Redes de varias regiones con Azure Route Server

  • Artículo

Las aplicaciones con requisitos exigentes de alta disponibilidad o recuperación ante desastres suelen requerir la implementación en más de una región de Azure. En tales casos, las redes virtuales (VNet) de radio en regiones diferentes deben comunicarse entre sí. Una manera de habilitar esta comunicación es emparejando todas las redes virtuales de radio necesarias entre sí. Sin embargo, este enfoque omitiría cualquier aplicación virtual de red central (NVA), como firewalls en los centros. Una alternativa es usar rutas definidas por el usuario (UDR) en las subredes donde se implementan NVA de concentrador, pero el mantenimiento de UDR puede ser difícil. Azure Route Server ofrece una alternativa dinámica que se adapta automáticamente a los cambios de topología, sin necesidad de intervención manual.

Topología

En el diagrama siguiente se muestra una arquitectura de dos regiones, donde existe una topología de red en estrella tipo hub-and-spoke en cada región, y las redes virtuales del centro de conectividad se emparejan entre sí a través del emparejamiento global de red virtual:

Diagram showing multi-region design with Azure Route Server.

La NVA de cada región aprende los prefijos de las redes virtuales de concentrador y radio local a través de Azure Route Server y los comparte con la NVA en la otra región mediante BGP. Para evitar bucles de enrutamiento, es fundamental establecer esta comunicación entre las NVA mediante una tecnología de encapsulación como IPsec o Virtual eXtensible LAN (VXLAN).

Para permitir que Azure Route Server anuncie los prefijos de las redes virtuales de radio a las NVA locales e inserte las rutas aprendidas de nuevo en las redes virtuales de radio, es esencial usar la opción Usar la puerta de enlace de la red virtual remota o Route Server para emparejar entre las redes virtuales de radio y la red virtual del concentrador.

Las NVA anuncian las rutas que aprenden de la región remota a su Route Server local, que luego configurarán estas rutas en las redes virtuales de radio local, lo que atraerá el tráfico en consecuencia. En los casos en que existan varias NVA en la misma región (Route Server admite hasta ocho pares BGP), se puede usar la ruta de AS de anteposición para hacer que una de las NVA sea preferida sobre las demás, estableciendo así una topología NVA activa/en espera.

Importante

Para asegurarse de que Route Server local pueda aprender las rutas anunciadas por la NVA desde la región remota, la NVA debe quitar el número de sistema autónomo (ASN) 65515 de la ruta de AS de las rutas. Esta técnica se conoce a veces como "invalidación AS" o "reescritura de ruta de acceso AS" en determinadas plataformas BGP. De lo contrario, el mecanismo de prevención de bucle BGP impedirá que Route Server aprenda esas rutas, ya que prohíbe el aprendizaje de las rutas que ya contienen el ASN local.

ExpressRoute

Este diseño multiregión se puede combinar con ExpressRoute o puertas de enlace de VPN. En el diagrama siguiente se muestra una topología que incluye una puerta de enlace de ExpressRoute conectada a una red local en una de las regiones de Azure. En este caso, una red superpuesta a través del circuito ExpressRoute ayuda a simplificar la red, de modo que los prefijos locales solo aparecen en Azure como anuncia la NVA (y no desde la puerta de enlace de ExpressRoute).

Diagram showing multi-region design with Route Server and ExpressRoute.

Diseño sin superposiciones

Los túneles entre regiones entre las NVA son necesarios porque, de lo contrario, se forma un bucle de enrutamiento. Por ejemplo, si se observa la NVA en la región 1:

  • La NVA de la región 1 aprende los prefijos de la región 2 y los anuncia a Route Server en la región 1.
  • La instancia de Route Server de la región 1 insertará rutas para esos prefijos en todas las subredes de la región 1, con la NVA en la región 1 como próximo salto.
  • Para el tráfico de la región 1 a la región 2, cuando la NVA de la región 1 envía tráfico a la otra NVA, su propia subred hereda también las rutas programadas por Route Server, que apuntan a sí misma (la NVA). Por lo tanto, el paquete se devuelve a la NVA y aparece un bucle de enrutamiento.

Si las UDR son una opción, podría deshabilitar la propagación de rutas BGP en las subredes de las NVA y configurar UDR estáticas en lugar de una superposición, para que Azure pueda enrutar el tráfico hacia las redes virtuales de radio remotas.

Contenido relacionado