Compartilhar via

如何使用 Azure 防火墙部署中心辐射型拓扑

本文介绍如何使用 Azure 虚拟网络管理器通过 Azure 防火墙部署中心辐射型拓扑。 创建 Azure 虚拟网络管理器实例或网络管理器,并为受信任和不受信任的流量实现网络组。 接下来,部署一个定义中心和分支拓扑的连接配置。 部署连接配置时,可以选择为辐射虚拟网络之间的受信任通信添加 直接连接 ,或者要求辐射虚拟网络通过中心虚拟网络进行通信。 完成部署路由配置,将所有流量路由到 Azure 防火墙,但当虚拟网络被信任时,在同一虚拟网络内的流量除外。

许多组织使用 Azure 防火墙来保护其虚拟网络免受威胁和排除不想要的流量,并将所有流量路由到 Azure 防火墙,但同一虚拟网络中受信任的流量除外。 传统上,设置此类场景很繁琐,因为需要为每个新子网创建新的用户定义的路由(UDR),并且不同路由表中有不同的 UDR。 Azure 虚拟网络管理器中的 UDR 管理通过创建路由规则,将所有流量路由到 Azure 防火墙(同一虚拟网络中的流量除外)以及轻松地跨辐射虚拟网络应用此规则,从而帮助你轻松实现此方案。

先决条件

  • 有权在订阅中创建资源的 Azure 订阅。 如果没有 Azure 订阅,可在开始前创建一个试用帐户

  • 同一区域中具有子网的三个虚拟网络。 一个虚拟网络是中心虚拟网络,另外两个虚拟网络是分支虚拟网络。

    • 在本示例中,中心虚拟网络名为 hub-vnet,分支虚拟网络是 spoke-vnet-1spoke-vnet-2
    • 中心虚拟网络需要名为 AzureFirewallSubnet 的 Azure 防火墙子网。

  • 启用了用户定义的路由和连接功能的 Azure 虚拟网络管理器实例。

  • 通过连接配置在中心和分支拓扑中配置的或手动创建的所有虚拟网络。

  • 中心虚拟网络中的 Azure 防火墙。 有关详细信息,请参阅使用 Azure 门户部署和配置 Azure 防火墙和策略

创建 Virtual Network Manager 实例

在此步骤中,你部署启用了用户定义的路由的 Virtual Network Manager 实例。

  1. 登录到 Azure 门户

  2. 选择“+ 创建资源”并搜索“网络管理器” 。 然后选择“网络管理器”>“创建”,以开始设置 Virtual Network Manager。

  3. 在“基本信息”选项卡上,输入或选择以下信息,然后选择“审阅 + 创建”。

    设置 价值
    订阅 选择要部署 Virtual Network Manager 的订阅。
    资源组 选择包含你的虚拟网络和防火墙的资源组。
    选择“确定”。
    名称 输入网络管理器的名称。
    区域 选择 “中国北部 3 ”或你选择的区域。 Virtual Network Manager 可以管理任何区域中的虚拟网络。 所选区域是将要部署 Virtual Network Manager 实例的位置。
    说明 (可选)提供有关此 Virtual Network Manager 实例及其管理的任务的说明。
    功能 从下拉列表中选择“用户定义的路由”和“连接性”。

    “创建网络管理器”窗口的屏幕截图,其中包含连接性和用户定义的路由的值。

  4. 选择“管理范围”选项卡,或选择“下一步: 管理范围 ”以继续>

  5. 在“管理范围”选项卡上,选择“+ 添加”

  6. 在“添加范围”中,选择你的订阅或管理组,然后选择“选择”。

  7. 选择“查看 + 创建”,然后选择“创建”以部署 Virtual Network Manager 实例

创建具有手动成员身份的网络组

在此任务中,你将创建具有包含你的分支虚拟网络的手动成员身份的网络组。 网络组用于在单个配置中管理多个虚拟网络。

  1. 在 Azure 门户中,选择你的网络管理器实例。

  2. 在左侧的“设置”下,选择“网络组”,然后选择“+ 创建”。

  3. 在“创建网络组”窗格中,输入以下设置,然后选择“创建”:

    设置 价值
    名称 输入网络组的名称。
    说明 (可选)输入网络组的说明。
    成员类型 选择“虚拟网络”。

  4. 在“网络组”页上,选择你创建的网络组,然后在“手动添加成员”下选择“添加虚拟网络”。

  5. 在“手动添加成员”窗口中,选择分支虚拟网络,然后选择“添加”。

    重要

    不要将中心虚拟网络添加到此网络组。 如果将其添加为成员,则不能使用该组创建中心和分支型拓扑连接性配置。 在创建连接性配置期间,会选择该中心。

创建连接配置

在此任务中,你将创建一个连接性配置,其中包括你的网络组和路由规则集合。 可以选择在中心和分支型拓扑中启用直接连接,或者让所有通信都通过中心虚拟网络和 Azure 防火墙进行。

