Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Moderne toepassingen vereisen vaak implementatie in meerdere Azure-regio's om te voldoen aan hoge beschikbaarheid, herstel na noodgevallen en prestatievereisten. Azure Route Server maakt geavanceerde netwerkarchitecturen met meerdere regio's mogelijk die dynamische routeringsmogelijkheden bieden terwijl gecentraliseerd netwerkbeheer wordt gehandhaafd via virtuele netwerkapparaten (NVA's).
In dit artikel wordt uitgelegd hoe u topologieën voor meerdere regio's ontwerpt en implementeert met behulp van Azure Route Server, inclusief integratie met ExpressRoute en overwegingen voor het voorkomen van routeringslussen.
Belangrijke concepten
Netwerken met meerdere regio's met Azure Route Server hebben verschillende belangrijke concepten:
Dynamische routedoorgifte: Azure Route Server wisselt automatisch routeringsinformatie uit tussen regio's via Border Gateway Protocol (BGP), waardoor handmatig routetabelbeheer niet meer nodig is naarmate uw netwerktopologie zich ontwikkelt.
Gecentraliseerd netwerkbeheer: In tegenstelling tot directe peering van virtuele netwerken tussen regio's, zorgt Route Server ervoor dat verkeer via op hubs gebaseerde NVA's kan stromen, waarbij beveiligingsbeleid en netwerkzichtbaarheid tussen regio's behouden blijft.
Automatische aanpassing: De architectuur past zich automatisch aan topologiewijzigingen aan, zoals het toevoegen van nieuwe spoke-netwerken of het wijzigen van connectiviteit, zonder handmatige tussenkomst.
Overzicht van architectuur
De architectuur voor meerdere regio's maakt gebruik van een hub-and-spoke-topologie in elke regio, verbonden via wereldwijde peering van virtuele netwerken en gecoördineerd door Azure Route Server-exemplaren:
Kernonderdelen
De architectuur voor meerdere regio's bestaat uit verschillende belangrijke onderdelen die samenwerken om dynamische routeringsmogelijkheden te bieden. Elke regio bevat een virtueel hubnetwerk dat als host fungeert voor zowel Azure Route Server als virtuele netwerkapparaten (NVA's) om routeringsbeslissingen te beheren. Toepassingsworkloads worden geïmplementeerd in virtuele spoke-netwerken binnen elke regio, waarbij de scheiding tussen netwerkinfrastructuur en toepassingen wordt gehandhaafd. Virtuele hubnetwerken zijn verbonden tussen regio's met behulp van wereldwijde peering voor virtuele netwerken om communicatie tussen regio's mogelijk te maken. Netwerkapparaten communiceren tussen regio's met behulp van beveiligde tunnels om routeringsgegevenssynchronisatie te behouden.
Verkeersafwikkeling
De verkeersstroom volgt een gestructureerd patroon dat zorgt voor efficiënte routering in de topologie voor meerdere regio's. Route Server leert routes van zowel lokale spoke-netwerken als NVA's binnen de regio om een uitgebreide routeringstabel te maken. NVA's zorgen voor beveiligde tunnels tussen regio's om routeringsinformatie te delen en connectiviteit tussen regio's mogelijk te maken. Elke routeserver stuurt de geleerde routes door naar lokale spoke-netwerken, zodat workloads bestemmingen in externe regio's kunnen bereiken. Wanneer topologiewijzigingen optreden, zoals het toevoegen van nieuwe spoke-netwerken of het wijzigen van connectiviteit, activeert de architectuur automatisch route-updates in alle regio's zonder handmatige tussenkomst.
Configuratievereisten
Als u deze architectuur wilt implementeren, configureert u de volgende onderdelen:
Peering-instellingen voor virtuele netwerken
Schakel de instelling Gebruik maken van gateway of routeserver van extern virtueel netwerk in wanneer er peering is van spoke-netwerken naar hubnetwerken. Met deze configuratie kunt u het volgende doen:
- Route Server om spoke-netwerkprefixen aan NVAs te announceren
- Geleerde routes die moeten worden geïnjecteerd in spoke-netwerkroutetabellen
- Dynamische routepropagatie in de hele topologie
Configuratie van NVA-tunnel
Veilige communicatie tussen NVA's tot stand brengen met behulp van inkapselingstechnologieën:
- IPsec-tunnels: versleutelde communicatie tussen regionale NVA's bieden
- VXLAN-overlays: Laag 2-extensie inschakelen tussen regio's
BGP AS-padbewerking
NVAs configureren om BGP AS-paden aan te passen ter voorkoming van routeringslussen.
