Использование Брандмауэр Azure для маршрутизации топологии с несколькими концентраторами и периферийными зонами

Звездообразная топология — это распространенный шаблон сетевой архитектуры в Azure. Концентратор (центр топологии) — это виртуальная сеть в Azure, которая выступает в качестве центральной точки подключения к локальной сети. Периферийные зоны — это виртуальные сети, которые устанавливают пиринг с концентратором и могут использоваться для изоляции рабочих нагрузок. Концентратор можно использовать для изоляции и защиты трафика между периферийными зонами. Концентратор также можно использовать для маршрутизации трафика между периферийными зонами. Концентратор можно использовать для маршрутизации трафика между периферийными зонами с помощью различных методов.

Например, вы можете использовать Azure Route Server с динамической маршрутизацией и сетевыми виртуальными модулями (NVA) для маршрутизации трафика между периферийными зонами. Это может быть довольно сложное развертывание. Менее сложный метод использует Брандмауэр Azure и статические маршруты для маршрутизации трафика между периферийными зонами.

В этой статье показано, как использовать Брандмауэр Azure со статическими определяемыми пользователем маршрутами (UDR) для маршрутизации многоцентровой топологии. На следующей схеме показана топология:

Концептуальная схема, показывающая звездообразную архитектуру.

Базовая архитектура

Брандмауэр Azure защищает и проверяет сетевой трафик, но также направляет трафик между виртуальными сетями. Это управляемый ресурс, который автоматически создает системные маршруты к локальным периферийным зонам, концентратору и локальным префиксам, изученным локальным шлюзом виртуальная сеть. Размещение NVA в концентраторе и запрос действующих маршрутов приведет к созданию таблицы маршрутов, похожей на то, что находится в Брандмауэр Azure.

Так как это статическая архитектура маршрутизации, кратчайший путь к другому концентратору можно выполнить с помощью глобального пиринга виртуальных сетей между концентраторами. Таким образом, концентраторы знают друг о друге, и каждый локальный брандмауэр содержит таблицу маршрутов каждого непосредственно подключенного концентратора. Однако локальные центры знают только о своих локальных периферийных зонах. Кроме того, эти центры могут находиться в одном или другом регионе.

Маршрутизация в подсети брандмауэра

Каждый локальный брандмауэр должен знать, как подключиться к другим удаленным периферийным зонам, поэтому необходимо создать определяемые пользователем маршруты в подсетях брандмауэра. Для этого сначала необходимо создать маршрут по умолчанию любого типа, который затем позволяет создавать более конкретные маршруты к другим периферийным зонам. Например, на следующих снимках экрана показана таблица маршрутизации для двух виртуальных сетей концентратора:

Таблица маршрутов Hub-01Снимок экрана: таблица маршрутов для Hub-01.

Таблица маршрутов Hub-02Снимок экрана: таблица маршрутов для Hub-02.

Маршрутизация в периферийных подсетях

Преимущество реализации этой топологии заключается в том, что с трафиком, поступающим из одного концентратора в другой, вы можете достичь следующего прыжка, который напрямую подключен через глобальный пиринг.

Как показано на схеме, UDR лучше разместить в периферийных подсетях с маршрутом 0/0 (шлюз по умолчанию) с локальным брандмауэром в качестве следующего прыжка. Это блокирует одну точку выхода следующего прыжка в качестве локального брандмауэра. Это также снижает риск асимметричной маршрутизации, если узнает о более конкретных префиксах из локальной среды, что может привести к тому, что трафик будет обходить брандмауэр. Дополнительные сведения см. в статье Не разрешать маршруты Azure укусить вас.

Ниже приведен пример таблицы маршрутов для периферийных подсетей, подключенных к Hub-01:

Снимок экрана: таблица маршрутов для периферийных подсетей.

Дальнейшие действия