Planejar e implementar UDRs (rotas definidas pelo usuário)
Você pode criar rotas personalizadas ou definidas pelo usuário (estáticas) no Azure para substituir as rotas padrão do sistema do Azure ou adicionar mais rotas à tabela de rotas de uma sub-rede. No Azure, você cria uma tabela de rotas e associa a tabela de rotas a zero ou mais sub-redes de rede virtual. Cada sub-rede pode ter zero ou uma tabela de rotas associada a ela. Para saber mais sobre o número máximo de rotas que você pode adicionar a uma tabela de rotas e o número máximo de tabelas de rotas definidas pelo usuário que você pode criar por assinatura do Azure, consulte limites do Azure. Quando você cria uma tabela de rotas e a associa a uma sub-rede, as rotas da tabela são combinadas com as rotas padrão da sub-rede. Se houver atribuições de rota conflitantes, as rotas definidas pelo usuário substituirão as rotas padrão.
Você pode especificar os seguintes tipos de próximo salto ao criar uma rota definida pelo usuário:
Dispositivo virtual: uma solução de virtualização é uma máquina virtual que normalmente executa um aplicativo de rede, como um firewall. Para saber mais sobre vários dispositivos virtuais de rede pré-configurados que você pode implantar em uma rede virtual, consulte o do Azure Marketplace. Ao criar uma rota com o tipo de salto de dispositivo virtual, você também especifica um endereço IP do próximo salto. O endereço IP pode ser:
- O endereço IP privado de um adaptador de rede anexado a uma máquina virtual. Qualquer interface de rede anexada a uma máquina virtual que encaminhe o tráfego de rede para um endereço diferente do seu deve ter a opção habilitar o encaminhamento de IP do Azure habilitada para ele. A configuração desabilita a verificação do Azure sobre a origem e o destino de um adaptador de rede. Saiba mais sobre como habilitar o encaminhamento de IP para uma interface de rede. Embora Habilitar o encaminhamento de IP seja uma configuração do Azure, talvez você também precise habilitar o encaminhamento de IP dentro do sistema operacional da máquina virtual para que o dispositivo encaminhe o tráfego entre endereços IP privados atribuídos a interfaces de rede do Azure. Se o dispositivo precisar rotear o tráfego para um endereço IP público, ele deverá fazer proxy do tráfego ou executar NAT (conversão de endereço de rede) do endereço IP privado da origem para seu próprio endereço IP privado. Em seguida, o Azure executa NAT em um endereço IP público antes de enviar o tráfego para a Internet. Para determinar as configurações necessárias na máquina virtual, consulte a documentação do seu sistema operacional ou aplicativo de rede. Para entender as conexões de saída no Azure, consulte Noções básicas sobre conexões de saída.
- O endereço IP privado de um balanceador de carga interno do Azure. Um balanceador de carga geralmente é usado como parte de uma estratégia de alta disponibilidade para dispositivos virtuais de rede.
- O endereço IP privado de um adaptador de rede anexado a uma máquina virtual. Qualquer interface de rede anexada a uma máquina virtual que encaminhe o tráfego de rede para um endereço diferente do seu deve ter a opção habilitar o encaminhamento de IP do Azure habilitada para ele. A configuração desabilita a verificação do Azure sobre a origem e o destino de um adaptador de rede. Saiba mais sobre como habilitar o encaminhamento de IP para uma interface de rede. Embora Habilitar o encaminhamento de IP seja uma configuração do Azure, talvez você também precise habilitar o encaminhamento de IP dentro do sistema operacional da máquina virtual para que o dispositivo encaminhe o tráfego entre endereços IP privados atribuídos a interfaces de rede do Azure. Se o dispositivo precisar rotear o tráfego para um endereço IP público, ele deverá fazer proxy do tráfego ou executar NAT (conversão de endereço de rede) do endereço IP privado da origem para seu próprio endereço IP privado. Em seguida, o Azure executa NAT em um endereço IP público antes de enviar o tráfego para a Internet. Para determinar as configurações necessárias na máquina virtual, consulte a documentação do seu sistema operacional ou aplicativo de rede. Para entender as conexões de saída no Azure, consulte Noções básicas sobre conexões de saída.
