案例:與虛擬中樞建立 BGP 對等互連
Azure 虛擬 WAN 中樞路由器也稱為虛擬中樞路由器,功能為路由管理員,且簡化了虛擬中樞內部和虛擬中樞之間的路由作業。 換句話說,虛擬中樞路由器會執行下列作業:
- 擔任與閘道 (例如 VPN、ExpressRoute、P2S 和網路虛擬裝置 (NVA) 等) 通訊的中央路由引擎,藉此簡化路由管理作業。
- 啟用自訂路由表、關聯和路由傳播的進階路由案例。
- 功用為路由器,負責路由傳到連線至虛擬中樞的虛擬網路和這些虛擬網路之間傳輸的流量。
虛擬中樞路由器現在也可以建立對等連線,因此能直接透過邊界閘道協定 (BGP) 路由通訊協定來交換路由資訊。 佈建在虛擬網路中的 NVA 或 BGP 端點連接虛擬中樞時,可以與虛擬中樞路由器直接建立對等連線,前提是支援 BGP 路由通訊協定,並確保 NVA 上的 ASN 設定與虛擬中樞 ASN 的設定不同。
優點和考量事項
主要優點
- 每當虛擬網路位址更新時,您不再需要手動更新 NVA 上的路由表。
- 每當 NVA 宣佈新的路由或撤銷舊的路由,您不再需要手動更新使用者定義的路由。
- 連線至虛擬中樞之虛擬網路中的 NVA,可以學習虛擬中樞閘道 (VPN、ExpressRoute 或受控 NVA) 路由。
- 您可以讓 NVA 的多個執行個體與虛擬中樞路由器進行對等互連。 您可以在 NVA 中設定 BGP 屬性,並根據您的設計 (主動對主動或主動對被動),讓虛擬中樞路由器知道哪個 NVA 執行個體為主動或被動。
考量
您只能將虛擬中樞路由器與直接連線 VNet 中部署的 NVA 對等互連。
- 不支援在內部部署 NVA 與虛擬中樞路由器之間設定 BGP 對等互連。
- 不支援在 Azure 路由伺服器與虛擬中樞路由器之間設定 BGP 對等互連。
虛擬中樞路由器僅支援 16 位元 (2 位元組) ASN。
具有 NVA BGP 連線端點的虛擬網路連線,必須一律相關聯並傳播至 defaultRouteTable。 目前不支援自訂路由表。
虛擬中樞路由器支援連線到虛擬中樞的虛擬網路之間進行傳輸連線。 這與 BGP 對等互連功能的這項功能無關,因為虛擬 WAN 原已支援傳輸連線。 範例:
- VNET1:連線到虛擬中樞 1 的 NVA1 -> (傳輸連線) -> VNET2:連線到虛擬中樞 1 的 NVA2。
- VNET1:連線到虛擬中樞 1 的 NVA1 -> (傳輸連線) -> VNET2:連線到虛擬中樞 2 的 NVA2。
您可以在您的網路虛擬設備中使用自己的公用 ASN 或私人 ASN。 您不能使用 Azure 或 IANA 所保留的範圍。 下列 ASN 是由 Azure 或 IANA 所保留:
- Azure 所保留的 ASN:
- 公用 ASN:8074、8075、12076
- 私人 ASNs:65515、65517、65518、65519、65520
- IANA 保留的 ASN:23456、64496-64511、65535-65551
- Azure 所保留的 ASN:
雖然虛擬中樞路由器會與 NVA 交換 BGP 路由,並傳播至您的虛擬網路,但其會透過虛擬中樞主控的閘道 (VPN 閘道/ExpressRoute 閘道/受控 NVA 閘道) 直接從內部部署傳播路由。
只有指派給 NVA 介面的 IP 位址才支援 BGP 對等互連。 不支援使用回送對等互連。
虛擬中樞路由器具有下列限制:
資源 限制 每個 BGP 對等連線可以公告至虛擬中樞的路由數。 中樞最多只能接受來自連接資源的 10,000 個路由 (總數)。 例如,如果虛擬中樞共有 6000 個路由,來自連接的虛擬網路、分支、虛擬中樞等,那麼當新的 BGP 對等互連設為 NVA 時,NVA 最多只能公告 4000 個路由。 BGP 對等互連數目 最多 8 個 BGP 對等互連可以連線到單一虛擬 WAN 中樞 透過 BGP 公告至虛擬中樞時,虛擬網路中 NVA 的路由若比虛擬網路位址空間更具體,就不會進一步傳播至內部部署。
目前我們只支援從 NVA 到虛擬中樞的 4,000 個路由。
若流量目的地位址在直接連線至虛擬中樞的虛擬網路內,就無法設定為使用中樞與 NVA 之間的 BGP 對等互連來透過 NVA 路由傳送。 這是因為建立輪輻虛擬網路連線時,虛擬中樞會自動學習與輪輻虛擬網路中位址相關聯的系統路由。 這些自動學習的系統路由優先於中樞透過 BGP 學習的路由。
如果在中樞上設定路由意圖,則可支援輪輻 VNet 中 NVA 與安全虛擬中樞 (具有整合式安全性解決方案的中樞) 之間的 BGP 對等互連。 如果未設定路由意圖,則不支援安全虛擬中樞的 BGP 對等互連功能。
為了讓 NVA 與 VPN 和 ER 連線的網站交換路由,必須開啟分支對分支路由。
使用中樞設定 BGP 同儕節點時,您會看到兩個 IP 位址。 需要與這兩個位址對等。 若未與兩個位址對等,則可能會導致路由問題。 相同的路由必須公告至這兩個位址。 公告不同的路由會導致路由問題。
從 NVA 公告至虛擬中樞路由伺服器的下一個躍點 IP 位址必須與 NVA 的 IP 位址相同,也就是 BGP 同儕節點上設定的 IP 位址。 目前虛擬 WAN 不支援將不同的 IP 位址公告為下一個躍點。
BGP 對等互連案例
本節說明可使用 BGP 對等互連功能來設定路由的案例。
傳輸 VNet 連線
在此案例中,名為「Hub 1」的虛擬中樞會連線到數個虛擬網路。 目標是在虛擬網路 VNET1 與 VNET5 之間建立路由。
不使用 BGP 對等互連時的設定步驟
沒有在虛擬中樞上使用 BGP 對等互連時,需執行下列步驟:
虛擬中樞設定
- 在中樞 1 的 defaultRouteTable 上,設定 VNET5 (子網路 10.2.1.0/24) 的靜態路由指向 VNET2 連線。
- 在中樞 1 的 VNET2 虛擬網路連線上,設定 VNET5 的靜態路由指向 VNET2 NVA IP (子網路 10.2.0.5)。
- 在中樞 1 上,將路由從 VNET1 和 VNET2 的連線傳播至 defaultRouteTable,並與 defaultRouteTable 建立關聯。
虛擬網路設定
- 在 VNET5 上,設定使用者定義的路由 (UDR) 指向 VNET2 NVA IP。
使用 BGP 對等互連時的設定步驟
在先前的設定中,如果 VNET5 設定會經常變更,靜態路由和 UDR 的維護作業可能會變得複雜。 若要解決這項難題,可以利用使用虛擬中樞的 BGP 對等互連功能,且路由設定必須變更為下列步驟:
虛擬中樞設定
- 在中樞 1 上,將 VNET2 NVA 設定為 BGP 對等互連。 此外,將 VNET2 NVA 設定為具有連至中樞 1 的 BGP 對等互連。
- 在中樞 1 上,將路由從 VNET1 和 VNET2 的連線傳播至 defaultRouteTable,並與 defaultRouteTable 建立關聯。
虛擬網路設定
- 在 VNET5 上,設定使用者定義的路由 (UDR) 指向 VNET2 NVA IP。
有效的路由
下表顯示 defaultRouteTable 裡中樞 1 有效路由的幾個項目。 請注意,VNET5 (子網路 10.2.1.0/24) 的路由和這些項目,可確認 VNET1 和 VNET5 彼此能互相通訊。
