Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo documento descrive i diversi tipi di route statiche in rete WAN virtuale, casi d'uso comuni e le principali procedure consigliate e limitazioni da considerare durante la progettazione e l'implementazione della rete.
Panoramica delle route statiche
Note
Le route statiche in rete WAN virtuale non possono essere usate per indirizzare il traffico a un'appliance virtuale di rete (NVA) o a una soluzione SaaS distribuita nell'hub rete WAN virtuale. Per le soluzioni NVA e SaaS, l'unico metodo supportato per indirizzare il traffico è attraverso finalità e criteri di routing. Per altre informazioni, vedere la documentazione relativa alle finalità e ai criteri di routing.
Le route statiche della rete WAN virtuale sono usate per indirizzare il traffico a un hop successivo specifico. Le rotte statiche offrono due principali casi d'uso per il routing.
- Instradare il traffico attraverso un Firewall di Azure distribuito nell'hub rete WAN virtuale.
- Instradare il traffico a un indirizzo IP designato (spesso un servizio di bilanciamento del carico davanti a un'appliance virtuale di rete) distribuito in una rete virtuale spoke connessa all'hub della rete WAN virtuale.
A livello generale, per i due casi d'uso principali indicati in precedenza sono necessarie le configurazioni di route statiche seguenti.
| caso d'uso | Configuration | Documentazione dettagliata del caso d'uso |
|---|---|---|
| Instradare il traffico attraverso Firewall di Azure distribuito nell'hub di rete WAN virtuale | Route statiche nella tabella di routing del WAN virtuale con come hop successivo l'ID della risorsa Firewall di Azure. | Instrada il traffico verso l'hub Firewall di Azure sicuro con le route statiche della rete WAN virtuale. |
| Instradare il traffico all'indirizzo IP designato in una rete virtuale spoke |
Opzione 1: route statiche nella connessione della rete virtuale con hop successivo impostato sull'indirizzo IP dell'appliance virtuale di rete o del load balancer nella rete virtuale spoke. Propagare la route statica impostata su true. Opzione 2: configurare una route statica nella tabella di route della rete WAN virtuale con la connessione della rete virtuale spoke come hop successivo. Configurare la route statica corrispondente nella connessione della rete virtuale con l'hop successivo impostato sull'indirizzo IP dell'appliance virtuale di rete o del bilanciamento del carico nella rete virtuale spoke. |
Instradare il traffico verso le reti virtuali spoke usando le route statiche di rete WAN virtuale |
Casi d'uso del routing
Instradamento del traffico verso Firewall di Azure
Note
Esistono due modi distinti per indirizzare il traffico ad Firewall di Azure: route statiche nelle tabelle di route dell'hub rete WAN virtuale o finalità e criteri di routing. La combinazione delle due opzioni di configurazione non è supportata. In questo articolo, il modello di route statica Firewall di Azure fa riferimento a un hub virtuale protetto con Firewall di Azure in cui la finalità di routing non è abilitata.
Configuration
Configurare rete WAN virtuale per instradare il traffico a Firewall di Azure in un hub protetto usando route statiche. Questa configurazione si applica agli hub virtuali protetti con Firewall di Azure dove la finalità di routing non è abilitata. Questa configurazione comporta l'aggiunta di due configurazioni separate alla distribuzione rete WAN virtuale:
- Aggiungere rotte statiche alle tabelle di route dell'hub di rete WAN virtuale, indicando come hop successivo il tuo identificatore di risorsa di Firewall di Azure.
- Configurare le tabelle di route associate e propagate delle connessioni hub della rete WAN virtuale.
Per configurare route statiche e tabelle di route propagate/associate in scenari di hub protetti, utilizzare le procedure consigliate seguenti:
-
Procedure consigliate relative alle configurazioni di route statiche e alle tabelle di route:
- Ridurre al minimo il numero di tabelle di route personalizzate (oltre a defaultRouteTable e noneRouteTable). Le tabelle di route personalizzate devono essere usate per scenari di routing più personalizzati, ad esempio modelli di routing diversi per le reti virtuali.
- Usare intervalli di aggregazione anziché intervalli specifici in route statiche, quando possibile. In questo modo viene ridotto al minimo il numero di route statiche configurate.
- Valutare attentamente i progetti multi-hub e usare la finalità di routing quando possibile. Le architetture che usano route statiche per inviare il traffico a Firewall di Azure possono diventare complesse da usare tra più hub e ispezione tra aree tramite Firewall di Azure non sono supportate con configurazioni di route statiche.
