【问题标题】:Routing traffic in Azure VPNAzure VPN 中的路由流量
【发布时间】:2020-11-24 03:41:30
【问题描述】:

我有 3 个 VNet,3 个 Point-2-Site VPN 网关,每个 Vnet 一个,并且 VNet 对等互连设置如下图所示。

我想要实现的是:

  1. 如果我使用 VPN1,我可以 ping 所有 3 个 VNet 中的所有 VM。
  2. 如果我使用 VPN2,我只能 ping VNet 2 和 1 中的虚拟机。
  3. 如果我使用 VPN3,我只能 ping VNet 3 和 1 中的虚拟机。

据我了解,要实现 1,我必须在两个对等互连中都允许转发流量。但是,2 和 3 无法实现 - 无论我使用什么 VPN,我都可以 ping 所有虚拟机。对吗?

这样做的正确方法应该是什么?


更新:有关更多详细信息,这是我的用例:

在 VNet 1 中,我有一个 Intranet 服务器,应该可供所有人使用。

在 VNet 2 中,我有一个开发服务器。

在 VNet 3 中,我有一个测试服务器。

管理员应该能够访问所有服务器 --> VPN1。

开发者应该可以访问内网和开发服务器 --> VPN2

测试人员应该可以访问内网和测试服务器 --> VPN3

【问题讨论】:

    标签: azure vpn traffic network-traffic azure-vpn


    【解决方案1】:

    对于您的要求,我相信您可以通过 configuring VPN gateway transit for virtual network peering 一个中心辐射型网络架构来实现它。在此网络体系结构中,您需要在 VNet1(作为中心)中部署一个 VPN 网关并与其他两个 VNet(作为辐条)对等,而不是在每个辐条虚拟网络中部署 VPN 网关。到网关连接的虚拟网络或本地网络的路由将传播到使用网关传输的对等虚拟网络的路由表。

    下图显示了网关传输如何与虚拟网络对等互连。

    在这种情况下,您可以将 VNet1 对等体配置为与 VNet2 以及 VNet1 对等体与 VNet3 相互配置。

    在从 VNet1 到 VNet2 和 VNet1 到 VNet3 的对等互连上,启用 Allow gateway transit 选项。在从 VNet2 到 VNet1 和 VNet3 到 VNet1 的对等互连上,设置 Use remote gateways 选项。

    【讨论】:

    • 嗨。我没有尝试过,但据我了解,中心辐射型网络允许连接到 VPN 的任何人访问所有 VNet 中的所有内容。所以它没有实现我的目标。连接 VPN 时是否可以授权使用 Azure AD 的人?
    • 是的,Windows 10 客户端(使用 Open VPN 协议)可以使用 Azure AD 身份验证。阅读here。据我所知,在中心辐射型网络中,辐射型虚拟机在没有任何配置的情况下不会相互通信。
    • 嗨。我想你误解了我的问题。您提供的链接用于身份验证,而我想要的是授权。例如,在您的图片中有 3 个 VNet:Hub、Spoke 1 和 Spoke 2。如果项目经理连接 VPN,我希望他能够访问所有内容。但如果开发人员连接,他应该只能访问 Hub and Spoke 1 上的虚拟机。
    • 那么您是否需要对 vm 特定资源而不是 vpn 连接进行授权?
    • 嗯,我最初的问题不是关于连接到虚拟机。当我说“访问虚拟机”时,我实际上指的不仅是通过 SSH/RDP 访问服务器,还包括访问在其上运行的网站。我希望这可以澄清。
    猜你喜欢
    • 2021-03-06
    • 2022-12-20
    • 2017-01-05
    • 1970-01-01
    • 2017-07-20
    • 2021-06-28
    • 1970-01-01
    • 2019-09-03
    • 1970-01-01
    相关资源
    最近更新 更多