案例:VNet 的自訂隔離
使用虛擬 WAN 虛擬中樞路由時,有許多可用的案例。 在 VNet 的自訂隔離案例中,目標是防止特定一組 VNet 連線到另一組特定的 VNet。 不過,VNet 必須連線到所有分支 (VPN/ER/使用者 VPN)。 如需虛擬中樞路由的詳細資訊,請參閱關於虛擬中樞路由。
設計
若要找出需要多少路由表,您可以建置連線矩陣。 在本案例中,矩陣會如下表所示,且每個資料格都代表來源 (資料列) 是否可與目的地 (資料行) 通訊:
| 從 | 變更為: | 藍色 VNet | 紅色 VNet | 分支 |
|---|---|---|---|---|
| 藍色 VNet | 直接 | 直接 | ||
| 紅色 VNet | 直接 | 直接 | ||
| 分支 | 直接 | 直接 | 直接 |
上表中的每一個資料格都會描述虛擬 WAN 連線 (流量的「來源」端,即資料列標頭) 是否與目的地前置詞 (流量的「目的地」端,即斜體的資料行標頭) 進行通訊。 由於本案例中沒有防火牆或網路虛擬設備,因此通訊會直接流經虛擬 WAN (資料表也因此使用「直接」一詞)。
不同資料列模式數目,將是我們在本案例中所需的路由表數目。 本案例中共有三種路由表,RT_BLUE 和 RT_RED 代表虛擬網路,以及 Default 代表分支。 請記住,分支必須一律與 Default 路由表相關聯。
分支必須學習紅色和藍色 VNet 中的前置詞,因此,所有 VNet 都必須傳播到 Default (此外還要傳播到 RT_BLUE 或 RT_RED)。 藍色和紅色 VNet 必須學習分支前置詞,所以分支也將傳播至路由表 RT_BLUE 和 RT_RED。 因此最終版設計如下:
- 藍色虛擬網路:
- 相關聯的路由表:RT_BLUE
- 傳播至路由表:RT_BLUE 和 Default
- 紅色虛擬網路:
- 相關聯的路由表:RT_RED
- 傳播至路由表:RT_RED 和 Default
- 分支:
- 相關聯的路由表:預設
- 傳播至路由表:RT_BLUE、RT_RED 和 Default
注意
因為所有分支都必須與預設路由表相關聯,也需散佈至相同的路由表集,所以所有分支都會有相同的連線設定檔。 換句話說,VNet 的紅色/藍色概念無法套用至分支。
注意
如果您的虛擬 WAN 部署於多個區域,您必須在每個中樞建立 RT_BLUE 和 RT_RED 路由表,且必須使用傳播標籤,將每個 VNet 連線的路由傳播至每個虛擬中樞的路由表。
如需虛擬中樞路由的詳細資訊,請參閱關於虛擬中樞路由。
工作流程
在圖 1 中,顯示藍色和紅色 VNet 連線。
- 藍色連線的 VNet 可以彼此連線,及連接所有分支 (VPN/ER/P2S) 連線。
- 紅色 VNet 可以彼此連線,及連接所有分支 (VPN/ER/P2S) 連線。
設定路由時,請考慮下列步驟。
- 在 Azure 入口網站中建立兩個自訂路由表:RT_BLUE 和 RT_RED。
- 針對路由表 RT_BLUE,完成下列設定:
- 關聯:選取所有藍色 VNet。
- 傳播:選取適用於分支的選項,表示分支 (VPN/ER/P2S) 連線會將路由傳播至此路由表。
- 對於紅色 VNet 和分支 (VPN/ER/P2S),請針對 RT_RED 路由表重複相同步驟。
這會導致路由設定變更,如下圖所示。
圖 1
