Planen und Implementieren benutzerdefinierter Routen (User-Defined Routes, UDRs)
Sie können benutzerdefinierte oder benutzerdefinierte (statische) Routen in Azure erstellen, um die Standardsystemrouten von Azure außer Kraft zu setzen oder der Routentabelle eines Subnetzes weitere Routen hinzuzufügen. In Azure erstellen Sie eine Routentabelle und ordnen die Routentabelle dann null oder mehr Subnetzen eines virtuellen Netzwerks zu. Jedem Subnetz können null oder mehr Routentabellen zugeordnet sein. Informationen zur maximalen Anzahl von Routen, die Sie einer Routentabelle hinzufügen können, und zur maximalen Anzahl von benutzerdefinierten Routentabellen, die Sie pro Azure-Abonnement erstellen können, finden Sie im Artikel zu den Einschränkungen für Azure-Abonnements. Wenn Sie eine Routentabelle erstellen und sie einem Subnetz zuordnen, werden die Routen der Tabelle mit den Standardrouten des Subnetzes kombiniert. Wenn es zu Konflikten bei der Routenzuweisung kommt, haben benutzerdefinierte Routen Vorrang vor Standardrouten.
Beim Erstellen einer benutzerdefinierten Route können Sie die folgenden Typen des nächsten Hops angeben:
Virtuelles Gerät: Ein virtuelles Gerät ist eine VM, auf der in der Regel eine Netzwerkanwendung wie z.B. eine Firewall ausgeführt wird. Informationen zu verschiedenen vorkonfigurierten virtuellen Appliances, die Sie in einem virtuellen Netzwerk bereitstellen können, finden Sie in Azure Marketplace. Wenn Sie eine Route mit dem Hop-Typ Virtuelles Gerät erstellen, können Sie auch eine IP-Adresse des nächsten Hops angeben. Bei der IP-Adresse kann es sich um Folgendes handeln:
- Die private IP-Adresse einer Netzwerkschnittstelle, die an einen virtuellen Computer angefügt ist. Für jede Netzwerkschnittstelle, die an einen virtuellen Computer zum Weiterleiten von Netzwerkdatenverkehr an eine andere Adresse als die eigene Adresse angefügt ist, muss hierfür die Azure-Option Enable IP forwarding (IP-Weiterleitung aktivieren) aktiviert sein. Mit der Einstellung wird die Azure-Überprüfung der Quelle und des Ziels für eine Netzwerkschnittstelle deaktiviert. Erfahren Sie mehr dazu, wie Sie die IP-Weiterleitung für eine Netzwerkschnittstelle aktivieren. Enable IP forwarding (IP-Weiterleitung aktivieren) ist zwar eine Azure-Einstellung, aber unter Umständen müssen Sie die IP-Weiterleitung auch im Betriebssystem des virtuellen Computers aktivieren, damit das Gerät Datenverkehr zwischen privaten IP-Adressen weiterleitet, die Azure-Netzwerkschnittstellen zugewiesen sind. Wenn die Appliance Datenverkehr an eine öffentliche IP-Adresse weiterleiten muss, muss sie den Datenverkehr entweder per Proxy weiterleiten oder eine Netzwerkadressenübersetzung (NAT) der privaten IP-Adresse der Quelle in die eigene private IP-Adresse vornehmen. Azure führt dann eine Netzwerkadressenübersetzung in eine öffentliche IP-Adresse aus, bevor der Datenverkehr an das Internet gesendet wird. Informationen zum Bestimmen der erforderlichen Einstellungen auf dem virtuellen Computer finden Sie in der Dokumentation für Ihr Betriebssystem oder Ihre Netzwerkanwendung. Informationen zu den Grundlagen von ausgehenden Verbindungen in Azure finden Sie unter Grundlegendes zu ausgehenden Verbindungen.
- Die private IP-Adresse eines internen Lastenausgleichs von Azure. Ein Lastenausgleich wird häufig im Rahmen einer Hochverfügbarkeitsstrategie für virtuelle Netzwerkgeräte verwendet.