Você pode definir uma rota com 0.0.0.0/0 como o prefixo de endereço e um tipo de próximo salto de dispositivo virtual. Essa configuração permite que o dispositivo inspecione o tráfego e determine se o tráfego deve ser encaminhado ou removido. Se você pretende criar uma rota definida pelo usuário que contenha o prefixo de endereço 0.0.0.0/0, leia primeiro o prefixo de endereço 0.0.0.0/0.
- Gateway de rede virtual: especifique quando quiser o tráfego destinado a prefixos de endereço específicos roteados para um gateway de rede virtual. O gateway de rede virtual deve ser criado com o tipo VPN. Você não pode especificar um gateway de rede virtual criado como o tipo ExpressRoute em uma rota definida pelo usuário porque, com o ExpressRoute, você deve usar o BGP para rotas personalizadas. Você não poderá especificar Gateways de Rede Virtual se você tiver conexões coexistentes de VPN e ExpressRoute. Você pode definir uma rota que direciona o tráfego destinado ao prefixo de endereço 0.0.0.0/0 para um gateway de rede virtual baseado em rota. Em seu local, você pode ter um dispositivo que inspeciona o tráfego e determina se o tráfego deve ser encaminhado ou removido. Se você pretende criar uma rota definida pelo usuário para o prefixo de endereço 0.0.0.0/0, leia primeiro o prefixo de endereço 0.0.0.0/0. Em vez de configurar uma rota definida pelo usuário para o prefixo de endereço 0.0.0.0/0, você pode anunciar uma rota com o prefixo 0.0.0.0/0 via BGP, se tiver habilitado o BGP para um gateway de rede virtual VPN.
- Nenhum: especifique quando você deseja remover o tráfego para um prefixo de endereço, em vez de encaminhar o tráfego para um destino. Se você ainda não configurou totalmente uma funcionalidade, o Azure poderá listar Nenhuma para algumas das rotas opcionais do sistema. Por exemplo, se você vir Nenhum listado como o endereço IP do próximo salto com um tipo de próximo salto de gateway de rede virtual ou virtual, pode ser porque o dispositivo não está em execução ou não está totalmente configurado. O Azure cria rotas padrão do sistema para prefixos de endereço reservados com None como o tipo de próximo salto.
- Rede virtual: especifique a opção de rede virtual quando quiser substituir o roteamento padrão em uma rede virtual.
- Internet: especifique a opção de Internet quando você quiser rotear explicitamente o tráfego destinado a um prefixo de endereço para a Internet ou se quiser tráfego destinado a serviços do Azure com endereços IP públicos mantidos dentro da rede de backbone do Azure. Confira Exemplo de roteamento para ver um exemplo do motivo da possível criação de uma rota com o tipo de salto Rede virtual.
Você não pode especificar o emparelhamento de rede virtual ou VirtualNetworkServiceEndpoint como o tipo de próximo salto em rotas definidas pelo usuário. As rotas com o emparelhamento de rede virtual ou os tipos de próximo salto VirtualNetworkServiceEndpoint são criadas apenas pelo Azure, quando você configura um emparelhamento de rede virtual ou um ponto de extremidade de serviço.
Marcas de serviço para rotas definidas pelo usuário
Agora você pode especificar uma marca de serviço como o prefixo de endereço para uma rota definida pelo usuário em vez de um intervalo de IP explícito. Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço abrangidos pela marca de serviço e atualiza automaticamente a marca de serviço à medida que os endereços são alterados. Minimizando assim a complexidade das atualizações frequentes para rotas definidas pelo usuário e reduzindo o número de rotas que você precisa criar. Atualmente, você pode criar 25 ou menos rotas com marcas de serviço em cada tabela de rotas. Com essa versão, também há suporte para o uso de marcas de serviço em cenários de roteamento para contêineres.
