情節:隔離 VNet
使用虛擬 WAN 虛擬中樞路由時,有許多可用的案例。 本情節的目標是防止 VNet 彼此連線。 這稱為隔離 VNet。 如需虛擬中樞路由的相關資訊,請參閱關於虛擬中樞路由。
設計
在此情節中,特定 VNet 內的工作負載會保持在隔離狀態,且無法與其他 VNet 通訊。 不過,VNet 必須連線到所有分支 (VPN、ER 和使用者 VPN)。 若要找出需要多少路由表,您可以建置連線矩陣。 在此情節中,其看起來如下表所示,其中每個資料格都代表來源 (資料列) 是否可以與目的地 (資料行) 通訊:
從 | 至 | VNet | 分支 |
---|---|---|---|
VNet | → | 直接 | 直接 |
分支 | → | 直接 | 直接 |
上表中的每一個資料格都會描述虛擬 WAN 連線 (流量的「來源」端,即資料列標頭) 是否與目的地前置詞 (流量的「目的地」端,即斜體的資料行標頭) 進行通訊。 在此情節中,沒有防火牆或網路虛擬裝置,因此通訊會直接流經虛擬 WAN (因此資料表中使用「直接」一詞)。
此連線矩陣提供兩個不同的資料列模式,這可轉譯為兩個路由表。 虛擬 WAN 已經有預設路由表,因此我們需要另一個路由表。 在此範例中,我們會將路由表命名為 RT_VNET。
VNet 會與此 RT_VNET 路由表相關聯。 由於需要與分支連線,因此分支必須傳播至 RT_VNET (否則 VNet 不會知道分支前置詞)。 由於分支一律會與預設路由表相關聯,因此 VNet 必須傳播至預設路由表。 因此最終版設計如下:
- 虛擬網路:
- 相關聯的路由表:RT_VNET
- 傳播至路由表:預設值
- 分支:
- 相關聯的路由表:預設
- 傳播至路由表:RT_VNET 和預設值
請注意,由於只有分支會傳播至路由表 RT_VNET,所以這些分支將是 VNet 將知道的唯一前置詞,而不是其他 VNet 的前置詞。
如需虛擬中樞路由的相關資訊,請參閱關於虛擬中樞路由。
工作流程
若要設定此案例,請將下列步驟納入考量:
在每個中樞內建立自訂路由表。 在此範例中,路由表是 RT_VNet。 若要建立路由表,請參閱如何設定虛擬中樞路由。 如需有關路由表的詳細資訊,請參閱關於虛擬中樞路由。
當您建立 RT_VNet 路由表時,請進行下列設定:
- 關聯:選取您想要隔離的 VNet。
- 傳播:選取分支的選項,表示分支 (VPN/ER/P2S) 連線會將路由傳播至此路由表。