Azure 防火墙实现VNET互通的方法

Azure 防火墙是托管的基于云的网络安全服务，可保护 Azure 虚拟网络资源。 它是一个服务形式的完全有状态防火墙，具有内置的高可用性和不受限制的云可伸缩性。可以跨订阅和虚拟网络集中创建、实施和记录应用程序与网络连接策略。 Azure 防火墙对虚拟网络资源使用静态公共 IP 地址，使外部防火墙能够识别来自你的虚拟网络的流量。 该服务与用于日志记录和分析的 Azure Monitor 完全集成。

默认情况下chinanorth和china east2之间的VNET是不通信的

想让他们通信也有很多办法，可以直接在这两个VNET之间再做一次peering，但是这样的缺点在于如果VNET多了，这样会变成网状的结果，比较难管理

除了peering之外还有一种办法是也可以通过FW来实现两个VNET之间的互通

想让两个vnet通信也很简单，分别在subnet设置到FW的默认路由即可，具体做法可以参考上篇SNAT的文章

挂载默认路由的UDR之后，两个分支VNET之间也可以直接通信

可以看到两个网段是可以直接ping通的

取消其中一个UDR，再做尝试

再次测试，已经不通了

这个应该不是路由层面直接发给peering vnet的，而是通过0.0.0.0的路由，先把数据包发给firewall，再由FW转发

通过路由表也可以看出来，并没有直接到对端VNET的路由信息