Correspondência exata
O sistema dá preferência à rota com o prefixo explícito quando há uma correspondência exata de prefixo entre uma rota com um prefixo IP explícito e uma rota com uma Marca de Serviço. Quando várias rotas com Marcas de Serviço têm prefixos IP correspondentes, as rotas são avaliadas na seguinte ordem:
- Tags regionais (por exemplo, Storage.EastUS, AppService.AustraliaCentral)
- Etiquetas de nível superior (por exemplo, Armazenamento, AppService)
- Marcas regionais do AzureCloud (por exemplo, AzureCloud.canadacentral, AzureCloud.eastasia)
- A marca do AzureCloud
Para usar esse recurso, especifique um nome de Marca de Serviço para o parâmetro de prefixo de endereço nos comandos da tabela de rotas. Por exemplo, no PowerShell, você pode criar uma nova rota para direcionar o tráfego enviado para um prefixo IP do Armazenamento do Azure para um dispositivo virtual usando:
$param = @{ Name = 'StorageRoute' AddressPrefix = 'Storage' NextHopType = 'VirtualAppliance' NextHopIpAddress = '10.0.100.4' } New-AzRouteConfig @param
O mesmo comando para a CLI do Azure é:
az network route-table route create \ --resource-group MyResourceGroup \ --route-table-name MyRouteTable \ --name StorageRoute \ --address-prefix Storage \ --next-hop-type VirtualAppliance \ --next-hop-ip-address 10.0.100.4
Tipos de próximo salto nas ferramentas do Azure
O nome exibido e referenciado para tipos de próximo salto é diferente entre o portal do Azure e as ferramentas de linha de comando e o Resource Manager e os modelos de implantação clássicos. A tabela a seguir lista os nomes usados para se referir a cada tipo de próximo salto com as diferentes ferramentas e modelos de implantação.
Expandir tabela
| Tipo do próximo salto | CLI do Azure e PowerShell (Gerenciador de Recursos do Azure) | CLI clássica do Azure e PowerShell (clássico) |
|---|---|---|
| Gateway de rede virtual | VirtualNetworkGateway | VPNGateway |
| Rede virtual | VNetLocal | VNETLocal (não disponível na CLI clássica no modo de modelo de implantação clássico) |
| Internet | Internet | Internet (não disponível na CLI clássica no modo de modelo de implantação clássico) |
| Dispositivo virtual | VirtualAppliance | VirtualAppliance |
| Nenhum | Nenhum | Nulo (não disponível na CLI clássica no modo de modelo de implantação clássico) |
| Emparelhamento de rede virtual | Emparelhamento de rede virtual | Não aplicável |
| Ponto de extremidade de serviço de rede virtual | VirtualNetworkServiceEndpoint | Não aplicável |
Border Gateway Protocol
Um gateway de rede local pode trocar rotas por um gateway de rede virtual do Azure usando o BGP. Usar o BGP com um gateway de rede virtual do Azure depende do tipo selecionado quando você criou o gateway:
- ExpressRoute: você deve usar o BGP para anunciar rotas locais para o roteador do Microsoft Edge. Não é possível criar UDRs para forçar o tráfego para o gateway de rede virtual do ExpressRoute se você implantar um gateway de rede virtual implantado como o tipo ExpressRoute. Você pode usar UDRs para forçar o tráfego da rota expressa para, por exemplo, uma solução de virtualização de rede.
- VPN: opcionalmente, você pode usar o BGP. Para obter mais informações, consulte BGP com conexões VPN site a site.
Quando você troca rotas com o Azure usando o BGP, uma rota separada é adicionada à tabela de rotas de todas as sub-redes em uma rede virtual para cada prefixo anunciado. A rota é adicionada com o gateway de rede virtual listado como o tipo de origem e próximo salto.
Você pode desabilitar a propagação de rota do Gateway de VPN do ExpressRoute e do Azure em uma sub-rede usando uma propriedade em uma tabela de rotas. Quando você desabilitar a propagação de rota, o sistema não adiciona rotas à tabela de rotas de todas as sub-redes com a propagação de rota do gateway de rede virtual desabilitada. Esse processo se aplica a rotas estáticas e rotas BGP. A conectividade com conexões VPN é obtida por meio do uso de rotas personalizadas com um tipo de próximo salto de gateway de rede virtual. Para obter mais informações, confira Desabilitar a propagação de rotas do gateway de rede virtual.