- Die private IP-Adresse einer Netzwerkschnittstelle, die an einen virtuellen Computer angefügt ist. Für jede Netzwerkschnittstelle, die an einen virtuellen Computer zum Weiterleiten von Netzwerkdatenverkehr an eine andere Adresse als die eigene Adresse angefügt ist, muss hierfür die Azure-Option Enable IP forwarding (IP-Weiterleitung aktivieren) aktiviert sein. Mit der Einstellung wird die Azure-Überprüfung der Quelle und des Ziels für eine Netzwerkschnittstelle deaktiviert. Erfahren Sie mehr dazu, wie Sie die IP-Weiterleitung für eine Netzwerkschnittstelle aktivieren. Enable IP forwarding (IP-Weiterleitung aktivieren) ist zwar eine Azure-Einstellung, aber unter Umständen müssen Sie die IP-Weiterleitung auch im Betriebssystem des virtuellen Computers aktivieren, damit das Gerät Datenverkehr zwischen privaten IP-Adressen weiterleitet, die Azure-Netzwerkschnittstellen zugewiesen sind. Wenn die Appliance Datenverkehr an eine öffentliche IP-Adresse weiterleiten muss, muss sie den Datenverkehr entweder per Proxy weiterleiten oder eine Netzwerkadressenübersetzung (NAT) der privaten IP-Adresse der Quelle in die eigene private IP-Adresse vornehmen. Azure führt dann eine Netzwerkadressenübersetzung in eine öffentliche IP-Adresse aus, bevor der Datenverkehr an das Internet gesendet wird. Informationen zum Bestimmen der erforderlichen Einstellungen auf dem virtuellen Computer finden Sie in der Dokumentation für Ihr Betriebssystem oder Ihre Netzwerkanwendung. Informationen zu den Grundlagen von ausgehenden Verbindungen in Azure finden Sie unter Grundlegendes zu ausgehenden Verbindungen.
Sie können eine Route mit dem Adresspräfix 0.0.0.0/0 definieren und den Typ für den nächsten Hop auf „virtuelle Appliance“ festlegen. Bei dieser Konfiguration kann die Appliance den Datenverkehr untersuchen und bestimmen, ob der Datenverkehr weitergeleitet oder verworfen werden soll. Wenn Sie eine benutzerdefinierte Route erstellen möchten, die das Adresspräfix 0.0.0.0/0 enthält, sollten Sie zuerst Adresspräfix 0.0.0.0/0 lesen.
- Gateway für virtuelle Netzwerke: Geben Sie an, wenn Datenverkehr, der für bestimmte Adresspräfixe bestimmt ist, an ein Gateway für virtuelle Netzwerke weitergeleitet werden soll. Das Gateway für virtuelle Netzwerke muss mit dem Typ VPN erstellt werden. Sie können ein Gateway für virtuelle Netzwerke, das mit dem Typ ExpressRoute erstellt wurde, nicht in einer benutzerdefinierten Route angeben, da bei ExpressRoute für benutzerdefinierte Routen BGP verwendet werden muss. Wenn VPN- und ExpressRoute-Verbindungen parallel verwendet werden, können keine Virtual Network-Gateways angegeben werden. Sie können eine Route definieren, mit der Datenverkehr, der für das Adresspräfix 0.0.0.0/0 bestimmt ist, an ein routenbasiertes Gateway für virtuelle Netzwerke geleitet wird. Es kann sein, dass Sie lokal ein Gerät nutzen, mit dem der Datenverkehr untersucht und ermittelt wird, ob der Datenverkehr weitergeleitet oder verworfen werden soll. Wenn Sie eine benutzerdefinierte Route für das Adresspräfix 0.0.0.0/0 erstellen möchten, sollten Sie zuerst Adresspräfix 0.0.0.0/0 lesen. Anstatt eine benutzerdefinierte Route für das Adresspräfix 0.0.0.0/0 zu konfigurieren, können Sie eine Route mit dem Präfix 0.0.0.0/0 per BGP ankündigen, wenn Sie BGP für ein Gateway für virtuelle Netzwerke (VPN) aktiviert haben.
