Réseautage (UDRs) dans Azure : Insertion de la VM- série dans un environnement Azure

Réseautage (UDRs) dans Azure : Insertion de la VM- série dans un environnement Azure

88603
Created On 09/25/18 15:12 PM - Last Modified 01/18/23 20:45 PM


Symptom


Contexte: Azure fournit une représentation réseau virtuelle des réseaux du monde réel. Ce réseau virtuel VNET () fournit un RFC espace privé de 1918 qui peut être configuré avec des sous-réseaux. Par exemple, un VNET espace peut être 10.0.0.0/16 et contenir des sous-réseaux 10.0.1.0/24 et 10.0.2.0/24. VM ' dans ces sous-réseaux peuvent se parler « automatiquement ». Ceci est fourni par le routage intégré fourni par Azure. Le ". 1" de chaque sous-réseau est toujours la passerelle par défaut et Azure prend soin de livrer les paquets à la destination à l'intérieur du réseau virtuel. Ceci est contrôlé via les itinéraires du système affichés via des lignes pointillées entre les VM dans le diagramme ci-dessous.  

Série Azure+ UDR VM- +Routing+.png

Resolution


Itinéraires définis par l’utilisateur ( UDR )

UDR les tableaux vous permettent, en tant qu’utilisateur ou IT administrateur de sécurité, d’ajouter des règles supplémentaires qui contrôlent les flux de trafic à l’intérieur de la VNET . Vous pouvez spécifier que pour subnet1 essayer d’atteindre une IP adresse spécifique / gamme / sous-réseau ce que le prochain saut devrait être, qui peut être un appareil virtuel qui est une série VM- firewall . Dans le diagramme ci-dessus UDR les règles pour subnet1 et subnet2 sont maintenant forcer les paquets à travers la VM- série firewall . Le firewall est déployé avec 3 interfaces: eth0 pour la gestion (Mgmt), eth1 (E1/1) pour internet face côté (Untrust), et eth2 (E1/2) pour les réseaux internes / privés (Trust). L’interface Trust peut protéger tous les sous-réseaux internes en ayant UDR force tous les paquets à travers la VM- série firewall . Selon la documentation Microsoft: «les sous-réseaux dépendent des itinéraires système jusqu'à ce qu'une table d'itinéraires soit associée au sous-réseau. Une fois qu’une association existe, le routage se fait en fonction de la correspondance préfixe la plus longue LPM () parmi les itinéraires définis par l’utilisateur et les itinéraires système. S’il y a plus d’un itinéraire avec le même match préfixe le plus LPM bas () match, puis un itinéraire est sélectionné en fonction de son origine dans l’ordre suivant:

  1. Itinéraire défini par l'Utilisateur
  2. BGP itinéraire (lorsque ExpressRoute est utilisé)
  3. Route système "

 

Cela signifie que la UDR priorité sera plus élevée tant que vous créez un plus spécifique UDR (par exemple avec préfixe /24) que l’itinéraire du système policy (/16). Vous pouvez afficher la UDR table azure portal > route. Pour voir les itinéraires système UDR et appliqués sur un individu VM : Dans le portail Azure > (sélectionnez VM votre) > (sélectionnez l’interface réseau) > itinéraires efficaces.


Maintenant, la VM- série est dans la trajectoire de trafic et peut appliquer les firewall stratégies de sécurité que vous configurez. Lorsque le trafic circule entre les interfaces (et leurs zones connexes), dites non-confiance à Trust, les stratégies de sécurité inter-zones doivent être configurées. Et lorsqu’il s’agit de sous-réseaux protégés par une interface unique, par exemple entre le sous-réseau 1 et le sous-réseau 2, une sécurité intra-zone policy doit être créée. Par exemple, subnet1 (pour les applications Web) à subnet 2 (pour base de données) : Autoriser le SQL trafic.

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClD6CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language