Observação
A propagação de rota não deve ser desabilitada no GatewaySubnet. O gateway não funcionará se essa configuração estiver desabilitada.
Como o Azure seleciona uma rota
Quando o tráfego de saída é enviado de uma sub-rede, o Azure seleciona uma rota com base no endereço IP de destino usando o algoritmo de correspondência de prefixo mais longo. Por exemplo, uma tabela de rotas tem duas rotas. Uma rota especifica o prefixo de endereço 10.0.0.0/24 e a outra especifica o prefixo de endereço 10.0.0.0/16.
O Azure direciona o tráfego destinado a 10.0.0.5 para o tipo de próximo salto especificado na rota com o prefixo de endereço 10.0.0.0/24. Esse processo ocorre porque 10.0.0.0/24 é um prefixo mais longo que 10.0.0.0/16, embora 10.0.0.5 esteja dentro dos dois prefixos de endereço.
O Azure direciona o tráfego destinado a 10.0.1.5 para o tipo de próximo salto especificado na rota com o prefixo de endereço 10.0.0.0/16. Esse processo ocorre porque 10.0.1.5 não está incluído no prefixo de endereço 10.0.0.0/24, o que torna a rota com o prefixo de endereço 10.0.0.0/16 o prefixo correspondente mais longo.
Se várias rotas contêm o mesmo prefixo de endereço, o Azure seleciona o tipo de rota com base na seguinte ordem de prioridade:
- Rota definida pelo usuário
- Rota BGP
- Rota do sistema
Observação
As rotas do sistema para tráfego relacionado à rede virtual, emparelhamentos de rede virtual ou pontos de extremidade de serviço de rede virtual são rotas preferenciais. Eles são preferenciais, mesmo que as rotas BGP sejam mais específicas. As rotas com um ponto de extremidade de serviço de rede virtual como o tipo de próximo salto não podem ser substituídas, mesmo quando você usa uma tabela de rotas.
Por exemplo, uma tabela de rotas contém as seguintes rotas:
Expandir tabela
| Fonte | Prefixos do endereço | Tipo do próximo salto |
|---|---|---|
| Padrão | 0.0.0.0/0 | Internet |
| Utilizador | 0.0.0.0/0 | Gateway de rede virtual |
Quando o tráfego é destinado a um endereço IP fora dos prefixos de endereço de todas as outras rotas na tabela de rotas, o Azure seleciona a rota com origem no usuário. O Azure faz essa escolha porque as UDRs são uma prioridade maior do que as rotas padrão do sistema.
Para ver uma tabela de rotas abrangente com explicações sobre as rotas na tabela, confira Exemplo de roteamento.
Prefixo de endereço 0.0.0.0/0
Uma rota com o prefixo de endereço 0.0.0.0/0 fornece instruções ao Azure. O Azure usa essas instruções para rotear o tráfego destinado a um endereço IP que não se enquadra no prefixo de endereço de qualquer outra rota na tabela de rotas de uma sub-rede. Quando uma sub-rede é criada, o Azure cria uma rota padrão para o prefixo de endereço 0.0.0.0/0, com o tipo de próximo salto da Internet. Se você não substituir essa rota, o Azure roteia todo o tráfego destinado a endereços IP não incluídos no prefixo de endereço de qualquer outra rota para a Internet.
A exceção é que o tráfego para os endereços IP públicos dos serviços do Azure permanece na rede de backbone do Azure e não é roteado para a Internet. Quando você substitui essa rota por uma rota personalizada, o tráfego destinado a endereços não dentro dos prefixos de endereço de qualquer outra rota na tabela de rotas é direcionado. O destino depende de você especificar uma solução de virtualização de rede ou gateway de rede virtual na rota personalizada.
