Rede multirregião com o Azure Route Server

Os aplicativos modernos geralmente exigem implantação em várias regiões do Azure para atender aos requisitos de alta disponibilidade, recuperação de desastres e desempenho. O Azure Route Server permite arquiteturas de rede sofisticadas de várias regiões que fornecem recursos de roteamento dinâmico enquanto mantêm o controle de rede centralizado por meio de NVAs (dispositivos virtuais de rede).

Este artigo explica como projetar e implementar topologias de várias regiões usando o Servidor de Rotas do Azure, incluindo a integração com a Rota Expressa e considerações para evitar loops de roteamento.

Conceitos-chave

A rede de várias regiões com o Azure Route Server envolve vários conceitos importantes:

• Propagação dinâmica de rotas: o Servidor de Rotas do Azure troca automaticamente informações de roteamento entre regiões por meio do BGP (Border Gateway Protocol), eliminando a necessidade de gerenciamento manual de tabelas de rotas à medida que sua topologia de rede evolui.

• Controle de rede centralizado: ao contrário do emparelhamento direto de rede virtual entre regiões, o Route Server permite que o tráfego flua através de NVAs baseados em hub, mantendo políticas de segurança e visibilidade de rede entre regiões.

• Adaptação automática: A arquitetura adapta-se automaticamente a alterações de topologia, como adicionar novas redes spoke ou modificar a conectividade, sem intervenção manual.

Visão geral da arquitetura

A arquitetura de várias regiões usa uma topologia hub-and-spoke em cada região, conectada por meio de emparelhamento de rede virtual global e coordenada por instâncias do Azure Route Server:

Componentes centrais

A arquitetura de várias regiões consiste em vários componentes-chave que trabalham juntos para fornecer recursos de roteamento dinâmico. Cada região contém uma rede virtual de hub que hospeda o Azure Route Server e dispositivos virtuais de rede (NVAs) para gerenciar decisões de roteamento. As cargas de trabalho de aplicativos são implantadas em redes virtuais spoke dentro de cada região, mantendo a separação entre a infraestrutura de rede e os aplicativos. As redes virtuais de hub são conectadas entre regiões usando emparelhamento de rede virtual global para permitir a comunicação entre regiões. Os dispositivos de rede se comunicam entre regiões usando túneis seguros para manter a sincronização de informações de roteamento.

Fluxo de tráfego

O fluxo de tráfego segue um padrão estruturado que garante um roteamento eficiente em toda a topologia de várias regiões. O Route Server aprende rotas de redes locais spoke e NVAs dentro de sua região para criar uma tabela de roteamento abrangente. Os NVAs estabelecem túneis seguros entre regiões para compartilhar informações de roteamento e permitir a conectividade entre regiões. Cada Route Server propaga as rotas aprendidas para redes locais, garantindo que as cargas de trabalho possam chegar a destinos em regiões remotas. Quando ocorrem alterações de topologia, como adicionar novas redes spoke ou modificar a conectividade, a arquitetura aciona automaticamente atualizações de rota em todas as regiões sem exigir intervenção manual.

Requisitos de configuração

Para implementar essa arquitetura com êxito, configure os seguintes componentes:

Configurações de emparelhamento de rede virtual

Ative a configuração Usar gateway de rede virtual remota ou Servidor de Rotas ao emparelhar redes spoke com redes de hub. Esta configuração permite:

• Route Server para anunciar prefixos de rede spoke para NVAs
• Rotas aprendidas a serem injetadas em tabelas de rotas de rede spoke
• Propagação dinâmica de rotas em toda a topologia

Configuração do túnel NVA

Estabeleça uma comunicação segura entre NVAs usando tecnologias de encapsulamento.

• Túneis IPsec: fornecem comunicação criptografada entre NVAs regionais
• Sobreposições VXLAN: Permitir a extensão da camada 2 entre regiões

Manipulação de caminho BGP AS

Configure NVAs para modificar caminhos BGP AS para evitar loops de roteamento:

Técnicas comuns de caminho de Sistema Autónomo

Preenchimento do caminho AS - Faz com que os caminhos pareçam mais longos para influenciar as decisões de roteamento.

