Met VNet-peering (of virtuele netwerkpeering) kunt u virtuele netwerken verbinden. Met een VNet-peeringverbinding tussen virtuele netwerken kunt u verkeer daartussen privé routeren via IPv4-adressen. Virtuele machines in de peered VNets kunnen met elkaar communiceren alsof ze zich binnen hetzelfde netwerk bevinden.
In dit artikel zullen we met u delen hoe u Azure VPN Gateway kunt gebruiken om verkeer tussen spaaknetwerken te routeren. Dit wordt ook wel peer-to-peer transitieve routering genoemd.
Inhoudsopgave
Invoering
Peering op virtueel netwerk is eenniet-transitiefrelatie tussen twee virtuele netwerken. InAzuurblauw, beschrijft peer-to-peer transitieve routering netwerkverkeer tussen twee virtuele netwerken die worden gerouteerd via een intermediair virtueel netwerk met een router. Stel bijvoorbeeld dat u drie virtuele netwerken hebt aangeroepenVNet1,VNet2, EnVNet3.
VNet1heeft gekeken met deVNet2netwerk, enVNet2mee heeft gekekenVNet3, MaarVNet1EnVNet3zijn NIET aangesloten. Om netwerkverkeer vandaan te halenVNet1naarVNet3, het zou door deVNet2netwerk. Deze actie staat bekend als transitieve routering.
Een veelgebruikte topologie in Azure is de 'hub and spoke'-netwerkarchitectuur. Deze topologie bevat een centraal "hub" virtueel netwerk dat is verbonden met een on-premises netwerk, via een VPN-gateway of een ExpressRoute-circuit, zoals weergegeven in het onderstaande diagram. Extra "spoke" virtuele netwerken die specifieke workloads ondersteunen, zijn verbonden met het "hub" virtuele netwerk via peering-verbindingen. Deze topologie ondersteunt on-premises netwerken en biedt netwerksegmentatie en gedelegeerd beheer.
Zoals u in het bovenstaande diagram kunt zien, is het virtuele "hub"-netwerk verbonden met het on-premises netwerk via een VPN-gateway of ExpressRoute-gateway, terwijl alle "spoke" virtuele netwerken alleen peering-relaties hebben met het virtuele "hub"-netwerk.
Deze topologie ondersteunt niet rechtstreeks de communicatie tussen de "spoke" virtuele netwerken. In veel netwerkontwerparchitecturen is het noodzakelijk dat sommige of zelfs alle "spoke"-netwerken met elkaar communiceren. Een organisatie kan bijvoorbeeld een applicatieserver hosten in een "Spoke1" virtueel netwerk en een centrale databaseserver in een ander "Spoke2" virtueel netwerk.
Als de applicatie moet communiceren met de database, hoe zouden ze dit dan faciliteren?
Volgens de officiële documentatie van Microsoft, als je spaken nodig hebt om met elkaar te verbinden, danéén optieis om te overwegen een expliciete peering-verbinding toe te voegen tussen "Spoke" VNET1 en "Spoke" VNET2, zoals weergegeven in het onderstaande diagram.
Stel echter dat u meerdere spaken heeft die met elkaar moeten worden verbonden. In dat geval zult u zeer snel zonder mogelijke peeringverbindingen komen te zitten vanwege de beperking van het aantal virtuele netwerkpeerings per virtueel netwerk. (Voor meer informatie, zieNetwerklimieten).
In dit scenario en als eentweede optie, raadt Microsoft aan om het gebruik van door de gebruiker gedefinieerde routes (UDR's) te overwegen om verkeer dat bestemd is voor een spaak te forceren om te worden verzonden naar Azure Firewall of een virtueel netwerkapparaat dat fungeert als een router op de hub. Hierdoor kunnen de spaken met elkaar worden verbonden.
Hoe zit het als u geen Azure Firewall of een virtueel netwerkapparaat wilt gebruiken vanwege extra kosten en complexiteit?
