Несколько VPN с несколькими шлюзами виртуальных сетей (Hub & Spoke)
Мне нужно создать сетевое решение, которое будет включать несколько VPN типа «сеть-сеть» (S2S) и VPN «точка-2» (P2S). В идеале мы хотим, чтобы каждый поставщик услуг/VPN имел свой собственный набор инфраструктуры — выделенный шлюз виртуальной сети, как показано на схеме:
Я не могу обеспечить передачу трафика в/из локальной сети на периферии 4 и 5.
Я создал несколько тестовых виртуальных машин в различных сегментах, которые могут обмениваться данными. Например:
- Спица 1 > концентратор > Спица 4 + 5. ✅
- Локально > Говорил 1 + 2 + 3. ✅
Из журналов я вижу, что UDR пропускают трафик через брандмауэр.
Если я правильно понимаю документацию , я смогу добиться этого с помощью развернутой в настоящее время инфраструктуры.
Если вам требуется подключение между периферийными устройствами, рассмотрите возможность развертывания брандмауэра Azure или другого виртуального сетевого устройства.
Все примеры, которые я могу найти, показывают VNG в сети-концентраторе (например ), что означает, что он будет использоваться совместно поставщиками услуг.
Я также вижу другие примеры, когда между концентратором и лучом существует VNG (шлюз VPN) между виртуальными сетями (например ).Майкрософт говорит:
Вы также можете использовать VPN-шлюз для маршрутизации трафика между лучами, хотя этот выбор повлияет на задержку и пропускную способность.
Я начинаю думать, что запланированный проект невозможен. Должен ли я иметь:
- Общий VNG в хабе
- VNG между виртуальными сетями в лучах и концентраторе
- 1 + 2
- Проектирование возможно, поэтому правила маршрутизации/брандмауэра неверны.
ТИА