Networking (UDRs) in Azure: Einfügen der VM- Serie in eine Azure-Umgebung

Networking (UDRs) in Azure: Einfügen der VM- Serie in eine Azure-Umgebung

88577
Created On 09/25/18 15:12 PM - Last Modified 01/18/23 20:45 PM


Symptom


Hintergrund: Azure bietet eine virtuelle Netzwerkdarstellung von realen Netzwerken. Dieses virtuelle Netzwerk ( ) stellt einen privaten Bereich von VNET RFC 1918 bereit, der mit Subnetzen konfiguriert werden kann. Ein Leerzeichen kann z. VNET B. 10.0.0.0/16 sein und Subnetze 10.0.1.0/24 und 10.0.2.0/24 enthalten. VM ' s in diesen Subnetzen können "automatisch" miteinander sprechen. Dies wird durch das integrierte Routing bereitgestellt, das von Azure bereitgestellt wird. Die ". 1" jedes Subnetzes ist immer das Standard-Gateway und Azure kümmert sich darum, die Pakete an das Ziel innerhalb des virtuellen Netzwerks zu liefern. Gesteuert wird dies über System Routen, die über gestrichelte Linien zwischen VMs im Diagramm unten angezeigt werden.  

Azure+ UDR +Routing+ VM- Serie.png

Resolution


Benutzerdefinierte Routen ( UDR )

UDR Tabellen ermöglichen es Ihnen, als Benutzer oder IT /Security-Administrator zusätzliche Regeln hinzuzufügen, die den Datenverkehr innerhalb der VNET steuern. Sie können angeben, dass für subnet1, das versucht, eine bestimmte IP Adresse/einen bestimmten Bereich/Subnetz zu erreichen, der nächste Hop sein soll, bei dem es sich um eine virtuelle Appliance handelt, die eine VM- Serie firewall ist. Im Obigen Diagramm erzwingen die UDR Regeln für subnet1 und subnet2 nun Pakete durch die VM- Serie firewall . Der firewall wird mit 3 Schnittstellen bereitgestellt: eth0 für Management (Mgmt), eth1 (E1/1) für Internet-Seite (Untrust) und eth2 (E1/2) für interne/private Netzwerke (Trust) Netzwerke. Die Trust-Schnittstelle kann alle internen Subnetze schützen, indem UDR alle Pakete durch die Serie gezwitschert VM- firewall werden. Laut Microsoft-Dokumentation: "Subnetze verlassen sich auf System Routen, bis ein Strecken Tisch mit dem Subnetz verbunden ist. Sobald eine Zuordnung vorhanden ist, erfolgt das Routing basierend auf der längsten Präfixübereinstimmung ( LPM ) zwischen benutzerdefinierten Routen und Systemrouten. Wenn es mehr als eine Route mit der gleichen niedrigsten Präfixübereinstimmung ( ) gibt, LPM wird eine Route basierend auf ihrem Ursprung in der folgenden Reihenfolge ausgewählt:

  1. Benutzerdefinierte Route
  2. BGP Route (wenn ExpressRoute verwendet wird)
  3. System Route "

 

Dies bedeutet, dass die UDR höhere Priorität erhält, solange Sie eine spezifischere UDR (z. B. mit Präfix /24) als die Systemroute policy (/16) erstellen. Sie können die UDR in der Tabelle Azure Portal > Anzeigen anzeigen. So sehen Sie die Systemrouten an, die UDR auf eine Einzelperson angewendet VM werden: Im Azure Portal > (wählen Sie Ihre VM ) > (wählen Sie die Netzwerkschnittstelle) > Effektive Routen.


Jetzt befindet sich die VM- Serie firewall im Datenverkehrspfad und kann die von Ihnen konfigurierten Sicherheitsrichtlinien anwenden. Wenn der Verkehr Zwischenschnitt stellen (und ihren Verwandten Zonen) fließt, sagen Sie Unvertrauen zu vertrauen, dann sollten die Sicherheitsrichtlinien zwischen den Zonen eingerichtet werden. Und wenn es zwischen Subnetzen ist, die durch eine einzige Schnittstelle geschützt sind, z. B. zwischen Subnetz 1 und Subnetz 2, sollte eine Zonensicherheit policy erstellt werden. Beispiel: subnet1 (für Web-Apps) - Subnetz 2 (für Datenbank): SQL Datenverkehr zulassen.

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClD6CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language