Quando você substitui o prefixo de endereço 0.0.0.0/0, o tráfego de saída da sub-rede flui pelo gateway de rede virtual ou dispositivo virtual. As seguintes alterações também ocorrem com o roteamento padrão do Azure:
O Azure envia todo o tráfego para o tipo de próximo salto especificado na rota, incluindo o tráfego destinado a endereços IP públicos dos serviços do Azure.
Quando o tipo de próximo salto da rota com o prefixo de endereço 0.0.0.0/0 é Internet, o tráfego da sub-rede com destino aos endereços IP públicos dos serviços do Azure nunca sai da rede de backbone do Azure, independentemente da região do Azure na qual a rede virtual ou o recurso de serviço do Azure existem.
Quando você cria um UDR ou uma rota BGP com um gateway de rede virtual ou um tipo de próximo salto de dispositivo virtual, todo o tráfego é enviado para o tipo de próximo salto especificado na rota. Isso inclui o tráfego enviado para endereços IP públicos dos serviços do Azure para os quais você não habilitou os pontos de extremidade de serviço.
Quando você habilita um ponto de extremidade de serviço para um serviço, o Azure cria uma rota com prefixos de endereço para o serviço. O tráfego para o serviço não roteia para o tipo de próximo salto em uma rota com o prefixo de endereço 0.0.0.0/0. Os prefixos de endereço para o serviço são maiores que 0.0.0.0/0.
Você não pode mais acessar diretamente os recursos na sub-rede da Internet. Você pode acessar recursos na sub-rede da Internet indiretamente. O dispositivo especificado pelo tipo de próximo salto para uma rota com o prefixo de endereço 0.0.0.0/0 deve processar o tráfego de entrada. Depois que o tráfego atravessa o dispositivo, o tráfego atinge o recurso na rede virtual. Se a rota contiver os seguintes valores para o tipo de próximo salto:
Dispositivo virtual: O dispositivo deve:
- Seja acessível pela Internet.
- Tenha um endereço IP público atribuído a ele.
- Não tem uma regra de grupo de segurança de rede associada a ela que impeça a comunicação com o dispositivo.
- Não negue a comunicação.
- Seja capaz de traduzir e encaminhar o endereço de rede ou fazer proxy do tráfego para o recurso de destino na sub-rede e retornar o tráfego de volta para a Internet.
Gateway de rede virtual: Se o gateway for um gateway de rede virtual do ExpressRoute, um dispositivo conectado à Internet no local poderá traduzir e encaminhar endereços de rede ou fazer proxy do tráfego para o recurso de destino na sub-rede, por meio de emparelhamento privado do ExpressRoute.
Se sua rede virtual está conectada a um gateway de VPN do Azure, não associe uma tabela de rota à sub-rede do gateway que inclui uma rota com um destino igual a 0.0.0.0/0. Isso pode impedir que o gateway funcione corretamente. Para obter mais informações, confira Por que determinadas portas são abertas no meu gateway de VPN?.
Para obter detalhes de implementação ao usar gateways de rede virtual entre a Internet e o Azure, confira DMZ entre o Azure e o datacenter local.
Exemplo de roteamento
Para ilustrar os conceitos deste artigo, as seções a seguir descrevem:
- Um cenário, com requisitos.
- As rotas personalizadas necessárias para atender aos requisitos.
- A tabela de rotas que existe para uma sub-rede que inclui as rotas padrão e personalizadas necessárias para atender aos requisitos.
Observação
Este exemplo não se destina a ser uma implementação recomendada ou de práticas recomendadas. Ele é fornecido apenas para ilustrar conceitos neste artigo.
Requisitos
Implemente duas redes virtuais na mesma região do Azure e permita que os recursos se comuniquem entre as redes virtuais.
Habilite uma rede local para se comunicar com segurança com ambas as redes virtuais por meio de um túnel VPN pela Internet. Como alternativa, você pode usar uma conexão do ExpressRoute, mas este exemplo usa uma conexão VPN.
Para uma sub-rede em uma rede virtual:
- Rotear todo o tráfego de saída da sub-rede por meio de uma solução de virtualização de rede para inspeção e registro em log. Exclua o tráfego para o Armazenamento do Azure e dentro da sub-rede desse roteamento.
