Compartilhar via

Usar o Firewall do Azure para rotear uma topologia de vários hubs e spoke

  • Artigo

A topologia hub e spoke é um padrão comum de arquitetura de rede no Azure. O hub é uma VNet (rede virtual) no Azure que atua como ponto central de conectividade para sua rede local. Os raios são VNets que ponto a ponto com o hub e pode ser usado para isolar as cargas de trabalho. O hub pode ser usado para isolar e proteger o tráfego entre spokes. O hub também pode ser usado para rotear o tráfego entre spokes. O hub pode ser usado para rotear o tráfego entre spokes usando vários métodos.

Por exemplo, você pode usar o Servidor de Rota do Azure com roteamento dinâmico e NVAs (soluções de virtualização de rede) para rotear o tráfego entre spokes. Essa pode ser uma implantação bastante complexa. Um método menos complexo usa Firewall do Azure e rotas estáticas para rotear o tráfego entre spokes.

Este artigo mostra como você pode usar o Firewall do Azure com UDRs (rotas definidas pelo usuário) estáticas para rotear uma topologia de vários hubs e spoke. O seguinte diagrama mostra essa topologia:

Diagrama conceitual mostrando a arquitetura hub e spoke.

Arquitetura de linha de base

O Firewall do Azure protege e inspeciona o tráfego de rede, mas também roteia o tráfego entre VNets. É um recurso gerenciado que cria automaticamente rotas do sistema para os spokes locais, o hub e os prefixos locais aprendidos por seu Gateway de Rede Virtual local. A colocação de uma NVA no hub e consulta às rotas efetivas resultaria em uma tabela de rotas semelhante ao que é encontrado no Firewall do Azure.

Como essa é uma arquitetura de roteamento estático, o caminho mais curto para outro hub pode ser feito usando o emparelhamento VNet global entre os hubs. Assim, os hubs sabem uns sobre os outros e cada firewall local contém a tabela de rotas de cada hub conectado diretamente. No entanto, os hubs locais só sabem sobre seus spokes locais. Além disso, esses hubs podem estar na mesma região ou em uma região diferente.

Roteamento na sub-rede do firewall

Cada firewall local precisa saber como alcançar os outros spokes remotos, portanto, você deve criar UDRs nas sub-redes do firewall. Para fazer isso, primeiro você precisa criar uma rota padrão de qualquer tipo, o que permite criar rotas mais específicas para os outros spokes. Por exemplo, as capturas de tela a seguir mostram a tabela de rotas para as duas VNets de hub:

Tabela de rotas Hub-01Captura de tela mostrando a tabela de rotas para Hub-01.

Tabela de rotas Hub-02Captura de tela mostrando a tabela de rotas para Hub-02.

Roteamento nas sub-redes spoke

O benefício de implementação dessa topologia é que, com o tráfego indo de um hub para outro, você pode alcançar o próximo salto diretamente conectado por meio do emparelhamento global.

Conforme ilustrado no diagrama, é melhor colocar uma UDR nas sub-redes spoke que têm uma rota 0/0 (gateway padrão) com o firewall local como o próximo salto. Isso bloqueia o ponto de saída do próximo salto como o firewall local. Também reduz o risco de roteamento assimétrico se aprender prefixos mais específicos do seu ambiente local que podem fazer com que o tráfego ignore o firewall. Para obter mais informações, consulte Não deixe que suas Rotas do Azure assustem você.

Aqui está um exemplo de tabela de rotas para as sub-redes spoke conectadas ao Hub-01:

Captura de tela mostrando a tabela de rotas para as sub-redes spoke.

Próximas etapas