Směrování provozu virtuální sítě
Zjistěte, jak Azure směruje provoz mezi Azure, místním prostředím a internetovými prostředky. Azure pro každou podsíť v rámci virtuální sítě Azure automaticky vytvoří směrovací tabulku a přidá do ní výchozí systémové trasy. Další informace o virtuálních sítích a podsítích najdete v tématu Přehled virtuálních sítí. Některé systémové trasy Azure můžete přepsat vlastními trasami a přidat další vlastní trasy do směrovacích tabulek. Azure směruje odchozí provoz z podsítě na základě tras ve směrovací tabulce dané podsítě.
Systémové trasy
Azure automaticky vytvoří systémové trasy a přiřadí je ke každé podsíti ve virtuální síti. Systémové trasy nemůžete vytvořit ani odebrat, ale některé z nich můžete přepsat vlastními trasami. Azure vytváří výchozí systémové trasy pro každou podsíť a přidává další volitelné výchozí trasy do konkrétních podsítí nebo každé podsítě při použití konkrétních možností Azure.
Výchozí
Každá trasa obsahuje předponu adresy a typ dalšího segmentu směrování. Při odeslání odchozího provozu z podsítě na IP adresu v rozsahu předpony adresy nějaké trasy použije Azure trasu obsahující danou předponu. Zjistěte, jak Azure vybírá trasu v případě, že několik tras obsahuje stejné předpony nebo překrývající se předpony. Kdykoli se vytvoří virtuální síť, Azure pro všechny podsítě v rámci této virtuální sítě automaticky vytvoří následující výchozí systémové trasy:
| Zdroj | Předpony adres | Typ dalšího směrování |
|---|---|---|
| Výchozí | Jedinečné pro virtuální síť | Virtuální síť |
| Výchozí | 0.0.0.0/0 | Internet |
| Výchozí | 10.0.0.0/8 | Nic |
| Výchozí | 172.16.0.0/12 | Nic |
| Výchozí | 192.168.0.0/16 | Nic |
| Výchozí | 100.64.0.0/10 | Nic |
Typy dalších segmentů směrování uvedené v předchozí tabulce představují způsob, jakým Azure směruje provoz určený pro uvedenou předponu adresy. Následuje vysvětlení jednotlivých typů dalších segmentů směrování:
Virtuální síť: Směruje provoz v mezích rozsahů adres v rámci adresního prostoru virtuální sítě. Azure vytvoří trasy s předponami adres, které odpovídají jednotlivým rozsahům adres definovaným v rámci adresního prostoru virtuální sítě. Pokud je v adresním prostoru virtuální sítě definováno více rozsahů adres, Azure pro každý z nich vytvoří samostatnou trasu. Azure ve výchozím nastavení směruje provoz mezi podsítěmi. Pro směrování provozu mezi podsítěmi nemusíte definovat směrovací tabulky ani brány azure. Azure nevytvoří výchozí trasy pro rozsahy adres podsítě. Každý rozsah adres podsítě je v rozsahu adres adres adresního prostoru virtuální sítě.
Internet: Směruje provoz určený předponou adresy do internetu. Výchozí systémová trasa určuje předponu adresy 0.0.0.0/0. Pokud nepřepíšete výchozí trasy Azure, Azure směruje provoz pro libovolnou adresu, která není určena rozsahem adres v rámci virtuální sítě do internetu. Toto směrování má jednu výjimku. Pokud je cílová adresa adresou některé ze služeb Azure, místo směrování provozu do internetu směruje Azure provoz přes páteřní síť Azure přímo do služby. Provoz mezi službami Azure neprochází internetem bez ohledu na to, ve které oblasti Azure virtuální síť existuje nebo ve které oblasti Azure je instance služby Azure nasazená. Výchozí systémovou trasu Azure pro předponu adresy 0.0.0.0/0 není možné přepsat vlastní trasou.
Žádný: Provoz směrovaný na další segment směrování typu Žádný se zahodí, a nesměruje se mimo podsíť. Azure automaticky vytvoří výchozí trasy pro následující předpony adres:
10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16: Rezervované pro soukromé použití v RFC 1918.
100.64.0.0/10: Rezervovaná v RFC 6598.
Pokud přiřadíte jakýkoli z předchozích rozsahů adres v rámci adresního prostoru virtuální sítě, Azure automaticky změní typ dalšího segmentu směrování pro příslušnou trasu z Žádný na Virtuální síť. Pokud přiřadíte rozsah adres k adresnímu prostoru virtuální sítě, který zahrnuje jednu ze čtyř vyhrazených předpon adres (ale není stejný), Azure odebere trasu pro danou předponu a přidá trasu pro předponu adresy, kterou jste přidali, s typem dalšího segmentu směrování Virtuální síť.
