我们有一些内部部署工作负载通过VPN隧道与客户端的公共IP通信。因此,当前设置大致如下:On Premises -> VPN tunnel -> client service (via Public IP)
现在,我们必须将这些工作负载转移到Azure,并且我们已经有了一些想要使用的基础架构(包括中心/分支虚拟网络、ExpressRoute电路等)。
理想情况下,我们希望流量(到该公共IP)通过ExpressRoute路由,因此它实际上是这样的:Azure Spoke VNet -> Azure Hub VNet -> ExpressRoute -> On premises -> VPN tunnel -> client service (via Public IP)
问题是,每一方都必须做些什么?
1条答案
按热度按时间luaexgnf1#
如果在内部部署网络和Azure之间存在ExpressRoute连接,则可以启用BGP将路由从内部部署网络传播到Azure。
你可以使用UDR将流量推送到内部部署防火墙或其他NVA,以便在将网络流量发送到Internet之前对其进行处理,或者你可以通过BGP通告默认路由。你必须设置Azure防火墙并启用强制隧道设置,以便支持此配置,如下所示。
转到防火墙管理器-〉新建安全虚拟网络-〉Azure防火墙。
在Azure防火墙中,确保启用强制隧道,如下所示:
您可以启用“传播网关路由”以获取到内部部署网络的适当路由。
如果你播发默认路由,请尝试设置路由器,以便流量通过公共对等路径或Internet返回Azure。
一旦流量被路由到您的内部部署,您必须负责将其转发到适当的vpn隧道。
要了解更多详细信息,请参阅下面的链接:
Azure ExpressRoute | Microsoft Learn