Upravit

Aktualizace směrovacích tabulek pomocí Azure Route Serveru

Azure ExpressRoute
Azure Storage
Azure Virtual Network
Azure VPN Gateway

Tento článek představuje řešení pro správu dynamického směrování mezi síťovými virtuálními zařízeními a virtuálními sítěmi. Jádrem řešení je Azure Route Server. Tato služba zjednodušuje konfiguraci, údržbu a nasazení síťových virtuálních zařízení ve vaší virtuální síti. Pokud používáte směrovací server, nemusíte při změně adres virtuální sítě aktualizovat směrovací tabulky síťového virtuálního zařízení ručně.

Architektura

Diagram architektury znázorňující tok dat mezi místními sítěmi, hvězdicovou virtuální sítí a různými bránami

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

  • Tato hvězdicová architektura má hvězdicovou virtuální síť a jednu paprskovou virtuální síť. Virtuální síť centra má několik podsítí, z nichž každý obsahuje virtuální počítače.

  • Adresní prostor každé virtuální sítě definuje rozsahy adres. Pro každý z těchto rozsahů Azure vytvoří trasu s předponou adresy daného rozsahu. Azure tyto trasy přidá do směrovacích tabulek. Každá virtuální síť má více podsítí a každá podsíť má síťovou kartu (NIC), která řídí připojení. Azure vloží směrovací tabulku každé virtuální sítě do síťových karet podsítí.

    Tyto výchozí systémové trasy nemůžete vytvořit ani odebrat. Můžete ale:

    • Přepište některé systémové trasy vlastními trasami.
    • Nakonfigurujte Azure tak, aby do konkrétních podsítí přidala volitelné výchozí trasy .

  • Místní sítě používají Azure VPN Gateway a bránu ExpressRoute k připojení k virtuální síti centra v existující konfiguraci. Když přidáte bránu VPN, trasy s bránou se přidají jako další trasa do směrovacích tabulek. Když přidáte ExpressRoute, aktualizují se také směrovací tabulky. Tyto trasy se šíří do všech podsítí.

  • Protokol BGP (Border Gateway Protocol) umožňuje výměnu IP adres mezi místními komponentami a komponentami Azure. Tento protokol směruje pakety mezi autonomními systémy. Takové systémy jsou malé sítě nebo obrovské fondy směrovačů, které provozuje jedna organizace.

  • Partnerský vztah virtuální sítě existuje mezi virtuální sítí rozbočovače a paprskovou virtuální sítí. Když vytvoříte partnerský vztah, Azure aktualizuje směrovací tabulku. Konkrétně Azure přidá trasu pro každý rozsah adres, který je v adresní prostoru centra nebo adresní prostor paprsku. Tyto trasy se šíří do všech podsítí.

  • Podsíť ve virtuální síti centra používá koncový bod služby pro Azure Storage. Azure do směrovací tabulky dané podsítě přidá veřejnou IP adresu pro službu Storage.

  • Virtuální síť centra obsahuje dvě síťová virtuální zařízení. Síťové virtuální zařízení můžou být brány, softwarově definované sítě SD(WAN) nebo brány firewall zařízení zabezpečení. Route Server vyměňuje trasy síťového virtuálního zařízení, síťové aplikace a brány pomocí:

    • Vytvoření instance škálovacích sad virtuálních počítačů Azure Každý virtuální počítač ve škálovací sadě má IP adresu. Stejně jako u IP adres brány má směrovací server přístup k IP adresě virtuálního počítače.
    • Vytvoření partnerských vztahů protokolu BGP mezi jednotlivými síťovými virtuálními zařízeními a virtuálním počítačem ve škálovací sadě
    • Vložení IP adres virtuálního počítače do všech směrovacích tabulek ve virtuální síti a připojených sítích

    Není potřeba:

    • Ručně přidejte trasy definované uživatelem.
    • Ručně vytvořte směrovací tabulky.
    • Propojte směrovací tabulky s podsítí, abyste rozšířili trasy.
    • Aktualizujte směrovací tabulky při změně IP adres.

Komponenty

  • Směrovací server zjednodušuje dynamické směrování mezi síťovými virtuálními virtuálními zařízeními, které podporují protokol BGP a virtuální sítě. Tato služba eliminuje administrativní režii při údržbě směrovacích tabulek.