Volitelné výchozí trasy
Azure přidává další výchozí systémové trasy pro různé funkce Azure, ale jenom v případě, že povolíte možnosti. V závislosti na možnosti přidá Azure volitelné výchozí trasy buď do konkrétních podsítí v rámci virtuální sítě, nebo do všech podsítí v rámci virtuální sítě. Další systémové trasy a typy dalšího směrování, které může Azure přidat, když povolíte různé možnosti, jsou:
| Zdroj | Předpony adres | Typ dalšího směrování | Podsíť v rámci virtuální sítě, ke které je trasa přidaná |
|---|---|---|---|
| Výchozí | Jedinečné pro virtuální síť, například 10.1.0.0/16 | Partnerské vztahy virtuálních sítí | Všechny |
| Brána virtuální sítě | Předpony inzerované z místního prostředí přes protokol BGP nebo nakonfigurované v místní síťové bráně | Brána virtuální sítě | Všechny |
| Výchozí | Více | Koncový bod služby pro virtuální síť | Pouze podsíť, pro kterou je povolený koncový bod služby. |
Partnerský vztah virtuální sítě: Když vytvoříte partnerský vztah virtuální sítě mezi dvěma virtuálními sítěmi, systém přidá trasu pro každý rozsah adres v rámci adresního prostoru každé virtuální sítě zapojené do partnerského vztahu. Další informace o partnerském vztahu virtuálních sítí.
Brána virtuální sítě: Po přidání brány virtuální sítě do virtuální sítě se přidá jedna nebo více tras s uvedeným typem dalšího segmentu směrování Brána virtuální sítě. Zdrojem je také brána virtuální sítě, protože brána přidá trasy do podsítě. Pokud vaše místní síťová brána vyměňuje trasy protokolu BGP (Border Gateway Protocol) s bránou virtuální sítě, systém přidá trasu pro každou trasu. Tyto trasy se šíří z místní síťové brány. Doporučujeme shrnout místní trasy do největšího možného rozsahu adres, abyste rozšířili nejmenší počet tras do brány virtuální sítě Azure. Počet tras, které můžete rozšířit do brány virtuální sítě Azure, je omezený. Podrobnosti najdete v tématu věnovaném omezením Azure.
VirtualNetworkServiceEndpoint: Když pro určité služby povolíte koncový bod služby, Azure do směrovací tabulky přidá veřejné IP adresy těchto služeb. Koncové body služby se povolují pro jednotlivé podsítě v rámci virtuální sítě, takže se trasa přidá pouze do směrovací tabulky podsítě, pro kterou je koncový bod služby povolený. Veřejné IP adresy služeb Azure se pravidelně mění. Azure při změně adres spravuje adresy ve směrovací tabulce automaticky. Další informace o koncových bodech služby pro virtuální síť a službách, pro které můžete koncové body služby vytvořit.
Poznámka:
Typy dalších segmentů směrování Partnerský vztah virtuálních sítí a VirtualNetworkServiceEndpoint se přidají pouze do směrovacích tabulek podsítí v rámci virtuálních sítí vytvořených prostřednictvím modelu nasazení Azure Resource Manager. Typy dalšího směrování se nepřidávají do směrovacích tabulek přidružených k podsítím virtuální sítě vytvořeným prostřednictvím modelu nasazení Classic. Další informace o modelech nasazení Azure.
Vlastní trasy
Vlastní trasy můžete vytvořit buď vytvořením tras definovaných uživatelem, nebo výměnou tras protokolu BGP (Border Gateway Protocol) mezi místní síťovou bránou a bránou virtuální sítě Azure.
Definované uživatelem
Pokud chcete přizpůsobit trasy provozu, neměli byste upravovat výchozí trasy, ale měli byste vytvořit vlastní nebo uživatelem definované (statické) trasy, které přepíší výchozí systémové trasy Azure. V Azure vytvoříte směrovací tabulku a pak ji přidružíte k žádné nebo několika podsítím virtuální sítě. Každá podsíť může mít přidruženou žádnou nebo jednu směrovací tabulku. Další informace o maximálním počtu tras, které můžete přidat do směrovací tabulky, a maximálním počtu směrovacích tabulek definovaných uživatelem, které můžete vytvořit pro jedno předplatné Azure, najdete v tématu věnovaném omezením Azure.
Ve výchozím nastavení může směrovací tabulka obsahovat až 1 000 tras definovaných uživatelem(UDR). S konfigurací směrování Azure Virtual Network Manageru je možné tuto konfiguraci rozšířit na 1 000 trasovacích tras na směrovací tabulku. Tento zvýšený limit podporuje pokročilejší nastavení směrování, například směrování provozu z místních datových center přes bránu firewall do každé paprskové virtuální sítě v hvězdicové topologii, pokud máte vyšší počet paprskových virtuálních sítí.
Když vytvoříte směrovací tabulku a přidružíte ji k podsíti, trasy tabulky se zkombinují s výchozími trasami podsítě. Pokud existují konfliktní přiřazení tras, trasy definované uživatelem přepíší výchozí trasy.