Belangrijk
NVA’s moeten het autonome systeemnummer (ASN) 65515 verwijderen uit het AS-pad bij het adverteren van routes geleerd uit afgelegen regio's. Dit proces, ook wel 'AS-override' of 'AS-path rewrite' genoemd, voorkomt dat BGP-luspreventiemechanismen route learning blokkeren. Zonder deze configuratie leert routeserver geen routes die een eigen ASN (65515) bevatten.
Veelgebruikte AS-padtechnieken
AS-pad bijvoegen - Maakt paden langer om routeringsbeslissingen te beïnvloeden.
# Example for Cisco NVA
route-map PREPEND-AS permit 10
set as-path prepend 65001 65001
AS-padfiltering - Blokkeert routes met specifieke AS-paden:
# Filter specific AS paths
ip as-path access-list 1 deny _65002_
route-map FILTER-AS permit 10
match as-path 1
Overwegingen voor hoge beschikbaarheid
Voor tolerante connectiviteit met meerdere regio's:
- Meerdere NVA's: meerdere NVA's implementeren in elke regio (Route Server ondersteunt maximaal acht BGP-peers)
- AS-path prepending: Gebruik AS-path prepending om actieve en stand-by NVA-relaties tot stand te brengen
- Redundante tunnels: meerdere tunnelverbindingen tussen regio's configureren voor failover
ExpressRoute-integratie
Architecturen voor routeserver voor meerdere regio's kunnen worden geïntegreerd met ExpressRoute-circuits om de connectiviteit met on-premises netwerken uit te breiden:
Voordelen van ExpressRoute-integratie
- Vereenvoudigde routering: on-premises voorvoegsels worden alleen in Azure weergegeven via NVA-advertenties
- Gecentraliseerd beheer: alle verkeersstromen via hub-NVA's voor consistente beleidsafdwinging
- Overlay-optimalisatie: ExpressRoute-circuit ondersteunt overlaynetwerken tussen NVA's
Ontwerpoverwegingen
- Routeadvertentie: NVA's configureren om on-premises routes te adverteren in plaats van alleen te vertrouwen op ExpressRoute-gateway
- Bandbreedteplanning: Zorg ervoor dat ExpressRoute-circuits verkeersbelastingen tussen regio's kunnen verwerken
- Redundantie: Overweeg meerdere ExpressRoute-circuits voor hoge beschikbaarheid
Alternatief ontwerp zonder overlaynetwerken
Hoewel overlay-tunnels de aanbevolen methode zijn, kunt u connectiviteit met meerdere regio's implementeren zonder tunnels met behulp van door de gebruiker gedefinieerde routes (UDR's):
Waarom tunnels worden aanbevolen
Overlay-tunnels bieden essentiële bescherming tegen routeringslussen in architecturen voor meerdere regio's. Zonder overlay-tunnels kunnen routeringslussen optreden wanneer een NVA in regio 1 prefixen van regio 2 leert en deze bij de lokale routeserver adverteert. De routeserver programmeert deze routes vervolgens in alle subnetten regio 1 met de NVA als de volgende hop. Wanneer de NVA verkeer naar regio 2 probeert te verzenden, wijst zijn eigen subnetroutes terug naar zichzelf, waardoor een routeringslus wordt gemaakt die een geslaagde communicatie tussen regio's voorkomt. Overlay-tunnels lossen dit probleem op door een logische scheiding te maken tussen het onderliggende netwerk (gebruikt voor tunnelinrichting) en het overlaynetwerk (gebruikt voor toepassingsverkeer), zodat verkeer correct kan stromen tussen regio's zonder lussen te maken.
Alternatief op basis van UDR
Als overlay-tunnels niet haalbaar zijn in uw omgeving, kunt u een alternatieve benadering implementeren met behulp van door de gebruiker gedefinieerde routes (UDR's). Deze methode vereist het uitschakelen van BGP-routedoorgifte in de NVA-subnetten om automatische route learning te voorkomen die conflicten kunnen veroorzaken. Vervolgens moet u statische routes configureren door UDR's te maken die expliciet verkeer tussen regio's door de juiste netwerkpaden leiden. Hoewel deze aanpak kan werken, moet u de operationele overhead accepteren om deze statische routes handmatig te onderhouden wanneer uw netwerktopologie na verloop van tijd verandert.
Trade-offs
| Methode | Advantages | Disadvantages |
|---|---|---|
| Overlay-tunnels | Dynamische routering, automatische aanpassing, beveiliging | Meer configuratiecomplexiteit |
| Op basis van UDR | Eenvoudigere eerste installatie | Handmatig routebeheer, beperkte schaalbaarheid |
Volgende stappen
Verken deze resources om uw routeserverarchitectuur voor meerdere regio's te implementeren en te optimaliseren: