Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le applicazioni moderne richiedono spesso la distribuzione in più aree di Azure per soddisfare requisiti di disponibilità elevata, ripristino di emergenza e prestazioni. Il server di route di Azure consente architetture di rete sofisticate in più aree che offrono funzionalità di routing dinamico mantenendo al tempo di controllo di rete centralizzato tramite appliance virtuali di rete.
Questo articolo illustra come progettare e implementare topologie in più aree usando il server di route di Azure, inclusa l'integrazione con ExpressRoute e considerazioni per evitare i cicli di routing.
Concetti chiave
La rete in più aree con il server di route di Azure prevede diversi concetti importanti:
Propagazione dinamica delle route: il server di route di Azure scambia automaticamente le informazioni di routing tra aree tramite BGP (Border Gateway Protocol), eliminando la necessità di gestire manualmente le tabelle di route man mano che la topologia di rete si evolve.
Controllo di rete centralizzato: a differenza del peering di rete virtuale diretto tra aree, il server di route consente il flusso del traffico attraverso appliance virtuali di rete basate su hub, mantenendo i criteri di sicurezza e la visibilità di rete tra aree.
Adattamento automatico: l'architettura si adatta automaticamente alle modifiche della topologia, ad esempio l'aggiunta di nuove reti spoke o la modifica della connettività, senza intervento manuale.
Panoramica dell'architettura
L'architettura in più aree usa una topologia hub-and-spoke in ogni area, connessa tramite peering di rete virtuale globale e coordinata dalle istanze del Server di route di Azure:
Componenti di base
L'architettura in più aree è costituita da diversi componenti chiave che interagiscono per fornire funzionalità di routing dinamico. Ogni area contiene una rete virtuale hub che ospita sia il server di route di Azure che le appliance virtuali di rete per gestire le decisioni di routing. I carichi di lavoro delle applicazioni vengono distribuiti in reti virtuali spoke all'interno di ogni area, mantenendo la separazione tra l'infrastruttura di rete e le applicazioni. Le reti virtuali hub sono connesse tra aree usando il peering di rete virtuale globale per abilitare la comunicazione tra aree. Le appliance di rete comunicano tra aree usando tunnel sicuri per mantenere la sincronizzazione delle informazioni di routing.
Flusso del traffico
Il flusso di traffico segue un modello strutturato che garantisce un routing efficiente attraverso la topologia in più aree. Il Server di route apprende le route sia dalle reti spoke locali sia dalle appliance di rete virtuali all'interno della sua regione per creare una tabella di routing completa. Le appliance virtuali di rete stabiliscono tunnel sicuri tra aree per condividere le informazioni di routing e abilitare la connettività tra aree. Ogni Server di route propaga le route apprese alle reti spoke locali per consentire ai carichi di lavoro di raggiungere le destinazioni nelle aree remote. Quando si verificano modifiche alla topologia, ad esempio l'aggiunta di nuove reti spoke o la modifica della connettività, l'architettura attiva automaticamente gli aggiornamenti delle route in tutte le aree senza richiedere l'intervento manuale.
Requisiti di configurazione
Per implementare correttamente questa architettura, configurare i componenti seguenti:
Impostazioni di peering di rete virtuale
Abilita l'impostazione Usa il gateway o il Server di route della rete virtuale remota quando viene eseguito il peering di reti spoke con reti hub. Questa configurazione consente di:
- Server di route per annunciare i prefissi di rete spoke alle appliance virtuali di rete
- Route apprese da inserire nelle tabelle di route di rete spoke
- Propagazione dinamica della route nell'intera topologia
Configurazione del tunnel NVA
Stabilire una comunicazione sicura tra appliance virtuali di rete (NVA) usando tecnologie di incapsulamento.
- Tunnel IPsec: fornire comunicazioni crittografate tra appliance virtuali di rete locali
- Sovrapposizioni VXLAN: abilitare l'estensione di livello 2 tra aree
Manipolazione del percorso AS BGP
Configurare appliance virtuali di rete per modificare i percorsi AS BGP per impedire i cicli di routing:
Importante
Le appliance virtuali di rete devono rimuovere il numero di sistema autonomo (ASN) 65515 dal percorso AS quando annunciano le route apprese dalle aree remote. Questo processo, noto come "override AS" o "riscrittura del percorso AS", impedisce ai meccanismi di prevenzione dei loop BGP di bloccare l'apprendimento delle rotte. Senza questa configurazione, il server di route non apprende le route che contengono il proprio ASN (65515).