Při vytváření trasy definované uživatelem můžete zadat následující typy dalších segmentů směrování:
Virtuální zařízení: Virtuální zařízení je virtuální počítač, na kterém je obvykle spuštěná síťová aplikace, jako je například brána firewall. Další informace o různých předkonfigurovaných síťových virtuálních zařízeních, která můžete nasadit ve virtuální síti, najdete na webu Azure Marketplace. Při vytváření trasy s typem segmentu směrování Virtuální zařízení zadáváte také IP adresu dalšího segmentu směrování. Tato IP adresa může být:
Privátní IP adresa síťového rozhraní připojeného k virtuálnímu počítači. Pro každé síťové rozhraní připojené k virtuálnímu počítači, který předává provoz na jinou adresu než svou vlastní, musí být povolená možnost Azure Povolit předávání IP. Toto nastavení pro síťové rozhraní zakáže kontrolu zdroje a cíle, kterou provádí Azure. Další informace o povolení předávání IP pro síťové rozhraní. Povolení předávání IP je nastavení Azure. Možná budete muset povolit předávání IP v rámci operačního systému virtuálního počítače, aby zařízení předával provoz mezi privátními IP adresami přiřazenými síťovým rozhraním Azure. Pokud zařízení potřebuje směrovat provoz na veřejnou IP adresu, musí provoz buď proxy, nebo provést překlad síťových adres (NAT) ze zdrojové privátní IP adresy na vlastní privátní IP adresu. Azure pak před odesláním provozu na internet provede překlad adres (NAT) na veřejnou IP adresu. Informace o určení požadovaných nastavení v rámci virtuálního počítače najdete v dokumentaci k vašemu operačnímu systému nebo síťové aplikaci. Vysvětlení odchozích připojení v Azure najdete v tématu Principy odchozích připojení.
Poznámka:
Nasaďte virtuální zařízení do jiné podsítě než prostředky, které směrují přes virtuální zařízení. Nasazení virtuálního zařízení do stejné podsítě a následné použití směrovací tabulky do podsítě, která směruje provoz přes virtuální zařízení, může vést ke smyčce směrování, kdy provoz nikdy neopustí podsíť.
Privátní IP adresa dalšího segmentu směrování musí mít přímé připojení, aniž by bylo nutné směrovat přes bránu ExpressRoute nebo Virtual WAN. Nastavení dalšího segmentu směrování na IP adresu bez přímého připojení vede k neplatné konfiguraci směrování definovaného uživatelem.
Privátní IP adresa interního nástroje pro vyrovnávání zatížení Azure. Nástroj pro vyrovnávání zatížení se často používá jako součást strategie pro dosažení vysoké dostupnosti virtuálních síťových zařízení.
Jako předponu adresy a typ dalšího segmentu směrování virtuálního zařízení můžete definovat trasu s předponou adresy 0.0.0.0/0. Tato konfigurace umožňuje zařízení kontrolovat provoz a určit, jestli se má provoz přeposlat nebo vypustit. Pokud máte v úmyslu vytvořit trasu definovanou uživatelem, která obsahuje předponu adresy 0.0.0.0/0, přečtěte si nejprve část Předpona adresy 0.0.0.0/0.
Brána virtuální sítě: Určete, kdy chcete směrovat provoz určený pro konkrétní předpony adres do brány virtuální sítě. Brána virtuální sítě musí být vytvořená s typem VPN. Bránu virtuální sítě vytvořenou jako typ ExpressRoute nemůžete zadat v trasy definované uživatelem, protože s ExpressRoute musíte pro vlastní trasy použít protokol BGP. Brány virtuální sítě nemůžete zadat, pokud máte současně existující připojení VPN a ExpressRoute. Můžete definovat trasu, která směruje provoz určený pro předponu adresy 0.0.0.0/0 do brány virtuální sítě založené na trasách. V místním prostředí můžete mít zařízení, které kontroluje provoz a určuje, jestli ho předat, nebo zahodit. Pokud máte v úmyslu vytvořit trasu definovanou uživatelem pro předponu adresy 0.0.0.0/0, přečtěte si nejprve část Předpona adresy 0.0.0.0/0. Místo konfigurace trasy definované uživatelem pro předponu adresy 0.0.0.0/0 můžete inzerovat trasu s předponou 0.0.0.0/0 prostřednictvím protokolu BGP, pokud je povolený protokol BGP pro bránu virtuální sítě VPN.
Žádný: Určete, kdy chcete zahodit provoz určený pro předponu adresy, a nepředávat ho do cíle. Azure může pro některé volitelné systémové trasy v případě, že není nakonfigurovaná možnost, vypsat žádné . Pokud se například jako IP adresa dalšího segmentu zobrazí žádná s typem dalšího segmentu směrování brány virtuální sítě nebo virtuálního zařízení, důvodem může být to, že zařízení není spuštěné nebo není plně nakonfigurované. Azure vytvoří výchozí systémové trasy pro vyhrazené předpony adres s typem dalšího segmentu směrování Žádný.
Virtuální síť: Určete možnost virtuální sítě , pokud chcete přepsat výchozí směrování v rámci virtuální sítě. V části Příklad směrování najdete příklad, proč byste mohli vytvořit trasu s typem segmentu směrování Virtuální síť.
Internet: Určete možnost internetu , pokud chcete explicitně směrovat provoz určený na předponu adresy na internet, nebo pokud chcete provoz určený pro služby Azure s veřejnými IP adresami uloženými v páteřní síti Azure.
Jako typ dalšího segmentu směrování v trasách definovaných uživatelem nemůžete zadat partnerský vztah virtuální sítě ani VirtualNetworkServiceEndpoint . Trasy s partnerským vztahem virtuální sítě nebo typy dalšího směrování VirtualNetworkServiceEndpoint se vytvářejí pouze v Azure, když nakonfigurujete partnerský vztah virtuální sítě nebo koncový bod služby.
