Dela via

Så här distribuerar du topologin hub-and-spoke med Azure Firewall

I den här artikeln får du lära dig hur du distribuerar en hub-and-spoke-topologi med Azure Firewall med Hjälp av Azure Virtual Network Manager. Du skapar en Azure Virtual Network Manager-instans eller nätverkshanterare och implementerar nätverksgrupper för betrodd och obetrodd trafik. Därefter distribuerar du en anslutningskonfiguration som definierar din hubb- och ekertopologi. När du distribuerar anslutningskonfigurationen kan du välja att lägga till direktanslutning för betrodd kommunikation mellan virtuella ekernätverk eller kräva att virtuella ekernätverk kommunicerar via det virtuella hubbnätverket. Du slutför genom att distribuera en routningskonfiguration för att dirigera all trafik till Azure Firewall, förutom trafiken i samma virtuella nätverk när de virtuella nätverken är betrodda.

Många organisationer använder Azure Firewall för att skydda sina virtuella nätverk mot hot och oönskad trafik, och de dirigerar all trafik till Azure Firewall utom betrodd trafik i samma virtuella nätverk. Traditionellt sett är det besvärligt att konfigurera ett sådant scenario eftersom nya användardefinierade vägar (UDR) måste skapas för varje nytt undernät och routningstabeller har olika UDR bland dem. UDR-hantering i Azure Virtual Network Manager kan hjälpa dig att enkelt uppnå det här scenariot genom att skapa en routningsregel som dirigerar all trafik till Azure Firewall, förutom trafiken i samma virtuella nätverk, och tillämpa den här regeln enkelt i dina virtuella ekernätverk.

Förutsättningar

  • En Azure-prenumeration med behörighet att skapa resurser i prenumerationen. Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

  • Tre virtuella nätverk med undernät i samma region. Ett virtuellt nätverk är det virtuella hubbnätverket och de andra två virtuella nätverken är de virtuella ekernätverken.

    • I det här exemplet heter det virtuella hubbnätverket hub-vnet och de virtuella ekernätverken är spoke-vnet-1 och spoke-vnet-2.
    • Det virtuella hubbnätverket kräver ett undernät för Azure Firewall med namnet AzureFirewallSubnet.

  • En Azure Virtual Network Manager-instans med användardefinierade routnings- och anslutningsfunktioner aktiverade.

  • Alla virtuella nätverk som har konfigurerats i en nav- och ekerstruktur, antingen genom en anslutningskonfiguration eller skapats manuellt.

  • En Azure Firewall i det virtuella hubbnätverket. Mer information finns i Distribuera och konfigurera Azure Firewall och policy med hjälp av Azure Portal.

Skapa en Virtual Network Manager-instans

I det här steget distribuerar du en Virtual Network Manager-instans med användardefinierad routning aktiverad.

  1. Logga in på Azure-portalen.

  2. Välj + Skapa en resurs och sök efter Network Manager. Välj sedan Skapa nätverkshanterare>för att börja konfigurera Virtual Network Manager.

  3. På fliken Grundläggande anger eller väljer du följande information och väljer sedan Granska + skapa.

    Inställning Värde
    Abonnemang Välj den prenumeration där du vill distribuera Virtual Network Manager.
    Resursgrupp Välj den resursgrupp som innehåller dina virtuella nätverk och brandvägg.
    Välj Ok.
    Namn Ange namnet på nätverkshanteraren.
    Region Välj (USA) USA , östra eller en region som du väljer. Virtual Network Manager kan hantera virtuella nätverk i valfri region. Den valda regionen är den region där Virtual Network Manager-instansen distribueras.
    Beskrivning (Valfritt) Ange en beskrivning av den här Virtual Network Manager-instansen och den uppgift som den hanterar.
    Funktioner Välj Användardefinierad routning och anslutning i listrutan.

    Skärmbild av fönstret Skapa en nätverkshanterare med värden för anslutning och användardefinierad routning.

