我需要构建一个网络解决方案,该解决方案将具有多个站点到站点 (S2S) VPN 和一个点到站点 VPN (P2S)。理想情况下,我们希望每个服务提供商/VPN 都有自己的一套基础设施 - 专用虚拟网络网关,如下图所示:
我无法让流量从本地流向辐条 4 和 5。
我在不同的网段中构建了一些可以通信的测试虚拟机。例如:
- 辐条 1 > 轮毂 > 辐条 4 + 5。✅
- 本地 > 辐条 1 + 2 + 3。✅
我从日志中可以看到 UDR 正在通过防火墙推送流量。
如果我理解文档正确地说,我应该能够利用当前部署的基础设施实现这一点。
如果您需要辐射之间的连接,请考虑部署 Azure 防火墙或其他网络虚拟设备。
我能找到的所有示例都显示了集线器网络中的 VNG(例如)——这意味着它将在服务提供商之间共享。
我还看到了其他示例,其中存在 vnet-to-vnet VNG(VPN 网关)(例如)之间的中心和辐射。微软表示:
您还可以使用 VPN 网关在辐射之间路由流量,但这种选择会影响延迟和吞吐量。
我开始觉得计划中的设计不可能实现。我必须:
- 在中心共享 VNG
- 辐条和集线器中的 vnet-to-vnet VNG
- 1 + 2
- 设计是可行的,因此路由/防火墙规则是错误的。
短暂性脑缺血发作