Over dual-homed network met Azure Route Server
In een typische hub- en spoke-architectuur worden toepassingsworkloads geïmplementeerd in virtuele spoke-netwerken (VNets). Deze spokes worden gekoppeld aan één hub-VNet, dat gedeelde netwerkresources zoals VPN- en ExpressRoute-gateways bevat. In sommige situaties kan het wenselijk zijn om spokes te koppelen aan meer dan één hub-VNet, bijvoorbeeld als meerdere VPN- of ExpressRoute-gateways om welke reden dan ook zijn vereist. Azure Route Server maakt deze architectuur mogelijk, zodat workloads in een spoke-VNet kunnen communiceren via een van de hub-VNets waarmee deze is verbonden.
Instellen
Zoals u kunt zien in het volgende diagram, moet u:
- Implementeer een NVA (Network Virtual Appliance) in elk virtueel hubnetwerk en een routeserver in het virtuele spoke-netwerk.
- Schakel VNet-peering in tussen de hub- en spoke-virtuele netwerken.
- Configureer BGP-peering tussen de routeserver en elke NVA die is geïmplementeerd.
Hoe werkt het?
In het besturingsvlak wisselen de NVA en de routeserver routes uit alsof ze in hetzelfde virtuele netwerk worden geïmplementeerd. De NVA leert meer over spoke-VNet-adressen van de routeserver. De routeserver leert routes van elk van de NVA's. De routeserver programmeert vervolgens alle virtuele machines in het spoke-VNet met de routes die het heeft geleerd.
In het gegevensvlak zien virtuele machines in het spoke-VNet de beveiligings-NVA of de VPN NVA in de hub als de volgende hop. Verkeer dat is bestemd voor het internetverkeer of het hybride cross-premises verkeer wordt nu gerouteerd via de NVA's in het hub-VNet. U kunt beide hubs zo configureren dat ze actief/actief of actief/passief zijn. In het geval dat de actieve hub uitvalt, wordt er een failover uitgevoerd van het verkeer naar en van de virtuele machines naar de andere hub. Deze fouten omvatten, maar niet beperkt tot: NVA-fouten of serviceconnectiviteitsfouten. Deze configuratie zorgt ervoor dat uw netwerk is geconfigureerd voor hoge beschikbaarheid.
Integratie met ExpressRoute
U kunt een dual-homed netwerk bouwen dat twee of meer ExpressRoute-verbindingen omvat. Naast de hierboven beschreven stappen moet u het volgende doen:
- Maak een routeserver in elk hub-VNet met een ExpressRoute-gateway.
- Configureer BGP-peering tussen de NVA en de routeserver in het hub-VNet.
- Schakel route-uitwisseling in tussen de ExpressRoute-gateway en de routeserver in het hub-VNet.
- Zorg ervoor dat Remote Gateway of Remote Route Server gebruiken is uitgeschakeld in de VNet-peeringconfiguratie van het virtuele spoke-netwerk.
Hoe werkt het?
In het besturingsvlak leert de NVA in het hub-VNet over on-premises routes van de ExpressRoute-gateway via routeuitwisseling met de routeserver in de hub. Retourneert de NVA de spoke-VNet-adressen naar de ExpressRoute-gateway met behulp van dezelfde routeserver. De routeserver in zowel de spoke- als hub-VNets programmeert vervolgens de on-premises netwerkadressen naar de virtuele machines in hun respectieve virtuele netwerk.
Belangrijk
BGP voorkomt een lus door het AS-nummer in het AS-pad te verifiëren. Als de ontvangende routeserver een eigen AS-nummer in het AS-pad van een ontvangen BGP-pakket ziet, wordt het pakket weggenomen. In dit voorbeeld hebben beide routeservers hetzelfde AS-nummer, 65515. Om te voorkomen dat elke routeserver de routes van de andere routeserver verwijdert, moet de NVA BGP-beleid toepassen als overschrijven bij peering met elke routeserver.
In het gegevensvlak verzenden de virtuele machines in het spoke-VNet eerst al het verkeer dat bestemd is voor het on-premises netwerk naar de NVA in het hub-VNet. Vervolgens stuurt de NVA het verkeer door naar het on-premises netwerk via ExpressRoute. Verkeer van on-premises gaat via hetzelfde gegevenspad in omgekeerde richting. U ziet dat geen van de routeservers zich in het gegevenspad bevindt.