  4. Välj fliken Hanteringsomfång eller välj Nästa: Hanteringsomfång > för att fortsätta.

  5. På fliken Hanteringsomfång väljer du + Lägg till.

  6. I Lägg till omfång väljer du din prenumeration eller hanteringsgrupp och väljer sedan Välj.

  7. Välj Granska + skapa och välj sedan Skapa för att distribuera Virtual Network Manager-instansen.

Skapa en nätverksgrupp med manuellt medlemskap

I den här uppgiften skapar du en nätverksgrupp med manuellt medlemskap som innehåller dina virtuella ekernätverk. Nätverksgrupper används för att hantera flera virtuella nätverk i en enda konfiguration.

  1. I Azure Portal väljer du din instans av nätverkshanteraren.

  2. Under Inställningar till vänster väljer du Nätverksgrupper och väljer + Skapa.

  3. I fönstret Skapa en nätverksgrupp anger du följande inställningar och väljer sedan Skapa:

    Inställning Värde
    Namn Ange ett namn för din nätverksgrupp.
    Beskrivning (Valfritt) Ange en beskrivning för din nätverksgrupp.
    Medlemstyp Välj virtuellt nätverk.

  4. På sidan Nätverksgrupper väljer du den nätverksgrupp som du skapade och väljer sedan Lägg till virtuella nätverk under Lägg till medlemmar manuellt.

  5. I fönstret Lägg till medlemmar manuellt väljer du virtuella ekernätverk och väljer sedan Lägg till.

    Viktigt!

    Lägg inte till det virtuella hubbnätverket i den här nätverksgruppen. Om den läggs till som medlem kan du inte skapa en anslutningskonfiguration för nav- och ekertopologi med gruppen. Hubben väljs när anslutningskonfigurationen skapas.

Skapa en anslutningskonfiguration

I den här uppgiften skapar du en anslutningskonfiguration som innehåller din nätverksgrupp och en routningsregelsamling. Du kan välja att aktivera direktanslutning i nav- och ekertopologin eller låta all kommunikation gå igenom det virtuella hubbnätverket och Azure-brandväggen.

  1. I nätverkshanterarens instans väljer du Konfigurationer under Inställningar och sedan Skapa anslutningskonfiguration.

  2. I fönstret Skapa en anslutningskonfiguration anger du namn och beskrivning för anslutningskonfigurationen på fliken Grundläggande och väljer sedan Nästa: Topologi .>

  3. På fliken Topologi anger eller väljer du följande inställningar:

    Inställning Värde
    Topologi Välj Hubb och eker.
    Hubb Välj Välj en hubb.
    På sidan Välj en hubb väljer du ditt virtuella hubbnätverk och väljer sedan Välj.
    Ekernätverksgrupper Välj + Lägg till>På sidan Lägg till nätverksgrupper väljer du din nätverksgrupp och väljer
    .

  4. I listan med ekernätverksgrupper kan du välja att aktivera direktanslutning eller globalt nät. Med direktanslutning kan virtuella ekernätverk kommunicera direkt med varandra. Med global mesh kan alla virtuella nätverk kommunicera med varandra. Om du lämnar dessa omarkerade resultat i alla virtuella ekernätverk som kommunicerar via det virtuella hubbnätverket och Azure-brandväggen.

    Viktigt!

    Om du aktiverar direktanslutning måste du ha en routningskonfiguration med direkt routning i det virtuella nätverket. Om du aktiverar global mesh måste du ha en routningskonfiguration med global mesh aktiverat.

    Skärmbild av Skapa en anslutningskonfiguration för hubb och eker med direktanslutning.

  5. Välj Nästa: Visualisering > för att granska anslutningskonfigurationen och välj sedan Granska + skapa>Skapa.

Distribuera anslutningskonfiguration

I den här uppgiften distribuerar du anslutningskonfigurationen för att skapa nav- och ekertopologin.

