Senaryo: Sanal hub ile BGP eşlemesi
Sanal hub yönlendiricisi olarak da adlandırılan Azure Sanal WAN hub yönlendiricisi, yol yöneticisi görevi görür ve sanal hub'lar içinde ve sanal hub'lar arasında yönlendirme işleminde basitleştirme sağlar. Başka bir deyişle, sanal hub yönlendiricisi aşağıdakileri yapar:
- VPN, ExpressRoute, P2S ve Ağ Sanal Gereçleri (NVA) gibi ağ geçitleriyle konuşan merkezi yönlendirme altyapısı olarak yönlendirme yönetimini basitleştirir.
- Özel rota tablolarının, ilişkilendirmenin ve yolların yayılmasının gelişmiş yönlendirme senaryolarını etkinleştirir.
- Bir sanal hub'a bağlı sanal ağlar arasında/sanal ağlara trafik geçişi için yönlendirici görevi görür.
Sanal merkez yönlendiricisi artık bununla eşleme ve böylelikle yönlendirme bilgileri alışverişini doğrudan Sınır Ağ Geçidi Protokolü (BGP) adlı yönlendirme protokolü üzerinden gerçekleştirme özelliğini de kullanıma sunar. Sanal merkeze bağlı bir sanal ağda sağlanan NVA veya BGP uç noktası, BGP yönlendirme protokolünü destekliyorsa doğrudan sanal merkez yönlendiricisiyle eşlenebilir ve NVA üzerinde ASN'nin sanal merkez ASN'sinden farklı olacak şekilde ayarlanmasını sağlar.
Avantajlar ve dikkat edilmesi gerekenler
Önemli avantajlar
- Artık sanal ağ adresleriniz her güncelleştirildiğinde NVA'nızdaki yönlendirme tablosunu el ile güncelleştirmeniz gerekmez.
- NVA'nız yeni yolları duyursa veya eski yolları geri çektiğinde artık kullanıcı tanımlı yolları el ile güncelleştirmeniz gerekmez.
- Bir sanal hub'a bağlı sanal ağlardaki NVA, sanal hub ağ geçidi (VPN, ExpressRoute veya Yönetilen NVA) yollarını öğrenebilir.
- Bir sanal hub yönlendiricisi ile NVA'nızın birden çok örneğini eşleyebilirsiniz. NVA'nızda BGP özniteliklerini yapılandırabilir ve tasarımınıza bağlı olarak (etkin-etkin veya etkin-pasif), sanal hub yönlendiricisine hangi NVA örneğinin etkin veya pasif olduğunu bildirin.
Dikkat edilmesi gerekenler
Sanal ağda sağlanan Azure Route Server ile bir sanal hub yönlendiricisini eşleyemezsiniz.
Sanal hub yönlendiricisi yalnızca 16 bit (2 bayt) ASN'yi destekler.
NVA BGP bağlantı uç noktası olan sanal ağ bağlantısı her zaman ilişkilendirilmeli ve defaultRouteTable'a yayılmalıdır. Özel rota tabloları şu anda desteklenmiyor.
Sanal hub yönlendiricisi, sanal hub'lara bağlı sanal ağlar arasında geçiş bağlantısını destekler. Bunun BGP eşleme özelliği için bu özellikle hiçbir ilgisi yoktur, Sanal WAN aktarım bağlantısını zaten desteklemektedir. Örnekler:
- VNET1: Sanal Hub 1'e bağlı NVA1 -> (aktarım bağlantısı) -> VNET2: Sanal Hub 1'e bağlı NVA2.
- VNET1: Sanal Hub 1'e bağlı NVA1 -> (aktarım bağlantısı) -> VNET2: Sanal Hub 2'ye bağlı NVA2.
Ağ sanal gerecinizde kendi genel ASN'lerinizi veya özel ASN'lerinizi kullanabilirsiniz. Azure veya IANA tarafından ayrılmış aralıkları kullanamazsınız. Aşağıdaki ASN'ler Azure veya IANA tarafından ayrılmıştır:
- Azure tarafından ayrılmış ASN'ler:
- Genel ASN’ler: 8074, 8075, 12076
- Özel ASN’ler: 65515, 65517, 65518, 65519, 65520
- IANA tarafından ayrılmış ASN'ler: 23456, 64496-64511, 65535-65551
- Azure tarafından ayrılmış ASN'ler:
Sanal hub yönlendiricisi BGP yollarını NVA'nızla değiştirir ve bunları sanal ağınıza yayarak sanal hub'da barındırılan ağ geçitleri (VPN ağ geçidi/ExpressRoute ağ geçidi/Yönetilen NVA ağ geçitleri) aracılığıyla şirket içinden yolların yayılmasını doğrudan kolaylaştırır.
BGP eşlemesi yalnızca NVA arabirimine atanmış bir IP adresiyle desteklenir. Geri döngülerle eşleme desteklenmez.
Sanal hub yönlendiricisi aşağıdaki sınırlara sahiptir:
Kaynak Sınır Her BGP eşlerinin sanal hub'a tanıtabileceği yol sayısı. Merkez, bağlı kaynaklarından yalnızca en fazla 10.000 yol (toplam) kabul edebilir. Örneğin, bir sanal hub'ın bağlı sanal ağlardan, dallardan, sanal hub'lardan toplam 6000 yolu varsa, NVA ile yeni bir BGP eşlemesi yapılandırıldığında, NVA en fazla 4000 yol tanıtabilir. BGP eşlerinin sayısı Tek bir Sanal WAN Hub'ına en fazla 8 BGP eşleri bağlanabilir BGP aracılığıyla sanal hub'a tanıtıldığında, sanal ağdaki NVA'dan gelen ve sanal ağ adres alanından daha özel olan yollar şirket içinde daha fazla yayılmaz.
Şu anda NVA'dan sanal hub'a yalnızca 4.000 yolu destekliyoruz.
Doğrudan sanal hub'a bağlı sanal ağdaki adresleri hedefleyen trafik, merkez ile NVA arasında BGP eşlemesi kullanılarak NVA üzerinden yönlendirilecek şekilde yapılandırılamaz. Bunun nedeni, uç sanal ağ bağlantısı oluşturulduğunda sanal hub'ın uç sanal ağındaki adreslerle ilişkili sistem yollarını otomatik olarak öğrenmesidir. Otomatik olarak öğrenilen bu sistem yolları, BGP aracılığıyla hub tarafından öğrenilen yollar yerine tercih edilir.
Yönlendirme Amacı hub'da yapılandırıldıysa, uç sanal ağındaki bir NVA ile güvenli bir sanal hub (tümleşik güvenlik çözümüne sahip merkez) arasında BGP eşlemesi desteklenir. YÖNLENDIRME amacının yapılandırılmadığı güvenli sanal hub'lar için BGP eşleme özelliği desteklenmez.
NVA'nın VPN ve ER bağlantılı sitelerle yolları değiştirebilmesi için daldan dala yönlendirmenin açık olması gerekir.
Hub ile BGP eşlemesini yapılandırırken iki IP adresi görürsünüz. Bu iki adresle de eşleme gereklidir. Her iki adresle de eşleme yapılmaması yönlendirme sorunlarına neden olabilir. Aynı yolların bu adreslerin her ikisine de tanıtılması gerekir. Farklı yolların tanıtilmesi yönlendirme sorunlarına neden olur.
NVA'dan sanal HUB yol sunucusuna tanıtılan yollardaki sonraki atlama IP adresi, BGP eşinde yapılandırılan IP adresi olan NVA'nın IP adresiyle aynı olmalıdır. Sonraki atlama olarak tanıtılan farklı bir IP adresinin olması şu anda sanal WAN'da destekLENMEDİ.
BGP eşleme senaryoları
Bu bölümde, yönlendirmeyi yapılandırmak için BGP eşleme özelliğinin kullanabildiği senaryolar açıklanmaktadır.
Transit sanal ağ bağlantısı
Bu senaryoda, "Hub 1" adlı sanal hub birkaç sanal ağa bağlanır. Amaç sanal ağlar VNET1 ile VNET5 arasında yönlendirme oluşturmaktır.
BGP eşlemesi olmadan yapılandırma adımları
Sanal hub'da BGP eşlemesi kullanılmadığında aşağıdaki adımlar gereklidir:
Sanal hub yapılandırması
- Hub 1'in varsayılanRouteTable'ında, VNET2 bağlantısına işaret eden VNET5 (alt ağ 10.2.1.0/24) için statik yolu yapılandırın.
- Hub 1'in VNET2 için sanal ağ bağlantısında, VNET2 NVA IP'sine (alt ağ 10.2.0.5) işaret eden VNET5 için statik yolu yapılandırın.
- Hub 1'de, VNET1 ve VNET2 bağlantılarından yolları defaultRouteTable'a yayın ve bunları defaultRouteTable ile ilişkilendirin.
Sanal ağ yapılandırması
- VNET5'te, VNET2 NVA IP'sini işaret etmek için kullanıcı tanımlı bir yol (UDR) ayarlayın.
BGP eşlemesi ile yapılandırma adımları
Önceki yapılandırmada, VNET5 yapılandırması sık sık değişirse statik yolların ve UDR'nin bakımı karmaşık hale gelebilir. Bu sınamayı gidermek için sanal hub özelliğine sahip BGP eşlemesi kullanılabilir ve yönlendirme yapılandırması aşağıdaki adımlarla değiştirilmelidir:
Sanal hub yapılandırması
- Hub 1'de VNET2 NVA'yı BGP eş olarak yapılandırın. Ayrıca VNET2 NVA'yı Hub 1 ile BGP eşlemesi olacak şekilde yapılandırın.
- Hub 1'de, VNET1 ve VNET2 bağlantılarından yolları defaultRouteTable'a yayın ve bunları defaultRouteTable ile ilişkilendirin.