- Não inspecione o tráfego entre endereços IP privados na sub-rede. Permitir que o tráfego flua diretamente entre todos os recursos.
- Solte qualquer tráfego de saída destinado à outra rede virtual.
- Habilite o tráfego de saída para o Armazenamento do Azure para fluir diretamente para o armazenamento, sem forçá-lo por meio de uma solução de virtualização de rede.
Permitir todo o tráfego entre todas as outras sub-redes e redes virtuais.
Implementação
O diagrama a seguir mostra uma implementação por meio do modelo de implantação do Resource Manager que atende aos requisitos anteriores.
Observação
As setas mostram o fluxo de tráfego.
Tabelas de rotas
Aqui estão as tabelas de rotas para o exemplo de roteamento anterior.
Subnet1
A tabela de rotas para Sub-rede1 no diagrama anterior contém as seguintes rotas:
Expandir tabela
| ID | Fonte | Estado | Prefixos do endereço | Tipo do próximo salto | Endereço IP do próximo salto | Nome da UDR |
|---|---|---|---|---|---|---|
| 1 | Padrão | Inválido | 10.0.0.0/16 | Rede virtual | ||
| 2 | Utilizador | Ativo | 10.0.0.0/16 | Dispositivo virtual | 10.0.100.4 | Within-VNet1 |
| 3 | Utilizador | Ativo | 10.0.0.0/24 | Rede virtual | Within-Subnet1 | |
| 4 | Padrão | Inválido | 10.1.0.0/16 | Emparelhamento de rede virtual | ||
| 5 | Padrão | Inválido | 10.2.0.0/16 | Emparelhamento de rede virtual | ||
| 6 | Utilizador | Ativo | 10.1.0.0/16 | Nenhum | ToVNet2-1-Drop | |
| 7 | Utilizador | Ativo | 10.2.0.0/16 | Nenhum | ToVNet2-2-Drop | |
| 8 | Padrão | Inválido | 10.10.0.0/16 | Gateway de rede virtual | [X.X.X.X] | |
| 9 | Utilizador | Ativo | 10.10.0.0/16 | Dispositivo virtual | 10.0.100.4 | To-On-Prem |
| 10 | Padrão | Ativo | [X.X.X.X] | VirtualNetworkServiceEndpoint | ||
| 11 | Padrão | Inválido | 0.0.0.0/0 | Internet | ||
| 12 | Utilizador | Ativo | 0.0.0.0/0 | Dispositivo virtual | 10.0.100.4 | Default-NVA |
Aqui está uma explicação de cada ID de rota:
ID1: o Azure adicionou automaticamente essa rota para todas as sub-redes em Virtual-network-1 porque 10.0.0.0/16 é o único intervalo de endereços definido no espaço de endereço da rede virtual. Se você não criar a UDR na ID2 da rota, o tráfego enviado para qualquer endereço entre 10.0.0.1 e 10.0.255.254 será roteado dentro da rede virtual. Esse processo ocorre porque o prefixo é maior que 0.0.0.0/0 e não se enquadra nos prefixos de endereço de nenhuma outra rota.
O Azure alterou automaticamente o estado de Ativo para Inválido, quando a ID2, uma UDR, foi adicionada. Ele tem o mesmo prefixo que a rota padrão e as UDRs substituem as rotas padrão. O estado dessa rota ainda está ativo para Sub-rede2 porque a tabela de rotas em que a UDR, ID2, está não está associada à Sub-rede2.
ID2: O Azure adicionou essa rota quando um UDR para o prefixo de endereços 10.0.0.0/16 foi associado à sub-rede Subnet1 na rede Rede-virtual-1. A UDR especifica 10.0.100.4 como o endereço IP do dispositivo virtual porque o endereço é o endereço IP privado atribuído à máquina virtual de dispositivo virtual. A tabela de rotas na qual essa rota existe não está associada à Sub-rede2, portanto, a rota não aparece na tabela de rotas para Sub-rede2.