  1. I nätverkshanterarens instans väljer du Konfigurationer under Inställningar och väljer sedan den anslutningskonfiguration som du skapade.

  2. I aktivitetsfältet väljer du Distribuera.

  3. I fönstret Distribuera en konfiguration väljer du den anslutningskonfiguration som du skapade och väljer de målregioner som du vill distribuera konfigurationen till.

    Viktigt!

    Nav- och ekertopologin skapas i de valda regionerna. Se till att välja de regioner där dina virtuella nav- och ekernätverk distribueras.

  4. Välj Nästa eller fliken Granska + distribuera och välj sedan Distribuera.

  5. Välj Distributioner under Inställningar och kontrollera att distributionen lyckades.

Skapa en routningskonfiguration och regelsamling

I den här uppgiften skapar du en routningskonfiguration och regelsamling som innehåller din ekernätverksgrupp. Routningskonfigurationer definierar routningsreglerna för trafik mellan virtuella nätverk.

  1. I nätverkshanterarens instans väljer du Konfigurationer under Inställningar.

  2. På sidan Skapa en routningskonfiguration anger du routningskonfigurationens namn och beskrivning på fliken Grundläggande och väljer sedan Nästa: Regelsamling >.

  3. Välj Lägg tillfliken Regelsamlingar .

  4. I fönstret Lägg till en regelsamling anger eller väljer du följande inställningar för regelsamlingen:

    Inställning Värde
    Namn Ange ett namn för regelsamlingen.
    Beskrivning (Valfritt) Ange en beskrivning för regelsamlingen.
    Inställning för lokal väg Välj Direktdirigering i det virtuella nätverket.
    Aktivera BGP-vägspridning (Valfritt) Välj Aktivera BGP-vägspridning om du vill aktivera BGP-vägspridning (Border Gateway Protocol).
    Målnätverksgrupp Välj din ekernätverksgrupp.

  5. Under Routningsregler väljer du Lägg till för att skapa en ny routningsregel.

  6. I fönstret Lägg till en routningsregel anger eller väljer du följande inställningar för routningsregeln:

    Inställning Värde
    Namn Ange ett namn för routningsregeln.
    Mål
    Måltyp Välj IP-adress.
    Mål-IP-adresser/CIDR-intervall ange 0.0.0.0/0.
    Nästa hopp
    Nästa hopp-typ Välj Virtuell installation.
    Välj Importera privat IP-adress för Azure-brandväggen
    Azure-brandväggar Välj din Azure-brandvägg och välj sedan Välj.

  7. Välj Lägg till för att lägga till routningsregeln i regelsamlingen.

  8. Välj Lägg till för att lägga till regelsamlingen i routningskonfigurationen.

  9. Välj Granska + skapa och välj sedan Skapa.

Distribuera routningskonfigurationen

I den här uppgiften distribuerar du routningskonfigurationen för att skapa routningsreglerna för topologin hub-and-spoke.

  1. I nätverkshanterarens instans väljer du Distributioner under Inställningar.
  2. Välj Distribuera konfigurationer och välj sedan Routningskonfiguration – förhandsversion.
  3. I fönstret Distribuera en konfiguration väljer du den routningskonfiguration som du skapade och väljer de målregioner som du vill distribuera konfigurationen till.
  4. Välj Nästa eller Granska + distribuera för att granska distributionen och välj sedan Distribuera.

Ta bort alla resurser

Om du inte längre behöver de resurser som skapats i den här artikeln kan du ta bort dem för att undvika mer kostnader.

  1. I Azure Portal söker du efter och väljer Resursgrupper.
  2. Välj den resursgrupp som innehåller de resurser som du vill ta bort.

Nästa steg

Läs mer om användardefinierad väghantering i Azure Virtual Network Manager. Lär dig hur du använder användardefinierad väghantering i Azure Virtual Network Manager. Lär dig hur du hanterar flera topologier för hubbar och ekrar i Azure Virtual Network Manager.