Создайте 3 VNETS, где весь трафик направляется через один VNET (хаб и луч)

Question

Я пытаюсь понять, как ответить на мой вопрос, который у меня недавно был на экзамене.Требования следующие:

1. Вы планируете создать 100 виртуальных машин в 3 виртуальных сетях (vnetA, vnetB и vnetC)
2. Весь трафик должен маршрутизироваться через vnetA
3. Все виртуальные машины должны иметь возможность общаться друг с другом через частный IP
4. Решение не должно требовать каких-либо виртуальных шлюзов
5. Решение должно минимизировать количество одноранговых соединений.
6. Решениене должен требовать какого-либо сетевого виртуального устройства (виртуальная машина выступает в роли маршрутизатора)

Для меня это звучит как топология хаба и луча, где я выполняю следующие шаги:

1. Создатьпиринг vnet от vnetA к vnetB (разрешить перенаправленный трафик)
2. создать пиринг vnet из vnetB к vnetA
3. создать пиринг vnet из vnetA к vnetC (разрешить перенаправленный трафик)
4. создать vnetвглядываясь из vnetC в vnetA

Теперь мне нужно соединение луча к лучу (между vnetB и vnetC), но оно должно проходить через vnetA, где я запутался.Моей первой мыслью было просто включить параметр Разрешить транзит шлюза / Использовать удаленные шлюзы между двумя вышеупомянутыми узлами, но это не позволяло это из-за того, что у vnetA нет виртуального сетевого шлюза (я даже пытался добавить GatewaySubnet в vnetA).

Я не могу использовать пользовательскую таблицу маршрутов, подключенную к подсетям vnetB и vnetC, чтобы указать следующий переход, если я не использую виртуальное устройство, которое не может быть использовано в этом решении.

У кого-нибудь есть идеи о том, как бы они подошли к этой проблеме?

Answer 1

Насколько я знаю, невозможно выполнить все требования 1-6.Поскольку пиринговые соединения не являются транзитивными, хотя Транзитный сетевой поток между одноранговыми виртуальными сетями находится на дорожной карте MS из этой обратной связи здесь , необходимо создать пиринг VNet между VNetB и VNetC.Но этот метод добавит количество одноранговых соединений и трафик между VNetB и VNetC не будет маршрутизироваться через VNetA.

После быстрого теста выберите Разрешить переадресованный трафик недостаточно.Этот параметр конфигурации необходим при настройке виртуальных сетевых устройств в вашей виртуальной сети-концентраторе, чтобы транзитный трафик мог проходить через концентратор.Подробнее здесь .

Разрешить перенаправленный трафик : установите этот флажок, чтобы разрешить трафик, перенаправляемый виртуальным сетевым устройством в виртуальную сеть (которая непроисходят из виртуальной сети) для передачи в эту виртуальную сеть через пиринг.Например, рассмотрим три виртуальные сети с именами Spoke1, Spoke2 и Hub.Между каждой лучевой виртуальной сетью и виртуальной сетью-концентратором существует одноранговая связь, но между лучевыми виртуальными сетями нет равных.Виртуальное сетевое устройство развернуто в виртуальной сети-концентраторе, и пользовательские маршруты применяются к каждой лучевой виртуальной сети, которая направляет трафик между подсетями через сетевое виртуальное устройство.Если этот флажок не установлен для пиринга между каждой виртуальной сетью с лучами и виртуальной сетью-концентратором, трафик не передается между виртуальными сетями с лучами, поскольку концентратор не пересылает трафик между виртуальными сетями.Хотя включение этой возможности позволяет перенаправлять трафик через пиринг, оно не создает никаких пользовательских маршрутов или сетевых виртуальных устройств.Пользовательские маршруты и сетевые виртуальные устройства создаются отдельно.Узнайте о пользовательских маршрутах.Вам не нужно проверять этот параметр, если трафик перенаправляется между виртуальными сетями через Azure VPN-шлюз.

В заключение вам необходимо создать VPN-шлюз для сети-концентратора или использоватьвиртуальное устройство в качестве концентратора и создания UDR для лучевой сети.Или просто создайте пиринг между VNetB и VNetC.

Answer 2

Ты на правильном пути, приятель.Это все должно быть ARM;когда вы выполняете пиринг VNET A и B, все, что вам нужно сделать, это выбрать «Разрешить доступ виртуальной сети из VNET A / B = Включено» для пиринга между A и B, B и A. Затем, только для пиринга между B и Aвыберите «Разрешить перенаправленный трафик от VNETA = включено».

Вам не нужно пиринг между B и C.
Разрешить перенаправленный трафик означает, что трафик, не исходящий из VNET A (то есть VNET C), разрешен для входа в VNET B.

Повторите тот же процесс между B и C. Тогда у вас будет дизайн втулки и спицы.Трафик из B будет поступать в C через A. Поскольку вы не пересекаете трафик в ExpressRoute, VPN или классическом VNET, вам не нужен какой-либо шлюз.

Answer 3

Это требует Hub и Spoke Design, 1. Создание пиринга VNET между VNET A и VNET B 2. Создание пиринга VNET между VNET B и VNET A 3. Создание пиринга VNET между VNET C и VNET B 4. Создание пиринга VNET между VNET B и VNET C 5. Добавьте шлюз подсети в VNET B 6. Разрешить транзит через шлюз в сети VNET B 8. Разрешить транзит через шлюз в VNET B -VNET C пиринг 9. Создайте шлюз виртуальной сети в VNET B 10.Создать таблицы маршрутизации 11. Присоедините таблицы маршрутизации к подсетям VNET A и VNET B 12. Включить удаленный шлюз в VNET A - пиринг VNET B 13.Включить удаленный шлюз в VNET C - пиринг VNET B