-
Procedure consigliate per la configurazione di associazioni e propagazioni:
- Tutti i rami (VPN/ExpressRoute) devono essere associati all'oggetto defaultRouteTable e propagarsi allo stesso set di tabelle di route e etichette di tabella di route.
- La propagazione delle route di una connessione a una tabella di route implica che tutte le connessioni associate a tale tabella di route possano accedere direttamente alle route propagate. Verificare che la configurazione del routing sia coerente e che venga restituita la simmetria del routing. Ad esempio, se i rami vengono propagati alla tabella di route di una rete virtuale, assicurarsi che le stesse reti virtuali vengano propagate alla tabella di route predefinita. Lo stesso vale se una connessione non viene propagata alla tabella di route di un'altra connessione.
- Analogamente, la mancata propagazione di una connessione a una tabella di route implica in genere che le connessioni associate alla stessa tabella di route non saranno in grado di accedere a tale connessione. È necessaria una route statica.
Casi d'uso comuni
Un caso d'uso comune per le route statiche in rete WAN virtuale consiste nell'inviare il traffico privato dello stesso hub tramite un Firewall di Azure distribuito nell'hub virtuale. In questa architettura, il firewall funge da prossimo salto per il traffico che altrimenti passerebbe direttamente alla destinazione finale.
Questo modello viene usato per fornire Firewall di Azure ispezione per i seguenti casi d'uso di alto livello:
Altri casi d'uso più complessi includono:
Altri casi d'uso comuni che richiedono approcci alternativi o non sono supportati con route statiche:
| Caso d'uso | Approccio alternativo |
|---|---|
| Instradare il traffico a una NVA distribuita all'interno dell'hub della rete WAN virtuale | Per esaminare il traffico con un'appliance virtuale di rete distribuita nell'hub, è necessario usare la finalità e i criteri di routing. |
| Esaminare il traffico tra hub | Usare la finalità e i criteri di routing. |
| Esaminare il traffico da ramo a ramo (ExpressRoute, VPN da sito a sito e VPN da punto a sito) | L'ispezione del traffico tra i rami richiede l'uso di intenti e criteri di routing. |
| Isolamento della Rete Virtuale con hub sicuri. | Usare Firewall di Azure regole di rete per bloccare il traffico tra reti virtuali che non devono essere in grado di comunicare. rete WAN virtuale routing, anche quando le propagazioni e le associazioni sono configurate correttamente, non può garantire che due reti virtuali siano isolate dal punto di vista del routing. Ad esempio, due reti virtuali che non vengono propagate tra loro possono comunque comunicare tramite Firewall di Azure se una route di aggregazione ,ad esempio 10.0.0.0/8 o 0.0.0.0/0, viene configurata come route statica che punta a Firewall di Azure nell'hub nella tabella di route rete WAN virtuale associata dell'Rete virtuale. |
Instradare il traffico a un'appliance virtuale di rete in una rete virtuale spoke
Opzioni di configurazione
È possibile configurare il routing a un indirizzo IP in una rete virtuale spoke in due modi:
- Opzione 1: specificare la route statica nella connessione di rete virtuale. Impostare Propagare la route statica su True. In questo modello, la route statica nella connessione di rete virtuale viene propagata automaticamente nella rete WAN virtuale senza che sia necessaria una voce di route statica separata nelle tabelle di route della rete WAN virtuale. Questa configurazione include proprietà di ridimensionamento migliori perché rete WAN virtuale propaga automaticamente le route statiche in base alle tabelle e alle etichette di route propagate del Rete virtuale.
- Option 2: Specificare una route statica in una tabella di route rete WAN virtuale, con l'hop successivo impostato sulla connessione di rete virtuale Hub. In questo modello deve essere presente anche una route statica corrispondente nella connessione di rete virtuale che specifica l'indirizzo IP hop successivo per il prefisso. È inoltre necessario aggiungere una route statica in ogni tabella di route di rete WAN virtuale (inclusi gli hub remoti di rete WAN virtuale) indirizzata alla connessione di rete virtuale dell'hub che deve utilizzare la route statica.
Le due opzioni di configurazione supportano modelli di routing diversi e hanno casi d'uso diversi:
| Option | Overview | Casi d'uso supportati | Architetture di esempio | Casi d'uso non supportati |
|---|---|---|---|---|
| 1 | Route statiche nella connessione di rete virtuale con Propagazione delle route statiche impostata su True | Usare l'appliance virtuale di rete spoke come origine di route per spoke indiretti, tunnel VPN terminati nel dispositivo dell'appliance virtuale di rete o come rete perimetrale Internet. Compatibile con gli hub delle finalità di routing. | Architetture spoke indirette e instradare il traffico diretto a Internet all'appliance virtuale di rete spoke per uscita, scenari ibridi | Questa opzione di configurazione non può essere usata per gli scenari di ispezione tra una connessione locale rete WAN virtuale e un Rete virtuale spoke. |
| 2 | Route statica in una tabella di route della rete WAN virtuale con hop successivo impostato sulla connessione di rete virtuale dell'hub, oltre a un IP dell'hop successivo corrispondente nella connessione di rete virtuale. | Usare l'appliance virtuale di rete spoke come origine di route per spoke indiretti, tunnel VPN terminati nel dispositivo dell'appliance virtuale di rete o come rete perimetrale Internet. Utilizzare per scenari di ispezione tra due connessioni di rete WAN virtuali (dal locale alla rete virtuale). | Architetture spoke indirette, instradamento del traffico diretto a Internet verso l'appliance virtuale di rete spoke per l'uscita, Scenari ibridi, Ispezione da on-premises alla rete virtuale. | Non compatibile con gli hub che utilizzano la finalità di routing. |
Quando si usano route statiche per instradare il traffico a una connessione Rete virtuale in rete WAN virtuale, tenere presenti le procedure consigliate e le considerazioni seguenti:
- Utilizzare la configurazione option 1 sulla configurazione option 2 quando possibile, come opzione 1 assicura che le route statiche vengano annunciate automaticamente alle tabelle di route rete WAN virtuale pertinenti. Ciò riduce significativamente il sovraccarico operativo della gestione delle route statiche tra più tabelle e hub di route rete WAN virtuale.
- L'impostazione bypass dell'indirizzo IP dell'hop successivo determina il modo in cui viene instradato il traffico destinato agli indirizzi IP nella stessa rete virtuale dell'appliance virtuale di rete. Allineare questa impostazione al modello di rete previsto. Spesso, l'impostazione di questo valore su true è fondamentale per il routing corretto del traffico di gestione dell'appliance virtuale di rete all'interfaccia o all'istanza di appliance virtuale di rete prevista.
- Se sono configurate più route statiche in cui i CIDR di destinazione non si trovano in IANA RFC1918, tutte le route statiche con destinazioni non RFC1918 devono usare lo stesso indirizzo IP hop successivo.
- Per gli scenari in cui l'appliance virtuale di rete viene usata per controllare il traffico tra on-premises e altre reti virtuali, la rete virtuale dell'appliance virtuale di rete verrà in genere associata a una tabella di route personalizzata diversa dai rami o da altre reti virtuali, mentre tutte le altre connessioni verranno propagate alla tabella di route personalizzata della rete virtuale dell'appliance virtuale di rete. Per un esempio, vedere la sezione casi d'uso comuni di seguito.
Casi d'uso comuni
Alcuni casi d'uso comuni che richiedono approcci alternativi o non sono supportati in rete WAN virtuale:
| Caso d'uso | Approcci alternativi |
|---|---|
| Utilizzare un'appliance virtuale di rete per ispezionare il traffico da rete virtuale a rete virtuale tramite un'appliance virtuale di rete distribuita in un terzo spoke della rete WAN virtuale. | Non supportato. Utilizzare un'architettura spoke indiretta in cui viene eseguito il peering tra reti virtuali spoke e lo spoke dell'appliance virtuale di rete e non l'hub della rete WAN virtuale. In alternativa, distribuire un'appliance virtuale di rete nell'hub della rete WAN virtuale, connettere tutte le reti virtuali spoke all'hub della rete WAN virtuale e utilizzare la finalità di routing. |
| Usare un'appliance virtuale di rete nello spoke per ispezionare il traffico da ramo a ramo. | Non supportato. Distribuire un'appliance virtuale di rete nell'hub della rete WAN virtuale e usare la finalità di routing. |
Combinazione di due tipi di route statiche
È anche possibile combinare route statiche che puntano a Firewall di Azure nell'hub virtuale con route statiche che puntano a una connessione di rete virtuale. Questa progettazione è utile quando si desiderano hop successivi diversi per classi di traffico diverse all'interno della stessa distribuzione rete WAN virtuale.
I casi d'uso comuni includono:
Altri casi d'uso comuni che richiedono approcci alternativi o non sono supportati con route statiche:
| caso d'uso | Approccio alternativo |
|---|---|
| Scenari di ispezione doppia: controllare il traffico destinato allo spoke indiretto o a Internet con Firewall di Azure distribuito in un hub sicuro. Inoltrare quindi il traffico all'appliance virtuale di rete in spoke per l'interruzione o l'accesso a uno spoke indiretto. | Usare finalità e criteri di routing e le route statiche nella connessione di reti virtuali con l'opzione Propaga route statiche impostata su true. |