Netwerken met meerdere regio's met Azure Route Server

  • Artikel

Toepassingen met veeleisende vereisten voor hoge beschikbaarheid of noodherstel moeten vaak worden geïmplementeerd in meer dan één Azure-regio. In dergelijke gevallen moeten virtuele spoke-netwerken (VNets) in verschillende regio's met elkaar communiceren. Een manier om deze communicatie mogelijk te maken, is door alle vereiste spoke-VNets aan elkaar te koppelen. Met deze benadering worden echter alle virtuele netwerkapparaten (NVA's) zoals firewalls in de hubs overgeslagen. Een alternatief is het gebruik van door de gebruiker gedefinieerde routes (UDR's) in de subnetten waar hub-NVA's worden geïmplementeerd, maar het onderhouden van UDR's kan lastig zijn. Azure Route Server biedt een dynamisch alternatief dat automatisch wordt aangepast aan wijzigingen in de topologie, zonder handmatige tussenkomst.

Topologie

In het volgende diagram ziet u een architectuur met twee regio's, waarbij een hub- en spoke-topologie in elke regio bestaat en de hub-VNets met elkaar worden gekoppeld via globale VNet-peering:

Diagram showing multi-region design with Azure Route Server.

De NVA in elke regio leert de voorvoegsels van de lokale hub en spoke-VNets via de Azure Route Server en deelt deze met de NVA in de andere regio met behulp van BGP. Om routeringslussen te voorkomen, is het van cruciaal belang om deze communicatie tussen de NVA's tot stand te brengen met behulp van een inkapselingstechnologie zoals IPsec of Virtual eXtensible LAN (VXLAN).

Om Azure Route Server in staat te stellen om de voorvoegsels van de spoke-VNets te adverteren naar de lokale NVA's en de geleerde routes weer in de spoke-VNets te injecteren, is het essentieel om de gateway of routeserverinstelling van extern virtueel netwerk te gebruiken voor peering tussen de spoke-VNets en het hub-VNet.

De NVA's adverteren de routes die ze leren van de externe regio naar hun lokale routeserver, waarmee deze routes vervolgens worden geconfigureerd in de lokale spoke-VNets, waardoor verkeer dienovereenkomstig wordt aangetrokken. In gevallen waarin meerdere NVA's in dezelfde regio aanwezig zijn (Route Server ondersteunt maximaal acht BGP-peers), kan AS-padvoorverlening worden gebruikt om een van de NVA's de voorkeur te geven boven de andere, waardoor een actieve/stand-by NVA-topologie wordt ingesteld.

Belangrijk

Om ervoor te zorgen dat de lokale routeserver de routes kan leren die door de NVA uit de externe regio worden geadverteerd, moet de NVA het autonome systeemnummer (ASN) 65515 verwijderen uit het AS-pad van de routes. Deze techniek wordt soms aangeduid als 'AS-override' of 'AS-path rewrite' in bepaalde BGP-platforms. Anders voorkomt het BGP-luspreventiemechanisme dat de lokale routeserver deze routes leert, omdat het leren van routes die al de lokale ASN bevatten, wordt verboden.

ExpressRoute

Het ontwerp voor meerdere regio's kan worden gecombineerd met ExpressRoute- of VPN-gateways. In het volgende diagram ziet u een topologie met inbegrip van een ExpressRoute-gateway die is verbonden met een on-premises netwerk in een van de Azure-regio's. In dit geval helpt een overlaynetwerk via het ExpressRoute-circuit het netwerk te vereenvoudigen, zodat on-premises voorvoegsels alleen worden weergegeven in Azure zoals aangekondigd door de NVA (en niet vanuit de ExpressRoute-gateway).

Diagram showing multi-region design with Route Server and ExpressRoute.

Ontwerpen zonder overlays

De tunnels tussen meerdere regio's tussen de NVA's zijn vereist, omdat anders een routeringslus wordt gevormd. Kijk bijvoorbeeld naar de NVA in regio 1:

  • De NVA in regio 1 leert de voorvoegsels van regio 2 en kondigt deze aan bij de routeserver in regio 1.
  • De routeserver in regio 1 injecteert routes voor deze voorvoegsels in alle subnetten in regio 1, met de NVA in regio 1 als de volgende hop.
  • Voor verkeer van regio 1 naar regio 2, wanneer de NVA in regio 1 verkeer naar de andere NVA verzendt, neemt het eigen subnet de routes over die zijn geprogrammeerd door de routeserver, die naar zichzelf verwijzen (de NVA). Het pakket wordt dus geretourneerd naar de NVA en er wordt een routeringslus weergegeven.

Als UDR's een optie zijn, kunt u BGP-routedoorgifte uitschakelen in de subnetten van de NVA's en statische UDR's configureren in plaats van een overlay, zodat Azure verkeer naar de externe spoke-VNets kan routeren.

Gerelateerde inhoud