Aktualizowanie tabel tras przy użyciu usługi Azure Route Server

W tym artykule przedstawiono rozwiązanie do zarządzania routingiem dynamicznym między urządzeniami WUS i sieciami wirtualnymi. Podstawowym elementem rozwiązania jest usługa Azure Route Server. Ta usługa upraszcza konfigurację, konserwację i wdrażanie urządzeń WUS w sieci wirtualnej. W przypadku korzystania z serwera Route Server nie trzeba już ręcznie aktualizować tabel tras urządzenia WUS po zmianie adresów sieci wirtualnej.

Architektura

Pobierz plik programu Visio z tą architekturą.

Przepływ pracy

• Ta architektura piasty i szprych ma sieć wirtualną piasty i jedną sieć wirtualną będącej szprychą. Sieć wirtualna piasty ma wiele podsieci, z których każda zawiera maszyny wirtualne.

• Przestrzeń adresowa każdej sieci wirtualnej definiuje zakresy adresów. Dla każdego z tych zakresów platforma Azure tworzy trasę z prefiksem adresu tego zakresu. Platforma Azure dodaje te trasy do tabel tras. Każda sieć wirtualna ma wiele podsieci, a każda podsieć ma kartę interfejsu sieciowego kontrolującą łączność. Platforma Azure wprowadza tabelę tras każdej sieci wirtualnej do kart sieciowych podsieci.

  Nie można utworzyć ani usunąć tych domyślnych tras systemowych. Można jednak wykonać następujące czynności:

  • Zastąpić niektóre trasy systemowe trasami niestandardowymi.
  • Skonfiguruj platformę Azure, aby dodać opcjonalne trasy domyślne do określonych podsieci.

• Sieci lokalne używają usługi Azure VPN Gateway i bramy usługi ExpressRoute do łączenia się z siecią wirtualną koncentratora w współistniejącej konfiguracji. Po dodaniu bramy sieci VPN trasy z bramą w miarę dodawania kolejnej trasy do tabel tras. Podczas dodawania usługi ExpressRoute tabele tras są również aktualizowane. Te trasy są propagowane do wszystkich podsieci.

• Protokół BGP (Border Gateway Protocol) umożliwia wymianę adresów IP między składnikami lokalnymi i składnikami platformy Azure. Ten protokół kieruje pakiety między systemami autonomicznymi. Takie systemy to małe sieci lub ogromne pule routerów uruchamianych przez jedną organizację.

• Komunikacja równorzędna sieci wirtualnych istnieje między siecią wirtualną piasty a siecią wirtualną będącej szprychą. Podczas tworzenia komunikacji równorzędnej platforma Azure aktualizuje tabelę tras. W szczególności platforma Azure dodaje trasę dla każdego zakresu adresów, który znajduje się w przestrzeni adresowej piasty lub przestrzeni adresowej szprychy. Te trasy są propagowane do wszystkich podsieci.

• Podsieć w sieci wirtualnej piasty używa punktu końcowego usługi dla usługi Azure Storage. Platforma Azure dodaje publiczny adres IP dla usługi Storage do tabeli tras tej podsieci.

• Sieć wirtualna koncentratora zawiera dwa urządzenia WUS. Urządzenia WUS mogą być bramami, zdefiniowanymi programowo sieciami rozległymi (SD-WAN) lub zaporami urządzeń zabezpieczających. Usługa Route Server wymienia urządzenia WUS, aplikację sieciową i trasy bramy przez:

  • Tworzenie wystąpienia usługi Azure Virtual Machine Scale Sets. Każda maszyna wirtualna w zestawie skalowania ma adres IP. Podobnie jak w przypadku adresów IP bramy usługa Route Server ma dostęp do adresów IP maszyny wirtualnej.
  • Ustanawianie elementów równorzędnych protokołu BGP między poszczególnymi urządzeniami WUS i maszyną wirtualną w zestawie skalowania.
  • Wstrzykiwanie adresów IP maszyny wirtualnej do wszystkich tabel tras w sieci wirtualnej i połączonych sieciach.