Wederom volgens de officiële documentatie van Microsoft (Spoke-connectiviteit), zeiden ze dat je ook een VPN-gateway kunt gebruiken als eenderde optieom verkeer tussen spokes te routeren in plaats van een Azure Firewall of ander virtueel netwerkapparaat te gebruiken, zoalspfSense NVA, maar ze vertellen ons niet hoe het moet!
Welnu, in dit artikel, en nadat ik dieper heb gegraven, zal ik met u delen hoe u spraak-naar-spraak-communicatie kunt creëren met behulp van deAzuurblauwVPN-gateway en routeringstabel zonder dat een Azure Firewall of een virtueel netwerkapparaat (NVA) nodig is.
Vereisten
Om dit artikel te volgen, moet u het volgende hebben:
1) Azure-abonnement(en) – Als u geen actief abonnement heeft, kan datmaak hier een gratis aan.
2) Azure Resource Group natuurlijk.
3) Er zijn drie virtuele netwerken geïmplementeerd met de bijbehorende IP-subnetten. Deze virtuele netwerken kunnen zich in dezelfde regio of in verschillende regio's bevinden (ook wel Global VNet Peering genoemd). VNet-peeringverbindingen kunnen ook worden gemaakt via Azure-abonnementen. Controleer devolgende snelstartgids om een virtueel netwerk te maken.
4) Azure VPN Gateway geïmplementeerd in het virtuele Hub-netwerk. Er hoeft niets speciaals te worden ingesteld op de Azure VPN-gateway, behalve dat deze correct is ingericht en geconfigureerd. Controleer devolgende gids om een VPN-gateway voor uw Hub VNet te maken.
5) Virtuele netwerkpeering tussen de spaaknetwerken naar het hubnetwerk. Controleer devolgende gids om peering toe te voegen en doorvoer in te schakelen.
6) Er wordt ten minste één virtuele machine van Azure geïmplementeerd in de virtuele spoke-netwerken. Het is niet vereist dat er een VM wordt uitgevoerd in het Hub VNet.
Ervan uitgaande dat u aan alle vereisten voldoet, voert u nu de volgende stappen uit:
Het proces
Om de transitieve routeringsconfiguratie tussen spaken te vergemakkelijken, doorlopen we het volgende proces:
1) Controleer de peering-relatie.
2) Configureer door de gebruiker gedefinieerde routes (UDR's).
3) Connectiviteit testen.
Controleer de peering-relatie
Elke peering-relatie bestaat uit twee peering-verbindingen; één van de naaf naar de spaak en één van de spaak naar de naaf. De peering-verbindingen van de spaken naar de hub moeten doorgestuurd verkeer mogelijk maken, zoals weergegeven in de onderstaande afbeelding. Dit kan worden ingesteld via de Azure-portal, PowerShell of de Azure CLI.
Aan de kant van Hub VNet wilt u ervoor zorgen dat de peering-verbindingen van de hub naar de spokes doorgestuurd verkeer en gateway-transit mogelijk moeten maken (gebruik de gateway of routeserver van dit virtuele netwerk), zoals weergegeven in de onderstaande afbeelding. Dit kan worden ingesteld via de Azure-portal, PowerShell of de Azure CLI.
Configureer door de gebruiker gedefinieerde routes (UDR's)
Op dit punt zijn we klaar om de aangepaste routeringstabel en door de gebruiker gedefinieerde routes (UDR's) te maken.
Voordat we beginnen, moet u de IP-adresruimte ophalen voor elk virtueel spaaknetwerk dat u wilt configureren. In mijn voorbeeld is het "Spoke1" VNet 10.71.24.0/21 en het "Spoke2" VNet is 10.71.8.0/21.
Zoek in de Azure Portal naar "Routetabellen” en klik vervolgens op “+ Toevoegen”.
Geef een naam op, selecteer een abonnement, een resourcegroep en een regio waar u de routeringstabel wilt maken, zoals weergegeven in de onderstaande afbeelding.