Značky služeb pro trasy definované uživatelem
Teď můžete jako předponu adresy pro trasu definovanou uživatelem zadat značku služby místo explicitního rozsahu IP adres. Značka služby představuje skupinu předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres. Tím minimalizujete složitost častých aktualizací tras definovaných uživatelem a snížíte počet tras, které potřebujete vytvořit. V současné době můžete vytvořit 25 nebo méně tras se značkami služeb v každé směrovací tabulce. V této verzi se podporuje také použití značek služeb ve scénářích směrování pro kontejnery.
Přesná shoda
Systém dává přednost trase s explicitní předponou, pokud je mezi trasou přesná shoda předpony s explicitní předponou IP a trasou se značkou služby. Pokud má několik tras se značkami služeb odpovídající předpony IP adres, vyhodnocují se trasy v následujícím pořadí:
Místní značky (například Storage.EastUS, AppService.AustraliaCentral)
Značky nejvyšší úrovně (například Storage, AppService)
Regionální značky AzureCloudu (například AzureCloud.canadacentral, AzureCloud.eastasia)
Značka AzureCloud
Pokud chcete tuto funkci použít, zadejte název značky služby pro parametr předpony adresy v příkazech směrovací tabulky. V PowerShellu můžete například vytvořit novou trasu pro směrování provozu odesílaný do předpony IP adresy služby Azure Storage do virtuálního zařízení pomocí:
$param = @{
Name = 'StorageRoute'
AddressPrefix = 'Storage'
NextHopType = 'VirtualAppliance'
NextHopIpAddress = '10.0.100.4'
}
New-AzRouteConfig @param
Stejný příkaz pro rozhraní příkazového řádku je následující:
az network route-table route create \
--resource-group MyResourceGroup \
--route-table-name MyRouteTable \
--name StorageRoute \
--address-prefix Storage \
--next-hop-type VirtualAppliance \
--next-hop-ip-address 10.0.100.4
Typy dalších segmentů směrování napříč nástroji Azure
Zobrazené a odkazované názvy typů dalších segmentů směrování se liší na webu Azure Portal a v nástrojích příkazového řádku a v modelech nasazení Azure Resource Manager a Classic. Následující tabulka uvádí názvy používané k odkazování na jednotlivé typy dalších segmentů směrování v různých nástrojích a modelech nasazení:
| Typ dalšího směrování | Azure CLI a PowerShell (Resource Manager) | Azure Classic CLI a PowerShell (Classic) |
|---|---|---|
| Brána virtuální sítě | VirtualNetworkGateway | VPNGateway |
| Virtuální síť | VNetLocal | VNETLocal (není k dispozici v klasickém rozhraní příkazového řádku v režimu modelu nasazení Classic) |
| Internet | Internet | Internet (není k dispozici v klasickém rozhraní příkazového řádku v klasickém režimu modelu nasazení) |
| Virtuální zařízení | VirtualAppliance | VirtualAppliance |
| Nic | Nic | Null (není k dispozici v klasickém rozhraní příkazového řádku v režimu modelu nasazení Classic) |
| Peering virtuálních sítí | Partnerské vztahy virtuálních sítí | Nelze použít |
| Koncový bod služby pro virtuální síť | Koncový bod služby pro virtuální síť | Nelze použít |
Border gateway protocol
Místní síťová brána si může vyměňovat trasy s bránou virtuální sítě Azure pomocí protokolu BGP (Border Gateway Protocol). Použití protokolu BGP s bránou virtuální sítě Azure závisí na typu, který jste vybrali při vytváření brány:
ExpressRoute: K inzerování místních tras do hraničního směrovače Microsoftu musíte použít protokol BGP. Pokud jste bránu virtuální sítě nasadili s typem ExpressRoute, nemůžete vytvářet trasy definované uživatelem pro vynucení provozu do brány virtuální sítě ExpressRoute. Pro vynucení provozu z ExpressRoute třeba do virtuálního síťového zařízení můžete použít trasy definované uživatelem.
VPN: Volitelně můžete použít protokol BGP. Podrobnosti najdete v tématu Protokol BGP s připojeními VPN typu Site-to-Site.
Pokud vyměňujete trasy s Azure pomocí protokolu BGP, do směrovací tabulky všech podsítí ve virtuální síti se přidá samostatná trasa pro každou inzerovanou předponu. Trasa se přidá s uvedeným zdrojem a typem dalšího segmentu směrování Brána virtuální sítě.
Šíření tras ER a VPN Gateway je možné v podsíti zakázat pomocí vlastnosti ve směrovací tabulce. Když zakážete šíření tras, systém trasy nepřidá do směrovací tabulky všech podsítí se zakázaným šířením tras brány virtuální sítě. Tento proces platí jak pro statické trasy, tak i trasy protokolu BGP. Možnosti připojení u připojení VPN zajišťují vlastní trasy s typem dalšího segmentu směrování Brána virtuální sítě. Šíření tras by nemělo být v podsítě GatewaySubnet zakázané. Pokud bude toto nastavení zakázané, nebude brána fungovat. Podrobnosti najdete v tématu Postup zakázání šíření tras brány virtuální sítě.
