Обновление таблиц маршрутов с помощью Azure Route Server

В этой статье представлено решение для управления динамической маршрутизацией между виртуальными сетями и виртуальными сетями. В основе решения лежит сервер маршрутизации Azure. Эта служба упрощает настройку, обслуживание и развертывание виртуальных сетей в виртуальной сети. При использовании сервера маршрутизации больше не требуется вручную обновлять таблицы маршрутов NVA при изменении адресов виртуальной сети.

Архитектура

Скачайте файл Visio для этой архитектуры.

Рабочий процесс

• В этой архитектуре концентратора и периферийной сети есть виртуальная сеть концентратора и одна периферийная виртуальная сеть. Виртуальная сеть концентратора содержит несколько подсетей, каждая из которых содержит виртуальные машины.

• Адресное пространство каждой виртуальной сети определяет диапазоны адресов. Для каждого из этих диапазонов Azure создает маршрут с префиксом адреса этого диапазона. Azure добавляет эти маршруты в таблицы маршрутизации. Каждая виртуальная сеть имеет несколько подсетей, и каждая подсеть имеет сетевой интерфейс карта (сетевой адаптер), который управляет подключением. Azure внедряет таблицу маршрутов каждой виртуальной сети в сетевые карты подсетей.

  Вы не можете создать или удалить эти системные маршруты по умолчанию. Но вы можете сделать следующее:

  • Переопределите некоторые системные маршруты с помощью пользовательских маршрутов.
  • Настройте Azure для добавления необязательных маршрутов по умолчанию в определенные подсети.

• Локальные сети используют Azure VPN-шлюз и шлюз ExpressRoute для подключения к центральной виртуальной сети в сосуществующей конфигурации. При добавлении VPN-шлюза маршруты с шлюзом в качестве следующего маршрута добавляются в таблицы маршрутов. При добавлении ExpressRoute таблицы маршрутов также обновляются. Эти маршруты распространяются на все подсети.

• Протокол BGP позволяет обмениваться IP-адресами между локальными и компонентами Azure. Этот протокол направляет пакеты между автономными системами. Такие системы представляют собой небольшие сети или огромные пулы маршрутизаторов, работающих в одной организации.

• Пиринг между центральной виртуальной сетью и периферийной виртуальной сетью существует. При создании пиринга Azure обновляет таблицу маршрутов. В частности, Azure добавляет маршрут для каждого диапазона адресов, который находится в адресном пространстве концентратора или в адресном пространстве. Эти маршруты распространяются на все подсети.

• Подсеть в виртуальной сети концентратора использует конечную точку службы для служба хранилища Azure. Azure добавляет общедоступный IP-адрес для служба хранилища в таблицу маршрутов этой подсети.

• Виртуальная сеть концентратора содержит два NVA. NVA могут быть шлюзами, программно-определенными широкомерными сетями (SD-WAN) или брандмауэрами безопасности (модуль). Сервер маршрутизации обменивается NVA, сетевым приложением и маршрутами шлюза следующим образом:

  • Создание экземпляра Azure Масштабируемые наборы виртуальных машин. Каждая виртуальная машина в масштабируемом наборе имеет IP-адрес. Как и в случае с IP-адресами шлюза, сервер маршрутизации имеет доступ к IP-адресам виртуальной машины.
  • Установка одноранговых узлов BGP между каждым NVA и виртуальной машиной в масштабируемом наборе.
  • Внедрение IP-адресов виртуальной машины во все таблицы маршрутов в виртуальной сети и подключенных сетях.

  Нет необходимости:

  • Вручную добавьте определяемые пользователем маршруты.
  • Вручную создайте таблицы маршрутов.
  • Связывание таблиц маршрутов с подсетью для распространения маршрутов.
  • Обновите таблицы маршрутов при изменении IP-адресов.

Компоненты

• Сервер маршрутизации упрощает динамическую маршрутизацию между виртуальными сетями, поддерживающими BGP и виртуальные сети. Эта служба устраняет административные издержки на обслуживание таблиц маршрутов.

• Виртуальная сеть — стандартный блок для частных сетей в Azure. Ресурсы Azure, такие как виртуальные машины, могут безопасно взаимодействовать друг с другом, Интернетом и локальными сетями через виртуальная сеть.

• Пиринг между виртуальными сетями подключает две или несколько виртуальных сетей Azure. Пиринги обеспечивают низкой задержки, подключения с высокой пропускной способностью между ресурсами в разных виртуальных сетях. Трафик между виртуальными машинами в одноранговых виртуальных сетях использует только частную сеть Майкрософт.

• VPN-шлюз — это определенный тип шлюза виртуальной сети. Вы можете использовать VPN-шлюз для отправки зашифрованного трафика:

  • Между виртуальной сетью Azure и локальным расположением через общедоступный Интернет.
  • Между виртуальными сетями Azure через магистральную сеть Azure.

• ExpressRoute позволяет подключить локальные сети к Microsoft Cloud. С помощью поставщика услуг подключения служба ExpressRoute устанавливает частные подключения к таким облачным компонентам, как службы Azure и Microsoft 365.

• Конечная точка службы обеспечивает безопасное и прямое подключение к службе Azure из частных IP-адресов в виртуальной сети. Конечная точка службы предоставляет удостоверение виртуальной сети службе Azure. Поэтому для доступа к службе не требуются общедоступные IP-адреса, а конечная точка защищает службу, разрешая только трафик из указанной виртуальной сети. Подключения используют оптимизированные маршруты через магистральную сеть Azure.

• NVA — это виртуальная (модуль), которая предлагает сетевые возможности, такие как безопасность брандмауэра и балансировка нагрузки.

• служба хранилища Azure — это облачное хранилище, включающее объект, файл, диск, очередь и хранилище таблиц. К службам относятся решения и средства гибридного хранилища для передачи, совместного использования и резервного копирования данных.

Альтернативные варианты

• В этом решении не нужно подключать конечную точку службы к служба хранилища. Вместо этого можно использовать другие службы Azure. Список служб, которые можно защитить с помощью конечных точек служб, см. в виртуальная сеть конечных точках службы.

• Вместо использования сервера маршрутизации можно добавить определяемые пользователем маршруты в таблицу маршрутов каждой подсети. Дополнительные сведения о определяемых пользователем маршрутах см. в разделе "Определяемые пользователем" в маршрутизации трафика виртуальной сети.

Подробности сценария

Маршрутизация сети — это процесс определения пути, который трафик принимает через сети для достижения назначения. Список таблиц маршрутов содержит сведения о топологии сети, полезные для определения путей маршрутизации.

Если виртуальная сеть содержит виртуальную (модуль) сети (NVA), необходимо вручную настроить и обновить таблицы маршрутов.

В этой статье представлено решение для управления динамической маршрутизацией между виртуальными сетями и виртуальными сетями. В основе решения лежит сервер маршрутизации Azure. Эта служба упрощает настройку, обслуживание и развертывание виртуальных сетей в виртуальной сети. При использовании сервера маршрутизации больше не требуется вручную обновлять таблицы маршрутов NVA при изменении адресов виртуальной сети.

Потенциальные варианты использования

Это решение применяется к сценариям, которые:

• Используйте двухдоменные сети. Помимо типичных топологий сетевых топологий концентраторов и периферийных узлов, сервер маршрутизатора также поддерживает топологии сети с двумя домами. Этот тип конфигурации пиринговой виртуальной сети с двумя или несколькими виртуальными сетями концентратора. Подробные сведения см. в статье "Сведения о двухдоменной сети с помощью сервера маршрутизации Azure".
• Подключение NVAs в Azure ExpressRoute. Некоторые виртуальные сети содержат сервер маршрутизации, шлюз ExpressRoute и NVA. По умолчанию сервер маршрутизации не распространяет маршруты NVA в ExpressRoute. Сервер маршрутизации также не распространяет маршруты ExpressRoute на NVA. Вы можете получить ExpressRoute и NVA для обмена маршрутами, включив функции обмена маршрутами на сервере маршрутов. Подробные сведения см. в статье о поддержке Сервера маршрутов Azure для ExpressRoute и VPN Azure.
• Используйте Azure для подключения к Интернету из локальной системы. Организации, которые не имеют хорошего доступа к Интернету, могут использовать эту конфигурацию. Системы, которые уже переносили прокси-серверы Интернета в Azure, являются другими возможностями. Сервер маршрутизации позволяет настроить эту настройку.

Рекомендации

При реализации этого решения следует учитывать следующие моменты:

• Сервер маршрутов устанавливает подключения и маршруты обмена. Он не передает пакеты данных. В результате виртуальные машины, которые сервер маршрутизации работает в серверной части, не требуют значительной мощности ЦП или вычислительной мощности.

• При развертывании сервера маршрутов создайте подсеть, которая RouteServerSubnet использует маску /27подсети IPv4. Поместите сервер маршрутизации в этой подсети.

