Utilizar Azure Firewall para encaminhar uma topologia multi hub-and-spoke

A topologia hub-and-spoke é um padrão de arquitetura de rede comum no Azure. O hub é uma rede virtual (VNet) no Azure que funciona como um ponto central de conectividade à sua rede no local. Os spokes são VNets que partilham com o hub e podem ser utilizados para isolar cargas de trabalho. O hub pode ser utilizado para isolar e proteger o tráfego entre spokes. O hub também pode ser utilizado para encaminhar o tráfego entre spokes. O hub pode ser utilizado para encaminhar o tráfego entre spokes através de vários métodos.

Por exemplo, pode utilizar o Azure Route Server com encaminhamento dinâmico e aplicações virtuais de rede (NVAs) para encaminhar o tráfego entre spokes. Esta pode ser uma implementação bastante complexa. Um método menos complexo utiliza rotas Azure Firewall e estáticas para encaminhar o tráfego entre spokes.

Este artigo mostra-lhe como pode utilizar Azure Firewall com rotas definidas pelo utilizador estático (UDRs) para encaminhar uma topologia multi hub-and-spoke. O diagrama seguinte mostra a topologia:

Diagrama conceptual a mostrar a arquitetura hub-and-spoke.

Arquitetura de linha de base

Azure Firewall protege e inspeciona o tráfego de rede, mas também encaminha o tráfego entre VNets. É um recurso gerido que cria automaticamente rotas do sistema para os spokes locais, o hub e os prefixos no local aprendidos pelo respetivo Gateway de Rede Virtual local. Colocar uma NVA no hub e consultar as rotas efetivas resultaria numa tabela de rotas semelhante ao que se encontra no Azure Firewall.

Uma vez que se trata de uma arquitetura de encaminhamento estático, o caminho mais curto para outro hub pode ser feito com o VNet Peering global entre os hubs. Assim, os hubs conhecem-se mutuamente e cada firewall local contém a tabela de rotas de cada hub ligado diretamente. No entanto, os hubs locais só sabem dos seus spokes locais. Além disso, estes hubs podem estar na mesma região ou numa região diferente.

Encaminhamento na sub-rede da firewall

Cada firewall local precisa de saber como aceder aos outros spokes remotos, pelo que tem de criar UDRs nas sub-redes da firewall. Para tal, primeiro tem de criar uma rota predefinida de qualquer tipo, o que lhe permite criar rotas mais específicas para os outros spokes. Por exemplo, as seguintes capturas de ecrã mostram a tabela de rotas das duas VNets do hub:

Tabela de rotas Hub-01Captura de ecrã a mostrar a tabela de rotas do Hub-01.

Tabela de rotas Hub-02Captura de ecrã a mostrar a tabela de rotas do Hub-02.

Encaminhamento nas sub-redes spoke

A vantagem de implementar esta topologia é que, com o tráfego a passar de um hub para outro, pode alcançar o próximo salto que está diretamente ligado através do peering global.

Conforme ilustrado no diagrama, é melhor colocar uma UDR nas sub-redes spoke que têm uma rota 0/0 (gateway predefinido) com a firewall local como o próximo salto. Esta ação bloqueia no ponto de saída de salto seguinte único como firewall local. Também reduz o risco de encaminhamento assimétrico se aprender prefixos mais específicos do seu ambiente no local que podem fazer com que o tráfego ignore a firewall. Para obter mais informações, veja Não permitir que as rotas do Azure o mordam.

Eis um exemplo de tabela de rotas para as sub-redes spoke ligadas ao Hub-01:

Captura de ecrã a mostrar a tabela de rotas das sub-redes spoke.

Passos seguintes