  Nie ma potrzeby:

  • Ręcznie dodaj trasy zdefiniowane przez użytkownika.
  • Ręcznie utwórz tabele tras.
  • Połącz tabele tras z podsiecią, aby propagować trasy.
  • Aktualizuj tabele tras, gdy zmieniają się adresy IP.

Składniki

• Usługa Route Server upraszcza routing dynamiczny między urządzeniami WUS obsługującymi protokół BGP i sieci wirtualne. Ta usługa eliminuje koszty administracyjne związane z utrzymywaniem tabel tras.

• Sieć wirtualna to podstawowy blok konstrukcyjny dla sieci prywatnych na platformie Azure. Zasoby platformy Azure, takie jak maszyny wirtualne, mogą bezpiecznie komunikować się ze sobą, z Internetem i sieciami lokalnymi za pośrednictwem sieci wirtualnej.

• Komunikacja równorzędna sieci wirtualnych łączy co najmniej dwie sieci wirtualne platformy Azure. Komunikacja równorzędna zapewnia połączenia o małych opóźnieniach i wysokiej przepustowości między zasobami w różnych sieciach wirtualnych. Ruch między maszynami wirtualnymi w równorzędnych sieciach wirtualnych używa tylko sieci prywatnej firmy Microsoft.

• Usługa VPN Gateway to określony typ bramy sieci wirtualnej. Za pomocą usługi VPN Gateway można wysyłać zaszyfrowany ruch:

  • Między siecią wirtualną platformy Azure a lokalizacją lokalną za pośrednictwem publicznego Internetu.
  • Między sieciami wirtualnymi platformy Azure za pośrednictwem sieci szkieletowej platformy Azure.

• Usługa ExpressRoute rozszerza sieci lokalne na chmurę firmy Microsoft. Za pomocą dostawcy łączności usługa ExpressRoute ustanawia prywatne połączenia ze składnikami chmury, takimi jak usługi platformy Azure i platforma Microsoft 365.

• Punkt końcowy usługi zapewnia bezpieczną i bezpośrednią łączność z usługą platformy Azure z prywatnych adresów IP w sieci wirtualnej. Punkt końcowy usługi zapewnia tożsamość sieci wirtualnej w usłudze platformy Azure. Dlatego zasoby sieci wirtualnej nie potrzebują publicznych adresów IP, aby uzyskać dostęp do usługi, a punkt końcowy chroni usługę, zezwalając tylko na ruch z określonej sieci wirtualnej. Połączenia korzystają ze zoptymalizowanych tras za pośrednictwem sieci szkieletowej platformy Azure.

• Urządzenie WUS to urządzenie wirtualne, które oferuje funkcje sieciowe, takie jak zabezpieczenia zapory i równoważenie obciążenia.

• Azure Storage to rozwiązanie magazynu w chmurze, które obejmuje obiekt, plik, dysk, kolejkę i magazyn tabel. Usługi obejmują hybrydowe rozwiązania magazynu i narzędzia do przesyłania, udostępniania i tworzenia kopii zapasowych danych.

Alternatywy

• W tym rozwiązaniu nie trzeba łączyć punktu końcowego usługi z usługą Storage. Zamiast tego możesz użyć innych usług platformy Azure. Aby uzyskać listę usług, które można zabezpieczyć za pomocą punktów końcowych usługi, zobacz Punkty końcowe usługi dla sieci wirtualnej.

• Zamiast używać usługi Route Server, możesz dodać trasy zdefiniowane przez użytkownika do tabeli tras każdej podsieci. Aby uzyskać więcej informacji na temat tras zdefiniowanych przez użytkownika, zobacz User-defined in Virtual network traffic routing (Routing ruchu w sieci wirtualnej).

Szczegóły scenariusza

Routing sieciowy to proces określania ścieżki, która przenosi ruch między sieciami w celu dotarcia do miejsca docelowego. Tabele tras zawierają listę informacji o topologii sieci, które są przydatne do określania ścieżek routingu.

Jeśli sieć wirtualna zawiera wirtualne urządzenie sieciowe (WUS), należy ręcznie skonfigurować i zaktualizować tabele tras.

