千家信息网

Azure 防火墙实现VNET互通的方法

发表于:2024-11-26 作者:千家信息网编辑
千家信息网最后更新 2024年11月26日,Azure 防火墙是托管的基于云的网络安全服务,可保护 Azure 虚拟网络资源。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。可以跨订阅和虚拟网络集中创建、实施和记
千家信息网最后更新 2024年11月26日Azure 防火墙实现VNET互通的方法

Azure 防火墙是托管的基于云的网络安全服务,可保护 Azure 虚拟网络资源。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。可以跨订阅和虚拟网络集中创建、实施和记录应用程序与网络连接策略。 Azure 防火墙对虚拟网络资源使用静态公共 IP 地址,使外部防火墙能够识别来自你的虚拟网络的流量。 该服务与用于日志记录和分析的 Azure Monitor 完全集成。

默认情况下chinanorth和china east2之间的VNET是不通信的

想让他们通信也有很多办法,可以直接在这两个VNET之间再做一次peering,但是这样的缺点在于如果VNET多了,这样会变成网状的结果,比较难管理

除了peering之外还有一种办法是也可以通过FW来实现两个VNET之间的互通

想让两个vnet通信也很简单,分别在subnet设置到FW的默认路由即可,具体做法可以参考上篇SNAT的文章

挂载默认路由的UDR之后,两个分支VNET之间也可以直接通信

可以看到两个网段是可以直接ping通的

取消其中一个UDR,再做尝试

再次测试,已经不通了

这个应该不是路由层面直接发给peering vnet的,而是通过0.0.0.0的路由,先把数据包发给firewall,再由FW转发

通过路由表也可以看出来,并没有直接到对端VNET的路由信息

0