關於使用 Azure 路由伺服器的雙重主網路
在一般中樞和輪輻結構中,應用程式工作負載會部署在輪輻虛擬網路 (VNet) 中。 這些輪輻會與單一中樞 VNet 對等互連,其中包含共用的網路資源,例如 VPN 和 ExpressRoute 閘道。 在某些情況下,可能需要將輪輻對等互連至多個中樞 VNet,例如,如果基於任何原因需要多個 VPN 或 ExpressRoute 閘道時。 Azure 路由伺服器會啟用此結構,讓輪輻 VNet 中的工作負載可以透過的其中一個連線的中樞 VNet 進行通訊。
了解如何設定
如下圖所示,您需要:
- 在每個中樞虛擬網路和輪輻虛擬網路的路由伺服器中部署網路虛擬設備 (NVA)。
- 啟用中樞與輪輻虛擬網路之間的 VNet 對等互連。
- 設定路由伺服器與每個部署 NVA 之間的 BGP 對等互連。
如何運作?
在控制平面中,NVA 和路由伺服器會交換路由,就像它們是部署在相同的虛擬網路中一樣。 NVA 將學習來自路由伺服器的輪輻 VNet 位址。 路由伺服器將學習來自每個 NVA 的路由。 然後,路由伺服器將使用學到的路由,透過程式設計輪輻 VNet 中的所有虛擬機器。
在資料平面中,輪輻 VNet 中的虛擬機器會將中樞內的安全 NVA 或 VPN NVA 視為下一個躍點。 以網際網路繫結流量或混合式跨單位流量為目的地的流量,現在將透過中樞 VNet 中的 NVA 路由傳送。 您可以將這兩個中樞設定為主動/主動或主動/被動。 當使用中的中樞失敗時,以虛擬機器為來源和目的地的流量都將容錯移轉至另一個中樞。 這些失敗包括但不限於:NVA 失敗或服務連線失敗。 此設定可確保您的網路已設定高可用性。
整合 ExpressRoute
您可以建置包含兩個或多個 ExpressRoute 連線的雙重主網路。 除了上述步驟之外,您還需要:
- 在每個中樞 VNet 中建立具有 ExpressRoute 閘道的路由伺服器。
- 在中樞 VNet 中的 NVA 與路由伺服器之間設定 BGP 對等互連。
- 在中樞 VNet 中的 ExpressRoute 閘道和路由伺服器之間啟用路由交換。
- 請確定輪輻虛擬網路 VNet 對等互連設定中的 [使用遠端閘道] 或 [遠端路由伺服器] 已停用。
如何運作?
在控制平面中,中樞 VNet 中的 NVA 會透過與中樞的路由伺服器進行路由交換,學習來自 ExpressRoute 閘道的內部部署路由。 反之,NVA 會使用相同的路由伺服器,將輪輻 VNet 位址傳送至 ExpressRoute 閘道。 然後,輪輻和中樞 VNet 中的路由伺服器會將內部部署網路位址透過程式設計為其個別虛擬網路中的虛擬機器。
重要
BGP 會藉由驗證 AS 路徑中的 AS 編號來防止迴圈。 如果接收路由伺服器在所接收 BGP 封包的 AS 路徑中看到自己的 AS 編號,則會卸除封包。 在此範例中,這兩個路由伺服器都有相同的 AS 編號 65515。 若要防止每個路由伺服器卸除來自其他路由伺服器的路由,NVA 必須在與每個路由伺服器對等互連時套用 as-override BGP 原則。
在資料平面中,輪輻 VNet 中的虛擬機器會先將目的地為內部部署網路的所有流量傳送至中樞 VNet 中的 NVA。 然後 NVA 會透過 ExpressRoute 將流量轉送至內部部署網路。 來自內部部署的流量會以反方向周遊相同的資料路徑。 您會注意到資料路徑中沒有任何路由伺服器。