Tecniche comuni di percorso AS
Anteposizione del percorso AS: rende i percorsi più lunghi per influire sulle decisioni di routing:
# Example for Cisco NVA
route-map PREPEND-AS permit 10
set as-path prepend 65001 65001
Filtro del percorso AS : blocca le route con percorsi AS specifici:
# Filter specific AS paths
ip as-path access-list 1 deny _65002_
route-map FILTER-AS permit 10
match as-path 1
Considerazioni sulla disponibilità elevata
Per la connettività resiliente in più aree:
- Appliance virtuali di rete: distribuire molteplici appliance virtuali di rete in ogni area (Server di route supporta fino a otto peer BGP)
- Anteposizione del percorso AS: utilizzare l'anteposizione del percorso AS per stabilire relazioni attive/standby tra le appliance virtuali di rete
- Tunnel ridondanti: configura più connessioni tunnel tra regioni per il failover
Integrazione di ExpressRoute
Le architetture dei Route Server multi-regione possono essere integrate con i circuiti ExpressRoute per estendere la connettività alle reti on-premises.
Vantaggi dell'integrazione di ExpressRoute
- Routing semplificato: i prefissi locali vengono visualizzati in Azure solo tramite annunci di dispositivi virtuali di rete
- Controllo centralizzato: Tutto il traffico passa attraverso le NVAs dell'hub per l'applicazione coerente delle politiche.
- Ottimizzazione dell'overlay: il circuito ExpressRoute supporta le reti sovrapposte tra appliance di rete virtuali
Considerazioni sulla progettazione
- Annuncio delle route: configurare le appliance virtuali di rete per annunciare le route in sede anziché basarsi esclusivamente sul gateway ExpressRoute
- Pianificazione della larghezza di banda: assicurarsi che i circuiti ExpressRoute possano gestire i carichi di traffico tra aree
- Ridondanza: prendere in considerazione più circuiti ExpressRoute per la disponibilità elevata
Progettazione alternativa senza reti sovrapposte
Anche se i tunnel di sovrapposizione sono l'approccio consigliato, è possibile implementare la connettività in più aree senza tunnel usando route definite dall'utente :While overlay tunnels are the recommended approach, you can implement multi-region connectivity without tunnels using user-defined routes (UDR):
Perché i tunnel sono consigliati
I tunnel di sovrimpressione offrono protezione essenziale dai cicli di routing nelle architetture in più aree. Senza tunnel di sovrimpressione, i cicli di routing possono verificarsi quando un'appliance virtuale di rete nell'area 1 apprende i prefissi dall'area 2 e li annuncia al Server di route locale. Il Server di route quindi programma queste route in tutte le subnet della Region 1 con l'appliance virtuale di rete come hop successivo. Quando l'NVA tenta di inviare il traffico alla Regione 2, le proprie rotte della subnet puntano a se stesse, creando un ciclo di routing che impedisce la corretta comunicazione tra regioni. I tunnel sovrapposti risolve questo problema creando una separazione logica tra la rete sottostante (usata per la creazione del tunnel) e la rete di sovrapposizione (usata per il traffico dell'applicazione), assicurando che il traffico possa fluire correttamente tra aree senza creare cicli.
Alternativa basata su UDR
Se i tunnel di sovrimpressione non sono fattibili nell'ambiente in uso, è possibile implementare un approccio alternativo usando route definite dall'utente. Questo metodo richiede la disabilitazione della propagazione delle rotte BGP nelle sottoreti delle NVA per impedire l'apprendimento automatico delle rotte che potrebbe causare conflitti. È quindi necessario configurare route statiche creando UDR che indirizzano in modo esplicito il traffico tra regioni attraverso i percorsi di rete appropriati. Anche se questo approccio può funzionare, è consigliabile accettare il sovraccarico operativo della gestione manuale di queste route statiche man mano che la topologia di rete cambia nel tempo.
Trade-offs
| Avvicinarsi | Advantages | Disadvantages |
|---|---|---|
| Tunnel di sovrimpressione | Routing dinamico, adattamento automatico, sicurezza | Maggiore complessità della configurazione |
| Basato su UDR | Configurazione iniziale più semplice | Gestione manuale delle route, scalabilità limitata |
Passaggi successivi
Esplora queste risorse per implementare e ottimizzare l'architettura del Route Server multi-regione: