下邊繼續來看,之前說過,我們的架構是FW所在的VNET分別通過Peering和china north的VNET以及china east2的VNET通信
默認情況下chinanorth和china east2之間的VNET是不通信的
想讓他們通信也有很多辦法,可以直接在這兩個VNET之間再做一次peering,但是這樣的缺點在於如果VNET多了,這樣會變成網狀的結果,比較難管理
除了peering之外還有一種辦法是也可以通過FW來實現兩個VNET之間的互通
想讓兩個vnet通信也很簡單,分別在subnet設置到FW的默認路由即可,具體做法可以參考上篇SNAT的文章
掛載默認路由的UDR之後,兩個分支VNET之間也可以直接通信
可以看到兩個網段是可以直接ping通的
取消其中一個UDR,再做嘗試
再次測試,已經不通了
這個應該不是路由層面直接發給peering vnet的,而是通過0.0.0.0的路由,先把數據包發給firewall,再由FW轉發
通過路由表也可以看出來,並沒有直接到對端VNET的路由信息