Jak Azure vybírá trasu
Při odeslání odchozího provozu z podsítě vybere Azure trasu na základě cílové IP adresy pomocí algoritmu shody nejdelších předpon. Směrovací tabulka například obsahuje dvě trasy: Jedna trasa určuje předponu adresy 10.0.0.0/24, zatímco druhá trasa určuje předponu adresy 10.0.0.0/16. Azure směruje provoz určený pro 10.0.0.5 na typ dalšího segmentu směrování zadaný v trase s předponou adresy 10.0.0.0/24. K tomuto procesu dochází, protože 10.0.0.0/24 je delší předpona než 10.0.0.0/16, i když 10.0.0.5 spadá do obou předpon adres. Azure směruje provoz určený pro 10.0.1.5 na typ dalšího segmentu směrování zadaný v trase s předponou adresy 10.0.0.0/16. K tomuto procesu dochází, protože předpona adresy 10.0.0.0/24 není součástí předpony adresy 10.0.0.0.0.0/16, aby byla trasa předponou adresy 10.0.0.0/16 nejdelší odpovídající předponou.
Pokud několik tras obsahuje stejnou předponu adresy, Azure vybere typ trasy na základě následující priority:
Trasa definovaná uživatelem
Trasa protokolu BGP
Systémová trasa
Poznámka:
Pro provoz související s virtuální sítí, partnerskými vztahy virtuálních sítí nebo koncovými body služby pro virtuální síť doporučujeme používat systémové trasy, i když jsou trasy protokolu BGP konkrétnější. Trasy s koncovým bodem služby typu další segment směrování se nedají přepsat ani pomocí směrovací tabulky.
Směrovací tabulka obsahuje například následující trasy:
| Zdroj | Předpony adres | Typ dalšího směrování |
|---|---|---|
| Výchozí | 0.0.0.0/0 | Internet |
| Uživatelská | 0.0.0.0/0 | Brána virtuální sítě |
Pokud je provoz určený pro IP adresu mimo předpony adres jakýchkoli jiných tras ve směrovací tabulce, Azure vybere trasu se zdrojem Uživatel, protože trasy definované uživatelem mají vyšší prioritu než výchozí systémové trasy.
V části Příklad směrování najdete komplexní směrovací tabulku s vysvětlením tras, které obsahuje.
Předpona adresy 0.0.0.0/0
Trasa s předponou adresy 0.0.0.0/0 poskytuje azure pokyny. Azure tyto pokyny používá ke směrování provozu určeného pro IP adresu, která nepatří do předpony adresy žádné jiné trasy ve směrovací tabulce podsítě. Při vytvoření podsítě vytvoří Azure výchozí trasu k předponě adresy 0.0.0.0/0 s typem dalšího segmentu směrování Internet. Pokud tuto trasu nepřepíšete, Azure bude veškerý provoz směřující na IP adresy, které nejsou zahrnuté v předponě adresy žádné jiné trasy, směrovat do internetu. Výjimkou je, že provoz na veřejné IP adresy služeb Azure zůstává v páteřní síti Azure a není směrován na internet. Když tuto trasu přepíšete vlastní trasou, směruje se provoz určený pro adresy, které nejsou v předponách adres žádné jiné trasy v směrovací tabulce. Cíl závisí na tom, jestli ve vlastní trase zadáte síťové virtuální zařízení nebo bránu virtuální sítě.
Když přepíšete předponu adresy 0.0.0.0/0, neprovádí odchozí provoz z podsítě pouze přes bránu virtuální sítě nebo virtuální zařízení, ale u výchozího směrování Azure dojde také k následujícím změnám:
Azure odesílá veškerý provoz na typ dalšího segmentu směrování určený v trase, včetně provozu určeného pro veřejné IP adresy služeb Azure. Pokud je typ dalšího segmentu směrování pro trasu s předponou adresy 0.0.0.0/0 Internet, provoz z podsítě směřující na veřejné IP adresy služeb Azure nikdy neopustí páteřní síť Azure, a to bez ohledu na oblast Azure, ve které virtuální síť nebo prostředek služby Azure existuje. Pokud však vytvoříte trasu definovanou uživatelem nebo trasu protokolu BGP s typem dalšího segmentu směrování Brána virtuální sítě nebo Virtuální zařízení, veškerý provoz včetně provozu odeslaného na veřejné IP adresy služeb Azure, pro které jste nepovolili koncové body služby, se odesílá na typ dalšího segmentu směrování určený v této trase. Když povolíte koncový bod služby pro službu, Azure vytvoří trasu s předponami adres pro službu. Provoz do služby se nesměruje na typ dalšího segmentu směrování v trase s předponou adresy 0.0.0.0/0. Předpony adres pro službu jsou delší než 0.0.0.0/0.
