Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Cet article fournit des réponses aux questions fréquemment posées sur Azure Route Server, couvrant les informations générales sur le service, les fonctionnalités de routage et les limitations actuelles.
Général
Qu’est-ce qu’Azure Route Server ?
Azure Route Server est un service complètement managé qui vous permet de gérer facilement le routage entre votre appliance virtuelle réseau (NVA) et votre réseau virtuel.
Le Serveur de routes Azure est-il juste une machine virtuelle ?
Non. Azure Route Server est un service conçu avec une haute disponibilité. Votre serveur de routage dispose d’une redondance au niveau de la zone si vous la déployez dans une région Azure qui prend en charge les zones de disponibilité.
Dois-je appairer chaque appliance virtuelle réseau avec les deux instances du Serveur de routes Azure ?
Oui, vous devez appairer chaque instance NVA avec les deux instances du serveur de routage pour garantir que ce dernier reçoit bien les itinéraires et pour configurer la haute disponibilité. Vous devez également publier les mêmes itinéraires vers les deux instances. Nous vous recommandons également d’homologuer au moins deux instances d’appliance virtuelle réseau avec les deux instances du serveur de routage.
Remarque
Pendant les événements de maintenance du serveur de routes, l’homologation BGP peut s’arrêter entre votre appliance virtuelle réseau et une des instances du serveur de routes. Si vous configurez votre appliance virtuelle réseau pour qu’elle soit homologue avec les deux instances du serveur de routage, votre connectivité reste disponible pendant les événements de maintenance.
Puis-je recevoir une notification avancée de maintenance ?
Actuellement, vous ne pouvez pas recevoir de notification avancée pour la maintenance du serveur de routage Azure.
Serveur de routes Azure stocke-t-il les données des clients ?
Non. Le Serveur de routes Azure échange uniquement les itinéraires BGP avec votre appliance virtuelle réseau, puis les propage vers votre réseau virtuel.
Serveur de routes Azure prend-il en charge l’appairage de réseaux virtuels ?
Oui. Si vous établissez une connexion avec un réseau virtuel hébergeant le serveur de routage Azure vers un autre réseau virtuel et que vous activez Utiliser la passerelle ou le serveur de routage du réseau virtuel distant sur le deuxième réseau virtuel, Azure Route Server découvre les espaces d'adresses du réseau virtuel connecté et les envoie à toutes les appliances réseau virtuelles connectées. Le serveur de routes programme également les routes à partir des appliances virtuelles réseau dans la table de routage des machines virtuelles du réseau virtuel appairé.
Pourquoi Serveur de routes Azure nécessite-t-il une adresse IP publique avec de sports ouverts ?
Ces points de terminaison publics sont requis pour que la plateforme de gestion et de mise en réseau définie par logiciel (SDN) d’Azure communique avec Azure Route Server. Étant donné que le serveur de routage fait partie du réseau privé du client, la plateforme sous-jacente d’Azure ne peut pas accéder et gérer directement le serveur de routage via ses points de terminaison privés en raison des exigences de conformité. La connectivité aux points de terminaison publics de Serveur de routes est authentifiée via des certificats et Azure effectue des audits de sécurité de routine de ces points de terminaison publics. Par conséquent, ils ne constituent pas une exposition de sécurité de votre réseau virtuel.
Remarque
Azure signe ces certificats avec une autorité de certification interne. Cette chaîne de certificats semble donc ne pas être signée par une autorité approuvée connue. Cela ne représente pas une vulnérabilité SSL.
Le serveur Azure Route prend-il en charge l'IPv6 ?
Non. Si vous déployez un réseau virtuel avec un espace d’adressage IPv6 et que vous déployez ultérieurement un serveur de routage Azure dans le même réseau virtuel, cela interrompt la connectivité pour le trafic IPv6.