  • Virtuální síť je základním stavebním blokem privátních sítí v Azure. Prostředky Azure, jako jsou virtuální počítače, můžou mezi sebou bezpečně komunikovat, internet a místní sítě prostřednictvím virtuální sítě.

  • Partnerský vztah virtuálních sítí propojuje dvě nebo více virtuálních sítí Azure. Partnerské vztahy poskytují připojení mezi prostředky v různých virtuálních sítích s nízkou latencí a velkou šířkou pásma. Provoz mezi virtuálními počítači v partnerských virtuálních sítích používá pouze privátní síť Microsoftu.

  • VPN Gateway je konkrétní typ brány virtuální sítě. K odesílání šifrovaného provozu můžete použít službu VPN Gateway:

    • Mezi virtuální sítí Azure a místním umístěním přes veřejný internet.
    • Mezi virtuálními sítěmi Azure přes páteřní síť Azure.

  • ExpressRoute rozšiřuje místní sítě do cloudu Microsoftu. Pomocí poskytovatele připojení ExpressRoute vytváří privátní připojení ke cloudovým komponentám, jako jsou služby Azure a Microsoft 365.

  • Koncový bod služby poskytuje zabezpečené a přímé připojení ke službě Azure z privátních IP adres ve virtuální síti. Koncový bod služby poskytuje identitě virtuální sítě službě Azure. Prostředky virtuální sítě proto pro přístup ke službě nepotřebují veřejné IP adresy a koncový bod chrání službu tím, že povoluje pouze provoz ze zadané virtuální sítě. Připojení používají optimalizované trasy přes páteřní síť Azure.

  • Síťové virtuální zařízení je virtuální zařízení, které nabízí síťové funkce, jako je zabezpečení brány firewall a vyrovnávání zatížení.

  • Azure Storage je řešení cloudového úložiště, které zahrnuje objekt, soubor, disk, frontu a úložiště tabulek. Služby zahrnují řešení hybridního úložiště a nástroje pro přenos, sdílení a zálohování dat.

Alternativy

  • V tomto řešení nemusíte připojovat koncový bod služby ke službě Storage. Místo toho můžete použít jiné služby Azure. Seznam služeb, které můžete zabezpečit pomocí koncových bodů služby, najdete v tématu Koncové body služby virtuální sítě.

  • Místo použití směrového serveru můžete přidat trasy definované uživatelem do směrovací tabulky každé podsítě. Další informace o trasách definovaných uživatelem najdete v tématu Trasy definované uživatelem ve směrování provozu virtuální sítě.

Podrobnosti scénáře

Směrování sítě je proces určení cesty, kterou provoz přes sítě přenese do cíle. Směrovací tabulky uvádějí informace o síťové topologii, které jsou užitečné pro určení cest směrování.

Pokud vaše virtuální síť obsahuje síťové virtuální zařízení, musíte ručně nakonfigurovat a aktualizovat směrovací tabulky.

Tento článek představuje řešení pro správu dynamického směrování mezi síťovými virtuálními zařízeními a virtuálními sítěmi. Jádrem řešení je Azure Route Server. Tato služba zjednodušuje konfiguraci, údržbu a nasazení síťových virtuálních zařízení ve vaší virtuální síti. Pokud používáte směrovací server, nemusíte při změně adres virtuální sítě aktualizovat směrovací tabulky síťového virtuálního zařízení ručně.

Potenciální případy použití

Toto řešení platí pro scénáře, které:

  • Používejte duální domácí sítě. Kromě typických topologií hvězdicové sítě podporuje Router Server také dvoudomácové síťové topologie. Tento typ konfigurace vytvoří partnerský vztah paprskové virtuální sítě se dvěma nebo více virtuálními sítěmi centra. Podrobné informace najdete v tématu O duální domácí síti se službou Azure Route Server.
  • Připojení síťových virtuálních zařízení do Azure ExpressRoute. Některé virtuální sítě obsahují Route Server, bránu ExpressRoute a síťové virtuální zařízení. Směrovací server ve výchozím nastavení nešířuje trasy síťového virtuálního zařízení do ExpressRoute. Směrovací server také nerozšířuje trasy ExpressRoute do síťového virtuálního zařízení. Můžete získat ExpressRoute a síťové virtuální zařízení pro výměnu tras zapnutím funkce výměny tras na route serveru. Podrobné informace najdete v tématu Podpora Azure Route Serveru pro ExpressRoute a Azure VPN.
  • Pomocí Azure se připojte k internetu z místního systému. Tuto konfiguraci můžou používat organizace, které nemají dobrý přístup k internetu. Dalšími možnostmi jsou systémy, které už migrovaly internetové proxy servery do Azure. Route Server umožňuje toto nastavení.

