通过

使用 Azure Virtual Network Manager 跨多个中心辐射型拓扑管理用户定义的路由 (UDR)

本文介绍如何使用 Azure Virtual Network Manager 部署多个中心辐射型拓扑,以及管理用户定义的路由 (UDR) 在多个 Azure 区域中具有中心辐射型体系结构时,此方案非常有用。 过去,具有防火墙或网络虚拟设备的客户需要执行许多手动操作来执行跨中心辐射。 用户需要手动设置许多用户定义的路由 (UDR),并且当辐射虚拟网络发生更改时(例如添加新的辐射虚拟网络和子网),还需要更改用户定义的路由和路由表。 使用 Virtual Network Manager 进行 UDR 管理可帮助你自动执行这些任务。

先决条件

包含中心辐射型虚拟网络拓扑的多中心拓扑示意图。

  • 部署了启用了 UDR 管理的 Virtual Network Manager 的 Azure 订阅。
  • 部署在不同的 Azure 区域中的两个中心辐射型拓扑。
  • 在每个区域中心部署的 Azure 防火墙实例 - 总共两个实例。
  • 每个区域中的中心虚拟网络相互对等互连。
  • 在每个区域的辐射虚拟网络中部署的虚拟机,以确认跨区域的网络连接。

注释

对于此方案,你已在两个不同的 Azure 区域中部署中心辐射型拓扑。 此方案中的示例将 中国北部 3 用作 区域 1 占位符, 中国东部 2 用作 区域 2 占位符。 可以根据需要使用任何其他 Azure 区域。

创建网络组

在此步骤中,你将部署四个网络组来表示每个中心辐射型拓扑中的辐射虚拟网络。 你还可以为每个区域中的 Azure 防火墙实例的子网创建网络组。

网络组名称 说明 成员类型 成员
ng-spoke-region1<> 区域 1 中辐射虚拟网络的网络组。 虚拟网络 区域 1 中的辐射虚拟网络。
ng-spoke-region2<> 区域 2 中辐射虚拟网络的网络组。 虚拟网络 区域 2 中的辐射虚拟网络。
ng-azfw-region1<> 区域 1 中 Azure 防火墙子网的网络组。 子网 区域 1 中的 Azure 防火墙子网。
ng-azfw-region2<> 区域 2 中 Azure 防火墙子网的网络组。 子网 区域 2 中的 Azure 防火墙子网。

  1. 在 Azure 门户中,导航到你的网络管理器实例。

  2. 在左窗格中,选择“设置”下的“网络组”。

  3. 选择+ 新建

  4. 在“创建网络组”窗口中,输入以下详细信息,然后选择“创建”:

    领域 价值
    名称 输入 ng-spoke-<region1> 或区域 1 中第一个中心虚拟网络的网络名称。
    说明 输入网络组的说明。
    成员类型 从下拉菜单中选择“虚拟网络”。

  5. 重复上述步骤,为区域 2 中的辐射虚拟网络和每个区域中的 Azure 防火墙子网创建剩余的网络组,具体参照上表。

将成员添加到网络组

在此步骤中,将分支虚拟网络和 Azure 防火墙子网添加到所创建的网络组。

  1. 在网络管理器实例中,导航到“设置”下的“网络组”。
  2. 选择区域 1 中辐射虚拟网络的网络组 - ng-spoke-<region1>
  3. 在“管理网络组的成员身份”下,选择“添加虚拟网络”。
  4. 在“手动添加成员”窗口中,选择区域 1 中的辐射虚拟网络,然后选择“添加”。

在每个区域中部署中心辐射型拓扑

在此步骤中,你将在网络管理器实例中创建两个连接配置,以在每个区域中部署中心辐射型拓扑。 为每个区域中的每个中心辐射型拓扑创建连接配置。

  1. 在网络管理器实例中,导航到“设置”下的“配置”。
  2. 选择“+ 创建”“连接配置”。>
  3. 在“创建连接配置”窗口的“基本”选项卡中,为第一个连接配置输入名称和说明。
  4. 选择“拓扑”选项卡或“下一步: 拓扑”。
  5. 在“拓扑”选项卡中,选择以下详细信息:
领域 价值
拓扑 选择“中心辐射型”。
中心 选择“选择一个中心”,然后选择区域 1 中的中心虚拟网络。
分支网络组 选择“+ 添加”。
在“添加网络组”窗口中,从区域 1 中选择分支网络组:**ng-spoke-<region1>,**ng-spoke-<region2>*
  1. 选择“可视化效果”选项卡或“下一步: 可视化效果”以查看拓扑。
  2. 选择“查看 + 创建”,然后“创建并开始部署”以部署连接配置。
  3. 在“部署配置”窗口中,选择“连接配置”下区域 1 的配置。
  4. 在“区域”下,选择要在其中部署配置的所有区域。
  5. 选择“下一步”,然后选择“部署”以在区域 1 中部署配置。
  6. 重复这些步骤,为区域 2 中的第二个中心辐射型拓扑创建和部署连接配置。

