![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
cat_muciusНедавно задался сетевым вопросом, казавшимся мне элементарным: как сделать так, чтобы трафик между виртуальными сетями Azure, а также между ними и удалёнными сетями, подключёнными по VPN, ходил через файерволл - без того, чтобы прописывать всякий раз статические маршруты при добавлении этих сетей. К моему удивлению, вопрос неожиданно оказался очень сложным - при том, что в Амазоне эта конфигурация совершенно стандартна (см. "Centralized deployment model").
Ни вопросы на форумах, ни обращение к микрософтовской техподдержке не помогли - пришлось изобрести свою схему:
Детали:
https://github.com/cat-mucius/kb/wiki/Dynamic-routing-with-Azure-VPN-Gateway-and-with-traffic-inspection-by-custom-firewall
Её, однако, недостаток в том, что трафик может течь лишь через один из файерволлов, без распределения нагрузки. По-прежнему есть high availability - если активный файерволл рухнет, запасной подхватит пошатнувшееся знамя, но хотелось бы, конечно, чтобы активны были оба.
Если есть идеи - бабушка амёба завещала делиться. :-)
Ни вопросы на форумах, ни обращение к микрософтовской техподдержке не помогли - пришлось изобрести свою схему:
Детали:
https://github.com/cat-mucius/kb/wiki/Dynamic-routing-with-Azure-VPN-Gateway-and-with-traffic-inspection-by-custom-firewall
Её, однако, недостаток в том, что трафик может течь лишь через один из файерволлов, без распределения нагрузки. По-прежнему есть high availability - если активный файерволл рухнет, запасной подхватит пошатнувшееся знамя, но хотелось бы, конечно, чтобы активны были оба.
Если есть идеи - бабушка амёба завещала делиться. :-)
