Pianificare e implementare le route definite dall'utente (UDR)
Puoi creare route personalizzate o definite dall'utente (statiche) in Azure per eseguire l'override delle route di sistema predefinite di Azure o per aggiungere altre route alla tabella di route di una subnet. In Azure si crea una tabella di route, quindi la si associa a zero o più subnet della rete virtuale. A ogni subnet può essere associata una o nessuna tabella di route. Vedere Limiti di Azure per informazioni sul numero massimo di route che possono essere aggiunte a una tabella di route e sul numero massimo di tabelle di route definite dall'utente che possono essere create per ogni sottoscrizione di Azure. Quando crei una tabella di route e la associ a una subnet, le route della tabella vengono combinate con le route predefinite della subnet. Se sono presenti assegnazioni di route in conflitto, le route definite dall'utente sostituiscono le route predefinite.
È possibile specificare i seguenti tipi di hop successivi durante la creazione di una route definita dall'utente:
Appliance virtuale: un'appliance virtuale è una macchina virtuale che generalmente esegue un'applicazione di rete, ad esempio un firewall. Per informazioni sulle varie appliance virtuali di rete preconfigurate che è possibile distribuire in una rete virtuale, vedere Azure Marketplace. Quando si crea una route con il tipo hop appliance virtuale, si specifica anche un indirizzo IP hop successivo. L'indirizzo IP può essere:
- L'indirizzo IP privato di un'interfaccia di rete collegata a una macchina virtuale. Per un'interfaccia di rete collegata a una macchina virtuale che inoltra il traffico di rete a un indirizzo diverso dal proprio è necessario abilitare l'opzione di inoltro IP di Azure. Questa impostazione disabilita il controllo di origine e destinazione di Azure per l'interfaccia di rete. Vedere altre informazioni su come abilitare l'inoltro IP per un'interfaccia di rete. Anche se l'abilitazione dell'inoltro IP è un'impostazione di Azure, può essere necessario abilitare l'inoltro IP anche nel sistema operativo della macchina virtuale affinché l'appliance inoltri il traffico tra gli indirizzi IP assegnati alle interfacce di rete di Azure. Se l'appliance deve instradare il traffico a un indirizzo IP pubblico, deve eseguire il proxy del traffico o eseguire nat (Network Address Translation) dall'indirizzo IP privato dell'origine al proprio indirizzo IP privato. Azure esegue quindi NAT a un indirizzo IP pubblico prima di inviare il traffico a Internet. Per determinare le impostazioni necessarie nella macchina virtuale, vedere la documentazione del sistema operativo o dell'applicazione di rete. Per informazioni sulle connessioni in uscita, vedere Informazioni sulle connessioni in uscita in Azure.
- L'indirizzo IP privato di un servizio di bilanciamento del carico interno di Azure. Un servizio di bilanciamento del carico viene spesso usato nell'ambito di una strategia di disponibilità elevata per le appliance virtuali di rete.
- L'indirizzo IP privato di un'interfaccia di rete collegata a una macchina virtuale. Per un'interfaccia di rete collegata a una macchina virtuale che inoltra il traffico di rete a un indirizzo diverso dal proprio è necessario abilitare l'opzione di inoltro IP di Azure. Questa impostazione disabilita il controllo di origine e destinazione di Azure per l'interfaccia di rete. Vedere altre informazioni su come abilitare l'inoltro IP per un'interfaccia di rete. Anche se l'abilitazione dell'inoltro IP è un'impostazione di Azure, può essere necessario abilitare l'inoltro IP anche nel sistema operativo della macchina virtuale affinché l'appliance inoltri il traffico tra gli indirizzi IP assegnati alle interfacce di rete di Azure. Se l'appliance deve instradare il traffico a un indirizzo IP pubblico, deve eseguire il proxy del traffico o eseguire nat (Network Address Translation) dall'indirizzo IP privato dell'origine al proprio indirizzo IP privato. Azure esegue quindi NAT a un indirizzo IP pubblico prima di inviare il traffico a Internet. Per determinare le impostazioni necessarie nella macchina virtuale, vedere la documentazione del sistema operativo o dell'applicazione di rete. Per informazioni sulle connessioni in uscita, vedere Informazioni sulle connessioni in uscita in Azure.
Puoi definire una route con 0.0.0.0/0 come prefisso dell'indirizzo e un tipo di hop successivo dell'appliance virtuale. Questa configurazione consente all'appliance di controllare il traffico e determinare se inoltrare o eliminare il traffico. Se si intende creare una route definita dall'utente che contiene il prefisso degli indirizzi 0.0.0.0/0, vedere prima Prefisso degli indirizzi 0.0.0.0/0.