• В шлюзах Azure ценовая категория "Базовый" не поддерживает совместное использование ExpressRoute и VPN-шлюз подключений. Другие ограничения с сосуществующими конфигурациями см. в разделе "Ограничения" и "Ограничения".

• Количество конечных точек службы, которые можно использовать в виртуальной сети, не ограничено. Но некоторые службы Azure, такие как служба хранилища, применяют ограничения на количество подсетей, которые можно использовать для защиты ресурса. Дополнительные сведения см. в разделе "Дальнейшие действия" в виртуальная сеть конечных точек службы.

При рассмотрении этого решения также следует учитывать моменты, описанные в следующих разделах.

Availability

Сервер маршрутизации — это полностью управляемая служба, которая обеспечивает высокий уровень доступности. Сведения о гарантии доступности этой службы см. в разделе об уровне обслуживания для сервера маршрутизации Azure.

Масштабируемость

Большинство компонентов в этом решении — это управляемые службы, которые автоматически масштабируются. Но есть несколько исключений:

• Сервер маршрутов может объявлять не более 200 маршрутов в ExpressRoute или VPN-шлюз.
• Сервер маршрутизации может поддерживать не более 2000 виртуальных машин на каждую виртуальную сеть, включая пиринговые виртуальные сети.

Безопасность

• Рекомендации по повышению безопасности приложений и данных в Azure см. в статье "Обзор Azure Security Benchmark(v1)".
• Руководство по Azure Security Benchmark версии 1.0, относящееся к виртуальная сеть, см. в базовых показателях безопасности Azure для виртуальная сеть.

Устойчивость

Это решение использует только управляемые компоненты. На региональном уровне все эти компоненты автоматически устойчивы. Сервер маршрутов обеспечивает высокий уровень доступности. При развертывании сервера маршрутизации в регионе Azure, поддерживающем зоны доступности, реализация имеет избыточность на уровне зоны. Дополнительные сведения о зонах доступности см. в разделе "Регионы и зоны доступности".

Оптимизация затрат

Сведения о стоимости реализации этого решения см. в калькуляторе цен Azure. Общие сведения о сокращении ненужных расходов см. в разделе "Общие сведения о принципе оптимизации затрат".

В следующих разделах рассматриваются сведения о ценах для компонентов решения.

Сервер маршрутизации

В настоящее время плата за маршрутизацию сервера не взимается заранее или не взимается. Сведения о ценах см. в разделе о ценах на Azure Route Server.

Виртуальная сеть

Вы можете использовать виртуальная сеть бесплатно. С помощью подписки Azure можно создавать до 50 виртуальных сетей во всех регионах. Трафик, который находится в границах виртуальной сети, свободен. В результате плата за обмен данными между двумя виртуальными машинами в одной виртуальной сети не взимается.

VPN-шлюз

При использовании VPN-шлюз весь входящий трафик свободен. Плата взимается только за исходящий трафик. Затраты на пропускную способность Интернета применяются к исходящему трафику VPN. Дополнительные сведения см. на странице цен на VPN-шлюз.

ExpressRoute

Передачи данных ExpressRoute, входящие бесплатно. Для передачи исходящих данных взимается предопределенная ставка. Также применяется фиксированная ежемесячная плата за порт. Дополнительные сведения см. в техническом обзоре ExpressRoute.

Конечные точки служб

Плата за использование конечных точек службы не взимается.

NVAs

NVAs взимается на основе используемого (модуль). Также взимается плата за развернутые виртуальные машины Azure и используемые базовые ресурсы инфраструктуры, такие как хранилище и сеть. Дополнительные сведения см. в разделе о ценах на Linux Виртуальные машины.

Следующие шаги

• Краткое руководство. Создание и настройка сервера маршрутизации с помощью портал Azure
• Сведения о поддержке сервера маршрутов Azure для ExpressRoute и VPN Azure
• Вопросы и ответы по Azure Route Server
• Схема дороги Azure
• Блог о сетях
• Соглашение об уровне обслуживания для сервера маршрутов Azure
• Что такое сервер маршрутизации Azure?

Связанные ресурсы

• Обзор архитектуры Брандмауэр Azure
• Выбор между пирингом виртуальной сети и VPN-шлюзами
• Рекомендации по использованию зон доступности и регионов
• Развертывание высокодоступных NVAs
• Сеть для веб-приложений с Брандмауэром Azure и Шлюзом приложений, действующая по принципу “Никому не доверяй”