Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Moderní aplikace často vyžadují nasazení napříč několika oblastmi Azure, aby splňovaly požadavky na vysokou dostupnost, zotavení po havárii a výkon. Azure Route Server umožňuje sofistikované síťové architektury s více oblastmi, které poskytují možnosti dynamického směrování a současně udržují centralizované řízení sítě prostřednictvím síťových virtuálních zařízení (NVA).
Tento článek vysvětluje, jak navrhovat a implementovat topologie s více oblastmi pomocí Azure Route Serveru, včetně integrace s ExpressRoute a důležitých informací pro zabránění smyčkám směrování.
Klíčové koncepty
Sítě ve více oblastech se službou Azure Route Server zahrnují několik důležitých konceptů:
Šíření dynamických tras: Azure Route Server automaticky vyměňuje informace o směrování mezi oblastmi prostřednictvím protokolu BGP (Border Gateway Protocol), což eliminuje potřebu ruční správy směrovacích tabulek při vývoji síťové topologie.
Centralizované řízení sítě: Na rozdíl od přímého propojení virtuálních sítí mezi oblastmi umožňuje směrovací server tok provozu prostřednictvím centrálních síťových virtuálních zařízení, čímž se udržují zásady zabezpečení a přehled o síti napříč oblastmi.
Automatická adaptace: Architektura se automaticky přizpůsobí změnám topologie, jako je přidání nových paprskových sítí nebo úprava připojení bez ručního zásahu.
Přehled architektury
Architektura s více oblastmi používá hvězdicovou topologii v každé oblasti propojenou prostřednictvím globálního partnerského vztahu virtuálních sítí a koordinovanou instancemi Azure Route Serveru:
Základní součásti
Architektura s více oblastmi se skládá z několika klíčových komponent, které spolupracují a poskytují možnosti dynamického směrování. Každá oblast obsahuje centrální virtuální síť, která hostuje jak Azure Route Server, tak síťová virtuální zařízení pro správu rozhodování o směrování. Úlohy aplikací se nasazují v paprskových virtuálních sítích v každé oblasti a udržují oddělení mezi síťovou infrastrukturou a aplikacemi. Virtuální sítě rozbočovače jsou propojené napříč oblastmi pomocí globálního propojování virtuálních sítí, což umožňuje komunikaci mezi oblastmi. Síťová zařízení komunikují mezi oblastmi pomocí zabezpečených tunelů, aby se zachovala synchronizace informací o směrování.
Tok provozu
Tok provozu se řídí strukturovaným vzorem, který zajišťuje efektivní směrování napříč topologií s více oblastmi. Route Server se učí trasy z místních spojových sítí i síťových virtuálních zařízení ve své oblasti pro vytvoření komplexní směrovací tabulky. Virtuální síťová zařízení vytvářejí zabezpečené tunely mezi regiony za účelem sdílení informací o směrování a umožňují připojení mezi regiony. Každý směrovací server šíří naučené trasy do místních paprskových sítí a zajišťuje, aby úlohy mohly dosáhnout cílů ve vzdálených oblastech. Pokud dojde ke změnám topologie, jako je přidání nových paprskových sítí nebo úprava připojení, architektura automaticky aktivuje aktualizace tras ve všech oblastech bez nutnosti ručního zásahu.
Požadavky na konfiguraci
Pokud chcete tuto architekturu úspěšně implementovat, nakonfigurujte následující komponenty:
Nastavení propojení virtuálních sítí
Povolte nastavení Použít bránu vzdálené virtuální sítě nebo směrovací server při párování vedlejších sítí se sítěmi centra. Tato konfigurace umožňuje:
- Server pro směrování k propagování předpon paprskové sítě na virtuální síťová zařízení
- Naučené trasy, které se mají vložit do paprskových směrovacích tabulek sítě
- Šíření dynamické trasy napříč celou topologií
Konfigurace tunelového propojení síťového virtuálního zařízení
Vytvoření zabezpečené komunikace mezi síťovými virtuálními zařízeními pomocí zapouzdřovacích technologií:
- Tunely IPsec: Poskytují šifrovanou komunikaci mezi regionálními síťovými virtuálními zařízeními
- Překryvné vrstvy VXLAN: Povolení rozšíření vrstvy 2 napříč oblastmi
Manipulace s cestou AS protokolu BGP
Nakonfigurujte NVA, aby upravovala AS cesty v protokolu BGP a zabránila tak smyčkám v směrování.