# Example for Cisco NVA
route-map PREPEND-AS permit 10
 set as-path prepend 65001 65001

Filtragem de caminhos AS - Bloqueia rotas com caminhos AS específicos:

# Filter specific AS paths
ip as-path access-list 1 deny _65002_
route-map FILTER-AS permit 10
 match as-path 1

Considerações sobre alta disponibilidade

Para conectividade resiliente em várias regiões:

• Vários NVAs: implante vários NVAs em cada região (o Route Server suporta até oito pares BGP)
• AS path prepending: Use o AS path prepending para estabelecer relações NVA ativas/em espera
• Túneis redundantes: Configurar várias conexões de túnel entre regiões para continuidade de serviço em caso de falha

Integração com o ExpressRoute

As arquiteturas do Servidor de Rotas de várias regiões podem integrar-se aos circuitos de ExpressRoute para estender a conectividade a redes no local.

Benefícios da integração com a Rota Expressa

• Roteamento simplificado: os prefixos locais aparecem no Azure somente por meio de anúncios NVA
• Controle centralizado: todo o tráfego flui através de NVAs (Appliances de Rede Virtual) de hub para garantir que as políticas sejam consistentemente aplicadas.
• Otimização de sobreposição: o circuito ExpressRoute suporta redes de sobreposição entre NVAs

Considerações de design

• Anúncio de rota: configure NVAs para anunciar rotas locais em vez de depender apenas do gateway da Rota Expressa
• Planejamento de largura de banda: garanta que os circuitos de Rota Expressa possam lidar com cargas de tráfego entre regiões
• Redundância: considere vários circuitos de Rota Expressa para alta disponibilidade

Design alternativo sem redes de sobreposição

Embora os túneis de sobreposição sejam a abordagem recomendada, você pode implementar conectividade de várias regiões sem túneis usando rotas definidas pelo usuário (UDRs):

Por que os túneis são recomendados

Os túneis de sobreposição oferecem uma proteção essencial contra circuitos de roteamento em arquiteturas multirregionais. Sem túneis de sobreposição, loops de roteamento podem ocorrer quando um NVA na Região 1 aprende prefixos da Região 2 e os anuncia para o Servidor de Rotas local. Em seguida, o Route Server programa estas rotas em todas as sub-redes da Região 1, com o NVA como o próximo salto. Quando o NVA tenta enviar tráfego para a Região 2, suas próprias rotas de sub-rede apontam de volta para si mesmo, criando um loop de roteamento que impede a comunicação bem-sucedida entre regiões. Os túneis de sobreposição resolvem esse problema criando uma separação lógica entre a rede underlay (usada para o estabelecimento do túnel) e a rede de sobreposição (usada para o tráfego de aplicativos), garantindo que o tráfego possa fluir corretamente entre as regiões sem criar loops.

Alternativa baseada em UDR

Se os túneis de sobreposição não forem viáveis em seu ambiente, você poderá implementar uma abordagem alternativa usando UDRs (rotas definidas pelo usuário). Esse método requer a desativação da propagação de rota BGP nas sub-redes NVA para evitar o aprendizado automático de rotas que poderia causar conflitos. Em seguida, você deve configurar rotas estáticas criando UDRs que direcionem explicitamente o tráfego entre regiões através dos caminhos de rede apropriados. Embora essa abordagem possa funcionar, você deve aceitar a sobrecarga operacional de manter manualmente essas rotas estáticas à medida que sua topologia de rede muda ao longo do tempo.

Trade-offs

Próximos passos

Explore estes recursos para implementar e otimizar sua arquitetura do Route Server em várias regiões:

• Suporte do Azure Route Server para ExpressRoute e Azure VPN
• Configurar o emparelhamento entre o Azure Route Server e o dispositivo virtual de rede
• O que é o Azure Route Server?
• Monitorar o Azure Route Server com o Azure Monitor