Azure でのネットワーク (UDR):VM- Azure 環境へのシリーズ化

ユーザー定義ルート (UDR )

UDR テーブルは、ユーザーとして、またはIT/セキュリティ管理者。内部のトラフィック フローを制御するルールを追加します。VNET . 特定のサブネットに到達しようとしているサブネット 1 に対して、それを指定できます。IPアドレス/範囲/サブネット ネクスト ホップがどうあるべきか。VM-シリーズfirewall. 上の図では、UDRサブネット 1 とサブネット 2 のルールは、現在、パケットを強制的に通過させています。VM-シリーズfirewall. のfirewallは、管理 (Mgmt) 用の eth0、インターネット側 (Untrust) 用の eth1 (E1/1)、および内部/プライベート側 (信頼) ネットワーク用の eth2 (E1/2) の 3 つのインターフェイスで展開されます。 Trust インターフェイスは、すべての内部サブネットを保護することができます。UDRすべてのパケットを強制的にVM-シリーズfirewall. Microsoft のドキュメントによると、「ルート テーブルがサブネットに関連付けられるまで、サブネットはシステム ルートに依存します。 アソシエーションが存在すると、ルーティングは最長プレフィックス マッチ (LPM ) ユーザー定義ルートとシステム ルートの両方の間。 最低プレフィックス一致が同じルートが複数ある場合 (LPM ) が一致すると、次の順序で起点に基づいてルートが選択されます。

1. ユーザー定義ルート
2. BGP ルート (ExpressRoute を使用する場合)
3. システムルート」

これは、UDRより具体的なものを作成する限り、優先順位が高くなりますUDR（プレフィックス/24で言う）システムルートよりpolicy(/16)。 あなたは見ることができますUDRAzure ポータル > ルート テーブルで。 システム ルートとUDR個人に適用されるVM: Azure ポータルで > (VM ) > (ネットワーク インターフェイスを選択) > 有効なルート。

今、VM-シリーズfirewallトラフィック パス内にあり、設定したセキュリティ ポリシーを適用できます。 インターフェース (および関連するゾーン) 間でトラフィックが流れる場合 (Untrust から Trust など)、ゾーン間のセキュリティ ポリシーを設定する必要があります。 また、単一のインターフェースで保護されたサブネット間、たとえばサブネット 1 とサブネット 2 の間の場合、ゾーン内セキュリティpolicy作成する必要があります。 たとえば、subnet1 (Web アプリの場合)あサブネット 2 (データベース用): 許可SQLトラフィック。