Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
使用虚拟 WAN 虚拟中心路由时,有很多可用方案。 在此方案中,目标是要防止 VNet 之间相互通信。 这称为隔离 VNet。 有关虚拟中心路由的信息,请参阅关于虚拟中心路由。
设计
在此方案中,某个特定 VNet 内的工作负载保持被隔离状态,无法与其他 VNet 通信。 但是,这些 VNet 需要与所有分支(VPN、ER 和用户 VPN)通信。 为了确定将会需要多少个路由表,可以构建一个连接矩阵。 对于此方案,它将如下表所示,其中每个单元格表示源(行)是否可以与目标(列)通信:
| 来自 | 到 | VNet | 分支 |
|---|---|---|---|
| VNet | → | 直接 | 直接 |
| 分支 | → | 直接 | 直接 |
上表中的各单元格描述了虚拟 WAN 连接(流的“源”端,行标题)是否与目标前缀(流的“目标”端,斜体形式的列标题)通信。 在此场景中,没有防火墙或网络虚拟设备,因此通信直接通过虚拟 WAN 进行(因此在表中使用“直接”一词)。
此连接矩阵提供了两种不同的行模式,它们会转换为两个路由表。 虚拟 WAN 已经有一个 Default 路由表,所以我们需要有另一个路由表。 在此示例中,我们将该路由表命名为 RT_VNET。
VNet 将会与此 RT_VNET 路由表关联。 由于它们需要连接到分支,因此分支需要传播到 RT_VNET(否则 VNet 无法获取分支前缀)。 由于分支始终关联到 Default 路由表,因此 VNet 需要传播到 Default 路由表。 这样,最终设计如下:
- 虚拟网络:
- 关联的路由表:RT_VNET
- 传播到路由表:默认
- 分支:
- 关联的路由表:默认
- 传播到路由表:RT_VNET 和 Default
请注意,由于只有分支传播到 RT_VNET 路由表,因此只有这些才是 VNet 将要获取的前缀,而其他 VNet 的分支则不是。
有关虚拟中心路由的信息,请参阅关于虚拟中心路由。
工作流程
若要配置此方案,请考虑以下步骤:
在每个中心创建自定义路由表。 在此示例中,路由表为 RT_VNet。 若要创建路由表,请参阅如何配置虚拟中心路由。 若要详细了解路由表,请参阅关于虚拟中心路由。
创建 RT_VNet 路由表时,请配置以下设置:
- Association:选择要隔离的 VNet。
- 传播:为分支选择选项,意味着分支 (VPN/ER/P2S) 连接会将路由传播到此路由表。
