3
votes

Créez 3 VNETS où tout le trafic est acheminé via un VNET (hub and spoke)

J'essaie de trouver comment répondre à ma question que j'ai récemment passée à un examen. Les exigences sont les suivantes:

  1. Vous prévoyez de créer 100 machines virtuelles sur 3 réseaux virtuels (vnetA, vnetB et vnetC)
  2. Tout le trafic doit être acheminé via vnetA
  3. Toutes les machines virtuelles doivent pouvoir se parler via une adresse IP privée
  4. La solution ne doit pas nécessiter de passerelles virtuelles
  5. La solution doit minimiser le nombre de peerings.
  6. La solution ne doit nécessiter aucune appliance virtuelle réseau (VM agissant en tant que routeur)

Pour moi, cela ressemble à une topologie en étoile dans laquelle j'effectue les étapes suivantes.

  1. Créer un peering vnet de vnetA vers vnetB (autoriser le trafic transféré)
  2. Créer un peering de vnet de vnetB vers vnetA
  3. Créer un peering de vnet de vnetA vers vnetC (autoriser le trafic transféré)
  4. Créer un peering de vnet de vnetC vers vnetA

Maintenant, j'ai besoin de la connectivité en étoile (entre vnetB et vnetC), mais elle doit passer par vnetA, où je suis confus. Ma première pensée a été simplement d'activer Autoriser le transit de la passerelle / Utiliser les options de passerelles distantes entre les deux peerings ci-dessus, mais cela ne permet pas cela en raison du fait que vnetA n'a pas de passerelle de réseau virtuel (j'ai même essayé d'ajouter un GatewaySubnet à vnetA).

Je n'arrive pas à utiliser une table de routage personnalisée attachée aux sous-réseaux de vnetB et vnetC pour spécifier un saut suivant, sauf si j'utilise une appliance virtuelle qui ne peut pas être utilisée dans cette solution.

Quelqu'un a-t-il des idées sur la façon dont il aborderait ce problème?


0 commentaires

4 Réponses :


1
votes

Vous êtes sur la bonne voie, mon pote. Tout cela doit être ARM; lorsque vous pairez VNET A et B, il vous suffit de sélectionner "Autoriser l'accès au réseau virtuel à partir de VNET A / B = Enabled" pour le peering entre A et B et B et A. Ensuite, pour le peering entre B et A uniquement , sélectionnez "Autoriser le trafic transféré depuis VNETA = Activé".

Vous n'avez pas besoin de peering entre B et C.
Autoriser le trafic transféré signifie que le trafic ne provenant pas de VNET A (donc VNET C) est autorisé à entrer dans VNET B.

Répétez le même processus entre B et C. Ensuite, vous aurez un design de moyeu et de rayon. Le trafic de B atteindra C via A. Comme vous ne traversez aucun trafic vers ExpressRoute ou un VPN ou un VNET classique, vous n'avez besoin d'aucune passerelle.


3 commentaires

Merci d'avoir répondu :) J'aurais dû mentionner que l'option Autoriser l'accès au réseau virtuel est activée par défaut, ce que je n'ai pas changé pour que la partie soit configurée comme vous l'avez mentionné. J'ai également déjà configuré le paramètre de trafic transféré sur activé pour les deux peerings qui proviennent de vnetA, donc je ne suis pas sûr si j'ai besoin de faire autre chose ou j'ai simplement mal compris ce que vous dites. La dernière chose que vous avez dite est que je devrais répéter un processus entre vnetB et vnetC mais je ne peux rien créer entre eux selon les exigences. ?


Je pense que l'exigence qui peut prêter à confusion est "La solution doit minimiser le nombre de peerings", ce qui donne l'impression que vous devez faire le moins possible. Ces questions d'examen sont conçues pour cela. Faites autant de peerings que nécessaire pour compléter la solution. Afin de répondre à l'exigence «Toutes les machines virtuelles doivent pouvoir se parler via une adresse IP privée», vous avez besoin d'un appairage entre A et C.


J'ai déjà eu un peering entre A et C bro. Voulez-vous dire B et C?



4
votes

Autant que je sache, il est impossible de répondre à toutes les exigences 1 à 6. Étant donné que les connexions d'appairage ne sont pas transitives, même si Le flux réseau transitif entre les réseaux virtuels appairés se trouve sur la feuille de route MS à partir de ces commentaires ici , vous devez créer l'homologation de réseaux virtuels entre VNetB et VNetC. Mais cette méthode ajoutera le nombre de peerings et le trafic entre VNetB et VNetC ne sera pas acheminé via VNetA.