创建路由配置和规则集合

在此步骤中,你将创建一个路由配置,其中包含四个规则集合,用于管理之前创建的网络组。

规则集合名称 说明 目标网络组
rc-spoke-region1<> 区域 1 中分支虚拟网络的规则集合。 ng-spoke-region1<>
rc-spoke-<region2> 区域 2 中分支虚拟网络的规则集合。 ng-spoke-region2<>
rc-azfw-region1<> 区域 1 中 Azure 防火墙子网的规则集合。 <ng-azfw-region1>
rc-azfw-region2<> 区域 2 中 Azure 防火墙子网的规则集合。 ng-azfw-region2<>

  1. 在网络管理器实例中,导航到“设置”下的“配置”。

  2. 选择“+ 创建”“路由配置 - 预览”。>

  3. 在“创建路由配置”窗口中,输入路由配置的名称和说明。

  4. 选择“下一步: 规则集合”或“规则集合”选项卡。

  5. 在“规则集合”选项卡中,选择“+ 添加”或“添加”。

  6. 在“添加规则集合”窗口中,输入或选择以下详细信息,然后选择“添加”:

    领域 价值
    名称 ng-spoke-<region1> 输入规则集合的名称。
    说明 输入规则集合的说明。
    本地路由设置 选择“未指定”。
    目标网络组 选择区域 1 中辐射虚拟网络的网络组。

  7. 重复这些步骤,为剩余的网络组创建规则集合:ng-spoke-<region2>ng-azfw-<region1>ng-azfw-<region2>

  8. 选择“添加”以将规则集合添加到路由配置。

  9. 选择“下一步: 查看 + 创建”或“查看 + 创建”以查看路由配置。

  10. 选择“创建”以创建路由配置。

为每个规则集合创建路由规则

在这些步骤中,你需要在每个规则集合中创建路由规则,以管理每个区域中辐射虚拟网络与 Azure 防火墙子网之间的流量。

为区域 1 中的辐射虚拟网络创建路由规则

在此步骤中,你将为区域 1 中的辐射虚拟网络创建路由规则,以便与区域 1 中的 Azure 防火墙子网通信。

  1. 在网络管理器实例中,导航到“设置”下的“配置”。

  2. 选择你为区域 1 中的辐射虚拟网络创建的路由配置。

  3. 在左窗格中,选择“规则集合”并选择你的第一个规则集合 - rc-spoke->

  4. 在“编辑规则集合”窗口中,选择“+ 添加”。

  5. 在“添加路由规则”窗口中,输入或选择以下信息:

    领域 价值
    名称 输入路由规则的名称。
    目标类型 选择“IP 地址”。
    目标 IP 地址/CIDR 范围 输入默认路由“0.0.0.0/0”。
    下一个跃点类型 选择“虚拟设备”。
    选择“导入 Azure 防火墙专用 IP 地址”。 选择区域 1 中的 Azure 防火墙。

  6. 选择“添加”以将路由规则添加到规则集合。

  7. 选择“X”以关闭“编辑规则集合”窗口。

为区域 1 中的 Azure 防火墙创建路由规则

在这些步骤中,你将为区域 1 中的 Azure 防火墙子网创建一个路由规则,以便与区域 2 中的辐射虚拟网络通信。

在此示例中,汇总了远程区域地址前缀。 汇总地址前缀的好处是无需更改 Azure 防火墙子网的路由规则,即便新的辐射被添加到每个区域也是如此。 但是,必须预定义每个区域中使用的地址前缀,包括供将来使用的。

  1. 在“规则集合”窗口中,选择区域 1 中 Azure 防火墙子网的规则集合 - rc-azfw->

  2. 在“编辑规则集合”窗口中,选择“+ 添加”。

  3. 在“添加路由规则”窗口中,输入或选择以下信息:

    领域 价值
    名称 输入路由规则的名称。
    目标类型 选择“IP 地址”。
    目标 IP 地址/CIDR 范围 输入远程区域的汇总地址前缀 - 区域 2。 在此示例中,使用了“10.1.0.0/16”。
    下一个跃点类型 选择“虚拟设备”。
    选择“导入 Azure 防火墙专用 IP 地址”。 选择区域 2 中的远程 Azure 防火墙。

  4. 选择“添加”以将路由规则添加到规则集合。

  5. 选择“+ 添加”以添加默认 Internet 规则。 在“添加路由规则”窗口中,输入或选择以下信息:

    领域 价值
    名称 输入路由规则的名称。
    目标类型 选择“IP 地址”。
    目标 IP 地址/CIDR 范围 输入默认路由“0.0.0.0/0”。
    下一个跃点类型 选择“Internet”。