Essa rota substitui a rota padrão para o prefixo 10.0.0.0/16 (ID1), que roteou automaticamente o tráfego endereçado para 10.0.0.1 e 10.0.255.254 na rede virtual por meio do tipo de próximo salto da rede virtual. Essa rota existe para atender ao requisito 3, que é forçar todo o tráfego de saída por meio de uma solução de virtualização.
ID3: o Azure adicionou essa rota quando um UDR para o prefixo de endereço 10.0.0.0/24 foi associado à sub-rede Subnet1 . O tráfego destinado a endereços entre 10.0.0.1 e 10.0.0.254 permanece dentro da sub-rede. O tráfego não é roteado para o dispositivo virtual especificado na regra anterior (ID2) porque ele tem um prefixo mais longo do que a rota ID2.
Essa rota não foi associada à Sub-rede2, portanto, a rota não aparece na tabela de rotas da Sub-rede2. Essa rota substitui efetivamente a rota ID2 para tráfego na Sub-rede1. Essa rota existe para atender ao requisito 3.
ID4: o Azure adicionou automaticamente as rotas nas IDs 4 e 5 para todas as sub-redes em Virtual-network-1 quando a rede virtual foi emparelhada com Virtual-network-2.A rede virtual-2 tem dois intervalos de endereços em seu espaço de endereço, 10.1.0.0/16 e 10.2.0.0/16, portanto, o Azure adicionou uma rota para cada intervalo. Se você não criar as UDRs nas IDs de rota 6 e 7, o tráfego enviado para qualquer endereço entre 10.1.0.1-10.1.255.254 e 10.2.0.1-10.2.255.254 será roteado para a rede virtual emparelhada. Esse processo ocorre porque o prefixo é maior que 0.0.0.0/0 e não se enquadra nos prefixos de endereço de nenhuma outra rota.
Quando você adicionou as rotas nas IDs 6 e 7, o Azure alterou automaticamente o estado de Ativo para Inválido. Esse processo ocorre porque eles têm os mesmos prefixos que as rotas nas IDs 4 e 5 e UDRs substituem as rotas padrão. O estado das rotas nas IDs 4 e 5 ainda está ativo para a Subnet2 porque a tabela de rotas na qual os UDRs nas IDs 6 e 7 não estão associadas à Subnet2. Um emparelhamento de rede virtual foi criado para atender ao requisito 1.
ID5: Mesma explicação que a ID4.
ID6: o Azure adicionou essa rota e a rota na ID7 quando as UDRs para os prefixos de endereço 10.1.0.0/16 e 10.2.0.0/16 foram associadas à sub-rede Subnet1 . O Azure descarta o tráfego destinado a endereços entre 10.1.0.1-10.1.255.254 e 10.2.0.1-10.2.255.254, em vez de serem roteados para a rede virtual emparelhada, porque as UDRs substituem as rotas padrão. As rotas não são associadas à Sub-rede2, portanto, as rotas não aparecem na tabela de rotas da Sub-rede2. As rotas substituem as rotas ID4 e ID5 para o tráfego que sai da Sub-rede1. As rotas ID6 e ID7 existem para atender ao requisito 3 para remover o tráfego destinado à outra rede virtual.
ID7: Mesma explicação que a ID6.
ID8: o Azure adicionou automaticamente essa rota para todas as sub-redes na rede virtual-1 quando um gateway de rede virtual do tipo VPN foi criado dentro da rede virtual. O Azure adicionou o endereço IP público do gateway de rede virtual à tabela de rotas. O tráfego enviado para qualquer endereço entre 10.10.0.1 e 10.10.255.254 é roteado para o gateway de rede virtual. O prefixo é maior que 0.0.0.0/0 e não está dentro dos prefixos de endereço de qualquer uma das outras rotas. Um gateway de rede virtual foi criado para atender ao requisito 2.
