通过

如何通过 Azure 防火墙部署中心和分支型拓扑

本文介绍如何使用 Azure Virtual Network Manager (AVNM) 通过 Azure 防火墙部署中心和分支型拓扑。 创建网络管理器实例,并为受信任和不受信任的流量实现网络组。 接下来,部署用于定义中心和分支型拓扑的连接配置。 部署连接配置时,可以选择在分支虚拟网络之间添加直接连接以进行直接、受信任的通信,或要求分支通过中心网络进行通信。 最后部署路由配置以将所有流量路由到 Azure 防火墙,但虚拟网络受信任时同一虚拟网络中的流量除外。

许多组织使用 Azure 防火墙来保护其虚拟网络免受威胁和排除不想要的流量,并将所有流量路由到 Azure 防火墙,但同一虚拟网络中受信任的流量除外。 传统上,设置此类方案很繁琐,因为需要为每个新子网创建新的用户定义的路由 (UDR),并且所有路由表都具有不同的 UDR。 Azure Virtual Network Manager 中的 UDR 管理可以通过创建路由规则,将所有流量路由到 Azure 防火墙(同一虚拟网络中的流量除外)来轻松实现此方案。

先决条件

  • 有权在订阅中创建资源的 Azure 订阅。 如果没有 Azure 订阅,可在开始前创建一个试用帐户
  • 同一区域中具有子网的三个虚拟网络。 一个虚拟网络是中心虚拟网络,另外两个虚拟网络是分支虚拟网络。
    • 在本示例中,中心虚拟网络名为 hub-vnet,分支虚拟网络是 spoke-vnet-1spoke-vnet-2
    • 中心虚拟网络需要名为 AzureFirewallSubnet 的 Azure 防火墙子网。
  • 启用了用户定义的路由和连接配置的 Azure Virtual Network Manager 实例。
  • 在中心和分支型拓扑中配置的所有虚拟网络。
  • 中心虚拟网络中的 Azure 防火墙。 有关详细信息,请参阅使用 Azure 门户部署和配置 Azure 防火墙和策略

创建 Virtual Network Manager 实例

在此步骤中,你部署启用了用户定义的路由的 Virtual Network Manager 实例。

  1. 登录到 Azure 门户

  2. 选择“+ 创建资源”并搜索“网络管理器” 。 然后选择“网络管理器”>“创建”,以开始设置 Virtual Network Manager。

  3. 在“基本信息”选项卡上,输入或选择以下信息,然后选择“审阅 + 创建”。

    设置 价值
    订阅 选择要部署 Virtual Network Manager 的订阅。
    资源组 选择包含你的虚拟网络和防火墙的资源组。
    选择“确定”。
    名称 输入网络管理器的名称。
    区域 选择 “中国北部 3 ”或你选择的区域。 Virtual Network Manager 可以管理任何区域中的虚拟网络。 所选区域是将要部署 Virtual Network Manager 实例的位置。
    说明 (可选)提供有关此 Virtual Network Manager 实例及其管理的任务的说明。
    功能 从下拉列表中选择“用户定义的路由”和“连接性”。

    “创建网络管理器”窗口的屏幕截图,其中包含连接性和用户定义的路由的值。

  4. 选择“管理范围”选项卡,或选择“下一步: 管理范围 ”以继续>

  5. 在“管理范围”选项卡上,选择“+ 添加”

  6. 在“添加范围”中,选择你的订阅或管理组,然后选择“选择”。

  7. 选择“查看 + 创建”,然后选择“创建”以部署 Virtual Network Manager 实例

创建具有手动成员身份的网络组

在此任务中,你将创建具有包含你的分支虚拟网络的手动成员身份的网络组。 网络组用于在单个配置中管理多个虚拟网络。

  1. 在 Azure 门户中,选择你的网络管理器实例。

  2. 在左侧的“设置”下,选择“网络组”,然后选择“+ 创建”。

  3. 在“创建网络组”窗格中,输入以下设置,然后选择“创建”:

    设置 价值
    名称 输入网络组的名称。
    说明 (可选)输入网络组的说明。
    成员类型 选择“虚拟网络”。

  4. 在“网络组”页上,选择你创建的网络组,然后在“手动添加成员”下选择“添加虚拟网络”。

  5. 在“手动添加成员”窗口中,选择分支虚拟网络,然后选择“添加”。

    重要

    不要将中心虚拟网络添加到此网络组。 如果将其添加为成员,则不能使用该组创建中心和分支型拓扑连接性配置。 在创建连接性配置期间,会选择该中心。

创建连接配置

在此任务中,你将创建一个连接性配置,其中包括你的网络组和路由规则集合。 可以选择在中心和分支型拓扑中启用直接连接,或者让所有通信都通过中心虚拟网络和 Azure 防火墙进行。

