Prise en charge de l’adresse IP du saut suivant dans Azure Route Server

La prise en charge de l’adresse IP du tronçon suivant du serveur de routage Azure vous permet d’établir un peering BGP avec des appliances virtuelles réseau déployées derrière des équilibreurs de charge internes Azure. Cette fonctionnalité améliore la disponibilité du réseau par le biais de configurations actives passives et améliore les performances avec des scénarios d’équilibrage de charge actif-actif.

Cet article explique comment fonctionne la prise en charge des adresses IP du tronçon suivant, ses avantages et les modèles architecturaux que vous pouvez implémenter pour les conceptions réseau résilientes.

Qu’est-ce que la prise en charge de l’adresse IP du tronçon suivant

La prise en charge des adresses IP du tronçon suivant permet au serveur de routage Azure d’utiliser l’adresse IP frontale d’un équilibreur de charge interne comme tronçon suivant pour les décisions de routage, plutôt que d’adresses IP NVA individuelles. Cette approche offre plusieurs avantages clés :

• Routage simplifié : une seule adresse IP de "next hop", quel que soit le nombre de NVAs derrière l'équilibreur de charge
• Haute disponibilité : basculement automatique entre les NVA actives et passives
• Distribution de charge : le trafic peut être distribué sur plusieurs appliances virtuelles actives
• Simplicité opérationnelle : gestion plus facile de la mise à l’échelle et de la maintenance de l’appliance réseau virtuelle

Vue d’ensemble de l’architecture

Le diagramme suivant illustre le peering de serveurs de routes avec des appliances virtuelles réseau via un répartiteur de charge interne :

Composants clés

• Serveur de routage Azure : établit des sessions BGP et échange des informations de routage
• Équilibreur de charge interne : fournit une haute disponibilité et une distribution de charge pour les appliances virtuelles réseau
• Appliances virtuelles réseau : gérer le traitement du trafic et les fonctions de routage
• Pool de serveurs backend : contient plusieurs instances de Network Virtual Appliance pour garantir la redondance

Flux de trafic

1. Le serveur de route échange des routes BGP avec les appliances virtuelles réseau (NVA) situées derrière l'équilibreur de charge
2. Les routes sont annoncées avec l’adresse IP frontale de l’équilibreur de charge comme tronçon suivant
3. Le trafic destiné aux préfixes publiés est envoyé à l’équilibreur de charge
4. L’équilibreur de charge distribue le trafic vers des instances NVA saines dans le pool principal

Important

L’équilibreur de charge interne doit être déployé dans la même région Azure que le serveur de routage. Les configurations d’équilibreur de charge inter-régions ne sont pas prises en charge et entraînent des défaillances de connectivité.

Modèles de déploiement

La prise en charge de l’adresse IP du tronçon suivant du serveur de routage Azure active deux modèles de déploiement principaux pour les appliances virtuelles réseau.

Configuration de l’appliance virtuelle réseau active-passive

Déployez des appliances réseau virtuelles dans une configuration active-passive pour une haute disponibilité avec un routage symétrique garanti.

Avantages de l’architecture

• Routage symétrique : tous les flux de trafic via la même instance NVA active
• Basculement automatique : les sondes d’intégrité de l’équilibreur de charge détectent les défaillances et redirigent le trafic
• Comportement prévisible : les chemins de trafic cohérents simplifient la résolution des problèmes et les stratégies de sécurité

Approche de mise en œuvre

1. Configurer l’équilibreur de charge interne avec des sondes d’intégrité pour chaque appliance virtuelle réseau
2. Définir des règles d’équilibreur de charge pour diriger le trafic vers l’instance NVA active
3. Configurer BGP sur les appliances virtuelles réseau (AVR) pour publier des itinéraires avec l’adresse IP frontale de l’équilibreur de charge comme tronçon suivant
4. Implémenter la logique de basculement pour promouvoir les appliances réseau virtuelles de secours en cas d’échec de l’instance active

Cas d’utilisation

• Appliances de sécurité : pare-feu nécessitant un état de session cohérent
• Inspection approfondie des paquets : les applications doivent gérer le contexte de connexion
• Exigences de conformité : environnements nécessitant des chemins de trafic déterministes

Configuration active-active de l’appliance virtuelle de réseau (NVA)

Déployez plusieurs appliances virtuelles réseau (NVAs) actives pour répartir la charge du trafic et maximiser le débit.

Avantages de l’architecture

• Distribution de charge : le trafic est réparti sur plusieurs instances d’appliance virtuelle réseau
• Mise à l’échelle horizontale : ajouter d’autres appliances virtuelles réseau pour gérer des volumes de trafic accrus
• Optimisation des performances : le traitement parallèle améliore le débit global

Considérations relatives à l’implémentation

• Routage asymétrique : le trafic de retour peut suivre différents chemins d’accès que le trafic sortant
• État de session : les applications doivent gérer le traitement distribué ou sans état
• Configuration de l’équilibreur de charge : utiliser les algorithmes de distribution appropriés pour vos modèles de trafic

Cas d’utilisation

• SD-WAN appliances : les fonctions de routage et d’optimisation distribuées
• Scénarios d’équilibrage de charge : applications à débit élevé avec traitement sans état
• Architectures évolutives : environnements nécessitant un ajustement de capacité dynamique

Remarque

Les configurations actives peuvent entraîner des modèles de routage asymétriques. Assurez-vous que vos appliances virtuelles de réseau et vos applications peuvent gérer le trafic lorsque les chemins d'origine et de retour peuvent différer.

Exigences de configuration

L’implémentation de la prise en charge de l’adresse IP du tronçon suivant nécessite une configuration spécifique sur vos appliances virtuelles réseau et l’équilibreur de charge.

Configuration BGP de l’appliance virtuelle réseau

Configurez BGP sur vos appliances virtuelles de réseau pour publier des routes avec l’adresse IP frontale de l’équilibreur de charge comme tronçon suivant :

# Example BGP configuration for Cisco-based NVA
router bgp 65001
 neighbor 10.1.1.4 remote-as 65515
 neighbor 10.1.1.5 remote-as 65515
 !
 address-family ipv4
  neighbor 10.1.1.4 activate
  neighbor 10.1.1.5 activate
  neighbor 10.1.1.4 next-hop-self
  neighbor 10.1.1.5 next-hop-self
  neighbor 10.1.1.4 route-map SET-NEXTHOP out
  neighbor 10.1.1.5 route-map SET-NEXTHOP out
 !
route-map SET-NEXTHOP permit 10
 set ip next-hop 10.1.0.100

Configuration de l’équilibreur de charge

Configurez l’équilibreur de charge interne avec les sondes d’intégrité et les règles de distribution appropriées :

• Sondes d’intégrité : surveiller la disponibilité de la NVA et rediriger le trafic pendant les défaillances
• Règles d’équilibrage de charge : définir la façon dont le trafic est distribué entre les appliances virtuelles réseau principales
• Pool principal : inclure toutes les instances d’appliance virtuelle réseau qui doivent recevoir le trafic

Connexion de serveurs de routes

Établir le peering BGP entre le Route Server et chaque NVA (appliance virtuelle réseau) dans le pool d'arrière-plan :

1. Chaque appliance réseau virtuelle gère des sessions BGP individuelles avec le serveur de routes
2. Toutes les NVAs publient les mêmes itinéraires avec une adresse IP de tronçon suivant identique (frontale d'équilibreur de charge)
3. Serveur de routes apprend les itinéraires en double, mais utilise l’adresse IP de l’équilibreur de charge pour le routage

Important

La configuration IP du tronçon suivant est entièrement effectuée dans les paramètres BGP de vos appliances virtuelles réseau. Azure Route Server ne nécessite aucune configuration spéciale pour prendre en charge cette fonctionnalité.

Étapes suivantes

En savoir plus sur les fonctionnalités et la configuration du serveur de routage Azure :

• Configurer le serveur de routes Azure
• Surveiller le Serveur de routes Azure
• Mise en réseau multirégion avec Azure Route Server