  6. 选择“添加”以将路由规则添加到规则集合。

  7. 选择“X”以关闭“编辑规则集合”窗口。

注释

汇总前缀让你可以对目标 IP 地址使用更大的地址范围。 当你在每个区域中有多个辐射虚拟网络,并且希望避免为每个辐射虚拟网络添加多个路由规则时,此功能很有用。 此外,每个区域中辐射虚拟网络的未来更改将不需要更改 Azure 防火墙子网的路由规则。

为区域 2 中的辐射虚拟网络创建路由规则

在此步骤中,你将为区域 2 中的辐射虚拟网络创建路由规则,以便与区域 2 中的 Azure 防火墙子网通信。

  1. 在“规则集合”窗口中,为区域 2 中的辐射虚拟网络选择规则集合 - rc-spoke->

  2. 在“编辑规则集合”窗口中,选择“+ 添加”。

  3. 在“添加路由规则”窗口中,输入或选择以下信息:

    领域 价值
    名称 输入路由规则的名称。
    目标类型 选择“IP 地址”。
    目标 IP 地址/CIDR 范围 输入默认路由“0.0.0.0/0”。
    下一个跃点类型 选择“虚拟设备”。
    选择“导入 Azure 防火墙专用 IP 地址”。 选择区域 2 中的 Azure 防火墙。

  4. 选择“+ 添加”以添加默认 Internet 规则。 在“添加路由规则”窗口中,输入或选择以下信息:

    领域 价值
    名称 输入路由规则的名称。
    目标类型 选择“IP 地址”。
    目标 IP 地址/CIDR 范围 输入默认路由“0.0.0.0/0”。
    下一个跃点类型 选择“Internet”。

  5. 选择“添加”以将路由规则添加到规则集合。

  6. 选择“X”以关闭“编辑规则集合”窗口。

为区域 2 中的 Azure 防火墙创建路由规则

在这些步骤中,你将为区域 2 中的 Azure 防火墙子网创建一个路由规则,以便与区域 1 中的辐射虚拟网络通信。

  1. 在“规则集合”窗口中,选择区域 2 中 Azure 防火墙子网的规则集合 - rc-azfw->

  2. 在“编辑规则集合”窗口中,选择“+ 添加”。

  3. 在“添加路由规则”窗口中,输入或选择以下信息:

    领域 价值
    名称 输入路由规则的名称。
    目标类型 选择“IP 地址”。
    目标 IP 地址/CIDR 范围 输入远程区域的汇总地址前缀 - 区域 1。 在此示例中,使用了“10.0.0.0/16”。
    下一个跃点类型 选择“虚拟设备”。
    选择“导入 Azure 防火墙专用 IP 地址”。 选择区域 1 中的远程 Azure 防火墙。

  4. 选择“添加”以将路由规则添加到规则集合。

  5. 选择“X”以关闭“编辑规则集合”窗口。

  6. 在“规则集合”窗口中,选择“设置”下的“规则”,然后查看路由配置中所有规则的列表。

    规则窗口的屏幕截图,其中列出了路由配置中的所有规则和规则集合。

部署路由配置

在此步骤中,你将部署路由配置,将路由规则应用于每个区域中的辐射虚拟网络和 Azure 防火墙子网。

  1. 浏览到网络管理器实例中的“设置”下的“配置”。
  2. 选中你创建的路由配置旁边的复选框,然后从任务栏中选择“部署”。
  3. 在“部署配置”窗口中,选择要在其中部署路由配置的所有区域。
  4. 选择“下一步”和“部署”以部署路由配置

确认路由配置

在此步骤中,通过查看应用于每个辐射虚拟网络中的子网的路由表来确认路由配置。

  1. 在 Azure 门户搜索栏中,搜索并选择“虚拟网络”。

  2. 在“虚拟网络”窗口中,选择区域 1 中的某个辐射虚拟网络。

  3. 在左侧菜单中,选择“子网”并查看辐射虚拟网络中子网的设置。

    显示路由配置部署中已应用的路由表的子网屏幕截图。

  4. 在“路由表”下,选择以“NM_”开头的链接,以查看应用于子网的路由表。

    子网路由表的屏幕截图。

  5. 关闭路由表和子网窗口。

  6. 重复这些步骤以查看应用于配置中的所有子网的路由表。

将辐射虚拟网络添加到现有的多中心辐射型拓扑

将其他虚拟网络添加到辐射虚拟网络的网络组时,连接和路由配置会自动应用到新的虚拟网络。 网络管理器会自动检测新的虚拟网络并应用所有适用的配置。 当你从网络组中移除虚拟网络时,将自动移除任何已应用的配置。

后续步骤

如何通过 Azure 防火墙部署中心辐射型拓扑