Aktualisieren von Routingtabellen mithilfe von Azure Route Server

In diesem Artikel wird eine Lösung zur Verwaltung des dynamischen Routings zwischen NVAs und virtuellen Netzwerken vorgestellt. Im Kern dieser Lösung steht Azure Route Server. Dieser Dienst vereinfacht die Konfiguration, Wartung und Bereitstellung von NVAs in Ihrem virtuellen Netzwerk. Wenn Sie Route Server verwenden, müssen Sie NVA-Routingtabellen nicht mehr manuell aktualisieren, wenn sich die Adressen Ihres virtuellen Netzwerks ändern.

Aufbau

Laden Sie eine Visio-Datei dieser Architektur herunter.

Workflow

• In dieser Hub-and-Spoke-Architektur ist ein virtuelles Hubnetzwerk und ein virtuelles Spokenetzwerk vorhanden. Das virtuelle Hubnetzwerk verfügt über mehrere Subnetze, die jeweils virtuelle Computer (VMs) enthalten.

• Der Adressraum jedes virtuellen Netzwerks definiert Adressbereiche. Für jeden dieser Bereiche erstellt Azure eine Route mit dem Adresspräfix dieses Bereichs. Azure fügt diese Routen Routingtabellen hinzu. In jedem virtuellen Netzwerk sind mehrere Subnetze vorhanden, und jedes Subnetz verfügt über einen Netzwerkadapter (NIC), der die Konnektivität steuert. Azure fügt die Routingtabelle jedes virtuellen Netzwerks in die Netzwerkadapter der Subnetze ein.

  Sie können diese Standardsystemrouten nicht erstellen oder entfernen. Sie können aber Folgendes tun:

  • Einige Systemrouten mit benutzerdefinierten Routen überschreiben
  • Azure konfigurieren, um bestimmten Subnetzen optionale Standardrouten hinzuzufügen

• Lokale Netzwerke verwenden Azure VPN Gateway und ein ExpressRoute-Gateway, um eine Verbindung mit dem virtuellen Hubnetzwerk in einer gleichzeitig vorhandenen Konfiguration herzustellen. Wenn Sie das VPN-Gateway hinzufügen, werden Routen mit dem Gateway als nächste Route zu den Routingtabellen hinzugefügt. Wenn Sie ExpressRoute hinzufügen, werden auch die Routingtabellen aktualisiert. Diese Routen werden an alle Subnetze weitergegeben.

• Das Border Gateway Protocol (BGP) ermöglicht den Austausch von IP-Adressen zwischen lokalen und Azure-Komponenten. Dieses Protokoll leitet Pakete zwischen autonomen Systemen weiter. Mit diesen Systemen sind kleine Netzwerke oder äußerst große Pools an Routern gemeint, die von einer einzelnen Organisation ausgeführt werden.

• Ein Peering virtueller Netzwerke besteht zwischen dem virtuellen Hubnetzwerk und dem virtuellen Spokenetzwerk. Wenn Sie das Peering erstellen, aktualisiert Azure die Routingtabelle. Dabei fügt Azure eine Route für jeden Adressbereich hinzu, der sich im Hub-Adressraum oder im Spoke-Adressraum befindet. Diese Routen werden an alle Subnetze weitergegeben.

• Ein Subnetz in einem virtuellen Hubnetzwerk verwendet einen Dienstendpunkt für Azure Storage. Azure fügt der Routingtabelle des Subnetzes eine öffentliche IP-Adresse für Storage hinzu.

• Das virtuelle Hubnetzwerk enthält zwei NVAs. Die NVAs können Gateways, softwaredefinierte Fernnetze (SD-WANs) oder Firewalls einer Sicherheitsappliance sein. Route Server tauscht die NVA-, die Netzwerkanwendungs- und die Gatewayrouten aus, indem Folgendes durchgeführt wird:

  • Erstellen einer Instanz von Azure Virtual Machine Scale Sets. Jede VM in der Skalierungsgruppe verfügt über eine IP-Adresse. Wie bei Gateway-IP-Adressen hat Route Server Zugriff auf die IP-Adressen der VM.
  • Einrichten von BGP-Peers zwischen jeder NVA und VM in der Skalierungsgruppe.
  • Einfügen der IP-Adressen der VMs in alle Routingtabellen im virtuellen Netzwerk und in verbundenen Netzwerken.