W tym artykule przedstawiono rozwiązanie do zarządzania routingiem dynamicznym między urządzeniami WUS i sieciami wirtualnymi. Podstawowym elementem rozwiązania jest usługa Azure Route Server. Ta usługa upraszcza konfigurację, konserwację i wdrażanie urządzeń WUS w sieci wirtualnej. W przypadku korzystania z serwera Route Server nie trzeba już ręcznie aktualizować tabel tras urządzenia WUS po zmianie adresów sieci wirtualnej.

Potencjalne przypadki użycia

To rozwiązanie dotyczy scenariuszy, które:

• Używaj sieci dwu homed. Oprócz typowych topologii sieci piasty i szprych, serwer routera obsługuje również topologie sieci dwóch domów. Ten typ konfiguracji równorzędnie sieci wirtualnej będącej szprychą z co najmniej dwiema sieciami wirtualnymi piasty. Aby uzyskać szczegółowe informacje, zobacz About dual-homed network with Azure Route Server (Informacje o podwójnej sieci głównej za pomocą usługi Azure Route Server).
• Połączenie urządzenia WUS do usługi Azure ExpressRoute. Niektóre sieci wirtualne zawierają usługę Route Server, bramę usługi ExpressRoute i urządzenie WUS. Domyślnie usługa Route Server nie propaguje tras urządzenia WUS do usługi ExpressRoute. Usługa Route Server również nie propaguje tras usługi ExpressRoute do urządzenia WUS. Możesz uzyskać usługę ExpressRoute i urządzenie WUS do wymiany tras, włączając funkcję wymiany tras w usłudze Route Server. Aby uzyskać szczegółowe informacje, zobacz About Azure Route Server support for ExpressRoute and Azure VPN (Informacje o obsłudze usługi Azure Route Server dla usługi ExpressRoute i sieci VPN platformy Azure).
• Użyj platformy Azure, aby nawiązać połączenie z Internetem z systemu lokalnego. Organizacje, które nie mają dobrego dostępu do Internetu, mogą korzystać z tej konfiguracji. Systemy, które już zmigrowały internetowe serwery proxy na platformę Azure, to inne możliwości. Usługa Route Server umożliwia tę konfigurację.

Kwestie wymagające rozważenia

Podczas implementowania tego rozwiązania należy wziąć pod uwagę następujące kwestie:

• Usługa Route Server ustanawia połączenia i wymienia trasy. Nie przesyła pakietów danych. W związku z tym maszyny wirtualne uruchomione na zapleczu usługi Route Server nie wymagają znacznej mocy procesora CPU ani mocy obliczeniowej.

• Podczas wdrażania serwera Route Server utwórz podsieć o nazwie RouteServerSubnet , która używa maski podsieci IPv4 ./27 Umieść serwer route server w tej podsieci.

• W przypadku bram platformy Azure warstwa cenowa Podstawowa nie obsługuje współistniejących połączeń usługi ExpressRoute i usługi VPN Gateway. Aby uzyskać inne ograniczenia dotyczące współistniejących konfiguracji, zobacz Limity i ograniczenia.

• Nie ma limitu liczby punktów końcowych usługi, których można używać w sieci wirtualnej. Jednak niektóre usługi platformy Azure, takie jak Storage, wymuszają limity liczby podsieci, których można użyć do zabezpieczenia zasobu. Aby uzyskać więcej informacji, zobacz Następne kroki w temacie Punkty końcowe usługi sieci wirtualnej.

Podczas rozważania tego rozwiązania należy również pamiętać o punktach w poniższych sekcjach.

Dostępność

Route Server to w pełni zarządzana usługa, która oferuje wysoką dostępność. Aby uzyskać gwarancję dostępności tej usługi, zobacz Umowa SLA dla usługi Azure Route Server.

Skalowalność

Większość składników w tym rozwiązaniu to usługi zarządzane, które są automatycznie skalowane. Istnieje jednak kilka wyjątków:

• Usługa Route Server może anonsować co najwyżej 200 tras do usługi ExpressRoute lub bramy sieci VPN.
• Serwer Route Server może obsługiwać co najwyżej 2000 maszyn wirtualnych na sieć wirtualną, w tym równorzędne sieci wirtualne.