Důležité informace

Při implementaci tohoto řešení zvažte tyto body:

  • Route Server vytváří připojení a vyměňuje trasy. Nepřenese datové pakety. V důsledku toho virtuální počítače, které směrovací server běží v back-endu, nevyžadují významný výkon procesoru ani výpočetní výkon.

  • Když nasadíte směrovací server, vytvořte podsíť s názvem RouteServerSubnet , která používá masku /27podsítě IPv4 . Umístěte směrovací server do této podsítě.

  • V branách Azure nepodporuje cenová úroveň Basic společně existující připojení ExpressRoute a VPN Gateway. Další omezení existujících konfigurací najdete v tématu Omezení a omezení.

  • Počet koncových bodů služby, které můžete použít ve virtuální síti, není nijak omezený. Některé služby Azure, například Storage, ale vynucují omezení počtu podsítí, které můžete použít k zabezpečení prostředku. Další informace najdete v tématu Další kroky v koncových bodech služby virtuální sítě.

Při zvažování tohoto řešení mějte na paměti také body v následujících částech.

Dostupnost

Route Server je plně spravovaná služba, která nabízí vysokou dostupnost. Pro záruku dostupnosti této služby se podívejte na smlouvu SLA pro Azure Route Server.

Škálovatelnost

Většina komponent v tomto řešení je spravovaných služeb, které se automaticky škálují. Existuje ale několik výjimek:

  • Route Server může inzerovat maximálně 200 tras do ExpressRoute nebo brány VPN.
  • Route Server může podporovat maximálně 2 000 virtuálních počítačů na virtuální síť, včetně partnerských virtuálních sítí.

Zabezpečení

Odolnost

Toto řešení používá pouze spravované komponenty. Na regionální úrovni jsou všechny tyto komponenty automaticky odolné. Route Server nabízí vysokou dostupnost. Když nasadíte směrovací server v oblasti Azure, která podporuje zóny dostupnosti, vaše implementace má redundanci na úrovni zóny. Další informace o zónách dostupnosti najdete v tématu Oblasti a zóny dostupnosti.

Optimalizace nákladů

Pokud chcete odhadnout náklady na implementaci tohoto řešení, podívejte se na cenovou kalkulačku Azure. Obecné informace o snížení zbytečných výdajů najdete v tématu Přehled pilíře optimalizace nákladů.

V následujících částech najdete informace o cenách komponent řešení.

Směrovací server

V současné době se za Route Server neplatí žádné počáteční náklady ani poplatky za ukončení. Informace o cenách najdete v tématu Ceny azure Route Serveru.

Virtual Network

Virtuální síť můžete používat zdarma. S předplatným Azure můžete vytvořit až 50 virtuálních sítí ve všech oblastech. Přenosy, které jsou v rámci hranic virtuální sítě, jsou bezplatné. V důsledku toho se neúčtují žádné poplatky za komunikaci mezi dvěma virtuálními počítači ve stejné virtuální síti.

VPN Gateway

Když používáte službu VPN Gateway, veškerý příchozí provoz je bezplatný. Účtují se vám jenom odchozí přenosy. Náklady na šířku pásma internetu se vztahují u odchozího provozu VPN. Další informace najdete v tématu o cenách služby VPN Gateway.

ExpressRoute

Přenosy dat ExpressRoute, které jsou příchozí, jsou bezplatné. U odchozího přenosu dat se vám účtuje předem určená sazba. Platí také pevný měsíční poplatek za přístav. Další informace najdete v tématu o cenách Azure ExpressRoute.

Koncové body služby

Za používání koncových bodů služby se neúčtují žádné poplatky.

Síťová virtuální zařízení

Síťová virtuální zařízení se účtují na základě používaného zařízení. Také se vám účtují poplatky za virtuální počítače Azure, které nasazujete, a související prostředky infrastruktury, které využíváte, jako jsou úložiště a sítě. Další informace najdete v tématu Ceny virtuálních počítačů s Linuxem.

Další kroky