Už nemáte přímý přístup k prostředkům v podsíti z internetu. K prostředkům v podsíti můžete přistupovat nepřímo z internetu. Zařízení určené typem dalšího segmentu směrování pro trasu s předponou adresy 0.0.0.0/0 musí zpracovávat příchozí provoz. Po procházení provozu zařízení provoz dosáhne prostředku ve virtuální síti. Pokud trasa obsahuje pro typ dalšího segmentu směrování následující hodnoty:
Virtuální zařízení: Zařízení musí:
Být přístupné z internetu
Mít přiřazenou veřejnou IP adresu
Nemít přidružené pravidlo skupiny zabezpečení sítě, které by bránilo komunikaci se zařízením
Neodepírat komunikaci
Být schopné překládat a předávat síťové adresy nebo předávat provoz přes proxy do cílového prostředku v podsíti a vracet provoz zpět do internetu.
Brána virtuální sítě: Pokud je brána bránou virtuální sítě ExpressRoute, místní zařízení připojené k internetu musí být schopné překládat a předávat síťové adresy nebo předávat provoz přes proxy do cílového prostředku v podsíti přes soukromý partnerský vztah ExpressRoute.
Pokud je vaše virtuální síť připojená k bráně Azure VPN Gateway, nepřidružujte směrovací tabulku k podsíti brány, která zahrnuje trasu s cílem 0.0.0.0/0. Mohli byste tím bráně znemožnit správné fungování. Podrobnosti najdete v tématu Proč jsou na bráně VPN otevřené určité porty?
Podrobnosti o implementaci při použití bran virtuální sítě mezi internetem a Azure najdete v tématu DMZ mezi Azure a místním datacentrem .
Příklad směrování
Pro objasnění konceptů v tomto článku následující části popisují:
Scénář s požadavky
Vlastní trasy potřebné ke splnění těchto požadavků
Směrovací tabulku pro jednu podsíť, která obsahuje výchozí a vlastní trasy potřebné ke splnění těchto požadavků
Poznámka:
Tento příklad není určen jako doporučená nebo doporučená implementace. Jeho účelem je spíše objasnění konceptů v tomto článku.
Požadavky
Implementace dvou virtuálních sítí ve stejné oblasti Azure a povolení komunikace prostředků mezi těmito virtuálními sítěmi.
Povolení zabezpečené komunikace místní sítě s oběma virtuálními sítěmi přes internet prostřednictvím tunelu VPN. Alternativně můžete použít připojení ExpressRoute, ale v tomto příkladu se používá připojení VPN.
Pro jednu podsíť v jedné virtuální síti:
Směrování veškerého odchozího provozu z podsítě přes síťové virtuální zařízení pro kontrolu a protokolování Z tohoto směrování vylučte provoz do služby Azure Storage a v rámci podsítě.
Neprovázejte provoz mezi privátními IP adresami v rámci podsítě; povolit tok provozu přímo mezi všemi prostředky.
Zahození veškerého odchozího provozu určeného pro druhou virtuální síť.
Povolení toku odchozího provozu do úložiště Azure přímo do úložiště bez vynucování jeho průchodu přes virtuální síťové zařízení.
Povolení veškerého provozu mezi všemi ostatními podsítěmi a virtuálními sítěmi.
Implementace
Následující obrázek ukazuje implementaci prostřednictvím modelu nasazení Azure Resource Manager, která splňuje předchozí požadavky:
Šipky ukazují tok provozu.
Směrovací tabulky
Podsíť Subnet1
Směrovací tabulka pro podsíť Subnet1 na obrázku obsahuje následující trasy:
| ID | Zdroj | State | Předpony adres | Typ dalšího směrování | IP adresa dalšího segmentu směrování | Název trasy definované uživatelem |
|---|---|---|---|---|---|---|
| 0 | Výchozí | Neplatný | 10.0.0.0/16 | Virtuální síť | ||
| 2 | Uživatelská | Aktivní | 10.0.0.0/16 | Virtuální zařízení | 10.0.100.4 | Within-VNet1 |
| 3 | Uživatelská | Aktivní | 10.0.0.0/24 | Virtuální síť | Within-Subnet1 | |
| 4 | Výchozí | Neplatný | 10.1.0.0/16 | Partnerské vztahy virtuálních sítí | ||
| 5 | Výchozí | Neplatný | 10.2.0.0/16 | Partnerské vztahy virtuálních sítí | ||
| 6 | Uživatelská | Aktivní | 10.1.0.0/16 | Nic | ToVNet2-1-Drop | |
| 7 | Uživatelská | Aktivní | 10.2.0.0/16 | Nic | ToVNet2-2-Drop | |
| 8 | Výchozí | Neplatný | 10.10.0.0/16 | Brána virtuální sítě | [X.X.X.X] | |
| 9 | Uživatelská | Aktivní | 10.10.0.0/16 | Virtuální zařízení | 10.0.100.4 | To-On-Prem |
| 10 | Výchozí | Aktivní | [X.X.X.X] | Koncový bod služby pro virtuální síť | ||
| 11 | Výchozí | Neplatný | 0.0.0.0/0 | Internet | ||
| 12 | Uživatelská | Aktivní | 0.0.0.0/0 | Virtuální zařízení | 10.0.100.4 | Default-NVA |
Následuje vysvětlení jednotlivých ID tras:
ID1: Azure tuto trasu automaticky přidala pro všechny podsítě v rámci virtuální sítě-1, protože 10.0.0.0/16 je jediný rozsah adres definovaný v adresní prostoru pro virtuální síť. Pokud trasu definovanou uživatelem v ID2 nevytvoříte, provoz odeslaný na libovolnou adresu mezi 10.0.0.1 a 10.0.255.254 bude směrován v rámci virtuální sítě. Tento proces je ten, že předpona je delší než 0.0.0.0/0 a nespadá do předpon adres žádné jiné trasy. Platforma Azure automaticky změnila stav z Aktivní na Neplatný při přidání trasy definované uživatelem s ID 2, protože má stejnou předponu jako výchozí trasa a trasy definované uživatelem přepisují výchozí trasy. Stav této trasy je stále Aktivní pro podsíť Subnet2, protože směrovací tabulka, ve které je trasa definovaná uživatelem s ID 2, není přidružená k podsíti Subnet2.
