Azure 中的网络 (UDR)：插入VM-系列到 Azure 环境

用户定义的路由 (UDR )

UDR 表允许您作为用户或IT/security administrator，添加额外的规则来控制内部的流量VNET. 您可以指定 subnet1 试图达到特定的IP地址/范围/子网下一跳应该是什么，它可以是一个虚拟设备VM-系列firewall. 在上图中UDRsubnet1 和 subnet2 的规则现在强制数据包通过VM-系列firewall. 这firewall部署了 3 个接口：eth0 用于管理 (Mgmt)，eth1 (E1/1) 用于 Internet 面向端 (Untrust)，eth2 (E1/2) 用于内部/私有端 (Trust) 网络。 Trust 接口可以保护所有内部子网，方法是UDR强制所有数据包通过VM-系列firewall. 根据 Microsoft 文档：“子网依赖于系统路由，直到路由表与子网相关联。 一旦关联存在，路由将基于最长前缀匹配（LPM ) 在用户定义的路由和系统路由之间。 如果有多个路由具有相同的最低前缀匹配（LPM ) 匹配然后根据其来源按以下顺序选择路线：

1. 用户自定义路由
2. BGP 路线（使用 ExpressRoute 时）
3. 系统路由”

这意味着UDR只要您创建更具体的，就会获得更高的优先级UDR（比如前缀 /24）比系统路由policy(/16)。 您可以查看UDR在 Azure 门户 > 路由表中。 查看系统路由和UDR应用于个人VM：在 Azure 门户 >（选择您的VM) > （选择网络接口） > 有效路由。

现在VM-系列firewall位于流量路径中，可以应用您配置的安全策略。 当流量在接口（及其相关区域）之间流动时，从不信任到信任，则应设置区域间安全策略。 当它位于受单个接口保护的子网之间时，比如子网 1 和子网 2 之间，则区域内安全policy应该创建。 例如，subnet1（用于网络应用程序）一种子网 2（用于数据库）：允许SQL交通。