Vous pouvez jumeler un réseau virtuel avec un espace d'adressage IPv6 au réseau virtuel de Route Server, et la connectivité IPv4 avec ce réseau virtuel à double pile jumelé continue de fonctionner. La connectivité IPv6 avec ce réseau virtuel pairé n’est pas prise en charge.
Qu’est-ce que les unités d’infrastructure de routage ?
Par défaut, un serveur de routage Azure est déployé avec une capacité de deux unités d’infrastructure de routage. Ce déploiement par défaut prend en charge 4 000 machines virtuelles connectées, déployées dans le réseau virtuel de Route Server et tous les réseaux virtuels peering.
Vous pouvez spécifier davantage d’unités d’infrastructure de routage pour augmenter la capacité du serveur de routage par incréments de 1 000 machines virtuelles. Chaque unité d’infrastructure de routage supplémentaire coûte 0,10 $ par heure aux États-Unis. Les prix dans d’autres régions peuvent varier. La tarification complète, y compris les différences régionales, sera disponible à la mi-décembre dans la page officielle des tarifs Azure.
Routage
Azure Route Server route-t-il le trafic de données entre ma NVA et mes machines virtuelles ?
Non. Le Serveur de routes Azure échange uniquement des itinéraires BGP avec votre appliance virtuelle réseau. Le trafic de données passe directement de l’appliance virtuelle réseau à la machine virtuelle de destination et directement de la machine virtuelle à l’appliance virtuelle réseau.
Quels sont les protocoles de routage pris en charge par Serveur de routes Azure ?
Azure Route Server prend uniquement en charge le protocole BGP (Border Gateway Protocol). Votre appliance virtuelle réseau doit prendre en charge le protocole BGP externe multitronçon, car vous devez déployer le Serveur de routes sur un sous-réseau dédié de votre réseau virtuel. Lorsque vous configurez BGP sur votre appliance virtuelle réseau, l’ASN que vous choisissez doit être différent de l’ASN du serveur de routage.
Le service Serveur de routes Azure conserve-t-il le chemin d’accès AS BGP de la route qu’il reçoit ?
Oui, Serveur de routes Azure propage la route avec le chemin d’accès AS BGP intact.
Si l’ajout du chemin d’accès AS est configuré sur une appliance réseau virtuelle (NVA) vers le serveur de routes, le circuit ExpressRoute transmet-il les informations d’ajout du chemin d’accès AS à un site local ?
Quand ExpressRoute publie des routes localement, il supprime les informations ASN BGP privées. Un site local reçoit le préfixe avec AS 12076.
Le serveur de routes Azure conserve-t-il les communautés BGP de la route qu’il reçoit ?
Oui, Azure Route Server propage l’itinéraire avec les communautés BGP intactes.
Quel est le paramètre de temporisation BGP du serveur Azure Route ?
Le temporisateur de maintien du serveur de routage Azure est de 60 secondes et le temporisateur de blocage est de 180 secondes.
Azure Route Server peut-il filtrer les itinéraires à partir d’appliances virtuelles réseau ?
Azure Route Server prend en charge NO_ADVERTISE communauté BGP. Si une appliance virtuelle réseau publie des itinéraires avec cette chaîne de communauté sur le serveur de routes, le serveur de routes ne le publie pas vers d’autres pairs, y compris la passerelle ExpressRoute. Cette fonctionnalité peut aider à réduire le nombre d’itinéraires à envoyer du Serveur de routes Azure vers ExpressRoute.
Lorsqu’un peering de réseaux virtuels est créé entre mon réseau virtuel hub et le réseau virtuel spoke, cela entraîne-t-il une réinitialisation douce BGP entre l'Azure Route Server et ses appliances virtuelles réseau appairées ?
Oui. Si un peering de réseaux virtuels est créé entre votre réseau virtuel du hub et le réseau virtuel du spoke, Azure Route Server effectue une réinitialisation douce BGP en envoyant des demandes d’actualisation de routage à toutes ses appliances réseau virtuelles appairées. Si les NVA ne prennent pas en charge l’actualisation de l’itinéraire BGP, le Serveur de routes Azure effectue une réinitialisation en dur BGP avec les NVA appairées, ce qui peut entraîner une interruption de connectivité pour le passage du trafic par les NVA.
Comment la limite de 4 000 routes est-elle calculée sur une session de peering BGP entre un NVA et un serveur de routes Azure ?
Actuellement, le serveur de routage peut accepter un maximum de 4 000 itinéraires à partir d’un seul homologue BGP. Lorsque le serveur de routage traite les mises à jour des itinéraires BGP, cette limite est calculée comme étant le nombre d’itinéraires actuels appris à partir d’un homologue BGP, ainsi que le nombre d’itinéraires entrants dans la mise à jour de routage BGP. Par exemple, si un NVA annonce initialement 2001 routes au serveur de routes et réannonce ultérieurement ces 2001 routes dans une mise à jour de route BGP, le serveur de routes calcule cela comme 4,002 routes et supprime la session BGP.
Est-ce que je peux utiliser des numéros ASN (Autonomous System Numbers) ?
Vous pouvez utiliser vos propres numéros ASN publics ou privés dans votre appliance virtuelle réseau. Vous ne pouvez pas utiliser les ASN réservés par Azure ou Internet Assigned Number Authority (IANA).
ASN réservés par Azure :
- NSA publics : 8074, 8075, 12076
- NSA privés : 65515, 65517, 65518, 65519, 65520
ASNs réservés par IANA :
- 23456, 64496-64511, 65535-65551
Est-ce que je peux utiliser des numéros ASN 32 bits (4 octets) ?
Non, Azure Route Server ne prend en charge que les numéros ASN 16 bits (2 octets).
Si le serveur de routes Azure reçoit la même route de plusieurs appliances virtuelles réseau, comment la gère-t-il ?
Si l’itinéraire a la même longueur de chemin AS, Azure Route Server programme plusieurs copies de l’itinéraire, chacune avec un tronçon suivant différent, aux machines virtuelles du réseau virtuel. Lorsqu’une machine virtuelle envoie le trafic vers la destination de cet itinéraire, l’hôte de la machine virtuelle utilise un routage ECMP (Equal-Cost Multi-Path). Cependant, si une appliance virtuelle réseau envoie la route avec une longueur de chemin AS plus courte que celle d’autres appliances virtuelles réseau, le serveur de routes Azure programme seulement la route dont le tronçon suivant est défini sur cette appliance virtuelle réseau pour les machines virtuelles du réseau virtuel.
La création d’un Serveur de routes affecte-t-elle le fonctionnement des passerelles de réseau virtuel (VPN ou ExpressRoute) existantes ?
Oui. Lorsque vous créez ou supprimez un serveur de routage dans un réseau virtuel qui contient une passerelle de réseau virtuel (ExpressRoute ou VPN), attendez-vous à un temps d’arrêt de 10 minutes. Le déploiement réel du serveur de routage peut prendre 30 à 60 minutes. Nous vous recommandons donc de planifier une fenêtre de maintenance de 60 minutes pour le déploiement. Si vous avez un circuit ExpressRoute connecté au réseau virtuel sur lequel vous créez ou supprimez le serveur de routes, le temps d’arrêt n’affecte pas les connexions du circuit ExpressRoute à d’autres réseaux virtuels.
Le service Serveur de routes Azure échange-t-il des itinéraires par défaut entre des appliances virtuelles réseau et des passerelles de réseau virtuel (VPN ou ExpressRoute) ?
Non. Par défaut, Serveur de routes Azure ne propage pas les itinéraires qu’il reçoit d’une appliance virtuelle réseau (NVA) et d’une passerelle de réseau virtuel de l’une à l’autre. Le Serveur de routes échange ces itinéraires après avoir activé le branche à branche dans celui-ci.
Les itinéraires annoncés par NVA sont-ils propagés d'un serveur de routage à un autre serveur de routage via ExpressRoute MSEE ?
Non. Si le branche à branche est activé, les itinéraires publiés par l’appliance virtuelle réseau seront publiés sur l’infrastructure locale connectée à ExpressRoute. Toutefois, les itinéraires publiés par l’appliance virtuelle réseau seront supprimés par le deuxième serveur de routes. À titre d’illustration, le diagramme ci-dessous montre l’infrastructure locale SDWAN publiant 10.3.0.0/16 sur l’appliance virtuelle réseau SDWAN. Cet itinéraire est appris par le premier serveur de routes, ce qui fait que toutes les charges de travail dans VNet 1 (ou appairées à VNet 1) apprennent également cet itinéraire. En outre, l’infrastructure locale connectée à ExpressRoute apprend l’itinéraire 10.3.0.0/16 si le branche à branche est activé. Toutefois, le deuxième serveur de routage (dans VNet 2) n’apprend pas l’itinéraire 10.3.0.0/16. Par conséquent, cet itinéraire ne sera pas appris par les charges de travail du réseau virtuel 2. Par conséquent, le réseau local 10.3.0.0/16 sera inaccessible à partir de toutes les charges de travail du réseau virtuel 2 et de celles qui lui sont appairées.
Quand le même itinéraire est appris via ExpressRoute, VPN ou SD-WAN, quel réseau est préféré ?
Par défaut, les itinéraires appris via ExpressRoute sont prioritaires sur ceux appris via VPN ou SD-WAN. Vous pouvez configurer la préférence de routage pour influencer la sélection d’itinéraire du Serveur de routes. Pour obtenir plus d’informations, consultez Préférence de routage.
Quelles sont les conditions requises pour qu’une passerelle VPN Azure fonctionne avec Serveur de routes Azure ?
Vous devez configurer la passerelle VPN Azure en mode actif/actif et son ASN doit être défini sur 65515.
Dois-je activer BGP sur la passerelle VPN ?
Non. Il n’est pas obligatoire d’activer BGP sur la passerelle VPN pour communiquer avec le Serveur de routes.
Puis-je appairer deux Serveurs de routes Azure dans deux réseaux virtuels appairés et autoriser les appliances virtuelles réseau connectées aux Serveurs de routes à communiquer entre eux ?
Topologie : NVA1 -> RouteServer1 -> (via le peering de réseaux virtuels) -> RouteServer2 -> NVA2
Non, Azure Route Server ne transfère pas le trafic de données. Pour activer la connectivité de transit via l’appliance virtuelle réseau, configurez une connexion directe (par exemple, un tunnel IPsec) entre les appliances virtuelles réseau et utilisez les Serveurs de routes pour la propagation de routes dynamiques.
Puis-je utiliser le Serveur de routes Azure pour diriger le trafic entre les sous-réseaux dans le même réseau virtuel afin de transmettre le trafic entre sous-réseaux via l’appliance virtuelle réseau ?
Non. Le Serveur de routes Azure utilise BGP pour publier les itinéraires. Les itinéraires système pour le trafic lié au réseau virtuel, aux peerings de réseaux virtuels ou aux points de terminaison de service de réseau virtuel, sont les itinéraires sélectionnés par défaut, même si les itinéraires BGP sont plus spécifiques. Vous devez continuer à utiliser des itinéraires définis par l’utilisateur pour remplacer les itinéraires système, et vous ne pouvez pas utiliser BGP pour basculer rapidement ces itinéraires. Vous devez continuer à utiliser une solution tierce pour mettre à jour les itinéraires définis par l’utilisateur via l’API dans une situation de basculement, ou utiliser un Azure Load Balancer avec le mode Ports HA pour diriger le trafic.
Vous pouvez toujours utiliser le Serveur de routes pour diriger le trafic entre les sous-réseaux dans différents réseaux virtuels vers le flux à l’aide de l’appliance virtuelle réseau. Une conception possible est un sous-réseau par réseau virtuel « spoke » et tous les réseaux virtuels « spoke » sont appairés à un réseau virtuel « hub ». Cette conception est très restrictive et doit prendre en compte les considérations de mise à l’échelle et les limites maximales d’Azure sur les réseaux virtuels et les sous-réseaux.
Le serveur de routage Azure peut-il fournir un transit entre ExpressRoute et une connexion de passerelle VPN point à site (P2S) lors de l’activation du paramètre de branche à branche ?
Non, Azure Route Server fournit uniquement le transit entre les connexions de passerelle VPN ExpressRoute et site à site (S2S) lors de l’activation du paramètre de branche à branche .
Puis-je créer un serveur de routage Azure dans un réseau virtuel spoke qui se connecte à un hub Virtual WAN ?
Non. Le réseau virtuel spoke ne peut pas avoir de serveur de routage s’il est connecté au hub Virtual WAN.
Limites
Combien de serveurs de routes Azure est-ce que je peux créer dans un réseau virtuel ?
Vous ne pouvez créer qu’un seul Serveur de routes dans un réseau virtuel. Vous devez déployer le serveur de routage dans un sous-réseau dédié appelé RouteServerSubnet.
Puis-je associer un UDR à RouteServerSubnet ?
Non, Azure Route Server ne prend pas en charge la configuration d’un itinéraire défini par l’utilisateur (UDR) sur le sous-réseau RouteServerSubnet . Le Serveur de routes Azure n’achemine aucun trafic de données entre les appliances virtuelles réseau et les machines virtuelles.
Puis-je associer un groupe de sécurité réseau (NSG) au réseau RouteServerSubnet ?
Non, Azure Route Server ne prend pas en charge l’association de groupes de sécurité réseau au sous-réseau RouteServerSubnet .
Quelles sont les limites du Serveur de routes Azure ?
Azure Route Server présente les limites suivantes (par déploiement).
| Ressource | Limite |
|---|---|
| Nombre d’homologues BGP | 8 |
| Nombre d’itinéraires que chaque pair BGP peut publier sur le Serveur de routes Azure 1 | 4 000 |
| Nombre de machines virtuelles du réseau virtuel (réseaux virtuels appairés compris) que Serveur de routes Azure peut prendre en charge | 50 000 |
| Nombre de réseaux virtuels que le service Serveur de routes Azure peut prendre en charge | 500 |
| Nombre total de préfixes locaux et Réseau virtuel Microsoft Azure que le Serveur de routes Azure peut prendre en charge | 10 000 |
1 Si votre appliance virtuelle réseau publie plus d’itinéraires que la limite, la session BGP est annulée.
Remarque
Le nombre total d’itinéraires publiés à partir de l’espace d’adressage du réseau virtuel et du Serveur de routes vers le circuit ExpressRoute, quand le mode Branche à branche est activé, ne doit pas dépasser 1 000. Pour plus d’informations, consultez Limites de publication de routage d’ExpressRoute.
Pour plus d’informations sur la résolution des problèmes de routage dans une machine virtuelle, consultez Diagnostiquer un problème de routage de machine virtuelle Azure.
Pourquoi une erreur s’affiche-t-elle à propos d’un champ d’application et d’une autorisation non valides pour effectuer des opérations sur les ressources du serveur de routes ?
Si vous voyez une erreur dans le format suivant, vérifiez que vous disposez des autorisations suivantes configurées : Rôles et autorisations du serveur de routage.
Format du message d’erreur : « Le client avec l’ID d’objet {} n’a pas l’autorisation d’effectuer une action {} sur l’étendue {} ou l’étendue n’est pas valide. Pour obtenir des informations détaillées sur les autorisations requises, veuillez consulter {}. Si l’accès a été accordé récemment, actualisez vos informations d’identification ».
Étapes suivantes
Découvrez comment configurer Azure Route Server.