ID2: Azure tuto trasu přidala, když byla k podsíti Subnet1 ve virtuální síti virtual-network-1 přidružená trasa 10.0.0.0/16. Trasa definovaná uživatelem určuje 10.0.100.4 jako IP adresu virtuálního zařízení, protože tato adresa je privátní IP adresa přidružená k virtuálnímu počítači virtuálního zařízení. Směrovací tabulka, ve které tato trasa existuje, není přidružená k podsíti2, takže se nezobrazuje ve směrovací tabulce podsítě2. Tato trasa přepisuje výchozí trasu pro předponu 10.0.0.0/16 (ID 1), která automaticky směrovala provoz určený pro adresy 10.0.0.1 a 10.0.255.254 v rámci virtuální sítě přes typ dalšího segmentu směrování této virtuální sítě. Tato trasa existuje kvůli splnění požadavku 3 na vynucení průchodu veškerého odchozího provozu přes virtuální zařízení.
ID3: Azure tuto trasu přidala, když byla k podsíti Subnet1 přidružená trasa definovaná uživatelem pro předponu adresy 10.0.0.0/24. Provoz určený pro adresy mezi 10.0.0.1 a 10.0.0.254 zůstává v podsíti. Provoz není směrován na virtuální zařízení zadané v předchozím pravidle (ID2), protože má delší předponu než trasa ID2. Tato trasa nebyla přidružená k podsíti2, takže se trasa nezobrazuje v směrovací tabulce podsítě2. Tato trasa ve výsledku přepíše trasu s ID 2 pro provoz v rámci podsítě Subnet1. Tato trasa existuje kvůli splnění požadavku 3.
ID4: Azure automaticky přidal trasy v ID 4 a 5 pro všechny podsítě v rámci virtuální sítě-1, když byla virtuální síť v partnerském vztahu s virtuální sítí-2. Virtuální síť-2 má v adresní prostoru dva rozsahy adres: 10.1.0.0/16 a 10.2.0.0/16, takže Azure přidal trasu pro každý rozsah. Pokud nevytvoříte trasy definované uživatelem v ID tras 6 a 7, provoz odeslaný na libovolnou adresu mezi 10.1.0.1-10.1.255.254 a 10.2.0.1-10.2.255.254 bude směrován do partnerské virtuální sítě. Tento proces je ten, že předpona je delší než 0.0.0.0/0 a nespadá do předpon adres žádné jiné trasy. Když jste přidali trasy v ID 6 a 7, Azure automaticky změnil stav z Aktivní na Neplatný. Tento proces je ten, že mají stejné předpony jako trasy v ID 4 a 5 a trasy definované uživatelem přepíší výchozí trasy. Stav tras v ID 4 a 5 je stále aktivní pro podsíť2, protože směrovací tabulka, ve které jsou trasy definované uživatelem v ID 6 a 7, není přidružená k podsíti2. Partnerský vztah virtuálních sítí byl vytvořený kvůli splnění požadavku 1.
ID5: Stejné vysvětlení jako ID4.
ID6: Azure přidal tuto trasu a trasu v ID7, kdy byly k podsíti Subnet1 přidruženy trasy definované uživatelem pro podsíť 10.1.0.0/16. Azure zahodí provoz určený pro adresy mezi 10.1.0.1-10.1.255.254 a 10.2.0.1-10.2.255.254 místo směrování do partnerské virtuální sítě, protože trasy definované uživatelem přepisují výchozí trasy. Trasy nejsou přidružené k podsíti2, proto se trasy nezobrazují v směrovací tabulce podsítě2. Trasy přepisují trasy s ID 4 a 5 pro odchozí provoz z podsítě Subnet1. Trasy s ID 6 a 7 existují kvůli splnění požadavku 3 na zahození provozu směřujícího do druhé virtuální sítě.
ID7: Stejné vysvětlení jako ID6.
ID8: Azure tuto trasu automaticky přidala pro všechny podsítě v rámci virtuální sítě 1 při vytvoření brány virtuální sítě typu VPN v rámci virtuální sítě. Platforma Azure přidala veřejnou IP adresu brány virtuální sítě do směrovací tabulky. Provoz odeslaný na jakoukoli adresu v rozsahu 10.10.0.1 až 10.10.255.254 se směruje do brány virtuální sítě. Předpona je delší než 0.0.0.0/0 a není v rozsahu předpon adres žádné jiné trasy. Brána virtuální sítě byla vytvořená kvůli splnění požadavku 2.