- Keine: Geben Sie an, wenn Datenverkehr für ein Adresspräfix verworfen und nicht an ein Ziel weitergeleitet werden soll. Wenn Sie eine Funktion nicht vollständig konfiguriert haben, wird in Azure für einige optionale Systemrouten ggf. Keine angegeben. Wenn Keine beispielsweise als IP-Adresse für nächsten Hop mit Gateway für virtuelle Netzwerke oder Virtuelles Gerät unter Typ des nächsten Hops angezeigt wird, kann dies daran liegen, dass das Gerät nicht ausgeführt wird oder nicht vollständig konfiguriert ist. Azure erstellt Standardrouten des Systems für reservierte Adresspräfixe mit Keine als Typ des nächsten Hops.
- Virtuelles Netzwerk: Geben Sie die Option „Virtuelles Netzwerk“ an, wenn Sie das Standardrouting in einem virtuellen Netzwerk außer Kraft setzen möchten.
- Internet: Legen Sie in der Option „Internet“ fest, wann Sie den für ein Adresspräfix bestimmten Datenverkehr explizit an das Internet weiterleiten möchten, oder ob der für Azure-Dienste mit öffentlichen IP-Adressen bestimmte Datenverkehr innerhalb des Azure-Backbonenetzwerks verbleiben soll. Unter Routingbeispiel finden Sie ein Beispiel dafür, warum es ratsam sein kann, eine Route mit dem Hop-Typ Virtuelles Netzwerk zu erstellen.
Es ist nicht möglich, das Peering virtueller Netzwerke oder VirtualNetworkServiceEndpoint als Typ des nächsten Hops in benutzerdefinierten Routen anzugeben. Routen mit Peering virtueller Netzwerke oder VirtualNetworkServiceEndpoint als Typ des nächsten Hops werden von Azure nur dann erstellt, wenn Sie das Peering virtueller Netzwerke oder einen Dienstendpunkt konfigurieren.
Diensttags für benutzerdefinierte Routen
Sie können jetzt ein Diensttag als Adresspräfix für eine benutzerdefinierte Route anstelle eines expliziten IP-Bereichs angeben. Ein Diensttag steht für eine Gruppe von IP-Adresspräfixen eines bestimmten Azure-Diensts. Microsoft verwaltet die Adresspräfixe, für die das Diensttag gilt, und aktualisiert das Diensttag automatisch, wenn sich die Adressen ändern. Dadurch wird die Komplexität der häufigen Aktualisierungen benutzerdefinierter Routen minimiert und die Anzahl der zu erstellenden Routen reduziert. Sie können derzeit 25 oder weniger Routen mit Diensttags in jeder Routentabelle erstellen. Bei dieser Version wird auch die Verwendung von Diensttags in Routingszenarien für Container unterstützt.
Genaue Übereinstimmung
Wenn es eine genaue Präfixübereinstimmung zwischen einer Route mit einem expliziten IP-Präfix und einer Route mit einem Diensttag gibt, wird der Route mit dem expliziten Präfix der Vorzug gegeben. Wenn mehrere Routen mit Diensttags übereinstimmende IP-Präfixe aufweisen, werden die Routen in der folgenden Reihenfolge ausgewertet:
- Regionale Tags (z. B. Storage.EastUS, AppService.AustraliaCentral)
- Tags der obersten Ebene (z. B. Storage, AppService)
- Regionale AzureCloud-Tags (z. B. AzureCloud.canadacentral, AzureCloud.eastasia)
- AzureCloud-Tag
Um dieses Feature zu verwenden, geben Sie einen Diensttagnamen für den Adresspräfixparameter in Routingtabellenbefehlen an. In PowerShell können Sie z. B. eine neue Route zum direkten Datenverkehr erstellen, der an ein Azure Storage-IP-Präfix an ein virtuelles Gerät gesendet wird, indem Sie Folgendes verwenden:
Azure PowerShell
$param = @{ Name = 'StorageRoute' AddressPrefix = 'Storage' NextHopType = 'VirtualAppliance' NextHopIpAddress = '10.0.100.4' } New-AzRouteConfig @param
Der entsprechende Befehl für die CLI lautet wie folgt:
Azure-Befehlszeilenschnittstelle
az network route-table route create \ --resource-group MyResourceGroup \ --route-table-name MyRouteTable \ --name StorageRoute \ --address-prefix Storage \ --next-hop-type VirtualAppliance \ --next-hop-ip-address 10.0.100.4