Aggiornare le tabelle di route usando il Server di route di Azure

Questo articolo presenta una soluzione per la gestione del routing dinamico tra appliance virtuali di rete e reti virtuali. Al centro della soluzione è il server di route di Azure. Questo servizio semplifica la configurazione, la manutenzione e la distribuzione di appliance virtuali di rete nella rete virtuale. Quando si usa Il server di route, non è più necessario aggiornare manualmente le tabelle di route dell'appliance virtuale di rete quando gli indirizzi della rete virtuale cambiano.

Architettura

Scaricare un file di Visio di questa architettura.

Workflow

• Questa architettura hub-spoke ha una rete virtuale hub e una rete virtuale spoke. La rete virtuale hub ha più subnet, ognuna contenente macchine virtuali.The hub virtual network has multiple subnets, each containing virtual machines (VMS).

• Lo spazio degli indirizzi di ogni rete virtuale definisce gli intervalli di indirizzi. Per ognuno di questi intervalli, Azure crea una route con il prefisso dell'indirizzo di tale intervallo. Azure aggiunge tali route alle tabelle di route. Ogni rete virtuale ha più subnet e ogni subnet ha una scheda di interfaccia di rete (NIC) che controlla la connettività. Azure inserisce la tabella di route di ogni rete virtuale nelle schede di interfaccia di rete delle subnet.

  Non è possibile creare o rimuovere queste route di sistema predefinite. È però possibile:

  • Eseguire l'override di alcune route di sistema con route personalizzate.
  • Configurare Azure per aggiungere route predefinite facoltative a subnet specifiche.

• Le reti locali usano Azure Gateway VPN e un gateway ExpressRoute per connettersi alla rete virtuale hub in una configurazione coesistenti. Quando si aggiunge il gateway VPN, le route con il gateway vengono aggiunte alle tabelle di route successive. Quando si aggiunge ExpressRoute, vengono aggiornate anche le tabelle di route. Queste route vengono propagate a tutte le subnet.

• Il protocollo BGP (Border Gateway Protocol) rende possibile lo scambio di indirizzi IP tra componenti locali e di Azure. Questo protocollo indirizza i pacchetti tra sistemi autonomi. Tali sistemi sono reti di piccole dimensioni o enormi pool di router eseguiti da una singola organizzazione.

• Esiste un peering di rete virtuale tra la rete virtuale hub e la rete virtuale spoke. Quando si crea il peering, Azure aggiorna la tabella di route. In particolare, Azure aggiunge una route per ogni intervallo di indirizzi che si trova nello spazio indirizzi dell'hub o nello spazio degli indirizzi spoke. Queste route vengono propagate a tutte le subnet.

• Una subnet nella rete virtuale hub usa un endpoint di servizio per Archiviazione di Azure. Azure aggiunge un indirizzo IP pubblico per Archiviazione alla tabella di route della subnet.

• La rete virtuale hub contiene due appliance virtuali di rete. Le appliance virtuali di rete potrebbero essere gateway, reti wan (SD-WAN) definite dal software o firewall dell'appliance di sicurezza. Il server di route scambia le route dell'appliance virtuale di rete, dell'applicazione di rete e del gateway in base a:

  • Creazione di un'istanza di Azure set di scalabilità di macchine virtuali. Ogni macchina virtuale nel set di scalabilità ha un indirizzo IP. Come per gli indirizzi IP del gateway, il server di route ha accesso agli indirizzi IP della macchina virtuale.
  • Definizione di peer BGP tra ogni appliance virtuale di rete e una macchina virtuale nel set di scalabilità.
  • Inserimento degli indirizzi IP della macchina virtuale in tutte le tabelle di route nella rete virtuale e nelle reti connesse.

  Non è necessario:

  • Aggiungere manualmente route definite dall'utente.
  • Creare manualmente tabelle di route.
  • Collegare le tabelle di route alla subnet per propagare le route.
  • Aggiornare le tabelle di route quando gli indirizzi IP cambiano.

Componenti

• Il server di route semplifica il routing dinamico tra appliance virtuali di rete che supportano BGP e reti virtuali. Questo servizio elimina il sovraccarico amministrativo della gestione delle tabelle di route.

• Una rete virtuale rappresenta il blocco costitutivo fondamentale per le reti private di Azure. Le risorse di Azure come le macchine virtuali possono comunicare in modo sicuro tra loro, Internet e reti locali tramite Rete virtuale.

• Il peering di rete virtuale connette due o più reti virtuali di Azure. I peering offrono connessioni a bassa latenza e larghezza di banda elevata tra le risorse in reti virtuali diverse. Il traffico tra macchine virtuali in reti virtuali con peering usa solo la rete privata Microsoft.