ID9: Azure tuto trasu přidala, když se do směrovací tabulky přidružené k Podsíti1 přidala trasa definovaná uživatelem pro předponu adresy 10.10.0.0/16. Tato trasa přepisuje trasu s ID 8. Trasa odesílá veškerý provoz určený pro místní síť do NVA pro kontrolu, a nesměruje provoz přímo v místním prostředí. Tato trasa byla vytvořená kvůli splnění požadavku 3.
ID10: Azure tuto trasu automaticky přidala do podsítě, když byl pro tuto podsíť povolený koncový bod služby do služby Azure. Azure směruje provoz z této podsítě na veřejnou IP adresu služby přes síťovou infrastrukturu Azure. Předpona je delší než 0.0.0.0/0 a není v rozsahu předpon adres žádné jiné trasy. Koncový bod služby byl vytvořený kvůli splnění požadavku 3 na povolení toku provozu určeného pro službu Azure Storage přímo do služby Azure Storage.
ID11: Azure tuto trasu automaticky přidala do směrovací tabulky všech podsítí v rámci virtuální sítě 1 a virtual-network-2. Předpona adresy 0.0.0.0/0 je nejkratší předpona. Veškerý provoz odeslaný na adresy s delší předponou adresy se směruje podle jiných tras. Azure ve výchozím nastavení směruje veškerý provoz určený pro jiné adresy, než jsou adresy zadané v některé z ostatních tras, do internetu. Platforma Azure automaticky změnila stav z Aktivní na Neplatný pro podsíť Subnet1 při přidružení trasy definované uživatelem pro předponu adresy 0.0.0.0/0 (ID 12) k této podsíti. Stav této trasy je stále Aktivní pro všechny ostatní podsítě v rámci obou virtuálních sítí, protože trasa není přidružená k žádné jiné podsíti v rámci žádné jiné virtuální sítě.
ID12: Azure tuto trasu přidala, když byla k podsíti Subnet1 přidružená trasa definovaná uživatelem pro předponu adresy 0.0.0.0/0. Trasa definovaná uživatelem určuje 10.0.100.4 jako IP adresu virtuálního zařízení. Tato trasa není přidružená k podsíti2, takže se trasa nezobrazuje v směrovací tabulce podsítě2. Veškerý provoz pro jakoukoli adresu, která není zahrnutá v předponách adres žádné jiné trasy, se odesílá do virtuálního zařízení. Přidáním této trasy se změnil stav výchozí trasy pro předponu adresy 0.0.0.0/0 (ID 11) z Aktivní na Neplatný pro podsíť Subnet1, protože trasa definovaná uživatelem přepisuje výchozí trasu. Tato trasa existuje, aby splňovala třetí požadavek.
Podsíť Subnet2
Směrovací tabulka pro podsíť Subnet2 na obrázku obsahuje následující trasy:
| Zdroj | State | Předpony adres | Typ dalšího směrování | IP adresa dalšího segmentu směrování |
|---|---|---|---|---|
| Výchozí | Aktivní | 10.0.0.0/16 | Virtuální síť | |
| Výchozí | Aktivní | 10.1.0.0/16 | Peering virtuálních sítí | |
| Výchozí | Aktivní | 10.2.0.0/16 | Peering virtuálních sítí | |
| Výchozí | Aktivní | 10.10.0.0/16 | Brána virtuální sítě | [X.X.X.X] |
| Výchozí | Aktivní | 0.0.0.0/0 | Internet | |
| Výchozí | Aktivní | 10.0.0.0/8 | Nic | |
| Výchozí | Aktivní | 100.64.0.0/10 | Nic | |
| Výchozí | Aktivní | 192.168.0.0/16 | Nic |
Směrovací tabulka pro podsíť2 obsahuje všechny výchozí trasy vytvořené v Azure a volitelné trasy partnerského vztahu virtuálních sítí a brány virtuální sítě. Platforma Azure přidala volitelné trasy do všech podsítí ve virtuální síti při přidání brány a partnerského vztahu do virtuální sítě. Azure odebral trasy pro předpony adres 10.0.0.0/8, 192.168.0.0/16 a 100.64.0.0/10 ze směrovací tabulky Subnet1, když byla do podsítě přidána trasa definovaná uživatelem pro předponu adresy 0.0.0.0/0.
Další kroky
Vytvoření směrovací tabulky definované uživatelem s trasami a virtuálními síťovými zařízeními
Zobrazení všech tras pro podsíť. Směrovací tabulka definovaná uživatelem zobrazuje pouze trasy definované uživatelem, a ne výchozí trasy ani trasy protokolu BGP pro podsíť. Při zobrazení všech tras se zobrazí výchozí trasy, trasy protokolu BGP a trasy definované uživatelem pro podsíť, ve které je síťové rozhraní.
Určení typu dalšího segmentu směrování mezi virtuálním počítačem a cílovou IP adresou. Funkce dalšího segmentu směrování ve službě Azure Network Watcher umožňuje určit, jestli provoz odchází z podsítě a směruje se tam, kam by podle vás měl.