Routetabellen bijwerken met behulp van Azure Route Server

Dit artikel bevat een oplossing voor het beheren van de dynamische routering tussen NVA's en virtuele netwerken. De kern van de oplossing is Azure Route Server. Deze service vereenvoudigt de configuratie, het onderhoud en de implementatie van NVA's in uw virtuele netwerk. Wanneer u RouteServer gebruikt, hoeft u NVA-routetabellen niet meer handmatig bij te werken wanneer de adressen van uw virtuele netwerk worden gewijzigd.

Architectuur

Een Visio-bestand van deze architectuur downloaden.

Workflow

• Deze hub-and-spoke-architectuur heeft een virtueel hubnetwerk en één spoke virtueel netwerk. Het virtuele hubnetwerk heeft meerdere subnetten, elk met virtuele machines (VM's).

• De adresruimte van elk virtueel netwerk definieert adresbereiken. Voor elk van deze bereiken maakt Azure een route met het adresvoorvoegsel van dat bereik. Azure voegt deze routes toe aan routetabellen. Elk virtueel netwerk heeft meerdere subnetten en elk subnet heeft een netwerkinterfacekaart (NIC) waarmee de connectiviteit wordt bepaald. Azure injecteert de routetabel van elk virtueel netwerk in de NIC's van de subnetten.

  U kunt deze standaardsysteemroutes niet maken of verwijderen. Maar u kunt het volgende doen:

  • Overschrijf enkele systeemroutes met aangepaste routes.
  • Configureer Azure om optionele standaardroutes toe te voegen aan specifieke subnetten.

• Lokale netwerken maken gebruik van Azure VPN Gateway en een ExpressRoute-gateway om verbinding te maken met het virtuele hubnetwerk in een co-existentieconfiguratie. Wanneer u de VPN-gateway toevoegt, worden routes met de gateway als de volgende route toegevoegd aan de routetabellen. Wanneer u ExpressRoute toevoegt, worden de routetabellen ook bijgewerkt. Deze routes worden doorgegeven aan alle subnetten.

• Het Border Gateway Protocol (BGP) maakt de uitwisseling van IP-adressen tussen on-premises en Azure-onderdelen mogelijk. Met dit protocol worden pakketten tussen autonome systemen doorgestuurd. Dergelijke systemen zijn kleine netwerken of enorme groepen routers die door één organisatie worden uitgevoerd.

• Er bestaat een peering van een virtueel netwerk tussen het virtuele hubnetwerk en het virtuele spoke-netwerk. Wanneer u de peering maakt, werkt Azure de routetabel bij. Azure voegt met name een route toe voor elk adresbereik dat zich in de hubadresruimte of de spoke-adresruimte bevindt. Deze routes worden doorgegeven aan alle subnetten.

• Een subnet in het virtuele hubnetwerk maakt gebruik van een service-eindpunt voor Azure Storage. Azure voegt een openbaar IP-adres voor Storage toe aan de routetabel van dat subnet.

• Het virtuele hubnetwerk bevat twee NVA's. De NVA's zijn mogelijk gateways, softwaregedefinieerde Wide Area Networks (SD-WAN's) of firewalls voor beveiligingsapparaten. Route Server wisselt de NVA-, netwerktoepassings- en gatewayroutes uit door:

  • Een exemplaar van Virtuele-machineschaalsets van Azure maken. Elke VM in de schaalset heeft een IP-adres. Net als bij IP-adressen van de gateway heeft Route Server toegang tot de IP-adressen van de VM.
  • BGP-peers tussen elke NVA en een VIRTUELE machine in de schaalset tot stand brengen.
  • Injecteer de IP-adressen van de VIRTUELE machine in alle routetabellen in het virtuele netwerk en verbonden netwerken.

  U hoeft het volgende niet te doen:

  • Handmatig door de gebruiker gedefinieerde routes toevoegen.
  • Handmatig routetabellen maken.
  • Koppel routetabellen aan het subnet om de routes door te geven.
  • Routetabellen bijwerken wanneer IP-adressen worden gewijzigd.

Onderdelen

• RouteServer vereenvoudigt dynamische routering tussen NVA's die BGP en virtuele netwerken ondersteunen. Deze service elimineert de administratieve overhead van het onderhouden van routetabellen.

• Virtual Network is de fundamentele bouwsteen voor privénetwerken in Azure. Azure-resources zoals VM's kunnen veilig communiceren met elkaar, internet en on-premises netwerken via Virtual Network.

• Peering van virtuele netwerken verbindt twee of meer virtuele Azure-netwerken. Peerings bieden verbindingen met lage latentie en hoge bandbreedte tussen resources in verschillende virtuele netwerken. Verkeer tussen VM's in gekoppelde virtuele netwerken maakt alleen gebruik van het privénetwerk van Microsoft.

