Azure 防火墻是托管的基于云的網(wǎng)絡安全服務，可保護 Azure 虛擬網(wǎng)絡資源。 它是一個服務形式的完全有狀態(tài)防火墻，具有內(nèi)置的高可用性和不受限制的云可伸縮性?？梢钥缬嗛喓吞摂M網(wǎng)絡集中創(chuàng)建、實施和記錄應用程序與網(wǎng)絡連接策略。 Azure 防火墻對虛擬網(wǎng)絡資源使用靜態(tài)公共 IP 地址，使外部防火墻能夠識別來自你的虛擬網(wǎng)絡的流量。 該服務與用于日志記錄和分析的 Azure Monitor 完全集成。

成都創(chuàng)新互聯(lián)公司專注于尼河口網(wǎng)站建設服務及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供尼河口營銷型網(wǎng)站建設，尼河口網(wǎng)站制作、尼河口網(wǎng)頁設計、尼河口網(wǎng)站官網(wǎng)定制、小程序制作服務，打造尼河口網(wǎng)絡公司原創(chuàng)品牌,更為您提供尼河口網(wǎng)站排名全網(wǎng)營銷落地服務。

來看下這樣的一個架構(gòu)，web服務器默認路由指向FW，web服務器前有一個standard load balancer，web服務器是它的后端池，LB上配置了80端口的規(guī)則，web服務器本身沒有公網(wǎng)IP，再這樣的架構(gòu)下，有兩個問題 

1. Web服務器是否能訪問internet

2. 在internet通過standard lb是否能訪問web服務器上的nginx

我們一個個來看，standard lb后端的服務器，默認是不能訪問internet的，那么如果它的默認路由指向Firewall呢？

經(jīng)過測試發(fā)現(xiàn)，訪問完全沒有問題

 那么，第二個問題呢，首先來看下LB的配置，其實很簡單

可以看到只是簡單配置了一個80的規(guī)則

但是測試發(fā)現(xiàn)，lb的ip一直沒辦法ping通

但是，在把指向FW的默認路由去掉之后，我們發(fā)現(xiàn)可以ping通了

這是為什么呢？其實微軟的文檔已經(jīng)給了我們解釋

這種現(xiàn)象叫非對稱路由，理解上其實很簡單，因為入站的時候是通過LB進來的，但是回去的時候因為默認路由的原因，卻要從FW出去，F(xiàn)W上沒有這個會話，就回導致把包丟掉

非對稱路由

非對稱路由是指數(shù)據(jù)包采用一條路徑發(fā)往目標，并采用另一條路徑返回到源。 如果子網(wǎng)的默認路由轉(zhuǎn)到防火墻的專用 IP 地址，并且使用的是公共負載均衡器，則會出現(xiàn)非對稱路由問題。 在這種情況下，將通過負載均衡器的公共 IP 地址接收傳入的負載均衡器流量，但返回路徑將通過防火墻的專用 IP 地址。 由于防火墻是有狀態(tài)的，并且無法識別此類已建立的會話，因此會丟棄返回的數(shù)據(jù)包。

    

    

這個問題其實也是可以有辦法解決的，官網(wǎng)的解釋是說，如果防火墻后邊跟的是public lb，則需要創(chuàng)建一個到防火墻public ip的UDR規(guī)則，下一條是internet，否則azure會通過默認路由發(fā)給防火墻的private ip，同時流量的入口也不能是LB，而應該是FW

下邊我們就來試下，整個流量是這樣的FW -> Public Standard LB -> WEB

首先，先在FW上配置到LB的NAT規(guī)則

但是測試發(fā)現(xiàn)，端口連不上

 接下來再試下添加到FW 公網(wǎng)IP的路由

 這次終于訪問成功了

網(wǎng)站題目：如何解決Azure防火墻的非對稱路由問題
本文路徑：http://m.rwnh.cn/article6/jcjdog.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供商城網(wǎng)站、網(wǎng)站建設、動態(tài)網(wǎng)站、用戶體驗、建站公司、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)