  Folgendes ist nicht notwendig:

  • Manuelles Hinzufügen benutzerdefinierter Routen
  • Manuelles Erstellen von Routingtabellen
  • Verbinden von Routingtabellen mit dem Subnetz zur Weitergabe der Routen
  • Aktualisieren der Routingtabellen bei Änderungen der IP-Adressen

Komponenten

• Route Server vereinfacht das dynamische Routing zwischen NVAs, die BGP und virtuelle Netzwerke unterstützen. Dank dieses Dienst müssen Sie sich nicht mehr um die Verwaltung von Routingtabellen kümmern.

• Virtual Networks ist der grundlegende Baustein für private Netzwerke in Azure. Über Virtual Network können Azure-Ressourcen (z. B. VMs) sicher untereinander sowie mit dem Internet und lokalen Netzwerken kommunizieren.

• Das Peering virtueller Netzwerke dient zur Verbindung zweier virtueller Azure-Netzwerke. Peerings bieten Verbindungen zwischen Ressourcen in verschiedenen virtuellen Netzwerken, die geringe Latenz und hohe Bandbreite aufweisen. Der Datenverkehr zwischen VMs in virtuellen Netzwerken mit Peering erfolgt nur das private Microsoft-Netzwerk.

• VPN Gateway ist ein bestimmter Typ von Gateway für virtuelle Netzwerke. Sie können VPN Gateway verwenden, um verschlüsselten Datenverkehr zwischen folgenden Instanzen zu senden:

  • Zwischen einem virtuellen Azure-Netzwerk und einem lokalen Standort über das öffentliche Internet
  • Zwischen virtuellen Azure-Netzwerken und einem Azure-Backbonenetzwerk

• ExpressRoute erweitert lokale Netzwerke in die Microsoft-Cloud. Durch die Verwendung eines Konnektivitätsanbieters stellt ExpressRoute private Verbindungen zu Cloudkomponenten wie Azure-Diensten und Microsoft 365 her.

• Ein Dienstendpunkt bietet sichere und direkte Konnektivität zu einem Azure-Dienst über private IP-Adressen in einem virtuellen Netzwerk. Der Dienstendpunkt stellt dem Azure-Dienst die Identität des virtuellen Netzwerk zur Verfügung. Daher benötigen die Ressourcen des virtuellen Netzwerks keine öffentlichen IP-Adressen, um auf den Dienst zuzugreifen, und der Endpunkt schützt den Dienst, indem nur Datenverkehr aus dem angegebenen virtuellen Netzwerk erlaubt wird. Die Verbindungen verwenden optimierte Routen über das Azure-Backbonenetzwerk.

• Eine NVA ist eine virtuelle Appliance, die Netzwerkfunktionen wie die Firewallsicherheit oder den Lastenausgleich bietet.

• Azure Storage ist eine Cloudspeicherlösung, die Objekt-, Datei-, Datenträger-, Warteschlangen- und Tabellenspeicher bietet. Zu den Diensten gehören Hybridspeicherlösungen und Tools für das Übertragen, Freigeben und Sichern von Daten.

Alternativen

• In dieser Lösung müssen Sie den Dienstendpunkt nicht mit Storage verbinden. Sie können stattdessen andere Azure-Dienste verwenden. Eine Liste der Dienste, die Sie mit Dienstendpunkten sichern können, finden Sie unter Virtual Network-Dienstendpunkte.

• Anstatt Route Server zu verwenden, können Sie der Routingtabelle jedes Subnetzes benutzerdefinierte Routen hinzufügen. Weitere Informationen zu benutzerdefiniertem Routing finden Sie unter Routing von Datenverkehr für virtuelle Netzwerke: Benutzerdefinierte Routen.

Szenariodetails

Unter Netzwerkrouting versteht man den Prozess der Bestimmung des Pfades, über den der Datenverkehr in Netzwerken zu einem Ziel gelangt. Routingtabellen enthalten Informationen zur Netzwerktopologie, die zum Bestimmen von Routingpfaden nützlich sind.