• VPN Gateway is een specifiek type virtuele netwerkgateway. U kunt VPN Gateway gebruiken om versleuteld verkeer te verzenden:

  • Tussen een virtueel Azure-netwerk en een on-premises locatie via het openbare internet.
  • Tussen virtuele Azure-netwerken via het Backbone-netwerk van Azure.

• ExpressRoute breidt on-premises netwerken uit naar de Microsoft-cloud. Met behulp van een connectiviteitsprovider brengt ExpressRoute privéverbindingen tot stand met cloudonderdelen zoals Azure-services en Microsoft 365.

• Een service-eindpunt biedt een veilige en directe verbinding met een Azure-service vanaf privé-IP-adressen in een virtueel netwerk. Het service-eindpunt biedt de identiteit van het virtuele netwerk aan de Azure-service. De resources van het virtuele netwerk hebben dus geen openbare IP-adressen nodig voor toegang tot de service en het eindpunt beveiligt de service door alleen verkeer van het opgegeven virtuele netwerk toe te staan. De verbindingen maken gebruik van geoptimaliseerde routes via het Backbone-netwerk van Azure.

• Een NVA is een virtueel apparaat dat netwerkmogelijkheden biedt, zoals firewallbeveiliging en taakverdeling.

• Azure Storage is een cloudopslagoplossing die object-, bestands-, schijf-, wachtrij- en tabelopslag omvat. Services omvatten hybride opslagoplossingen en hulpprogramma's voor het overdragen, delen en maken van back-ups van gegevens.

Alternatieven

• In deze oplossing hoeft u het service-eindpunt niet te verbinden met Storage. U kunt in plaats daarvan andere Azure-services gebruiken. Zie Service-eindpunten van virtual network voor een lijst met services die u kunt beveiligen met service-eindpunten.

• In plaats van routeserver te gebruiken, kunt u door de gebruiker gedefinieerde routes toevoegen aan de routetabel van elk subnet. Zie Door de gebruiker gedefinieerde routes voor meer informatie over door de gebruiker gedefinieerde routes in routering van virtueel netwerkverkeer.

Scenariodetails

Netwerkroutering is het proces van het bepalen van het pad dat verkeer via netwerken neemt om een bestemming te bereiken. Routetabellen bevatten netwerktopologiegegevens die handig zijn voor het bepalen van routeringspaden.

Wanneer uw virtuele netwerk een virtueel netwerkapparaat (NVA) bevat, moet u uw routetabellen handmatig configureren en bijwerken.

Dit artikel bevat een oplossing voor het beheren van de dynamische routering tussen NVA's en virtuele netwerken. De kern van de oplossing is Azure Route Server. Deze service vereenvoudigt de configuratie, het onderhoud en de implementatie van NVA's in uw virtuele netwerk. Wanneer u RouteServer gebruikt, hoeft u NVA-routetabellen niet meer handmatig bij te werken wanneer de adressen van uw virtuele netwerk worden gewijzigd.

Potentiële gebruikscases

Deze oplossing is van toepassing op scenario's die:

• Gebruik dual-homed netwerken. Naast typische hub-and-spoke-netwerktopologieën ondersteunt Router Server ook dual-homed netwerktopologieën. Dit type configuratie peert een virtueel spoke-netwerk met twee of meer virtuele hubnetwerken. Zie Voor gedetailleerde informatie over een dual-homed netwerk met Azure Route Server.
• Verbinding maken NVA's naar Azure ExpressRoute. Sommige virtuele netwerken bevatten routeserver, een ExpressRoute-gateway en een NVA. Standaard worden de NVA-routes niet doorgegeven aan ExpressRoute. Routeserver geeft ook geen ExpressRoute-routes door naar de NVA. U kunt ExpressRoute en de NVA verkrijgen om routes uit te wisselen door de functionaliteit voor routeuitwisseling in te schakelen in Route Server. Zie Azure Route Server-ondersteuning voor ExpressRoute en Azure VPN voor gedetailleerde informatie.
• Gebruik Azure om verbinding te maken met internet vanuit een on-premises systeem. Organisaties die geen goede internettoegang hebben, kunnen deze configuratie gebruiken. Systemen die al internetproxy's naar Azure hebben gemigreerd, zijn andere mogelijkheden. RouteServer maakt deze installatie mogelijk.

Overwegingen

Houd rekening met deze punten bij het implementeren van deze oplossing:

• Routeserver brengt verbindingen tot stand en wisselt routes uit. Er worden geen gegevenspakketten overgedragen. Als gevolg hiervan hebben de VM's die routeserver in de back-end worden uitgevoerd, geen aanzienlijke CPU-kracht of rekenkracht nodig.

• Wanneer u Route Server implementeert, maakt u een subnet met de naam RouteServerSubnet dat gebruikmaakt van een IPv4-subnetmasker van /27. Plaats routeserver in dat subnet.

