Útvonaltáblák frissítése az Azure Route Server használatával

Ez a cikk egy megoldást mutat be az NVA-k és a virtuális hálózatok közötti dinamikus útválasztás kezelésére. A megoldás középpontjában az Azure Route Server áll. Ez a szolgáltatás leegyszerűsíti az NVA-k konfigurálását, karbantartását és üzembe helyezését a virtuális hálózaton. Az Útválasztási kiszolgáló használatakor már nem kell manuálisan frissítenie az NVA-útvonaltáblákat a virtuális hálózati címek módosításakor.

Architektúra

Töltse le az architektúra Visio-fájlját.

Munkafolyamat

• Ez a küllős architektúra központi virtuális hálózatokkal és egy küllős virtuális hálózatokkal rendelkezik. A központi virtuális hálózat több alhálózattal rendelkezik, amelyek mindegyike virtuális gépeket (virtuális gépeket) tartalmaz.

• Az egyes virtuális hálózatok címtere határozza meg a címtartományokat. Mindegyik tartományhoz az Azure létrehoz egy útvonalat a tartomány címelőtagjával. Az Azure hozzáadja ezeket az útvonalakat az útvonaltáblákhoz. Minden virtuális hálózat több alhálózattal rendelkezik, és mindegyik alhálózat rendelkezik egy hálózati adapterrel (NIC), amely szabályozza a kapcsolatot. Az Azure az egyes virtuális hálózatok útvonaltábláját az alhálózatok hálózati adaptereibe injektálja.

  Ezek az alapértelmezett rendszerútvonalak nem hozhatók létre és nem távolíthatók el. De a következőt teheti:

  • Egyes rendszerútvonalak felülbírálása egyéni útvonalakkal.
  • Konfigurálja az Azure-t, hogy opcionális alapértelmezett útvonalakat adjon hozzá adott alhálózatokhoz.

• A helyi hálózatok az Azure VPN Gateway és az ExpressRoute-átjáró használatával csatlakoznak a központi virtuális hálózathoz egy párhuzamos konfigurációban. Amikor hozzáadja a VPN-átjárót, a rendszer a következő útvonalként az átjáróval együtt adja hozzá az útvonalakat az útvonaltáblákhoz. Az ExpressRoute hozzáadásakor az útvonaltáblák is frissülnek. Ezek az útvonalak az összes alhálózatra propagálnak.

• A határátjáró protokoll (BGP) lehetővé teszi az IP-címek cseréjét a helyszíni és az Azure-összetevők között. Ez a protokoll a csomagokat autonóm rendszerek között irányítja. Az ilyen rendszerek kis hálózatok vagy hatalmas útválasztó-készletek, amelyeket egyetlen szervezet futtat.

• A központi virtuális hálózat és a küllős virtuális hálózat között virtuális hálózatok közötti társviszony létezik. A társviszony létrehozásakor az Azure frissíti az útvonaltáblát. Az Azure konkrétan egy útvonalat ad hozzá a központi címtérben vagy a küllős címtérben található minden címtartományhoz. Ezek az útvonalak az összes alhálózatra propagálnak.

• A központi virtuális hálózat alhálózata szolgáltatásvégpontot használ az Azure Storage-hoz. Az Azure hozzáad egy nyilvános IP-címet a Storage-hoz az alhálózat útvonaltáblájában.

• A központi virtuális hálózat két NVA-t tartalmaz. Az NVA-k lehetnek átjárók, szoftveralapú széles körű hálózatok (SD-WAN-ok) vagy biztonsági berendezések tűzfalai. Az útválasztási kiszolgáló az NVA, a hálózati alkalmazás és az átjáró útvonalait a következőkkel cseréli le:

  • Azure-beli virtuálisgép-méretezési csoportok egy példányának létrehozása. A méretezési csoportban lévő összes virtuális gép rendelkezik IP-címmel. Az átjáró IP-címéhez hasonlóan az útválasztási kiszolgáló is rendelkezik hozzáféréssel a virtuális gép IP-címéhez.
  • BGP-társ létrehozása az egyes NVA-k és a méretezési csoportban lévő virtuális gépek között.
  • A virtuális gép IP-címeinek injektálása a virtuális hálózat és a csatlakoztatott hálózatok összes útvonaltáblájába.

