NVA без NAT на лазурном для доступа в Интернет

Question

Я пытаюсь настроить пользовательский NVA (простой маршрутизатор с функциями, специфичными для приложения) для моей лазурной VNET.

Моя сеть:

Интернет <-> подсеть 1 с NIC1 (NVA) <-> подсеть 2 с NIC2 (NVA) и виртуальной машиной

Я хочу фильтровать трафик виртуальной машины NVA в / из Интернета.

Насколько я понимаю, я могу использовать UDR для маршрутизации исходящего трафика от виртуальной машины.в интернет через NVA (а также я установил флаг пересылки на сетевых картах NVA) .. этот шаг работает ...

Но после этого у меня проблема.Мой простой NVA просто пересылает пакет с одного интерфейса на другой (его простой маршрутизатор) -> поэтому пакет с NIC2 (с IP-адресом src виртуальной машины и IP-адресом dst интернет-службы) перенаправляется на NIC1 и отправляется в подсеть 1 с исходным IP-адресом src (с помощьюsrc IP виртуальной машины и dst IP интернет-службы) ... и я не вижу ответа от интернет-службы.

Итак, у меня есть вопросы:

• Могу ли ясоздать рабочее решение для моего случая (когда NVA не использует NAT)

• Может кто-нибудь сказать мне, почему мой трафик куда-то падает, и я не могу видеть ответ в VM (я понимаю, что трафик не должен идтичерез мой NVA, но почему я не вижу ответа?)

• имеет план Azure в планах поддержки политики маршрутизации на основе источника (как у linux) в UDR?

Answer 1

Когда вы отправляете трафик через NVA с отступом в Интернет, SNAT выполняется на NVA, так что обратный трафик будет получен NVA и отправлен обратно на виртуальную машину.

Это общее поведение.Если вы не используете NVA для фильтрации трафика и просто для целей мониторинга, вы можете выполнить запрос с помощью новой функции, называемой Virtual Network Tap.Используя эту технику, вы можете зеркалировать весь трафик, который инициируется виртуальной машиной, в NVA, не используя сложный UDR, и по-прежнему поддерживать Source IP в качестве публичного IP-адреса вашей виртуальной машины.

Ссылка: https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-tap-overview