Condividi tramite


Indirizzare i criteri nell'infrastruttura di rete gestita di Azure Operator Nexus

I criteri di route consentono agli operatori di controllare le route apprese e distribuite tramite BGP (Border Gateway Protocol). BGP è un protocollo di routing che scambia informazioni di routing tra sistemi autonomi su Internet. BGP usa attributi come i valori della community e i valori estesi della community per contrassegnare e filtrare le route. I criteri di route possono essere usati per modificare questi attributi e influenzare il comportamento di routing.

I criteri di route sono un set di regole applicate alle route in base ai relativi attributi specifici. Questi attributi includono prefissi IP, valori della community e valori della community estesi. La funzione principale di questi criteri consiste nel consentire o negare le route e modificare gli attributi in base alle esigenze.

I criteri di route possono essere applicati a endpoint diversi nell'infrastruttura di rete. Possono essere applicate a interconnessioni da rete a rete o a livelli diversi in un dominio di isolamento di livello 3, ad esempio reti esterne, reti interne e subnet connesse. I criteri di route vengono applicati nella direzione di uscita o in ingresso, a seconda che si tratti di criteri di esportazione o importazione. I criteri di route per IPv4 e IPv6 vengono applicati separatamente.

I criteri di route possono essere specificati con combinazioni di condizioni e azioni. Le condizioni sono basate su prefissi IP, community IP e community estese IP. Le azioni si basano sull'eliminazione o sull'autorizzazione delle route e sull'aggiunta, la rimozione o la sovrascrittura dei valori della community e i valori estesi della community.

I criteri di route vengono modellati come risorse di Azure Resource Manager in Microsoft.managednetworkfabric. Possono essere create, lette ed eliminate dagli operatori. L'operatore crea una risorsa dei criteri di route e quindi la applica al punto di imposizione richiesto. Un criterio di route può essere applicato solo a un punto di imposizione alla volta.

Obiettivo

I criteri di route sono un componente chiave della gestione della rete. Offrono controllo, flessibilità, personalizzazione e scalabilità rispetto alla distribuzione e alla modifica delle route.

I criteri di route consentono agli operatori di controllare la distribuzione delle route in base a criteri come sicurezza, prestazioni o costi. Ad esempio, possono impedire le route da una rete interna che raggiunge le reti esterne di un dominio di isolamento di livello 3. Il risultato è una maggiore sicurezza e prestazioni e flusso di traffico controllato.

I criteri di route consentono anche agli operatori di modificare gli attributi delle route in base a BGP. Modificando gli attributi BGP, gli operatori possono influenzare il processo di selezione del percorso in BGP e guidare il traffico lungo percorsi ottimali.

I criteri di route offrono un elevato livello di flessibilità e personalizzazione, che consente agli operatori di definire le proprie condizioni e azioni. Gli operatori possono quindi implementare una logica complessa o scenari personalizzati che non sono supportati dal comportamento di routing predefinito nell'infrastruttura di rete.

I criteri di route semplificano la gestione delle reti su larga scala perché automatizzano il processo di gestione delle route. Ad esempio, gli operatori possono usare i criteri di route per applicare regole coerenti e uniformi tra più endpoint di un dominio di isolamento di livello 3 o per aggiornare i criteri di route in blocco usando i modelli di Azure Resource Manager (modelli ARM).

Specificare le condizioni e le azioni di un criterio di route

Le condizioni e le azioni di un criterio di route vengono specificate usando il prefisso IP, la community IP e le risorse della community estesa IP. Queste risorse, modellate come risorse modello di Resource Manager in Microsoft.managednetworkfabric, definiscono i criteri di corrispondenza e le azioni per i criteri di route in base al prefisso IP, alla community IP o alla community estesa IP delle route.

Risorsa prefisso IP

Questa risorsa specifica le condizioni di corrispondenza per i criteri di route in base al prefisso IP (IPv4 o IPv6) delle route. Contiene un elenco di prefissi con numeri di sequenza e azioni (Permit o Deny).

Risorsa della community IP

Questa risorsa specifica le condizioni di corrispondenza e le azioni per i criteri di route in base ai valori della community contrassegnati per le route. Contiene community note o membri della community personalizzata.