| 目的地首碼 | 下一個躍點 | 原始來源 | ASN 路徑 |
|---|---|---|---|
| 10.2.0.0/24 | eastusconn | VNet 連線識別碼 | - |
| 10.2.1.0/24 | NVA 的 BGP 對等連線識別碼 | NVA 的 BGP 對等連線識別碼 | 65510 |
| 10.4.1.0/24 | 中樞 2 | 中樞 2 | - |
使用這個功能透過這種方式設定路由,就不需要虛擬中樞上的靜態路由項目。 因此,當連線虛擬網路 (如 VNET5) 的設定有所變更時,設定作業會比較簡單,且路由表會動態更新。
分支 VNet 連線
在此案例中,名為「NVA 分支 1」 的內部部署站點已設定為在 VNET2 NVA 上終止。 目標是設定 NVA 分支 1 與虛擬網路 VNET1 之間的路由。
不使用 BGP 對等互連時的設定步驟
沒有在虛擬中樞上使用 BGP 對等互連時,需執行下列步驟:
虛擬中樞設定
- 在中樞 1 的 defaultRouteTable 上,設定 NVA 分支 1 的靜態路由指向 VNET2 連線。
- 在中樞 1 的 VNET2 虛擬網路連線上,設定 NVA 分支 1 的靜態路由指向 VNET2 NVA IP (10.2.0.5)。
- 在中樞 1 上,將路由從 VNET1 和 VNET2 的連線傳播至 defaultRouteTable,並與 defaultRouteTable 建立關聯。
虛擬網路設定
- VNET2 NVA 與 NVA 分支 1 之間進行 BGP 對等互連,以及將 VNET1 的公告從 VNET2 NVA 路由至 NVA 分支 1。
使用 BGP 對等互連時的設定步驟
經過一段時間後,NVA 分支 1 中的目的地首碼可能會變更,或者可能會有許多像是 NVA 分支 1 站點,都需連線至 VNET1。 這會導致需要更新中樞 1 和 VNET2 連線上的靜態路由,過程可能會很麻煩。 在這種情況下,我們可以利用使用虛擬中樞的 BGP 對等互連功能,路由連線的設定步驟如下所示。
虛擬中樞設定
- 在中樞 1 上,將 VNET2 NVA 設定為 BGP 對等互連。 此外,將 VNET2 NVA 設定為具有連至中樞 1 的 BGP 對等互連。
- 在中樞 1 上,將路由從 VNET1 和 VNET2 的連線傳播至 defaultRouteTable,並與 defaultRouteTable 建立關聯。
虛擬網路設定
- VNET2 NVA 與 NVA 分支 1 之間進行 BGP 對等互連,以及將 VNET1 的公告從 VNET2 NVA 路由至 NVA 分支 1。
有效的路由
下表顯示 defaultRouteTable 裡中樞 1 有效路由的幾個項目。 請注意,NVA 分支 1 (子網路 192.168.1.0/24) 路由是透過與 NVA 的 BGP 對等互連來學習。
| 目的地首碼 | 下一個躍點 | 原始來源 | ASN 路徑 |
|---|---|---|---|
| 10.2.0.0/24 | eastusconn | VNet 連線識別碼 | - |
| 192.168.1.0/24 | NVA 的 BGP 對等連線識別碼 | NVA 的 BGP 對等連線識別碼 | 65510 |
若要管理 NVA 分支 1 中的網路變更,或建立 NVA 分支 1 這類新站點之間的連線,不需要在中樞 1 上進行額外的設定,因為中樞 1 與 NVA 之間的 BGP 對等互連會動態更新路由表。 因此,設定和維護作業已簡化。