  1. 在网络管理器实例中,选择“设置”下的“配置”,然后选择“创建连接性配置”。

  2. 在“创建连接性配置”窗口中,在“基本信息”选项卡中输入连接性配置的“名称”和“说明”,然后选择“下一步: 拓扑”。>

  3. 在“拓扑”选项卡中,输入或选择以下设置:

    设置 价值
    拓扑 选择“中心辐射型”。
    中心 选择“选择中心”。在“选择中心”页上,选择你的中心虚拟网络,然后选择“选择”。
    分支网络组 选择“+ 添加”“添加网络组”。>在“添加网络组”页上,选择你的网络组,然后选择“选择”。

  4. 从“分支网络组”的列表中,可以选择启用“直接连接”或“全局网格”。 直接连接让分支虚拟网络可以彼此直接通信。 全局网格让所有虚拟网络可以相互通信。 未选中这些选项会导致所有分支虚拟网络通过中心虚拟网络和 Azure 防火墙进行通信。

    重要

    如果启用直接连接,则必须在虚拟网络中具有使用直接路由的路由配置。 如果启用全局网格,则必须具有启用了全局网格的路由配置。

    为中心和分支创建连接性配置的屏幕截图,其中使用了直接连接。

  5. 选择“下一步: 可视化>”以查看连接性配置,然后选择“查看 + 创建”“创建”。>

部署连接性配置

在此任务中,你部署连接性配置以创建中心和分支型拓扑。

  1. 在网络管理器实例中,选择“设置”下的“配置”,然后选择你创建的连接性配置。

  2. 在任务栏中,选择“部署”。

  3. 在“部署配置”窗口中,选择你创建的连接性配置,然后选择要向其部署配置的“目标区域”。

    重要

    中心和分支型拓扑在所选区域中创建。 请确保选择你的中心和分支虚拟网络的部署区域。

  4. 选择“下一步”或“查看 + 部署”选项卡,然后选择“部署”。

  5. 在“设置”下选择“部署”,并验证部署是否成功。

创建路由配置和规则集合

在此任务中,你将创建包含你的分支网络组的路由配置和规则集合。 路由配置定义了虚拟网络之间的流量的路由规则。

  1. 在网络管理器实例中,选择“设置”下的“配置”。

  2. “创建路由配置”页上,在“基本信息”选项卡上输入路由配置的“名称和说明”,然后选择“下一步:规则集合>”。

  3. 在“规则集合”选项卡中,选择“添加”。

  4. 在“添加规则集合”窗口中,输入或选择规则集合的以下设置:

    设置 价值
    名称 输入规则集合的名称。
    说明 (可选)输入规则集合的说明。
    本地路由设置 选择“虚拟网络中的直接路由”
    启用 BGP 路由传播 (可选)如果要启用边界网关协议(BGP)路由传播,请选择启用 BGP 路由传播
    目标网络组 选择你的分支网络组。

  5. 在“路由规则”下,选择“添加”以创建新的路由规则。

  6. 在“添加路由规则”窗口中,输入或选择路由规则的以下设置:

    设置 价值
    名称 为你的路由规则输入名称。
    目的地
    目标类型 选择“IP 地址”。
    目标 IP 地址/CIDR 范围 输入 0.0.0.0/0。
    下一跃点
    下一个跃点类型 选择“虚拟设备”。
    选择“导入 Azure 防火墙专用 IP 地址”
    Azure 防火墙 选择你的 Azure 防火墙,然后选择“选择”。

  7. 选择“添加”以将路由规则添加到规则集合。

  8. 选择“添加”以将规则集合添加到路由配置。

  9. 依次选择“查看 + 创建”、“创建”。

部署路由配置

在此任务中,部署路由配置,为中心和分支型拓扑创建路由规则。

  1. 在网络管理器实例中,选择“设置”下的“部署”。
  2. 选择“部署配置”,然后选择“路由配置 - 预览”。
  3. “部署配置 ”窗口中,选择创建的路由配置,然后选择要向其部署配置 的目标区域
  4. 选择“下一步”或“查看 + 部署”以查看部署,然后选择“部署”。

删除所有资源

如果不再需要本文中创建的资源,可以将其删除,以避免产生更多成本。

  1. 在 Azure 门户中,搜索并选择“资源组”。
  2. 选择包含要删除的资源的资源组。

后续步骤

详细了解 Azure 虚拟网络管理器中的用户定义的路由管理了解如何在 Azure 虚拟网络管理器中使用用户定义的路由管理了解如何在 Azure 虚拟网络管理器中管理多个中心辐射型拓扑