務 | 針對透過網路虛擬設備連線中樞網路中的服務端點輪輻網路流量,使用此案例。 |
| 子網 -> 網路虛擬設備 -> 即使在相同虛擬網路中的子網 | |
| 輪輻網路 -> 網路虛擬設備 -> 內部部署網路/因特網 | 當您透過網路虛擬設備或內部部署位置輸出因特網流量,例如混合式網路案例時,請使用此案例。 |
| 透過每個中樞的網路虛擬設備跨中樞和輪輻網路 | |
| 中樞和輪輻網路與輪輻網路到內部部署需要透過網路虛擬設備 | |
| 閘道 -> 網路虛擬設備 -> 輪輻網路 |
新增其他虛擬網路
當您將其他虛擬網路新增至網路群組時,路由設定會自動套用至新的虛擬網路。 您的網路管理員會自動偵測新的虛擬網路,並將路由設定套用至該虛擬網路。 當您從網路群組移除虛擬網路時,也會自動移除套用的路由設定。
新建立或刪除的子網會以最終一致性更新其路由表。 處理時間可能會根據子網建立和刪除的磁碟區而有所不同。
UDR 管理對路由和路由表的影響
以下是使用 Azure 虛擬網絡 Manager 管理路由和路由表的影響:
- 當衝突路由規則存在時(具有相同目的地但下一個躍點不同的規則),只會套用其中一個衝突的規則,而其他規則則會忽略。 任何衝突的規則都可以隨機選取。 請務必注意,不支援以相同虛擬網路或子網為目標之規則集合內或跨規則集合之間的衝突規則。
- 當您建立與路由表中現有路由相同的目的地路由規則時,會忽略路由規則。
- 當具有現有 UDR 的路由表存在時,Azure 虛擬網絡 管理員會根據已部署的路由組態,建立新的受控路由表,其中包含現有的路由和新路由。
- 新增至受管理路由表的任何其他 UDR 都不會受到影響,且不會在移除路由設定時刪除。 只會移除 Azure 虛擬網絡 Manager 所建立的路由。
- 如果在路由表中手動編輯 Azure 虛擬網絡 Manager 受控 UDR,則會在從區域移除設定時刪除該路由。
- 中樞虛擬網路中現有的 Azure 服務會維持其路由表和 UDR 的現有限制。
- Azure 虛擬網絡 管理員需要受控資源群組來儲存路由表。 如果 Azure 原則 在資源群組上強制執行特定標籤或屬性,則必須停用或調整受控資源群組的原則,以防止部署問題。 此外,如果您需要刪除此受控資源群組,請確定在起始相同訂用帳戶內資源的任何新部署之前,先刪除。
- UDR 管理可讓使用者為每個路由表建立最多 1000 個 UDR。
正式發行
使用 Azure 虛擬網絡 Manager 進行使用者定義路由管理的正式運作可在下列區域中存取:
澳大利亞中部
澳大利亞中部 2
澳大利亞東部
澳大利亞東南部
巴西南部
巴西東南部
加拿大中部
加拿大東部
印度中部
美國中部
東亞
美國東部
法國中部
德國北部
德國中西部
Jio 印度中部
Jio 印度西部
日本東部
南韓中部
南韓南部
美國中北部
北歐
挪威東部
挪威西部
波蘭中部
卡達中部
南非北部
南非西部
印度南部
東南亞
瑞典中部
瑞典南部
瑞士北部
瑞士西部
阿拉伯聯合大公國中部
阿拉伯聯合大公國北部
英國南部
英國西部
西歐
印度西部
美國西部
美國西部 2
美國中西部
美國中部(EUAP)
美國東部 2 (EUAP)
針對上一個清單中未定義的區域,使用 Azure 虛擬網絡 Manager 的使用者定義路由管理會維持公開預覽狀態。
後續步驟
瞭解如何在 Azure 虛擬網絡 Manager 中建立使用者定義的路由。