Scenario: Indirizzare il traffico attraverso un'appliance virtuale di rete

Quando si usa rete WAN virtuale routing dell'hub virtuale, esistono alcuni scenari disponibili. In questo scenario di appliance virtuale di rete, l'obiettivo è instradare il traffico attraverso un'appliance virtuale di rete (Appliance virtuale di rete) per la succursale verso la rete virtuale e la rete virtuale. Per informazioni sul routing dell'hub virtuale, vedere Informazioni sul routing dell'hub virtuale.

Nota

Se si dispone già di una configurazione con le route precedenti alle nuove funzionalità Come configurare il routing dell'hub virtuale che diventa disponibile, attenersi alla procedura descritta in queste versioni degli articoli:

Progettazione

In questo scenario si userà la convenzione di denominazione seguente:

  • "Reti virtuali di appliance virtuali di rete" per le reti virtuali in cui gli utenti hanno distribuito un'appliance virtuale di rete e hanno connesso altre reti virtuali come spoke (VNet 2 e VNet 4) nella figura 2 più avanti nell'articolo.
  • "Spoke NVA" per le reti virtuali connesse a una rete virtuale di rete virtuale di rete (rete virtuale 5, rete virtuale 6, rete virtuale 7 e rete virtuale 8) nella figura 2 più avanti nell'articolo.
  • "Reti virtuali non di appliance virtuali di rete" per le reti virtuali connesse a rete WAN virtuale che non dispongono di un'appliance virtuale di rete o di altre reti virtuali con cui è stato eseguito il peering (VNet 1 e VNet 3 nella figura 2 più avanti nell'articolo).
  • "Hub" per hub rete WAN virtuale gestiti da Microsoft, a cui sono connesse reti virtuali di appliance virtuali di rete. Le reti virtuali spoke dell'appliance virtuale di rete non devono essere connesse agli hub rete WAN virtuale, ma solo alle reti virtuali di appliance virtuali di rete.

La matrice di connettività seguente riepiloga i flussi supportati in questo scenario:

Matrice di connettività

Da Con: Spoke dell'appliance virtuale di rete Reti virtuali di appliance virtuali di rete Reti virtuali non dell'appliance virtuale di rete Rami
Spoke dell'appliance virtuale di rete Tramite la rete virtuale di appliance virtuale di rete Peering Tramite la rete virtuale di appliance virtuale di rete Tramite la rete virtuale di appliance virtuale di rete
Reti virtuali di appliance virtuali di rete Peering Diretto Diretto Diretto
Reti virtuali non dell'appliance virtuale di rete Tramite la rete virtuale di appliance virtuale di rete Diretto Diretto Diretto
Rami Tramite la rete virtuale di appliance virtuale di rete Diretto Diretto Diretto

Ognuna delle celle nella matrice di connettività descrive il modo in cui una rete virtuale o un ramo (il lato "Da" del flusso, le intestazioni di riga nella tabella) comunica con una rete virtuale o un ramo di destinazione (il lato "A" del flusso, le intestazioni di colonna in corsivo nella tabella). "Diretto" significa che la connettività viene fornita in modo nativo da rete WAN virtuale, "Peering" significa che la connettività viene fornita da una route definita dall'utente nella rete virtuale, "Over NVA VNet" significa che la connettività attraversa l'appliance virtuale di rete distribuita nella rete virtuale di appliance virtuale di rete. Prendere in considerazione quanto segue:

  • Gli spoke dell'appliance virtuale di rete non sono gestiti da rete WAN virtuale. Di conseguenza, i meccanismi con cui comunicheranno ad altre reti virtuali o rami vengono gestiti dall'utente. La connettività alla rete virtuale di appliance virtuale di rete viene fornita da un peering reti virtuali e una route predefinita a 0.0.0.0/0 che punta all'appliance virtuale di rete come hop successivo deve coprire la connettività a Internet, ad altri spoke e ad altri spoke e ai rami
  • Le reti virtuali di appliance virtuali di rete conoscono i propri spoke dell'appliance virtuale di rete, ma non gli spoke dell'appliance virtuale di rete connessi ad altre reti virtuali di rete. Ad esempio, nella figura 2 più avanti in questo articolo, la rete virtuale 2 conosce la rete virtuale 5 e la rete virtuale 6, ma non altri spoke come la rete virtuale 7 e la rete virtuale 8. È necessaria una route statica per inserire i prefissi di altri spoke nelle reti virtuali di appliance virtuali di rete
  • Analogamente, i rami e le reti virtuali non dell'appliance virtuale di rete non conoscono alcun spoke dell'appliance virtuale di rete, poiché gli spoke dell'appliance virtuale di rete non sono connessi agli hub di rete WAN virtuale. Di conseguenza, anche qui sono necessarie route statiche.