Wenn Ihr virtuelles Netzwerk eine virtuelle Netzwerkappliance (NVA) enthält, müssen Sie Ihre Routingtabellen manuell konfigurieren und aktualisieren.

In diesem Artikel wird eine Lösung zur Verwaltung des dynamischen Routings zwischen NVAs und virtuellen Netzwerken vorgestellt. Im Kern dieser Lösung steht Azure Route Server. Dieser Dienst vereinfacht die Konfiguration, Wartung und Bereitstellung von NVAs in Ihrem virtuellen Netzwerk. Wenn Sie Route Server verwenden, müssen Sie NVA-Routingtabellen nicht mehr manuell aktualisieren, wenn sich die Adressen Ihres virtuellen Netzwerks ändern.

Mögliche Anwendungsfälle

Diese Lösung kann in den folgenden Szenarios angewendet werden:

• Sie verwenden Dual-Homed-Netzwerke. Neben typischen Hub-and-Spoke-Netzwerktopologien unterstützt Route Server auch Dual-Homed-Netzwerktopologien. Diese Art von Konfiguration verbindet ein virtuelles Spokenetzwerk mit zwei oder mehr virtuellen Hubnetzwerken. Weitere Informationen dazu finden Sie unter Informationen zu einem Dual-Homed-Netzwerk mit Azure Route Server.
• Sie verbinden NVAs mit Azure ExpressRoute. Einige virtuelle Netzwerke enthalten Route Server, ein ExpressRoute-Gateway und eine NVA. Standardmäßig leitet Route Server die NVA-Routen nicht an ExpressRoute weiter. Route Server gibt auch keine ExpressRoute-Routen an die NVA weiter. Sie können ExpressRoute und die NVA zum Austauschen von Routen verwenden, indem Sie die Routenaustauschfunktion in Route Server aktivieren. Weitere Informationen finden Sie unter Informationen zur Azure Route Server-Unterstützung für ExpressRoute und Azure VPN.
• Sie verwenden Azure, um von einem lokalen System aus eine Verbindung mit dem Internet herzustellen. Organisationen ohne guten Internetzugang können diese Konfiguration verwenden. Weiterhin können Sie Systeme verwenden, die bereits Internetproxies in Azure migriert haben. Route Server ermöglicht dieses Setup.

Überlegungen

Bedenken Sie die folgenden Punkte, wenn Sie diese Lösung implementieren:

• Route Server stellt Verbindungen her und tauscht Routen aus. Er überträgt keine Datenpakete. Daher benötigen die VMs, die Route Server in seinem Back-End ausführt, keine erhebliche CPU- oder Rechenleistung.

• Erstellen Sie beim Bereitstellen von Route Server ein Subnetz mit dem Namen RouteServerSubnet, das eine IPv4-Subnetzmaske von /27 verwendet. Platzieren Sie Route Server in diesem Subnetz.

• In Azure-Gateways unterstützt der Basic-Tarif keine gleichzeitig bestehenden ExpressRoute- und VPN Gateway-Verbindungen. Andere Einschränkungen bei gleichzeitig vorhandenen Konfigurationen finden Sie unter Grenzwerte und Einschränkungen.

• Die Anzahl der Dienstendpunkte, die Sie in einem virtuellen Netzwerk verwenden können, ist nicht beschränkt. Manche Azure-Dienst (wie Storage) erzwingen jedoch Grenzwerte für die Anzahl der Subnetze, die Sie zum Schützen der Ressource verwenden können. Weitere Informationen finden Sie unter Virtual Network-Dienstendpunkte: Nächste Schritte.

Wenn Sie die Verwendung dieser Lösung in Betracht ziehen, sollten Sie auch die in den folgenden Abschnitten beschriebenen Punkte bedenken.

Verfügbarkeit

Route Server ist en vollständig verwalteter Dienst, der Hochverfügbarkeit bietet. Informationen zur Verfügbarkeitsgarantie dieses Dienst finden Sie unter SLA für Azure Route Server.

Skalierbarkeit

Die meisten Komponenten in dieser Lösung sind verwaltete Dienste, die automatisch skaliert werden. Es gibt jedoch einige Ausnahmen:

• Route Server kann maximal 200 Routen zu ExpressRoute oder einem VPN-Gateway erstellen.
• Route Server kann maximal 2.000 VMs pro virtuellem Netzwerk unterstützen, einschließlich virtueller Netzwerke mit Peering.