  Nincs szükség a következőkre:

  • Felhasználó által definiált útvonalak manuális hozzáadása.
  • Útvonaltáblák manuális létrehozása.
  • Útvonaltáblák csatolása az alhálózathoz az útvonalak propagálásához.
  • Útvonaltáblák frissítése az IP-címek módosításakor.

Összetevők

• A Route Server leegyszerűsíti a BGP-t és a virtuális hálózatokat támogató NVA-k közötti dinamikus útválasztást. Ez a szolgáltatás megszünteti az útvonaltáblák karbantartásának adminisztratív többletterhelését.

• A virtuális hálózat az Azure-beli magánhálózatok alapvető építőeleme. Az Azure-erőforrások, például a virtuális gépek biztonságosan kommunikálhatnak egymással, az internettel és a helyszíni hálózatokkal a virtuális hálózaton keresztül.

• A virtuális hálózatok közötti társviszony-létesítés két vagy több Azure-beli virtuális hálózatot kapcsol össze. A társviszonyok alacsony késésű, nagy sávszélességű kapcsolatokat biztosítanak a különböző virtuális hálózatok erőforrásai között. A társviszonyban lévő virtuális hálózatok virtuális gépei közötti forgalom csak a Microsoft magánhálózatát használja.

• A VPN Gateway a virtuális hálózati átjáró egy adott típusa. A VPN Gateway használatával titkosított forgalmat küldhet:

  • Egy Azure-beli virtuális hálózat és egy helyszíni hely között a nyilvános interneten keresztül.
  • Az Azure-beli virtuális hálózatok között az Azure gerinchálózatán keresztül.

• Az ExpressRoute kiterjeszti a helyszíni hálózatokat a Microsoft-felhőbe. Kapcsolatszolgáltató használatával az ExpressRoute privát kapcsolatokat létesít olyan felhőösszetevőkkel, mint az Azure-szolgáltatások és a Microsoft 365.

• A szolgáltatásvégpontok biztonságos és közvetlen kapcsolatot biztosítanak egy Azure-szolgáltatással egy virtuális hálózat privát IP-címéről. A szolgáltatásvégpont biztosítja a virtuális hálózat identitását az Azure-szolgáltatásnak. A virtuális hálózati erőforrásoknak tehát nincs szükségük nyilvános IP-címekre a szolgáltatás eléréséhez, a végpont pedig úgy védi a szolgáltatást, hogy csak a megadott virtuális hálózatról engedélyezi a forgalmat. A kapcsolatok optimalizált útvonalakat használnak az Azure gerinchálózatán.

• Az NVA egy virtuális berendezés, amely olyan hálózati képességeket kínál, mint a tűzfal biztonsága és a terheléselosztás.

• Az Azure Storage egy felhőalapú tárolási megoldás, amely objektumokat, fájlokat, lemezeket, üzenetsorokat és táblatárolót tartalmaz. A szolgáltatások közé tartoznak az adatok átvitelére, megosztására és biztonsági mentésére szolgáló hibrid tárolási megoldások és eszközök.

Alternatívák

• Ebben a megoldásban nem kell csatlakoztatnia a szolgáltatásvégpontot a Storage-hoz. Ehelyett más Azure-szolgáltatásokat is használhat. A szolgáltatásvégpontokkal biztonságossá teheti szolgáltatások listáját a Virtuális hálózati szolgáltatásvégpontok című témakörben találja.

• Az Útválasztási kiszolgáló használata helyett felhasználó által definiált útvonalakat adhat hozzá az egyes alhálózatok útvonaltábláihoz. A felhasználó által definiált útvonalakkal kapcsolatos további információkért lásd : Felhasználó által definiált virtuális hálózati forgalom útválasztása.

Forgatókönyv részletei

A hálózati útválasztás az a folyamat, amely meghatározza, hogy a forgalom milyen útvonalon halad át a hálózatokon egy cél eléréséhez. Az útvonaltáblák felsorolják az útválasztási útvonalak meghatározásához hasznos hálózati topológiaadatokat.

Ha a virtuális hálózat hálózati virtuális berendezést (NVA) tartalmaz, manuálisan kell konfigurálnia és frissítenie az útvonaltáblákat.

Ez a cikk egy megoldást mutat be az NVA-k és a virtuális hálózatok közötti dinamikus útválasztás kezelésére. A megoldás középpontjában az Azure Route Server áll. Ez a szolgáltatás leegyszerűsíti az NVA-k konfigurálását, karbantartását és üzembe helyezését a virtuális hálózaton. Az Útválasztási kiszolgáló használatakor már nem kell manuálisan frissítenie az NVA-útvonaltáblákat a virtuális hálózati címek módosításakor.

Lehetséges használati esetek

Ez a megoldás azokra a forgatókönyvekre vonatkozik, amelyek:

• Használjon kettős otthonú hálózatokat. A tipikus küllős hálózati topológiák mellett az útválasztó-kiszolgáló támogatja a kétoldalas hálózati topológiákat is. Ez a konfigurációtípus egy küllős virtuális hálózatot használ két vagy több központi virtuális hálózattal. Részletes információkért lásd: A kettős otthonú hálózat az Azure Route Serverrel.
• Csatlakozás NVA-kat az Azure ExpressRoute-ba. Egyes virtuális hálózatok útvonalkiszolgálót, ExpressRoute-átjárót és NVA-t tartalmaznak. Alapértelmezés szerint az Útválasztási kiszolgáló nem propagálja az NVA-útvonalakat az ExpressRoute-ba. Az útválasztási kiszolgáló nem propagálja az ExpressRoute-útvonalakat az NVA-ba. Az Útvonalkiszolgáló útvonal-csere funkciójának bekapcsolásával az ExpressRoute-t és az NVA-t is lekérheti az útvonalak cseréjére. Részletes információkért lásd: Az Azure Route Server ExpressRoute- és Azure VPN-támogatásáról.
• Az Azure használatával csatlakozhat az internethez egy helyszíni rendszerből. A megfelelő internet-hozzáféréssel nem rendelkező szervezetek használhatják ezt a konfigurációt. Azok a rendszerek, amelyek már áttelepített internetes proxykat az Azure-ba, más lehetőségek. Az Útválasztási kiszolgáló lehetővé teszi ezt a beállítást.

Megfontolások

A megoldás megvalósításakor vegye figyelembe az alábbi szempontokat:

• Az útválasztási kiszolgáló kapcsolatokat hoz létre, és útvonalakat cserél. Nem továbbít adatcsomagokat. Ennek eredményeképpen a Háttérkiszolgáló által futtatott virtuális gépek nem igényelnek jelentős processzorteljesítményt vagy számítási teljesítményt.

• Az Útválasztási kiszolgáló telepítésekor hozzon létre egy alhálózatot RouteServerSubnet , amely egy IPv4 alhálózati /27maszkot használ. Helyezze az útválasztási kiszolgálót az alhálózatba.

• Az Azure-átjárókban az alapszintű tarifacsomag nem támogatja az ExpressRoute és a VPN Gateway-kapcsolatok egyidejű használatát. Az egyidejű konfigurációkkal kapcsolatos egyéb korlátozásokért tekintse meg a korlátokat és a korlátozásokat.

• A virtuális hálózaton használható szolgáltatásvégpontok száma nincs korlátozva. Néhány Azure-szolgáltatás, például a Storage azonban korlátozza az erőforrás védelméhez használható alhálózatok számát. További információ: A virtuális hálózati szolgáltatásvégpontok következő lépései.

A megoldás mérlegelésekor vegye figyelembe a következő szakaszokban szereplő pontokat is.

Elérhetőség

A Route Server egy teljes mértékben felügyelt szolgáltatás, amely magas rendelkezésre állást biztosít. A szolgáltatás rendelkezésre állási garanciája az Azure Route Server SLA-jában olvasható.

Méretezhetőség

A megoldás legtöbb összetevője automatikusan skálázható felügyelt szolgáltatás. Van azonban néhány kivétel:

• Az útválasztási kiszolgáló legfeljebb 200 útvonalat tud meghirdetni az ExpressRoute-ba vagy egy VPN-átjáróba.
• Az útválasztási kiszolgáló virtuális hálózatonként legfeljebb 2000 virtuális gépet támogat, beleértve a társhálózatokat is.

Biztonság

• Az alkalmazások és az Azure-beli adatok biztonságának javítására vonatkozó útmutatásért tekintse meg az Azure Security Benchmark (v1) áttekintését.
• Az Azure Security Benchmark 1.0-s verziójával kapcsolatos, a virtuális hálózatra vonatkozó útmutatásért tekintse meg a virtuális hálózat azure-beli biztonsági alapkonfigurációját.

Tartósság

Ez a megoldás csak felügyelt összetevőket használ. Regionális szinten ezek az összetevők automatikusan rugalmasak. A Route Server magas rendelkezésre állást kínál. Amikor az Útválasztási kiszolgálót olyan Azure-régióban helyezi üzembe, amely támogatja a rendelkezésre állási zónákat, az implementáció zónaszintű redundanciájú. További információ a rendelkezésre állási zónákról: Régiók és rendelkezésre állási zónák.

Költségoptimalizálás

A megoldás megvalósításának költségeinek becsléséhez tekintse meg az Azure díjkalkulátorát. A szükségtelen kiadások csökkentéséről a költségoptimalizálási pillér áttekintésében olvashat.

A következő szakaszok a megoldás összetevőire vonatkozó díjszabási információkat ismertetik.

Útvonalkiszolgáló

A Route Server jelenleg nem jár előzetes költséggel vagy megszüntetési díjjal. A díjszabással kapcsolatos információkért tekintse meg az Azure Route Server díjszabását.

Virtual Network

A virtuális hálózatot ingyenesen használhatja. Azure-előfizetéssel legfeljebb 50 virtuális hálózatot hozhat létre minden régióban. A virtuális hálózat határain belüli forgalom ingyenes. Ennek eredményeképpen az azonos virtuális hálózatban lévő két virtuális gép közötti kommunikáció díjmentes.

VPN Gateway

A VPN Gateway használata esetén minden bejövő forgalom ingyenes. Csak a kimenő forgalomért kell fizetnie. Az internetes sávszélesség költségei a VPN kimenő forgalmára vonatkoznak. További információkért lásd a VPN Gateway díjszabását.

ExpressRoute

A bejövő ExpressRoute-adatátvitelek ingyenesek. A kimenő adatátvitelért előre meghatározott díjat kell fizetnie. A rögzített havi portdíj is érvényes. További információkért tekintse meg az Azure ExpressRoute díjszabását.

Szolgáltatásvégpontok

A szolgáltatásvégpontok használata díjmentes.

NVA-k

Az NVA-k díja a használt berendezés alapján történik. A telepített Azure-beli virtuális gépekért és a felhasznált mögöttes infrastruktúra-erőforrásokért, például a tárolásért és a hálózatkezelésért is fizetnie kell. További információ: Linux rendszerű virtuális gépek díjszabása.

Következő lépések

• Rövid útmutató: Route Server létrehozása és konfigurálása az Azure Portal használatával
• Tudnivalók az Azure Route Server ExpressRoute- és Azure VPN-támogatásáról
• Azure Route Server – gyakori kérdések
• Azure-útiterv
• Hálózatkezelési blog
• SLA az Azure Route Serverhez
• Mi az Az Azure Route Server?

Kapcsolódó erőforrások

• Az Azure Firewall architektúrája áttekintése
• Választás a virtuális hálózatok közötti társviszony-létesítés és a VPN-átjárók között
• Javaslatok rendelkezésre állási zónák és régiók használatához
• Magas rendelkezésre állású NVA-k üzembe helyezése
• Zéró megbízhatóságú hálózat webalkalmazásokhoz az Azure Firewall és az Application Gateway használatával