Tenendo conto che gli spoke dell'appliance virtuale di rete non sono gestiti da rete WAN virtuale, tutte le altre righe mostrano lo stesso modello di connettività. Di conseguenza, una singola tabella di route (quella predefinita) è:

  • Reti virtuali (reti virtuali non hub e reti virtuali dell'hub utente):
    • Tabella di route associata: impostazione predefinita
    • Propagazione alle tabelle di route: impostazione predefinita
  • Rami:
    • Tabella di route associata: impostazione predefinita
    • Propagazione alle tabelle di route: impostazione predefinita

Tuttavia, in questo scenario è necessario considerare le route statiche da configurare. Ogni route statica include due componenti, una parte dell'hub rete WAN virtuale che indica ai componenti rete WAN virtuale quale connessione usare per ogni spoke e un'altra in quella connessione specifica che punta all'indirizzo IP concreto assegnato all'appliance virtuale di rete (o a un servizio di bilanciamento del carico davanti a più appliance virtuali di rete), come illustrato nella figura 1:

Figura 1

Figura 1

Di conseguenza, le route statiche necessarie nella tabella Predefinita per inviare traffico agli spoke dell'appliance virtuale di rete dietro la rete virtuale di rete sono le seguenti:

Descrizione Tabella di route Route statica
VNet 2 Predefiniti 10.2.0.0/16 -> eastusconn
Rete virtuale 4 Predefiniti 10.4.0.0/16 -> weconn

Ora, queste route statiche verranno annunciate ai rami locali e l'hub rete WAN virtuale saprà a quale connessione di rete virtuale inoltrare il traffico. Tuttavia, la connessione alla rete virtuale deve sapere cosa fare quando si riceve questo traffico: questa è la posizione in cui vengono usate le tabelle di route di connessione. In questo caso si useranno i prefissi più brevi (/24 anziché più lungo /16), per assicurarsi che queste route abbiano la preferenza sulle route importate dalle reti virtuali di appliance virtuali di rete (rete virtuale 2 e rete virtuale 4):

Descrizione Connection Route statica
Rete virtuale 5 eastusconn 10.2.1.0/24 -> 10.2.0.5
Rete virtuale 6 eastusconn 10.2.2.0/24 -> 10.2.0.5
Rete virtuale 7 weconn 10.4.1.0/24 -> 10.4.0.5
Rete virtuale 8 weconn 10.4.2.0/24 -> 10.4.0.5

Ora le reti virtuali di appliance virtuali di rete, le reti virtuali non di appliance virtuali di rete e i rami sanno come raggiungere tutti gli spoke dell'appliance virtuale di rete. Per altre informazioni sul routing dell'hub virtuale, vedere Informazioni sul routing dell'hub virtuale.

Architettura

Nella figura 2 sono presenti due hub; Hub1 e Hub2.

  • Hub1 e Hub2 sono connessi direttamente alle reti virtuali di appliance virtuali di rete 2 e alla rete virtuale 4.

  • La rete virtuale 5 e la rete virtuale 6 sono con peering con la rete virtuale 2.

  • La rete virtuale 7 e la rete virtuale 8 sono con peering con la rete virtuale 4.

  • Le reti virtuali 5,6,7,8 sono spoke indiretti, non direttamente connesse a un hub virtuale.

Figura 2

Figura 2

Flusso di lavoro dello scenario

Per configurare il routing tramite appliance virtuale di rete, ecco i passaggi da considerare:

  1. Identificare la connessione della rete virtuale spoke dell'appliance virtuale di rete. Nella figura 2 si tratta di una connessione di rete virtuale 2 (eastusconn) e di una connessione VNet 4 (weconn).

    Assicurarsi che siano configurate le route definite dall'utente:

    • Dalla rete virtuale 5 e dalla rete virtuale 6 all'indirizzo IP dell'appliance virtuale di rete 2
    • Dalla rete virtuale 7 e dalla rete virtuale 8 all'indirizzo IP dell'appliance virtuale di rete 4

    Non è necessario connettere direttamente le reti virtuali 5,6,7,8 agli hub virtuali. Assicurarsi che i gruppi di sicurezza di rete nelle reti virtuali 5,6,7,8 consentano il traffico per i rami (VPN/ER/P2S) o le reti virtuali connesse alle reti virtuali remote. Ad esempio, le reti virtuali 5.6 devono garantire che i gruppi di sicurezza di rete consentano il traffico per i prefissi degli indirizzi locali e le reti virtuali 7.8 connesse all'hub remoto 2.

rete WAN virtuale non supporta uno scenario in cui le reti virtuali 5.6 si connettono all'hub virtuale e comunicano tramite ip dell'appliance virtuale di rete 2, pertanto la necessità di connettere reti virtuali 5.6 a VNet2 e in modo analogo alla rete virtuale 7.8 alla rete virtuale 4.

  1. Aggiungere una voce di route statica aggregata per le reti virtuali da 2.5.6 alla tabella di route predefinita dell'hub 1.

    Esempio

    Nota

    Per semplificare il routing e ridurre le modifiche apportate alle tabelle di route dell'hub rete WAN virtuale, è consigliabile usare il nuovo peering BGP con rete WAN virtuale hub. Per altre informazioni, vedere gli articoli seguenti:

  2. Configurare una route statica per le reti virtuali 5.6 nella connessione di rete virtuale della rete virtuale 2. Per configurare la configurazione del routing per una connessione di rete virtuale, vedere Routing dell'hub virtuale.

  3. Aggiungere una voce di route statica aggregata per le reti virtuali 4.7.8 alla tabella di route predefinita dell'hub 1.

  4. Ripetere i passaggi 2, 3 e 4 per la tabella di route predefinita di Hub 2.

Ciò comporta modifiche alla configurazione del routing, come illustrato nella figura 3.

Figura 3

Figura 3

Passaggi successivi