Sicherheit

• Anleitungen zur Verbesserung der Sicherheit Ihrer Anwendungen und Daten in Azure finden Sie unter Übersicht über den Azure-Sicherheitsvergleichstest (Version 1).
• Informationen zum Azure-Sicherheitsvergleichstest (Version 1.0), die für Virtual Netzwerk gelten, finden Sie unter Azure-Sicherheitsvergleichstest für Virtual Network.

Resilienz

Diese Lösung verwendet nur verwaltete Komponenten. Auf regionaler Ebene sind alle diese Komponenten automatisch resilient. Route Server bietet Hochverfügbarkeit. Wenn Sie Route Server in einer Azure-Region bereitstellen, die Verfügbarkeitszonen unterstützt, verfügt Ihre Implementierung über Zonenredundanz. Weitere Informationen zu Verfügbarkeitszonen finden Sie unter Regionen und Verfügbarkeitszonen.

Kostenoptimierung

Verwenden Sie den Azure-Preisrechner, um die Kosten für die Implementierung dieser Lösung zu schätzen. Allgemeine Informationen zur Verringerung unnötiger Ausgaben finden Sie unter Übersicht über die Säule „Kostenoptimierung“.

In den folgenden Abschnitten werden Informationen zu den preisen der Komponenten der Lösung erläutert.

Route Server

Derzeit müssen Sie für Route Server keine Vorauszahlung oder Beendigungsgebühr entrichten. Weitere Informationen zu Preisen finden Sie unter Azure Route Server – Preise.

Virtual Network

Sie können Virtual Network kostenlos verwenden. Mit einem Azure-Abonnement können Sie bis zu 50 virtuelle Netzwerke in allen Regionen erstellen. Datenverkehr, der innerhalb der Grenzen eines virtuellen Netzwerk stattfindet, ist kostenlos. Daher ist die Kommunikation zwischen zwei VMs im selben virtuellen Netzwerk kostenlos.

VPN Gateway

Wenn Sie VPN Gateway verwenden, ist der gesamt eingehende Datenverkehr kostenlos. Ihnen wird nur der ausgehende Datenverkehr in Rechnung gestellt. Die Kosten für die Internetbandbreite gelten für den ausgehenden VPN-Datenverkehr. Weitere Informationen finden Sie unter VPN Gateway: Preise.

ExpressRoute

Eingehende ExpressRoute-Datenübertragungen sind kostenlos. Für ausgehende Datenübertragungen wird Ihnen eine zuvor festgelegte Rate in Rechnung gestellt. Auch müssen Sie eine feste monatliche Portgebühr zahlen. Weitere Informationen finden Sie unter Azure ExpressRoute – Preise.

Dienstendpunkte

Für die Verwendung von Dienstendpunkten werden keine Gebühren berechnet.

NVAs

NVAs werden abhängig von der von Ihnen verwendeten Appliance abgerechnet. Ihnen werden auch die von Ihnen bereitgestellten Azure-VMs sowie die von Ihnen genutzten, zugrunde liegenden Infrastrukturressourcen, wie z. B. Speicher und Netzwerk, in Rechnung gestellt. Weitere Informationen finden Sie unter Virtuelle Linux-Computer – Preise.

Nächste Schritte

• Schnellstart: Erstellen und Konfigurieren einer Route Server-Instanz mithilfe des Azure-Portals
• Informationen zur Azure Route Server-Unterstützung für ExpressRoute und Azure-VPN
• Häufig gestellte Fragen zu Azure Route Server
• Azure-Roadmap
• Netzwerkblog
• SLA für Azure Route Server
• Was ist Azure Route Server?

Zugehörige Ressourcen

• Übersicht über die Azure Firewall-Architektur
• Wählen zwischen Peering virtueller Netzwerke und VPN-Gateways
• Empfehlungen für die Verwendung von Verfügbarkeitszonen und Regionen
• Bereitstellen hochverfügbarer virtueller Netzwerkgeräte
• Zero Trust-Netzwerk für Webanwendungen mit Azure Firewall und Application Gateway