ID9: o Azure adicionou essa rota quando um UDR para o prefixo de endereço 10.10.0.0/16 foi adicionado à tabela de rotas associada à Sub-rede1. Essa rota substitui a ID8. A rota envia todo o tráfego destinado à rede local para uma solução de virtualização de rede para inspeção, em vez de rotear o tráfego diretamente no local. Essa rota foi criada para atender ao requisito 3.
ID10: O Azure adicionou automaticamente essa rota à sub-rede quando um ponto de extremidade de serviço para um serviço do Azure foi habilitado para a sub-rede. O Azure roteia o tráfego da sub-rede para um endereço IP público do serviço, pela rede de infraestrutura do Azure. O prefixo é maior que 0.0.0.0/0 e não está dentro dos prefixos de endereço de qualquer uma das outras rotas. Um ponto de extremidade de serviço foi criado para atender ao requisito 3 para habilitar o tráfego destinado ao Armazenamento do Azure a fluir diretamente para o Armazenamento do Azure.
ID11: o Azure adicionou automaticamente essa rota à tabela de rotas de todas as sub-redes em Virtual-network-1 e Virtual-network-2. O prefixo de endereço 0.0.0.0/0 é o prefixo mais curto. Qualquer tráfego enviado para endereços dentro de um prefixo de endereço mais longo é roteado com base em outras rotas.
Por padrão, o Azure roteia todo o tráfego destinado a endereços diferentes dos endereços especificados em uma das outras rotas para a Internet. O Azure alterou automaticamente o estado de Ativo para Inválido para a sub-rede Subnet1 quando uma UDR para o prefixo de endereço 0.0.0.0/0 (ID12) foi associada à sub-rede. O estado dessa rota ainda está ativo para todas as outras sub-redes em ambas as redes virtuais porque a rota não está associada a nenhuma outra sub-rede em nenhuma outra rede virtual.
ID12: O Azure adicionou essa rota quando um UDR para o prefixo de endereço 0.0.0.0/0 foi associado à sub-rede Subnet1. A UDR especifica 10.0.100.4 como o endereço IP do dispositivo virtual. Essa rota não está associada à Sub-rede2, portanto, a rota não aparece na tabela de rotas da Sub-rede2. Todo o tráfego para qualquer endereço não incluído nos prefixos de endereço de qualquer uma das outras rotas é enviado para o dispositivo virtual.
A adição dessa rota alterou o estado da rota padrão para o prefixo de endereço 0.0.0.0/0 (ID11) de Ativo para Inválido para Sub-rede1 porque uma UDR substitui uma rota padrão. Essa rota existe para atender ao requisito 3.
Subnet2
A tabela de rotas para Sub-rede2 no diagrama anterior contém as seguintes rotas:
Expandir tabela
| Fonte | Estado | Prefixos do endereço | Tipo do próximo salto | Endereço IP do próximo salto |
|---|---|---|---|---|
| Padrão | Ativo | 10.0.0.0/16 | Rede virtual | |
| Padrão | Ativo | 10.1.0.0/16 | Emparelhamento de rede virtual | |
| Padrão | Ativo | 10.2.0.0/16 | Emparelhamento de rede virtual | |
| Padrão | Ativo | 10.10.0.0/16 | Gateway de rede virtual | [X.X.X.X] |
| Padrão | Ativo | 0.0.0.0/0 | Internet | |
| Padrão | Ativo | 10.0.0.0/8 | Nenhum | |
| Padrão | Ativo | 100.64.0.0/10 | Nenhum | |
| Padrão | Ativo | 192.168.0.0/16 | Nenhum |
A tabela de rotas para Sub-rede2 contém todas as rotas padrão criadas pelo Azure e o emparelhamento de rede virtual opcional e rotas opcionais de gateway de rede virtual. O Azure adicionou as rotas opcionais a todas as sub-redes na rede virtual quando o gateway e o emparelhamento foram adicionados à rede virtual.
O Azure removeu as rotas para os prefixos de endereço 10.0.0.0/8, 192.168.0.0/16 e 100.64.0.0.0/10 da tabela de rotas Sub-rede1 quando a UDR para o prefixo de endereço 0.0.0.0/0 foi adicionada à Sub-rede1.