Risorsa community estesa IP

Questa risorsa specifica le condizioni di corrispondenza e le azioni per i criteri di route in base alle destinazioni di route. Contiene un elenco di valori della community estesi e proprietà specifiche.

Proprietà Condizione

La proprietà condizione di un'istruzione dei criteri di route definisce il modo in cui le route vengono confrontate con i criteri:

  • And: i criteri corrispondono a qualsiasi route che corrisponda a tutte le proprietà ipPrefixIds, ipCommunityIds e ipExtendedCommunityIdsspecificate.
  • Or: i criteri corrispondono a qualsiasi route corrispondente a qualsiasi proprietà ipPrefixIds, ipCommunityIdse ipExtendedCommunityIds.

Le proprietà ipPrefixId, ipCommunityId e ipExtendedCommunityId sono matrici di stringhe che fanno riferimento al prefisso IP, alla community IP e alle risorse della community estesa IP che definiscono i criteri di corrispondenza per gli attributi di route.

Proprietà azione

La proprietà action di un'istruzione dei criteri di route definisce l'azione da eseguire quando una route corrisponde ai criteri:

  • Permit: consente la route corrispondente e si applica ipCommunityProperties alla route.
  • Deny: nega la route corrispondente e arresta la valutazione dei criteri di route.
  • Continue: applicare ipCommunityProperties alla route e continuare a valutare i criteri di route con l'istruzione successiva.

proprietà ipCommunityProperties

La proprietà ipCommunityProperties specifica in che modo il criterio influisce sui valori della community e sui valori della community estesi della route.

Dispone di una proprietà set e di una proprietà delete. La proprietà set specifica le risorse della community di indirizzi IP e della community estesa IP da aggiungere o sovrascrivere alle route. La proprietà delete specifica le risorse della community IP e dell'indirizzo IP estese della community da rimuovere dalle route.

Supporto Regex BGP nei criteri di route

Le community BGP vengono configurate usando le proprietà di configurazione IPCommunity e IPExtendedCommunity BGP. Questi accettano un elenco di valori di corrispondenza esatti. Ad esempio, la stringa 1234:2345 nel frammento JSON ARM seguente corrisponde a una community estesa IP.

{
    "ipExtendedCommunityRules": [
        {
            "action": "Permit",
            "sequenceNumber": 4155123341,
            "routeTargets": [
                "1234:2345"
            ]
        }
    ]
}

Corrispondenza regex BGP

Miglioramento della corrispondenza della community BGP usando espressioni regolari, consentendo criteri di route più concisi e flessibili.

La tabella seguente mostra esempi della proprietà dei membri della community in IPCommunityRules e le destinazioni di route in IPExtendedCommunityRules, che possono essere specificate nei formati seguenti.

Type Formati Esempi di corrispondenza esatta Esempi Regex
Membro della comunità (IPCommunity) AA:NN <0-65535>:<0-65535> 7287:22222 7287:[2-9][0-9]2[0-9][0-9]
<1-4294967040> 333233 [3-6][2-9][0-9]2[0-9][0-9]
Destinazioni di route (IPExtendedCommunity) ASN (asplain):nn <0-4294967295>:<0-65535> 1122:33533 [3-6][2-9][0-9]2[0-9][0-9]:[2-9][0-3]5[0-8][0-9]
<0-65535>:<0-4294967295>
Destinazioni di route (IPExtendedCommunity) ASN (asdot):nn <0-65535>.<0-65535>:<0-65535> 2345.7287:33533 2345.7287:[2-9][0-3]5[0-8][0-9]
Destinazioni di route (IPExtendedCommunity) IP-address:nn <Valid-IPv4-Address>:<0-65535> 10.11.33.56:33533 10.11.33.56:[2-9][0-3]5[0-8][0-9]

Nota

  • IPCommunity o IPExtendedCommunity supporta più stringhe per i valori RT di ogni numero di sequenza. Tuttavia, per supportare le espressioni regolari, è possibile fornire una sola espressione regolare in ogni numero di sequenza di IPCommunity e IPExtendedCommunity. Nel caso di più espressioni regolari in ogni IPCommunity, possono essere aggiunte con più numeri di sequenza con le rispettive espressioni regolari.
  • Le community note non sono supportate per IPCommunity con espressioni regolari.