• Gateway VPN è un tipo specifico di gateway di rete virtuale. È possibile usare Gateway VPN per inviare traffico crittografato:

  • Tra una rete virtuale di Azure e una posizione locale tramite Internet pubblico.
  • Tra reti virtuali di Azure tramite la rete backbone di Azure.

• ExpressRoute estende le reti locali nel cloud Microsoft. Usando un provider di connettività, ExpressRoute stabilisce connessioni private a componenti cloud come i servizi di Azure e Microsoft 365.

• Un endpoint di servizio fornisce connettività sicura e diretta a un servizio di Azure da indirizzi IP privati in una rete virtuale. L'endpoint di servizio fornisce l'identità della rete virtuale al servizio di Azure. Pertanto, le risorse della rete virtuale non necessitano di indirizzi IP pubblici per accedere al servizio e l'endpoint protegge il servizio consentendo solo il traffico dalla rete virtuale specificata. Le connessioni usano route ottimizzate sulla rete backbone di Azure.

• Un'appliance virtuale di rete è un'appliance virtuale che offre funzionalità di rete come la sicurezza del firewall e il bilanciamento del carico.

• Archiviazione di Azure è una soluzione di archiviazione cloud che include l'oggetto, il file, il disco, la coda e l'archiviazione tabelle. I servizi includono soluzioni di archiviazione ibride e strumenti per il trasferimento, la condivisione e il backup dei dati.

Alternative

• In questa soluzione non è necessario connettere l'endpoint del servizio a Archiviazione. È invece possibile usare altri servizi di Azure. Per un elenco dei servizi che è possibile proteggere con gli endpoint di servizio, vedere Rete virtuale endpoint di servizio.

• Anziché usare il server di route, è possibile aggiungere route definite dall'utente alla tabella di route di ogni subnet. Per altre informazioni sulle route definite dall'utente, vedere Routing del traffico di rete virtuale definito dall'utente.

Dettagli dello scenario

Il routing di rete è il processo di determinazione del percorso che il traffico attraversa le reti per raggiungere una destinazione. Le tabelle di route elencano le informazioni sulla topologia di rete utili per determinare i percorsi di routing.

Quando la rete virtuale contiene un'appliance virtuale di rete, è necessario configurare e aggiornare manualmente le tabelle di route.

Questo articolo presenta una soluzione per la gestione del routing dinamico tra appliance virtuali di rete e reti virtuali. Al centro della soluzione è il server di route di Azure. Questo servizio semplifica la configurazione, la manutenzione e la distribuzione di appliance virtuali di rete nella rete virtuale. Quando si usa Il server di route, non è più necessario aggiornare manualmente le tabelle di route dell'appliance virtuale di rete quando gli indirizzi della rete virtuale cambiano.

Potenziali casi d'uso

Questa soluzione si applica agli scenari che:

• Usare reti dual homed. Oltre alle topologie di rete hub-spoke tipiche, il server router supporta anche topologie di rete dual homed. Questo tipo di configurazione peera una rete virtuale spoke con due o più reti virtuali hub. Per informazioni dettagliate, vedere Informazioni sulla rete dual-homed con il server di route di Azure.
• Connessione appliance virtuali di rete ad Azure ExpressRoute. Alcune reti virtuali contengono il server di route, un gateway ExpressRoute e un'appliance virtuale di rete. Per impostazione predefinita, il server di route non propaga le route dell'appliance virtuale di rete a ExpressRoute. Il server di route non propaga anche le route ExpressRoute all'appliance virtuale di rete. È possibile ottenere ExpressRoute e l'appliance virtuale di rete per scambiare le route attivando la funzionalità di scambio di route nel server di route. Per informazioni dettagliate, vedere Informazioni sul supporto del server di route di Azure per ExpressRoute e VPN di Azure.
• Usare Azure per connettersi a Internet da un sistema locale. Le organizzazioni che non dispongono di un buon accesso a Internet potrebbero usare questa configurazione. I sistemi che hanno già eseguito la migrazione di proxy Internet in Azure sono altre possibilità. Il server di route rende possibile questa configurazione.

Considerazioni

Quando si implementa questa soluzione, tenere presente quanto segue:

• Il server di route stabilisce connessioni e scambi di route. Non trasferisce pacchetti di dati. Di conseguenza, le macchine virtuali eseguite dal server di route nel back-end non richiedono una notevole potenza di CPU o potenza di calcolo.

• Quando si distribuisce Il server di route, creare una subnet denominata RouteServerSubnet che usa una subnet mask IPv4 di /27. Posizionare il server di route in tale subnet.

• Nei gateway di Azure il piano tariffario Basic non supporta connessioni ExpressRoute e Gateway VPN coesistenti. Per altre limitazioni con configurazioni coesistenti, vedere Limiti e limitazioni.

• Non esiste alcun limite al numero di endpoint di servizio che è possibile usare in una rete virtuale. Alcuni servizi di Azure, ad esempio Archiviazione, applicano limiti al numero di subnet che è possibile usare per proteggere la risorsa. Per altre informazioni, vedere Passaggi successivi in Rete virtuale endpoint di servizio.

Quando si considera questa soluzione, tenere presente anche i punti nelle sezioni seguenti.

Disponibilità

Il server di route è un servizio completamente gestito che offre disponibilità elevata. Per la garanzia di disponibilità di questo servizio, vedere Contratto di servizio per il server di route di Azure.

Scalabilità

La maggior parte dei componenti di questa soluzione sono servizi gestiti che vengono ridimensionati automaticamente. Esistono tuttavia alcune eccezioni:

• Il server di route può annunciare al massimo 200 route a ExpressRoute o a un gateway VPN.
• Il server di route può supportare al massimo 2.000 macchine virtuali per rete virtuale, incluse le reti virtuali con peering.

Sicurezza

• Per indicazioni sul miglioramento della sicurezza delle applicazioni e dei dati in Azure, vedere Panoramica di Azure Security Benchmark (v1).
• Per indicazioni su Azure Security Benchmark versione 1.0 specifica per Rete virtuale, vedere Baseline di sicurezza di Azure per Rete virtuale.

Resilienza

Questa soluzione usa solo componenti gestiti. A livello di area, tutti questi componenti sono automaticamente resilienti. Il server di route offre disponibilità elevata. Quando si distribuisce Il server di route in un'area di Azure che supporta le zone di disponibilità, l'implementazione ha ridondanza a livello di zona. Per altre informazioni sulle zone di disponibilità, vedere Aree e zone di disponibilità.

Ottimizzazione dei costi

Per stimare il costo dell'implementazione di questa soluzione, vedere il calcolatore dei prezzi di Azure. Per informazioni generali sulla riduzione delle spese non necessarie, vedere Panoramica del pilastro di ottimizzazione dei costi.

Le sezioni seguenti illustrano le informazioni sui prezzi per i componenti della soluzione.

Server di route

Attualmente non sono previsti costi iniziali o tariffe di terminazione per il server di route. Per informazioni sui prezzi, vedere Prezzi del server di route di Azure.

Rete virtuale

È possibile utilizzare Rete virtuale gratuitamente. Con una sottoscrizione di Azure è possibile creare fino a 50 reti virtuali in tutte le aree. Il traffico che si trova entro i limiti di una rete virtuale è gratuito. Di conseguenza, non è previsto alcun addebito per la comunicazione tra due macchine virtuali nella stessa rete virtuale.

Gateway VPN

Quando si usa Gateway VPN, tutto il traffico in ingresso è gratuito. Vengono addebitati costi solo per il traffico in uscita. I costi della larghezza di banda Internet si applicano con il traffico VPN in uscita. Per altre informazioni, vedere Prezzi di Gateway VPN.

ExpressRoute

I trasferimenti di dati di ExpressRoute in ingresso sono gratuiti. Per il trasferimento dei dati in uscita, viene addebitata una tariffa predeterminata. Si applica anche una tariffa fissa mensile per le porte. Per altre informazioni, vedere Prezzi di ExpressRoute di Azure.

Endpoint di servizio

Non è previsto alcun addebito per l'uso degli endpoint di servizio.

Appliance virtuali di rete

Le appliance virtuali di rete vengono addebitate in base all'appliance usata. Vengono addebitati anche i costi per le macchine virtuali di Azure distribuite e le risorse dell'infrastruttura sottostanti usate, ad esempio l'archiviazione e la rete. Per altre informazioni, vedere Prezzi di Linux Macchine virtuali.

Passaggi successivi

• Guida introduttiva: Creare e configurare il server di route usando il portale di Azure
• Informazioni sul supporto del server di route di Azure per ExpressRoute e VPN di Azure
• Domande frequenti sul server di route Azure
• Mappa stradale di Azure
• Blog sulle reti
• Contratto di servizio per il server di route di Azure
• Che cos'è il server di route di Azure?

Risorse correlate

• Panoramica dell'architettura di Firewall di Azure
• Scegliere tra peering di rete virtuale e gateway VPN
• Consigli per l'uso di zone e aree di disponibilità
• Distribuire appliance virtuali di rete a disponibilità elevata
• Rete Zero Trust per le applicazioni Web con Firewall di Azure e gateway applicazione