Après un test rapide, sélectionnez Autoriser le trafic transféré ne suffit pas. Cette option de configuration est nécessaire lors de la configuration des dispositifs de mise en réseau virtuels dans votre réseau virtuel de concentrateur afin que le trafic de transit puisse être acheminé via le concentrateur. Plus de détails ici < / a>.

Autoriser le trafic transféré : cochez cette case pour autoriser le trafic transféré par une appliance virtuelle de réseau dans un réseau virtuel (qui n'a pas proviennent du réseau virtuel) pour circuler vers ce réseau virtuel par un peering. Par exemple, considérons trois réseaux virtuels nommés Spoke1, Spoke2 et Hub. Un peering existe entre chaque rayon virtuel réseau et le réseau virtuel Hub, mais les appairages n'existent pas entre les réseaux virtuels parlés. Une appliance virtuelle réseau est déployée dans le réseau virtuel Hub et les itinéraires définis par l'utilisateur sont appliqués à chaque réseau virtuel parlé qui achemine le trafic entre les sous-réseaux via l'appliance virtuelle réseau. Si cette case n'est pas cochée pour le appairage entre chaque réseau virtuel en étoile et le hub virtuel réseau, le trafic ne circule pas entre les réseaux virtuels en étoile car le hub ne transfère pas le trafic entre le virtuel réseaux. En activant cette fonctionnalité, le trafic transféré via le peering, il ne crée pas de routes définies par l'utilisateur ou appareils virtuels réseau. Routes définies par l'utilisateur et réseau virtuel les appareils sont créés séparément. Découvrez les itinéraires définis par l'utilisateur. Vous n'avez pas besoin de vérifier ce paramètre si le trafic est transféré entre réseaux virtuels via une passerelle VPN Azure.

Pour conclure, vous devez créer une passerelle VPN pour le réseau en étoile ou utiliser une appliance virtuelle comme concentrateur et créer un UDR pour le réseau en étoile. Ou créez simplement un peering entre VNetB et VNetC.


4 commentaires

C'est un peu ce que j'ai pensé, c'est pourquoi j'étais si confus au sujet de la question. Le seul moyen que je connaisse pour faire circuler le trafic via vnet A est de savoir si vnetA a une passerelle de réseau virtuel ou une appliance virtuelle.


Je me demande pourquoi quelqu'un moins 1 la question. N'est-ce pas approprié de demander?


Peut-être que quelqu'un suggère de poser une question non-programme dans le coffre-fort du serveur.


La question de l'examen était pratique, correcte? Je suppose que la question est fausse et que l'implémentation correcte de la réponse est de créer les peerings, même si cela ne fonctionne pas?



0
votes

Cela nécessite la conception du moyeu et des rayons:

  1. Créer l'appairage de VNET entre VNET A et VNET B
  2. Créer l'appairage de VNET entre VNET B et VNET A
  3. Créer l'appairage de VNET entre VNET C et VNET B
  4. Créer l'appairage de VNET entre VNET B et VNET C
  5. Ajouter une passerelle de sous-réseau dans VNET B
  6. Autoriser le transit de la passerelle sur l'appairage VNET B -VNET A
  7. Autoriser le transit de passerelle sur l'appairage VNET B -VNET C
  8. Créer une passerelle de réseau virtuel dans VNET B
  9. Créer des tables de routage
  10. Joindre des tables de routage aux sous-réseaux VNET A et VNET B
  11. Activer la passerelle distante sur VNET A - appairage VNET B
  12. Activer la passerelle distante sur VNET C - appairage VNET B

0 commentaires

0
votes

La question ne dit pas que les NVA ne peuvent pas être utilisées, mais tout déploiement de ce type constituerait le déploiement d'une solution de routage. La question indique explicitement ce que vous feriez avant de configurer le routage IP, et la réponse peut donc ne pas être aussi compliquée que vous le pensez.

Vous n'avez pas besoin d'un sous-réseau de passerelle ou de passerelles virtuelles pour implémenter une topologie en étoile en supposant que vous allez provisionner, par exemple, une VM avec le transfert IP activé sur la vNIC pour agir comme un routeur.

  1. Créez vos 3 sous-réseaux, dans votre exemple vnetA, vnetB et vnetC
  2. À partir de vnetA, créez un appairage avec VNETb à l'aide du modèle de déploiement Resource Manager
  3. Assurez-vous que l'option "Autoriser le trafic transféré de vnetA vers vnetB" est activée
  4. Répétez les étapes 2 et 3 en remplaçant vnetB par vnetC

Et c'est tout. Maintenant, lorsque vous configurez le routage IP, vous allez provisionner une VM de routeur ou un autre appareil virtuel de réseau (NVA) dans le réseau du concentrateur et créer une table de routage pour une application ultérieure vers vnetB et vnetC en spécifiant l'adresse IP interne de la VM du routeur comme prochain saut.


0 commentaires