没有 NAT 的 NVA 用于 INTERNET 访问
NVA without NAT in azure for INTERNET access
我尝试为我的 azure VNET 设置自定义 NVA(具有应用程序特定功能的简单路由器)。
我的网络:
互联网 <->带 NIC1(NVA) 的子网 1 <->带 NIC2 (NVA) 和 VM 的子网 2
我希望过滤 NVA VM 流量 to/from 互联网。
据我所知,我可以使用 UDR 通过 NVA 将传出流量从 VM 路由到 Internet(并且我还在 NVA NIC 上设置了转发标志)。这一步有效...
但在那之后我遇到了问题。我的简单 NVA 只是将数据包从一个接口转发到另一个接口(它的简单路由器)-> 因此来自 NIC2 的数据包(带有 VM 的 src IP 和互联网服务的 dst IP)转发到 NIC1 并使用原始 src IP(带有VM 的 src IP,以及 Internet 服务的 dst IP)...我看不到来自 Internet 服务的任何答案。
所以我有问题:
我可以为我的案例创建可行的解决方案吗(当 NVA 不使用 NAT 时)
有人能告诉我为什么我的流量下降到某个地方而我在 VM 中看不到答案(我知道流量不能通过我的 NVA,但为什么我看不到答案?)
Azure 路线图有任何计划在 UDR 中支持基于源的路由策略(正如 linux 所拥有的那样)吗?
当您通过缩进到 Internet 的 NVA 发送流量时,将在 NVA 上完成 SNAT,以便 return 流量将被 NVA 接收并发送回 VM。
这是一般行为。如果您没有使用 NVA 来过滤流量而只是为了监控目的,您可以通过称为虚拟网络分路器的新功能来实现您的要求。使用此技术,您可以将 VM 发起的所有流量镜像到 NVA,而无需使用复杂的 UDR,并且仍将源 IP 维护为 VM 的 Public IP 地址。
参考:https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-tap-overview
我尝试为我的 azure VNET 设置自定义 NVA(具有应用程序特定功能的简单路由器)。
我的网络:
互联网 <->带 NIC1(NVA) 的子网 1 <->带 NIC2 (NVA) 和 VM 的子网 2
我希望过滤 NVA VM 流量 to/from 互联网。
据我所知,我可以使用 UDR 通过 NVA 将传出流量从 VM 路由到 Internet(并且我还在 NVA NIC 上设置了转发标志)。这一步有效...
但在那之后我遇到了问题。我的简单 NVA 只是将数据包从一个接口转发到另一个接口(它的简单路由器)-> 因此来自 NIC2 的数据包(带有 VM 的 src IP 和互联网服务的 dst IP)转发到 NIC1 并使用原始 src IP(带有VM 的 src IP,以及 Internet 服务的 dst IP)...我看不到来自 Internet 服务的任何答案。
所以我有问题:
我可以为我的案例创建可行的解决方案吗(当 NVA 不使用 NAT 时)
有人能告诉我为什么我的流量下降到某个地方而我在 VM 中看不到答案(我知道流量不能通过我的 NVA,但为什么我看不到答案?)
Azure 路线图有任何计划在 UDR 中支持基于源的路由策略(正如 linux 所拥有的那样)吗?
当您通过缩进到 Internet 的 NVA 发送流量时,将在 NVA 上完成 SNAT,以便 return 流量将被 NVA 接收并发送回 VM。
这是一般行为。如果您没有使用 NVA 来过滤流量而只是为了监控目的,您可以通过称为虚拟网络分路器的新功能来实现您的要求。使用此技术,您可以将 VM 发起的所有流量镜像到 NVA,而无需使用复杂的 UDR,并且仍将源 IP 维护为 VM 的 Public IP 地址。
参考:https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-tap-overview