Többrégiós hálózatkezelés az Azure Route Serverrel

  • Cikk

A magas rendelkezésre állási vagy vészhelyreállítási követelményekkel rendelkező alkalmazásokat gyakran több Azure-régióban kell üzembe helyezni. Ilyen esetekben a küllős virtuális hálózatoknak (VNeteknek) kommunikálniuk kell egymással. A kommunikáció engedélyezésének egyik módja az összes szükséges küllős virtuális hálózat egymáshoz való társviszony-létesítése. Ez a megközelítés azonban megkerülné a központi hálózati virtuális berendezéseket (NVA-kat), például a központi tűzfalakat. Egy másik lehetőség a felhasználó által definiált útvonalak (UDR-k) használata azon alhálózatokon, ahol központi NVA-k vannak üzembe helyezve, de az UDR-ek fenntartása kihívást jelenthet. Az Azure Route Server dinamikus alternatívát kínál, amely automatikusan alkalmazkodik a topológia változásaihoz manuális beavatkozás nélkül.

Topológia

Az alábbi ábra egy kétrégiós architektúrát mutat be, amelyben minden régióban van egy küllős topológia, a központi virtuális hálózatok pedig globális virtuális hálózatok közötti társviszony-létesítésen keresztül:

Diagram showing multi-region design with Azure Route Server.

Az egyes régiók NVA-ja az Azure Route Serveren keresztül megismeri a helyi központ és a küllős virtuális hálózatok előtagjait, és megosztja őket a másik régió NVA-jával a BGP használatával. Az útválasztási hurkok elkerülése érdekében fontos, hogy ezt a kommunikációt az NVA-k között egy beágyazási technológia, például az IPsec vagy a virtuális eXtensible LAN (VXLAN) használatával hozza létre.

Ahhoz, hogy az Azure Route Server meghirdethesse a küllős virtuális hálózatok előtagjait a helyi NVA-knak, és a tanult útvonalakat visszaszúrja a küllős virtuális hálózatokba, elengedhetetlen a távoli virtuális hálózat átjárójának vagy útvonalkiszolgáló-beállításának használata a küllős virtuális hálózatok és a központi virtuális hálózat közötti társviszony-létesítéshez.

Az NVA-k meghirdetik a távoli régióból a helyi útválasztási kiszolgálóra tanult útvonalakat, amelyek ezután ezeket az útvonalakat a helyi küllős virtuális hálózatokon konfigurálják, és ennek megfelelően vonzzák a forgalmat. Azokban az esetekben, amikor több NVA létezik ugyanabban a régióban (az útvonalkiszolgáló legfeljebb nyolc BGP-társ használatát támogatja), az AS elérési út előpendálása használható az NVA-k egyikének előnyben részesítésére a többiekkel szemben, így hatékonyan hozhat létre aktív/készenléti NVA-topológiát.

Fontos

Annak érdekében, hogy a helyi útválasztási kiszolgáló megismerhesse az NVA által meghirdetett útvonalakat a távoli régióból, az NVA-nak el kell távolítania a 65515-ös autonóm rendszerszámot (ASN) az útvonalak AS-útvonaláról. Ezt a technikát néha "AS felülbírálásnak" vagy "AS-útvonal újraírásának" is nevezik bizonyos BGP-platformokon. Ellenkező esetben a BGP-ciklus megelőzési mechanizmusa megakadályozza, hogy a helyi útvonalkiszolgáló megtanulja ezeket az útvonalakat, mivel tiltja a helyi ASN-t már tartalmazó útvonalak tanulását.

ExpressRoute

A többrégiós kialakítás kombinálható ExpressRoute- vagy VPN-átjárókkal. Az alábbi ábrán egy topológia látható, amely egy ExpressRoute-átjárót tartalmaz, amely egy helyszíni hálózathoz csatlakozik az Egyik Azure-régióban. Ebben az esetben az ExpressRoute-kapcsolatcsoporton átfedő hálózat segít leegyszerűsíteni a hálózatot, hogy a helyszíni előtagok csak az NVA által meghirdetett módon jelenjenek meg az Azure-ban (és ne az ExpressRoute-átjáróról).

Diagram showing multi-region design with Route Server and ExpressRoute.

Tervezés átfedések nélkül

Az NVA-k közötti régiók közötti alagutakra azért van szükség, mert ellenkező esetben útválasztási hurok jön létre. Például az 1. régióban lévő NVA-t tekintve:

  • Az 1. régió NVA-ja megismeri a 2. régió előtagjait, és meghirdeti őket az 1. régió útvonalkiszolgálójához.
  • Az 1. régió útvonalkiszolgálója az 1. régió összes alhálózatában beszúrja az előtagok útvonalait, az 1. régióban pedig az NVA lesz a következő ugrás.
  • Az 1. régióból a 2. régióba irányuló forgalom esetén, amikor az 1. régióban lévő NVA forgalmat küld a másik NVA-nak, a saját alhálózata örökli az útvonalkiszolgáló által programozott útvonalakat is, amelyek önmagukra mutatnak (az NVA). Így a csomag visszakerül az NVA-ba, és megjelenik egy útválasztási hurok.

Ha az UDR-ek egy lehetőség, letilthatja a BGP-útvonalak propagálását az NVA-k alhálózataiban, és átfedés helyett statikus UDR-eket konfigurálhat, hogy az Azure átirányíthassa a forgalmat a távoli küllős virtuális hálózatokra.

Kapcsolódó tartalom