Zum Hauptinhalt wechseln

 Subscribe

Im Mai 2023 haben wir die allgemeine Verfügbarkeit von Routingabsichts- und Routingrichtlinien für alle Virtual WAN-Kunden angekündigt. Dieses Feature wird von der Virtual WAN-Routinginfrastruktur unterstützt und ermöglicht Azure Firewall-Kunden das Einrichten von Richtlinien für privaten und Internetdatenverkehr. Darüber hinaus erweitern wir dieselben Routingfunktionen auf alle Firewalllösungen, die in Azure Virtual WAN bereitgestellt werden, einschließlich Network Virtual Appliances und Software-as-a-Service (SaaS)-Lösungen, die Firewallfunktionen bereitstellen.

Routing Intent schließt auch zwei gesicherte Hub-Anwendungsfälle ab, in denen Benutzer den Datenverkehr zwischen virtuellen WAN-Hubs sichern und den Datenverkehr zwischen verschiedenen lokalen Netzwerken (Branch/ExpressRoute/SD-WAN) prüfen können, die über virtuelle WAN-Hubs transitiert.

Azure Virtual WAN (vWAN), Networking-as-a-Service, bringt Netzwerk-, Sicherheits- und Routingfunktionen zusammen, um das Netzwerk in Azure zu vereinfachen. Dank seiner Benutzerfreundlichkeit und Einfachheit ist vWAN ein Komplettangebot zum Verbinden, Schützen und Weiterleiten des Datenverkehrs und Überwachen Ihres WAN (Wide Area Network).

In diesem Blog werden zunächst Routingabsichtsanwendungsfälle, Produkterfahrungen und einige zusätzliche Überlegungen und Ressourcen für die Verwendung von Routingabsichten mit virtual WAN beschrieben.

Anwendungsfälle für virtuelles WAN

Sie können Routingabsicht verwenden, um Datenverkehr innerhalb des virtuellen WAN auf mehrere Arten zu entwickeln. Hier sind die Standard Anwendungsfälle:

Anwenden von Routingrichtlinien für virtuelle Netzwerke und lokal

Kunden, die Hub-and-Spoke-Netzwerkarchitekturen mit einer großen Anzahl von Routen implementieren, finden häufig ihre Netzwerke schwer zu verstehen, Standard tain und Problembehandlung. In Virtual WAN können diese Routen für den Datenverkehr zwischen virtuellen Azure-Netzwerken und lokalem Datenverkehr (ExpressRoute, VPN und SD-WAN) vereinfacht werden.

Virtual WAN vereinfacht dies für Kunden, indem Kunden einfache und deklarative private Routingrichtlinien konfigurieren können. Es wird davon ausgegangen, dass private Routingrichtlinien für alle virtuellen Azure-Netzwerke und lokalen Netzwerke angewendet werden, die mit virtuellem WAN verbunden sind. Weitere Anpassungen für virtuelle Netzwerke und lokale Präfixe werden derzeit nicht unterstützt. Private Routingrichtlinien weisen virtuelles WAN an, die zugrunde liegende virtuelle WAN-Routinginfrastruktur zu programmieren, um die Übertragung zwischen zwei verschiedenen lokalen (1) über eine im Virtual Hub bereitgestellte Sicherheitslösung zu ermöglichen. Es ermöglicht außerdem die Übertragung des Datenverkehrs zwischen zwei virtuellen Azure-Netzwerken (2) oder zwischen einem virtuellen Azure-Netzwerk und einem lokalen Endpunkt (3) über eine im Virtuellen Hub bereitgestellte Sicherheitslösung. Die gleichen Datenverkehrsanwendungsfälle werden für Azure Firewall-, Netzwerk virtual Appliances und Software-as-a-Service-Lösungen unterstützt, die im Hub bereitgestellt werden.

This image shows a diagram of a single Virtual WAN Hub secured with an integrated security solution. The diagram also shows traffic flows between Virtual Networks and on-premises.
Abbildung 1: Diagramm eines virtuellen Hubs mit beispielbasierten privaten Datenverkehrsflüssen (zwischen lokal und Azure).

Anwenden von Routingrichtlinien für Internetdatenverkehr

Mit virtual WAN können Sie Routingrichtlinien für Internetdatenverkehr einrichten, um eine Standardroute (0.0.0.0/0) an Ihre virtuellen Azure-Netzwerke und lokal zu bewerben. Mit Konfigurationen für das Routing von Internetdatenverkehr können Sie Azure Virtual Networks und lokale Netzwerke so konfigurieren, dass ausgehender Internetdatenverkehr (1) an sicherheitsrelevante Anwendung im Hub gesendet wird. Sie können auch DIE DNAT-Features (Destination-Network Address Translation) Ihrer Sicherheits-Anwendung nutzen, wenn Sie externen Benutzern Zugriff auf Anwendungen in einem virtuellen Azure-Netzwerk oder lokal (2) gewähren möchten.

This image shows a diagram of a single Virtual WAN hub with an integrated security solution. The diagram also shows traffic flows for Destination Network Address Translation and Internet-outbound use cases.
Abbildung 2: Diagramm eines virtuellen Hubs mit eingehenden und eingehenden DNAT-Datenverkehrsflüssen im Internet.