  1. 在网络管理器实例中,选择“设置”下的“配置”,然后选择“创建连接性配置”。

  2. 在“创建连接性配置”窗口中,在“基本信息”选项卡中输入连接性配置的“名称”和“说明”,然后选择“下一步: 拓扑”。>

  3. 在“拓扑”选项卡中,输入或选择以下设置:

    设置 价值
    拓扑 选择“中心辐射型”。
    中心 选择“选择中心”。在“选择中心”页上,选择你的中心虚拟网络,然后选择“选择”。
    分支网络组 选择“+ 添加”“添加网络组”。>在“添加网络组”页上,选择你的网络组,然后选择“选择”。

  4. 从“分支网络组”的列表中,可以选择启用“直接连接”或“全局网格”。 直接连接让分支虚拟网络可以彼此直接通信。 全局网格让所有虚拟网络可以相互通信。 未选中这些选项会导致所有分支虚拟网络通过中心虚拟网络和 Azure 防火墙进行通信。

    重要

    如果启用直接连接,则必须在虚拟网络中具有使用直接路由的路由配置。 如果启用全局网格,则必须具有启用了全局网格的路由配置。

    为中心和分支创建连接性配置的屏幕截图,其中使用了直接连接。

  5. 选择“下一步: 可视化>”以查看连接性配置,然后选择“查看 + 创建”“创建”。>

部署连接性配置

在此任务中,你部署连接性配置以创建中心和分支型拓扑。

  1. 在网络管理器实例中,选择“设置”下的“配置”,然后选择你创建的连接性配置。

  2. 在任务栏中,选择“部署”。

  3. 在“部署配置”窗口中,选择你创建的连接性配置,然后选择要向其部署配置的“目标区域”。

    重要

    中心和分支型拓扑在所选区域中创建。 请确保选择你的中心和分支虚拟网络的部署区域。

  4. 选择“下一步”或“查看 + 部署”选项卡,然后选择“部署”。

  5. 在“设置”下选择“部署”,并验证部署是否成功。

创建路由配置和规则集合

在此任务中,你将创建包含你的分支网络组的路由配置和规则集合。 路由配置定义了虚拟网络之间的流量的路由规则。

  1. 在网络管理器实例中,选择“设置”下的“配置”。

  2. 在“创建路由配置”页上,在“基本信息”选项卡上输入路由配置的“名称”和“说明”,然后选择“下一步: 规则集合”。>

  3. 在“规则集合”选项卡中,选择“添加”。

  4. 在“添加规则集合”窗口中,输入或选择规则集合的以下设置:

    设置 价值
    名称 输入规则集合的名称。
    说明 (可选)输入规则集合的说明。
    本地路由设置 选择“虚拟网络中的直接路由”
    启用 BGP 路由传播 (可选)如果要启用 BGP 路由传播,请选择“启用 BGP 路由传播”。
    目标网络组 选择你的分支网络组。

  5. 在“路由规则”下,选择“添加”以创建新的路由规则。

  6. 在“添加路由规则”窗口中,输入或选择路由规则的以下设置:

    设置 价值
    名称 为你的路由规则输入名称。
    目的地
    目标类型 选择“IP 地址”。
    目标 IP 地址/CIDR 范围 输入 0.0.0.0/0。
    下一跃点
    下一个跃点类型 选择“虚拟设备”。
    选择“导入 Azure 防火墙专用 IP 地址”
    Azure 防火墙 选择你的 Azure 防火墙,然后选择“选择”。

  7. 选择“添加”以将路由规则添加到规则集合。

  8. 选择“添加”以将规则集合添加到路由配置。

  9. 依次选择“查看 + 创建”、“创建”。

部署路由配置

在此任务中,你将部署路由配置,为中心和分支型拓扑创建路由规则。

  1. 在网络管理器实例中,选择“设置”下的“部署”。
  2. 选择“部署配置”,然后选择“路由配置 - 预览”。
  3. 在“部署配置”窗口中,选择你创建的路由配置,然后选择要向其部署配置的“目标区域”。
  4. 选择“下一步”或“查看 + 部署”以查看部署,然后选择“部署”。

删除所有资源

如果不再需要本文中创建的资源,可以将其删除,以避免产生更多成本。

  1. 在 Azure 门户中,搜索并选择“资源组”。
  2. 选择包含要删除的资源的资源组。

后续步骤

详细了解用户定义的路由 (UDR)