Důležité
Síťové virtuální zařízení musí odebrat číslo autonomního systému (ASN) 65515 z cesty AS, když inzerují trasy získané ze vzdálených oblastí. Tento proces, známý jako "přepsání AS" nebo "přepsání cesty AS", zabraňuje tomu, aby mechanismy prevence smyček v protokolu BGP blokovaly učení tras. Bez této konfigurace směrovací server nenaučí trasy, které obsahují vlastní ASN (65515).
Běžné techniky trasy AS
AS path prepending – Prodlužování cest za účelem ovlivnění rozhodování o směrování:
# Example for Cisco NVA
route-map PREPEND-AS permit 10
set as-path prepend 65001 65001
Filtrování cest AS – Blokuje trasy s konkrétními cestami AS:
# Filter specific AS paths
ip as-path access-list 1 deny _65002_
route-map FILTER-AS permit 10
match as-path 1
Důležité úvahy o vysoké dostupnosti
Odolné připojení ve více oblastech:
- Více síťových virtuálních zařízení: Nasazení více síťových virtuálních zařízení v každé oblasti (směrovací server podporuje až osm partnerských uzlů protokolu BGP)
- Předpendování cesty AS: Předpendování cesty AS slouží k navázání aktivních/pohotovostních relací síťového virtuálního zařízení.
- Redundantní tunely: Nastavte více tunelových spojení mezi regiony pro záložní řešení při selhání
Integrace ExpressRoute
Architektury směrovacích serverů s více oblastmi se můžou integrovat s okruhy ExpressRoute a rozšířit připojení k místním sítím:
Výhody integrace ExpressRoute
- Zjednodušené směrování: Lokální předpony se v Azure zobrazují jenom prostřednictvím reklam síťových virtuálních zařízení.
- Centralizované řízení: Veškerý provoz prochází hub NVAs pro konzistentní vynucování zásad.
- Optimalizace překrytí: Okruh ExpressRoute podporuje překryvné sítě mezi síťovými virtuálními zařízeními.
Aspekty návrhu
- Inzerování tras: Nakonfigurujte síťová virtuální zařízení, aby inzerovala trasy na místě, místo aby se spoléhala výhradně na bránu ExpressRoute.
- Plánování šířky pásma: Zajištění, aby okruhy ExpressRoute mohly zpracovávat zatížení přenosů mezi oblastmi
- Redundance: Zvážení několika okruhů ExpressRoute pro zajištění vysoké dostupnosti
Alternativní návrh bez překryvných sítí
I když se doporučuje použít překryvné tunely, můžete implementovat připojení do více oblastí bez tunelů pomocí tras definovaných uživatelem:
Proč jsou doporučovány tunely
Překryvné tunely poskytují základní ochranu před směrovacími smyčkami v architekturách s vícero regiony. Bez překryvných tunelů může dojít ke smyčkám směrování, když virtuální síťové zařízení v regionu 1 získává předpony z regionu 2 a oznamuje je místnímu směrovacímu serveru. Směrovací server pak tyto trasy naprogramuje ve všech podsítích oblasti 1 se síťovým virtuálním zařízením (NVA) jako dalším skokem. Když se síťové virtuální zařízení pokusí odeslat provoz do oblasti 2, jeho podsíťové trasy ukazují zpět na něj samotné, což vytváří smyčku směrování, která brání úspěšné meziregionální komunikaci. Překryvné tunely tento problém řeší vytvořením logického oddělení mezi podsítí sítě (používané pro vytvoření tunelu) a překryvnou sítí (používá se pro provoz aplikací), aby provoz mohl správně přetékat mezi oblastmi bez vytváření smyček.
Alternativa založená na UDR
Pokud ve vašem prostředí nejsou možné překryvné tunely, můžete implementovat alternativní přístup pomocí tras definovaných uživatelem (UDR). Tato metoda vyžaduje zakázání propagace tras BGP v podsítích síťového virtuálního zařízení (NVA), aby se zabránilo automatickému učení tras, které by mohly způsobit konflikty. Dále je nutné nakonfigurovat statické trasy vytvořením tras definovaných uživatelem, které provoz mezi oblastmi explicitně směrují přes příslušné síťové cesty. I když tento přístup může fungovat, měli byste přijmout provozní režii ruční údržby těchto statických tras, protože se topologie sítě mění v průběhu času.
Trade-offs
| Přístup | Advantages | Disadvantages |
|---|---|---|
| Překryvné tunely | Dynamické směrování, automatická adaptace, zabezpečení | Větší složitost konfigurace |
| Na základě UDR | Jednodušší počáteční nastavení | Ruční správa tras, omezená škálovatelnost |
Další kroky
Prozkoumejte tyto prostředky pro implementaci a optimalizaci architektury směrového serveru ve více oblastech: