本文提供管理 NVA 與虛擬網路之間動態路由的解決方案。 解決方案的核心是 Azure 路由伺服器。 此服務可簡化虛擬網路中 NVA 的設定、維護和部署。 當您使用路由伺服器時,不再需要在虛擬網路位址變更時手動更新 NVA 路由表。
架構
工作流程
此中樞和輪輻架構具有中樞虛擬網路和一個輪輻虛擬網路。 中樞虛擬網路有多個子網,每個子網都包含虛擬機(VM)。
每個虛擬網路的位址空間會定義位址範圍。 針對每個範圍,Azure 會建立具有該範圍位址前置詞的路由。 Azure 會將這些路由新增至路由表。 每個虛擬網路都有多個子網,而且每個子網都有控制連線的網路介面卡 (NIC)。 Azure 會將每個虛擬網路的路由表插入子網的 NIC。
您無法建立或移除這些預設系統路由。 但您可以:
局域網路會使用 Azure VPN 閘道 和 ExpressRoute 閘道,以並存組態連線到中樞虛擬網路。 當您新增 VPN 閘道時,使用閘道路由作為下一個路由新增至路由表。 當您新增 ExpressRoute 時,路由表也會更新。 這些路由會傳播至所有子網。
邊界閘道通訊協定 (BGP) 可讓內部部署與 Azure 元件之間交換 IP 位址。 此通訊協定會在自發系統之間導向封包。 這類系統是單一組織執行的小型網路或大型路由器集區。
中樞虛擬網路與輪輻虛擬網路之間存在虛擬網路對等互連。 當您建立對等互連時,Azure 會更新路由表。 具體來說,Azure 會針對中樞地址空間或輪輻地址空間中的每個位址範圍新增路由。 這些路由會傳播至所有子網。
中樞虛擬網路中的子網會使用服務端點進行 Azure 儲存體。 Azure 會將 儲存體 的公用IP位址新增至該子網的路由表。
中樞虛擬網路包含兩個 NVA。 NVA 可能是閘道、軟體定義的廣域網(SD-WAN),或安全性設備防火牆。 路由伺服器會透過下列方式交換 NVA、網路應用程式和閘道路由:
- 建立 Azure 虛擬機器擴展集 的實例。 擴展集中的每個 VM 都有 IP 位址。 如同閘道 IP 位址,路由伺服器可以存取 VM IP 位址。
- 在每個 NVA 與擴展集中的 VM 之間建立 BGP 對等互連。
- 將 VM IP 位址插入虛擬網路和連線網路中的所有路由表中。
不需要:
- 手動新增使用者定義的路由。
- 手動建立路由表。
- 將路由表連結至子網以傳播路由。
- 當IP位址變更時,更新路由表。
元件
路由伺服器 可簡化支援 BGP 和虛擬網路之 NVA 之間的動態路由。 此服務可消除維護路由表的系統管理額外負荷。
虛擬網絡 是 Azure 中專用網的基本建置組塊。 VM 等 Azure 資源可以透過 虛擬網絡 安全地彼此通訊、因特網和內部部署網路。
虛擬網路對等互連 會連線兩個以上的 Azure 虛擬網路。 對等互連可在不同虛擬網路中的資源之間提供低延遲、高頻寬連線。 對等互連虛擬網路中的 VM 之間的流量只會使用 Microsoft 專用網。
VPN 閘道 是特定類型的虛擬網路閘道。 您可以使用 VPN 閘道 來傳送加密流量:
- 透過公用因特網在 Azure 虛擬網路與內部部署位置之間。
- 透過 Azure 骨幹網路在 Azure 虛擬網路之間。
ExpressRoute 會將內部部署網路延伸至 Microsoft 雲端。 透過使用連線提供者,ExpressRoute 會建立與 Azure 服務和 Microsoft 365 等雲端元件的私人連線。
服務端點可從虛擬網路中的私人IP位址,提供與Azure服務的安全和直接連線。 服務端點會將虛擬網路的身分識別提供給 Azure 服務。 因此,虛擬網路資源不需要公用IP位址來存取服務,而端點則只允許來自指定虛擬網路的流量來保護服務。 聯機會透過 Azure 骨幹網路使用優化的路由。
NVA 是一種虛擬設備,可提供網路功能,例如防火牆安全性和負載平衡。
Azure 儲存體 是雲端記憶體解決方案,其中包含物件、檔案、磁碟、佇列和數據表記憶體。 服務包括混合式記憶體解決方案和工具,可用於傳輸、共用和備份數據。
替代項目
在此解決方案中,您不需要將服務端點連線到 儲存體。 您可以改用其他 Azure 服務。 如需您可以使用服務端點保護的服務清單,請參閱 虛擬網絡 服務端點。
您可以新增使用者定義的路由至每個子網的路由表,而不是使用路由伺服器。 如需使用者定義路由的詳細資訊,請參閱 虛擬網路流量路由中的用戶定義。
案例詳細資料
網路路由是判斷流量跨越網路到達目的地的路徑的程式。 路由表會列出用於判斷路由路徑的網路拓撲資訊。
當您的虛擬網路包含網路虛擬裝置 (NVA)時,您必須手動設定及更新路由表。
本文提供管理 NVA 與虛擬網路之間動態路由的解決方案。 解決方案的核心是 Azure 路由伺服器。 此服務可簡化虛擬網路中 NVA 的設定、維護和部署。 當您使用路由伺服器時,不再需要在虛擬網路位址變更時手動更新 NVA 路由表。
潛在的使用案例
此解決方案適用於下列案例:
- 使用雙主網路。 除了典型的中樞和輪輻網路拓撲,路由器伺服器也支援雙主網路拓撲。 這種類型的組態會將具有兩個或多個中樞虛擬網路的輪輻虛擬網路對等互連。 如需詳細資訊,請參閱 關於 Azure Route Server 的雙主網路。
- 連線 NVA 至 Azure ExpressRoute。 某些虛擬網路包含路由伺服器、ExpressRoute 閘道和 NVA。 根據預設,路由伺服器不會將 NVA 路由傳播至 ExpressRoute。 路由伺服器也不會將 ExpressRoute 路由傳播至 NVA。 您可以在路由伺服器中開啟路由交換功能,以取得 ExpressRoute 和 NVA 來交換路由。 如需詳細資訊,請參閱 關於 ExpressRoute 和 Azure VPN 的 Azure 路由伺服器支援。
- 使用 Azure 從內部部署系統連線到因特網。 缺乏良好因特網存取的組織可能會使用此設定。 已將因特網 Proxy 遷移至 Azure 的系統是其他可能性。 路由伺服器可讓此設定成為可能。
考量
實作此解決方案時,請考慮下列幾點:
路由伺服器會建立連線和交換路由。 它不會傳輸數據封包。 因此,路由伺服器在其後端執行的 VM 不需要大量的 CPU 電源或計算能力。
當您部署路由伺服器時,請建立名為
RouteServerSubnet的子網,其使用的/27IPv4 子網掩碼。 將路由伺服器放在該子網中。在 Azure 閘道中,基本定價層不支援並存 ExpressRoute 和 VPN 閘道 連線。 如需共存設定的其他限制,請參閱 限制和限制。
您可以在虛擬網路中使用的服務端點數目沒有限制。 但某些 Azure 服務,例如 儲存體,會針對可用來保護資源的子網數目強制執行限制。 如需詳細資訊,請參閱 虛擬網絡 服務端點中的後續步驟。
考慮此解決方案時,也請記住下列各節中的要點。
可用性
路由伺服器是完全受控的服務,可提供高可用性。 如需此服務的可用性保證,請參閱 Azure 路由伺服器的 SLA。
延展性
此解決方案中的大部分元件都是自動調整的受控服務。 但有幾個例外狀況:
- 路由伺服器最多可以公告 200 個路由至 ExpressRoute 或 VPN 閘道。
- 路由伺服器最多可以支援每個虛擬網路 2,000 部 VM,包括對等互連的虛擬網路。
安全性
- 如需改善 Azure 上應用程式和數據安全性的指引,請參閱 Azure 安全性效能評定概觀(v1)。
- 如需 虛擬網絡 專屬於 Azure 安全性效能評定 1.0 版的指引,請參閱適用於 虛擬網絡 的 Azure 安全性基準。
復原
此解決方案只會使用受控元件。 在區域層級,所有這些元件都會自動復原。 路由伺服器提供高可用性。 當您在支援可用性區域的 Azure 區域中部署路由伺服器時,您的實作具有區域層級備援。 如需可用性區域的詳細資訊,請參閱區域和可用性區域。
成本最佳化
若要預估實作此解決方案的成本,請參閱 Azure 定價計算機。 如需減少不必要的費用的一般資訊,請參閱 成本優化要素概觀。
下列各節將討論解決方案元件的定價資訊。
路由伺服器
目前,路由伺服器沒有預付成本或終止費用。 如需定價資訊,請參閱 Azure 路由伺服器定價。
虛擬網路
您可以使用免費 虛擬網絡。 透過 Azure 訂用帳戶,您可以跨所有區域建立最多 50 個虛擬網路。 虛擬網路界限內的流量是免費的。 因此,相同虛擬網路中兩部 VM 之間的通訊不收費。
VPN 閘道
當您使用 VPN 閘道 時,所有輸入流量都是免費的。 您只需支付輸出流量的費用。 因特網頻寬成本適用於 VPN 輸出流量。 如需詳細資訊,請參閱 VPN 閘道定價。
ExpressRoute
輸入的 ExpressRoute 數據傳輸是免費的。 針對輸出數據傳輸,您需支付預先決定的費率。 也適用固定的每月埠費用。 如需詳細資訊,請參閱 Azure ExpressRoute 定價。
服務端點
使用服務端點不收取任何費用。
NVA
NVA 會根據您使用的設備收費。 您也會向您部署的 Azure VM 和您取用的基礎結構資源收費,例如記憶體和網路功能。 如需詳細資訊,請參閱Linux虛擬機器定價。
下一步
- 快速入門:使用 Azure 入口網站 建立及設定路由伺服器
- 關於 ExpressRoute 和 Azure VPN 的 Azure 路由伺服器支援
- Azure 路由伺服器常見問題集
- Azure 藍圖
- 網路部落格
- Azure 路由伺服器的 SLA
- 什麼是 Azure 路由伺服器?