- Gateway di rete virtuale: specificare quando si vuole che il traffico destinato a prefissi degli indirizzi specifici venga indirizzato a un gateway di rete virtuale. Il gateway di rete virtuale deve essere creato con il tipo VPN. Non è possibile specificare un gateway di rete virtuale creato come tipo ExpressRoute in una route definita dall'utente perché con ExpressRoute è necessario usare BGP per le route personalizzate. Non è possibile specificare gateway di rete virtuale se si dispone di connessioni VPN ed ExpressRoute coesistenti. È possibile definire una route che indirizzi il traffico destinato al prefisso degli indirizzi 0.0.0.0/0 a un gateway di rete virtuale basato su route. Nell'ambiente locale può essere presente un dispositivo che ispeziona il traffico e determina se inoltrarlo o eliminarlo. Se si intende creare una route definita dall'utente per il prefisso di indirizzo 0.0.0.0/0, vedere prima Prefisso degli indirizzi 0.0.0.0/0. Invece di configurare una route definita dall'utente per il prefisso degli indirizzi 0.0.0.0/0, è possibile annunciare una route con il prefisso 0.0.0.0/0 tramite BGP, se è stato abilitato BGP per un gateway di rete virtuale VPN.
- Nessuno: specificare quando si vuole eliminare il traffico verso un prefisso degli indirizzi, invece di inoltrarlo a una destinazione. Se una funzionalità non è completamente configurata, Azure può elencare Nessuno per alcune delle route di sistema facoltative. Se ad esempio è indicato Nessuno come Indirizzo IP hop successivo con Tipo hop successivo Gateway di rete virtuale o Appliance virtuale, è possibile che il dispositivo non sia in esecuzione o non sia completamente configurato. Azure crea route predefinite di sistema per i prefissi degli indirizzi riservati con tipo hop successivo Nessuno.
- Rete virtuale: Specifica l'opzione Rete virtuale quando vuoi eseguire l'override del routing predefinito all'interno di una rete virtuale.
- Internet: Specifica l’opzione Internet quando vuoi instradare esplicitamente a Internet il traffico destinato a un prefisso degli indirizzi oppure se vuoi che il traffico destinato ai servizi di Azure con indirizzi IP pubblici resti all'interno della rete backbone di Azure. Per un esempio del motivo per cui è possibile creare una route con il tipo di hop di rete virtuale, vedere Esempio di routing.
Non è possibile specificare il peering di rete virtuale o VirtualNetworkServiceEndpoint come tipo di hop successivo nelle route definite dall'utente. Le route con tipi di hop successivi Peering di reti virtuali o VirtualNetworkServiceEndpoint vengono create da Azure solo quando si configura un peering di reti virtuali oppure un endpoint di servizio.
Tag di servizio per le route definite dall'utente
È ora possibile specificare un tag del servizio come prefisso dell'indirizzo per una route definita dall'utente anziché un intervallo IP esplicito. Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure. I prefissi di indirizzo inclusi nel tag di servizio sono gestiti da Microsoft, che aggiorna automaticamente il tag in caso di modifica degli indirizzi. In questo modo, vengono ridotti al minimo sia il numero di route da creare sia la complessità degli aggiornamenti frequenti alle route definite dall'utente. Attualmente puoi creare 25 o meno route con tag di servizio in ogni tabella di route. Con questa versione, è supportato anche l'uso dei tag di servizio negli scenari di routing per i contenitori.
Corrispondenza esatta
Il sistema assegna la preferenza alla route con il prefisso esplicito quando è presente una corrispondenza esatta del prefisso tra una route con un prefisso IP esplicito e una route con un tag di servizio. Quando più route con tag di servizio hanno prefissi IP corrispondenti, le route vengono valutate nell'ordine seguente:
- Tag dell’area geografica (ad esempio, Storage.EastUS, AppService.AustraliaCentral)
- Tag di primo livello (ad esempio, Archiviazione, AppService)
- Tag dell’area geografica di AzureCloud (ad esempio, AzureCloud.canadacentral, AzureCloud.eastasia)
- Tag AzureCloud
Per usare questa funzionalità, specifica un nome tag di servizio per il parametro del prefisso dell'indirizzo nei comandi della tabella di route. In PowerShell, ad esempio, puoi creare una nuova route per indirizzare il traffico inviato a un prefisso IP di Archiviazione di Azure a un'appliance virtuale usando:
Azure PowerShell
$param = @{ Name = 'StorageRoute' AddressPrefix = 'Storage' NextHopType = 'VirtualAppliance' NextHopIpAddress = '10.0.100.4' } New-AzRouteConfig @param
Lo stesso comando per l'interfaccia della riga di comando è il seguente:
Interfaccia della riga di comando di Azure
az network route-table route create \ --resource-group MyResourceGroup \ --route-table-name MyRouteTable \ --name StorageRoute \ --address-prefix Storage \ --next-hop-type VirtualAppliance \ --next-hop-ip-address 10.0.100.4