Anwenden von Routingrichtlinien für den grenzüberschreitenden Datenverkehr zwischen hubs

Virtual WAN stellt automatisch alle virtuellen Hubs über Ihr virtuelles WAN in einem vollständigen Gitter bereit, und bietet zero-touch any-touch-to-any connectivity region-to-region- und hub-to-hub-to-hub unter Verwendung des globalen Backbones von Microsoft. Routingrichtlinienprogramm für virtuelles WAN, um den Datenverkehr zwischen zwei virtuellen Azure-Netzwerken (1), zwischen zwei lokalen Netzwerken (2) und zwischen Azure Virtual Networks und lokalen Netzwerken (3) zu prüfen, die mit verschiedenen Hubs verbunden sind. Jedes Paket, das den Hub eingibt oder verlässt, wird an die im Virtuellen Hub bereitgestellte Sicherheitslösung weitergeleitet, bevor es an das endgültige Ziel weitergeleitet wird.

This image shows a diagram of two Virtual WAN hubs, each with an integrated security solution. The diagram also shows inter-region and inter-hub secure hub use cases.
Abbildung 3: Diagramm der interregionalen und inter-hub-Datenverkehrsflüsse, die von Sicherheitslösungen im Hub überprüft werden.

Um die Routingabsicht zu verwenden, navigieren Sie zu Ihrem virtuellen WAN-Hub. Wählen Sie unter "Routing" die Option "Routingabsicht" und "Routingrichtlinien" aus.

Konfigurieren Sie eine Internet- oder private Routingrichtlinie, um Datenverkehr an eine im Hub bereitgestellte Sicherheitslösung zu senden, indem Sie den nächsten Hoptyp (Azure Firewall, Network Virtual Appliance oder SaaS-Lösung) und die entsprechende nächste Hopressource auswählen.

This image is a screenshot of the user experience of configuring routing intent and policies through Virtual WAN Portal. The hub is configured to send Internet and Private traffic via Azure Firewall.
Abbildung 4: Beispielkonfiguration der Routingabsicht mit der Richtlinie für privates und Internetrouting im virtuellen WAN-Portal.

Azure Firewall-Kunden können die Routingabsicht auch mithilfe von Azure Firewall Manager konfigurieren, indem sie die Einstellung "Hub-Inter-Hub" aktivieren.

This image is a screenshot of the user experience of configuring routing intent and policies through Azure Firewall Manager. The inter-hub setting is toggled to Enabled.
Abbildung 5: Aktivieren der Routingabsicht über Azure Firewall Manager.

Nach dem Konfigurieren der Routingabsicht können Sie die effektiven Routen der Sicherheitslösung anzeigen, indem Sie zu Ihrem virtuellen Hub navigieren, dann "Routing" auswählen und auf "Effektive Routen" klicken. Die effektiven Routen der Sicherheitslösung bieten zusätzliche Sichtbarkeit, um zu beheben, wie Virtual WAN Datenverkehr leitet, der von der Sicherheitslösung des virtuellen Hubs überprüft wurde.

The image is a screenshot of the output when you view the effective routes on Azure Firewall. The screenshot shows a list of routes that
Abbildung 6: Anzeigen der effektiven Routen für eine im Hub bereitgestellte Sicherheitslösung.

Bevor Sie mit diesem Feature beginnen, finden Sie hier einige wichtige Überlegungen:

  1. Das Feature richtet sich an Benutzer, die virtuelles Netzwerk und lokalen Datenverkehr als privaten Datenverkehr betrachten. Virtuelles WAN wendet private Routingrichtlinien auf alle virtuellen Netzwerke und lokalen Datenverkehr an.
  2. Routingabsichten schließen sich gegenseitig mit benutzerdefinierten Routing- und statischen Routen in der "defaultRouteTable" aus, die auf network Virtual Appliance (NVA) verweisen, die in einem virtuellen Netzwerk mit virtual WAN verbunden ist. Daher sind Anwendungsfälle, in denen Benutzer benutzerdefinierte Routentabellen oder NVA-in-Spoke-Anwendungsfälle verwenden, nicht anwendbar.
  3. Routing Intent kündigt Präfixe an, die allen Verbindungen mit virtuellem WAN zu lokalen Netzwerken entsprechen. Benutzer können Route Karten verwenden, um Routen zusammenzufassen und zu aggregieren und basierend auf definierten Übereinstimmungsbedingungen zu filtern.

Weitere Informationen zu Azure Virtual WAN

Wir planen, Azure Virtual WAN in Zukunft weiter auszubauen und weitere Features hinzuzufügen. Wir empfehlen Ihnen, die Routingabsichtsfunktion in Azure Virtual WAN auszuprobieren und freuen uns darauf, mehr über Ihre Erfahrungen zu erfahren, um Ihr Feedback in das Produkt zu integrieren.

  • Explore

     

    Let us know what you think of Azure and what you would like to see in the future.

     

    Provide feedback

  • Build your cloud computing and Azure skills with free courses by Microsoft Learn.

     

    Explore Azure learning


Join the conversation

Leave a Reply

Your email address will not be published. Required fields are marked *