Sanal ağ yapılandırması
- VNET5'te, VNET2 NVA IP'sini işaret etmek için kullanıcı tanımlı bir yol (UDR) ayarlayın.
Etkili yollar
Aşağıdaki tabloda, Hub 1'in defaultRouteTable'daki geçerli yollarından birkaç girdi gösterilmektedir. VNET5 (alt ağ 10.2.1.0/24) yolunun ve bu, VNET1 ve VNET5'in birbirleriyle iletişim kurabileceklerini onaylar.
| Hedef ön eki | Sonraki atlama | Kaynak | ASN yolu |
|---|---|---|---|
| 10.2.0.0/24 | eastusconn | Sanal ağ bağlantı kimliği | - |
| 10.2.1.0/24 | NVA için BGP eş bağlantı kimliği | NVA için BGP eş bağlantı kimliği | 65510 |
| 10.4.1.0/24 | Hub 2 | Hub 2 | - |
Özelliği kullanarak yönlendirmeyi bu şekilde yapılandırmak, sanal hub'da statik yol girişleri gereksinimini ortadan kaldırır. Bu nedenle, yapılandırma daha basittir ve bağlı sanal ağlardaki (VNET5 gibi) yapılandırma değiştiğinde yönlendirme tabloları dinamik olarak güncelleştirilir.
Dal sanal ağ bağlantısı
Bu senaryoda, "NVA Branch 1" adlı şirket içi sitede VNET2 NVA'da sonlandıracak şekilde yapılandırılmış bir VPN vardır. Amaç, NVA Branch 1 ile sanal ağ VNET1 arasında yönlendirmeyi yapılandırmaktır.
BGP eşlemesi olmadan yapılandırma adımları
Sanal hub'da BGP eşlemesi kullanılmadığında aşağıdaki adımlar gereklidir:
Sanal hub yapılandırması
- Hub 1'in varsayılanRouteTable'ında, VNET2 bağlantısına işaret eden NVA Branch 1 için statik yolu yapılandırın.
- Hub 1'in VNET2 için sanal ağ bağlantısında, NVA Branch 1 için VNET2 NVA IP'sine (10.2.0.5) işaret eden statik yolu yapılandırın.
- Hub 1'de, VNET1 ve VNET2 bağlantılarından yolları defaultRouteTable'a yayın ve bunları defaultRouteTable ile ilişkilendirin.
Sanal ağ yapılandırması
- VNET2 NVA ile NVA Branch 1 arasında BGP eşlemesi ve VNET2 NVA'dan NVA Branch 1'e VNET1 için tanıtımları yönlendirme.
BGP eşlemesi ile yapılandırma adımları
Zaman içinde, NVA Branch 1'deki hedef ön ekleri değişebilir veya NVA Branch 1 gibi VNET1 bağlantısı gereken birçok site olabilir. Bu, Hub 1 ve VNET2 bağlantısındaki statik yollarda güncelleştirmelerin gerekli olmasıyla sonuçlanır ve bu da zahmetli olabilir. Bu gibi durumlarda bgp eşlemesini bir sanal hub özelliğiyle kullanabiliriz ve yönlendirme bağlantısı için yapılandırma adımları aşağıda belirtildiği gibi olacaktır.
Sanal hub yapılandırması
- Hub 1'de VNET2 NVA'yı BGP eş olarak yapılandırın. Ayrıca VNET2 NVA'yı Hub 1 ile BGP eşlemesi olacak şekilde yapılandırın.
- Hub 1'de, VNET1 ve VNET2 bağlantılarından yolları defaultRouteTable'a yayın ve bunları defaultRouteTable ile ilişkilendirin.
Sanal ağ yapılandırması
- VNET2 NVA ile NVA Branch 1 arasında BGP eşlemesi ve VNET2 NVA'dan NVA Branch 1'e VNET1 için tanıtımları yönlendirme.
Etkili yollar
Aşağıdaki tabloda, Hub 1'in defaultRouteTable'daki geçerli yollarından birkaç giriş gösterilmektedir. NVA Branch 1 (alt ağ 192.168.1.0/24) yolunun, NVA ile BGP eşlemesi üzerinden öğrenildiğini fark edin.
| Hedef ön eki | Sonraki atlama | Kaynak | ASN yolu |
|---|---|---|---|
| 10.2.0.0/24 | eastusconn | Sanal ağ bağlantı kimliği | - |
| 192.168.1.0/24 | NVA için BGP eş bağlantı kimliği | NVA için BGP eş bağlantı kimliği | 65510 |
NVA Branch 1'deki ağ değişikliklerini yönetmek veya NVA Branch 1 gibi yeni siteler arasında bağlantı kurmak için, Hub 1 ile NVA arasındaki BGP eşlemesi yol tablolarını dinamik olarak güncelleştireceği için Hub 1'de ek yapılandırma gerekmez. Bu nedenle yapılandırma ve bakım basitleştirilmiştir.
Sonraki adımlar
- Sanal hub ile BGP eşlemesini yapılandırın.