Zabezpieczenia

• Aby uzyskać wskazówki dotyczące poprawy bezpieczeństwa aplikacji i danych na platformie Azure, zobacz Omówienie testu porównawczego zabezpieczeń platformy Azure (wersja 1).
• Aby uzyskać wskazówki dotyczące testu porównawczego zabezpieczeń platformy Azure w wersji 1.0 specyficznej dla sieci wirtualnej, zobacz Punkt odniesienia zabezpieczeń platformy Azure dla sieci wirtualnej.

Odporność

To rozwiązanie używa tylko składników zarządzanych. Na poziomie regionalnym wszystkie te składniki są automatycznie odporne. Usługa Route Server oferuje wysoką dostępność. Podczas wdrażania usługi Route Server w regionie świadczenia usługi Azure, który obsługuje strefy dostępności, implementacja ma nadmiarowość na poziomie strefy. Aby uzyskać więcej informacji na temat stref dostępności, zobacz Regiony i strefy dostępności.

Optymalizacja kosztów

Aby oszacować koszt implementacji tego rozwiązania, zobacz kalkulator cen platformy Azure. Aby uzyskać ogólne informacje na temat ograniczania niepotrzebnych wydatków, zobacz Omówienie filaru optymalizacji kosztów.

W poniższych sekcjach omówiono informacje o cenach składników rozwiązania.

Serwer tras

Obecnie nie ma opłaty z góry ani za zakończenie dla usługi Route Server. Aby uzyskać informacje o cenach, zobacz Cennik usługi Azure Route Server.

Virtual Network

Możesz bezpłatnie korzystać z sieci wirtualnej. Za pomocą subskrypcji platformy Azure można utworzyć maksymalnie 50 sieci wirtualnych we wszystkich regionach. Ruch znajdujący się w granicach sieci wirtualnej jest bezpłatny. W związku z tym nie są naliczane opłaty za komunikację między dwiema maszynami wirtualnymi w tej samej sieci wirtualnej.

VPN Gateway

W przypadku korzystania z usługi VPN Gateway cały ruch przychodzący jest bezpłatny. Opłaty są naliczane tylko za ruch wychodzący. Koszty przepustowości internetowej mają zastosowanie z ruchem wychodzącym sieci VPN. Aby uzyskać więcej informacji, zobacz Cennik usługi VPN Gateway.

ExpressRoute

Transfery danych usługi ExpressRoute, które są przychodzące, są bezpłatne. W przypadku transferu danych wychodzących naliczana jest wstępnie określona stawka. Obowiązuje również stała miesięczna opłata za port. Aby uzyskać więcej informacji, zobacz Cennik usługi Azure ExpressRoute.

Punkty końcowe usługi

Za korzystanie z punktów końcowych usługi nie są naliczane opłaty.

Urządzenia WUS

Opłaty za urządzenia WUS są naliczane na podstawie używanego urządzenia. Opłaty są również naliczane za wdrożone maszyny wirtualne platformy Azure i używane zasoby infrastruktury, takie jak magazyn i sieć. Aby uzyskać więcej informacji, zobacz Cennik maszyn wirtualnych z systemem Linux.

Następne kroki

• Szybki start: tworzenie i konfigurowanie usługi Route Server przy użyciu witryny Azure Portal
• Informacje o obsłudze usługi Azure Route Server dla usługi ExpressRoute i sieci VPN platformy Azure
• Azure Route Server — często zadawane pytania
• Mapa drogowa platformy Azure
• Blog na temat sieci
• Umowa SLA dla usługi Azure Route Server
• Co to jest usługa Azure Route Server?

Powiązane zasoby

• Omówienie architektury usługi Azure Firewall
• Wybieranie między sieciami równorzędnymi sieci wirtualnych i bramami sieci VPN
• Rekomendacje do korzystania ze stref dostępności i regionów
• Wdrażanie urządzeń WUS o wysokiej dostępności
• Sieć o zerowym zaufaniu dla aplikacji internetowych za pomocą usługi Azure Firewall i usługi Application Gateway