• In Azure-gateways biedt de prijscategorie Basic geen ondersteuning voor gelijktijdige ExpressRoute- en VPN Gateway-verbindingen. Zie Limieten en beperkingen voor andere beperkingen met naast elkaar bestaande configuraties.

• Er is geen limiet voor het aantal service-eindpunten dat u in een virtueel netwerk kunt gebruiken. Sommige Azure-services, zoals Storage, dwingen echter limieten af voor het aantal subnetten dat u kunt gebruiken om de resource te beveiligen. Zie De volgende stappen in service-eindpunten van virtual network voor meer informatie.

Houd bij het overwegen van deze oplossing ook rekening met de punten in de volgende secties.

Beschikbaarheid

Route Server is een volledig beheerde service die hoge beschikbaarheid biedt. Zie SLA voor Azure Route Server voor de beschikbaarheidsgarantie van deze service.

Schaalbaarheid

De meeste onderdelen in deze oplossing zijn beheerde services die automatisch worden geschaald. Er zijn echter enkele uitzonderingen:

• RouteServer kan maximaal 200 routes adverteren naar ExpressRoute of een VPN-gateway.
• Route Server kan maximaal 2000 VM's per virtueel netwerk ondersteunen, inclusief gekoppelde virtuele netwerken.

Beveiliging

• Zie Overzicht van de Azure Security Benchmark (v1) voor hulp bij het verbeteren van de beveiliging van uw toepassingen en gegevens in Azure.
• Zie de Azure-beveiligingsbasislijn voor Virtual Network voor hulp van Azure Security Benchmark versie 1.0 die specifiek is voor Virtual Network.

Tolerantie

Deze oplossing maakt alleen gebruik van beheerde onderdelen. Op regionaal niveau zijn al deze onderdelen automatisch tolerant. Route Server biedt hoge beschikbaarheid. Wanneer u routeserver implementeert in een Azure-regio die beschikbaarheidszones ondersteunt, heeft uw implementatie redundantie op zoneniveau. Zie Regio's en beschikbaarheidszones voor meer informatie over beschikbaarheidszones.

Kostenoptimalisatie

Als u de kosten voor het implementeren van deze oplossing wilt schatten, raadpleegt u de Azure-prijscalculator. Zie Overzicht van de pijler kostenoptimalisatie voor algemene informatie over het verminderen van onnodige uitgaven.

In de volgende secties worden prijsinformatie voor de onderdelen van de oplossing besproken.

Routeserver

Momenteel zijn er geen kosten vooraf of beëindigingskosten voor Route Server. Zie prijzen voor Azure Route Server voor informatie over prijzen.

Virtual Network

U kunt Virtual Network gratis gebruiken. Met een Azure-abonnement kunt u maximaal 50 virtuele netwerken maken in alle regio's. Verkeer dat zich binnen de grenzen van een virtueel netwerk bevindt, is gratis. Als gevolg hiervan worden er geen kosten in rekening gebracht voor communicatie tussen twee VM's in hetzelfde virtuele netwerk.

VPN Gateway

Wanneer u VPN Gateway gebruikt, is al het binnenkomende verkeer gratis. Er worden alleen kosten in rekening gebracht voor uitgaand verkeer. De kosten voor internetbandbreedte zijn van toepassing met uitgaand VPN-verkeer. Zie prijzen voor VPN Gateway voor meer informatie.

ExpressRoute

ExpressRoute-gegevensoverdrachten die binnenkomend zijn, zijn gratis. Voor uitgaande gegevensoverdracht wordt een vooraf bepaald tarief in rekening gebracht. Er gelden ook vaste maandelijkse poortkosten. Zie prijzen voor Azure ExpressRoute voor meer informatie.

Service-eindpunten

Er worden geen kosten in rekening gebracht voor het gebruik van service-eindpunten.

NVA's

NVA's worden in rekening gebracht op basis van het apparaat dat u gebruikt. Er worden ook kosten in rekening gebracht voor de Azure-VM's die u implementeert en de onderliggende infrastructuurresources die u gebruikt, zoals opslag en netwerken. Zie Prijzen voor virtuele Linux-machines voor meer informatie.

Volgende stappen

• Quickstart: Routeserver maken en configureren met behulp van Azure Portal
• Azure Route Server-ondersteuning voor ExpressRoute en Azure VPN
• Azure Route Server FAQ
• Azure-roadmap
• Netwerkblog
• SLA voor Azure Route Server
• Wat is Azure Route Server?

Verwante resources

• Overzicht van Azure Firewall-architectuur
• Kiezen tussen peering van virtuele netwerken en VPN-gateways
• Aanbevelingen voor het gebruik van beschikbaarheidszones en regio's
• NVA's met hoge beschikbaarheid implementeren
• Zero-trust-netwerk voor webtoepassingen met Azure Firewall en Application Gateway