Houd er rekening mee dat routes naar de gateway-verbonden virtuele netwerken of on-premises netwerken worden doorgegeven aan de routeringstabellen voor de peered virtuele netwerken met behulp van gateway-transit. Als u gatewayroutes niet wilt propageren, selecteert u 'Nee', om de verspreiding van lokale routes naar de netwerkinterfaces in bijbehorende subnetten te voorkomen.
Klik 'Beoordeel + Maak' en dan de 'Creëren‘ knop om de routetabel te maken.
Nadat u de routetabel heeft gemaakt, kunt u de routes toevoegen door op ‘Routes' onder de 'Instellingen' sectie en klik vervolgens op '+ Toevoegen’ zoals weergegeven in onderstaande figuur.
In dit voorbeeld voegen we één route toe, omdat verkeer van netwerk "Spoke1" VNet naar "Spoke2" via de Azure VPN Gateway moet gaan die is geïmplementeerd in het virtuele Hub-netwerk.
Verschaffenroute naam, selecteer het bestemmings-IPadres voorvoegselvoor het "Spoke2" virtuele netwerk, en vooral, is het selecteren van deVirtuele netwerkgatewayals het ‘Next hop type’ zoals weergegeven in onderstaande figuur. De volgende hop verwerkt de overeenkomende pakketten voor deze route. Het kan deVirtueel netwerk, deVirtuele netwerkgateway, deinternetten, AVirtueel apparaat, ofGeen.
Houd er rekening mee dat virtuele netwerkgateways niet kunnen worden gebruikt als het adresvoorvoegsel isIPv6. KlikOKdoorgaan.
De laatste stap is het toewijzen van de routeringstabel aan het standaardsubnet van het virtuele netwerk "Spoke1". U kunt het subnet toewijzen door op ‘Subnetten' onder de 'Instellingen' sectie en klik vervolgens op '+ Medewerker’ zoals weergegeven in onderstaande figuur. U moet uw virtuele netwerk selecteren en het subnet waarop uw virtuele machine(s) worden geïmplementeerd.
Last but not least wilt u dezelfde stappen als hierboven beschreven ook herhalen voor het virtuele netwerk "Spoke2".
Connectiviteit testen
Dit is het einde, nu kunnen we inloggen op de virtuele machine in het virtuele netwerk "Spoke1" en kijken of we verbinding kunnen maken met de VM in het virtuele netwerk "Spoke2".
Eerst controleerde ik de pings of de machine reageerde en voerde toen de "Test-NetVerbinding"commando met de "-DiagnoseRouting” parameter om te zien waar het pad naar elke virtuele machine is.
Dat is het daar heb je het. Veel plezier met Azure-routering!
Samenvatting
In dit artikel hebben we u laten zien hoe u peer-to-peer transitieve routering tussen spokes configureert met behulp van de Azure VPN-gateway zonder gebruik te maken van Azure Firewall of virtueel netwerkapparaat. Hoewel deze oplossing invloed zal hebben op latentie en doorvoer in vergelijking met directe netwerkpeering tussen spokes.
In dit scenario hebben we de latentie getest met expliciete peering tussen spokes in dezelfde Azure-regio, en de gemiddelde latentie is1 ms. En toen hebben we de latentie getest via het Hub VNet met behulp van de Azure VPN-gateway, en de latentie was rond4 ms. We verwachten zeker een hogere latentie wanneer u tussen verschillende Azure-regio's gaat (bijv. Oost-Azië <==> Noord-Europa, enz.).
Doe alsjeblieft je benchmark en controleer je prestaties voordat je het in productie neemt.
Raadpleeg de volgende bronnen voor meer informatie:
- Vereisten en beperkingen voor peering van virtuele netwerken.
- Veelgestelde vragen over virtuele netwerkpeering (FAQ).
__
Bedankt voor het lezen van mijn blog.
Als je vragen of feedback hebt, laat dan een reactie achter.
-Charbel Nemnom-