Jaringan multi-wilayah dengan Azure Route Server

  • Artikel

Aplikasi dengan persyaratan ketersediaan tinggi atau pemulihan bencana yang menuntut sering kali perlu disebarkan di lebih dari satu wilayah Azure. Dalam kasus seperti itu, jaringan virtual spoke (VNet) di berbagai wilayah perlu berkomunikasi satu sama lain. Salah satu cara untuk mengaktifkan komunikasi ini adalah dengan melakukan peering semua VNet spoke yang diperlukan satu sama lain. Namun, pendekatan ini akan melewati appliance virtual jaringan pusat (NVA) seperti firewall di hub. Alternatifnya adalah menggunakan rute yang ditentukan pengguna (UDR) di subnet tempat NVA hub disebarkan, tetapi mempertahankan UDR bisa menjadi tantangan. Azure Route Server menawarkan alternatif dinamis yang beradaptasi dengan perubahan topologi secara otomatis, tanpa memerlukan intervensi manual.

Topologi

Diagram berikut menunjukkan arsitektur dual-region, di mana topologi hub dan spoke ada di setiap wilayah, dan VNet hub saling mengawasi melalui VNet global peering:

Diagram showing multi-region design with Azure Route Server.

NVA di setiap wilayah mempelajari awalan hub lokal dan spoke VNet melalui Azure Route Server dan membagikannya dengan NVA di wilayah lain menggunakan BGP. Untuk menghindari perulangan perutean, sangat penting untuk membangun komunikasi ini antara NVA menggunakan teknologi enkapulasi seperti IPsec atau Virtual eXtensible LAN (VXLAN).

Untuk mengaktifkan Azure Route Server untuk mengiklankan awalan VNet spoke ke NVA lokal dan menyuntikkan rute yang dipelajari kembali ke VNet spoke, penting untuk menggunakan menggunakan gateway jaringan virtual jarak jauh atau pengaturan Route Server untuk peering antara VNet spoke dan VNet hub.

NVA mengiklankan rute yang mereka pelajari dari wilayah jarak jauh ke Route Server lokal mereka, yang kemudian akan mengonfigurasi rute ini di VNet spoke lokal, menarik lalu lintas yang sesuai. Dalam kasus di mana beberapa NVA ada di wilayah yang sama (Route Server mendukung hingga delapan rekan BGP), prepending jalur AS dapat digunakan untuk membuat salah satu NVA lebih disukai daripada yang lain, secara efektif membuat topologi NVA aktif/siaga.

Penting

Untuk memastikan bahwa Route Server lokal dapat mempelajari rute yang diiklankan oleh NVA dari wilayah jarak jauh, NVA harus menghapus nomor sistem otonom (ASN) 65515 dari jalur AS rute. Teknik ini kadang-kadang disebut sebagai "penggantian AS" atau "penulisan ulang jalur AS" di platform BGP tertentu. Jika tidak, mekanisme pencegahan perulangan BGP akan mencegah Route Server lokal mempelajari rute tersebut karena melarang pembelajaran rute yang sudah berisi ASN lokal.

ExpressRoute

Desain multi-wilayah dapat dikombinasikan dengan gateway ExpressRoute atau VPN. Diagram berikut menunjukkan topologi termasuk gateway ExpressRoute yang terhubung ke jaringan lokal di salah satu wilayah Azure. Dalam hal ini, jaringan overlay melalui sirkuit ExpressRoute membantu menyederhanakan jaringan, sehingga awalan lokal hanya muncul di Azure seperti yang diiklankan oleh NVA (dan bukan dari gateway ExpressRoute).

Diagram showing multi-region design with Route Server and ExpressRoute.

Desain tanpa overlay

Terowongan lintas wilayah antara NVA diperlukan karena jika tidak, loop perutean akan terbentuk. Misalnya, melihat NVA di wilayah 1:

  • NVA di wilayah 1 mempelajari awalan dari wilayah 2, dan mengiklankannya ke Route Server di wilayah 1.
  • Route Server di wilayah 1 akan menyuntikkan rute untuk awalan tersebut di semua subnet di wilayah 1, dengan NVA di wilayah 1 sebagai hop berikutnya.
  • Untuk lalu lintas dari wilayah 1 ke wilayah 2, ketika NVA di wilayah 1 mengirim lalu lintas ke NVA lainnya, subnetnya sendiri mewarisi juga rute yang diprogram oleh Route Server, yang menunjuk ke dirinya sendiri (NVA). Jadi paket akan dikembalikan ke NVA, dan loop routing muncul.

Jika UDR adalah opsi, Anda dapat menonaktifkan penyebaran rute BGP di subnet NVA, dan mengonfigurasi UDR statis alih-alih overlay, sehingga Azure dapat merutekan lalu lintas ke VNet spoke jarak jauh.

Konten terkait