Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Moderne Anwendungen erfordern häufig Bereitstellungen in mehreren Azure-Regionen, um hohe Verfügbarkeit, Notfallwiederherstellung und Leistungsanforderungen zu erfüllen. Azure Route Server ermöglicht anspruchsvolle Multi-Region-Netzwerkarchitekturen, die dynamische Routingfunktionen bereitstellen und gleichzeitig die zentrale Netzwerksteuerung über virtuelle Netzwerkgeräte (NETWORK Virtual Appliances, NVAs) verwalten.
In diesem Artikel wird erläutert, wie Sie Topologien mit mehreren Regionen mithilfe von Azure Route Server entwerfen und implementieren, einschließlich der Integration in ExpressRoute und Überlegungen zum Vermeiden von Routingschleifen.
Wichtige Begriffe
Netzwerk in mehreren Regionen mit Azure Route Server umfasst mehrere wichtige Konzepte:
Dynamische Routenverteilung: Azure Route Server tauscht Routinginformationen automatisch zwischen Regionen über das Border Gateway Protocol (BGP) aus, ohne dass die manuelle Routentabellenverwaltung erforderlich ist, während sich Ihre Netzwerktopologie weiterentwickelt.
Zentrale Netzwerksteuerung: Im Gegensatz zum direkten virtuellen Netzwerk-Peering zwischen Regionen ermöglicht Route Server, dass der Datenverkehr durch hubbasierte NVAs fließt, wodurch Sicherheitsrichtlinien und die Netzwerksichtbarkeit über alle Regionen hinweg aufrechterhalten werden.
Automatische Anpassung: Die Architektur passt sich automatisch an Topologieänderungen an, z. B. das Hinzufügen neuer Speichennetzwerke oder das Ändern der Konnektivität, ohne manuelle Eingriffe.
Architekturübersicht
Die Multi-Region-Architektur verwendet eine Hub-and-Spoke-Topologie in jeder Region, die über globale virtuelle Netzwerk-Peering verbunden und von Azure Route Server-Instanzen koordiniert wird:
Kernkomponenten
Die Multi-Region-Architektur besteht aus mehreren wichtigen Komponenten, die zusammenarbeiten, um dynamische Routingfunktionen bereitzustellen. Jede Region enthält ein virtuelles Hubnetzwerk, in dem sowohl Azure Route Server als auch virtuelle Netzwerkgeräte (NVAs) gehostet werden, um Routingentscheidungen zu verwalten. Anwendungsworkloads werden in virtuellen Speichennetzwerken in jeder Region bereitgestellt, wobei die Trennung zwischen Netzwerkinfrastruktur und Anwendungen beibehalten wird. Virtuelle Hubnetzwerke werden über Regionen hinweg mit globalen virtuellen Netzwerk-Peering verbunden, um die Kommunikation zwischen Regionen zu ermöglichen. Netzwerkgeräte kommunizieren zwischen Regionen mit sicheren Tunneln, um die Synchronisierung von Routinginformationen aufrechtzuerhalten.
Verkehrsfluss
Der Datenverkehrsfluss folgt einem strukturierten Muster, das ein effizientes Routing über die Multiregion-Topologie gewährleistet. Route Server lernt Routen aus lokalen Speichennetzwerken und NVAs innerhalb seiner Region kennen, um eine umfassende Routingtabelle zu erstellen. NVAs richten sichere Tunnel zwischen Regionen ein, um Routinginformationen freizugeben und regionenübergreifende Konnektivität zu ermöglichen. Jeder Route-Server verteilt die gelernten Routen an lokale Speichennetzwerke, um sicherzustellen, dass Workloads Ziele in Remoteregionen erreichen können. Wenn Topologieänderungen auftreten, z. B. das Hinzufügen neuer Speichennetzwerke oder das Ändern der Konnektivität, löst die Architektur automatisch Routenupdates über alle Regionen aus, ohne dass ein manueller Eingriff erforderlich ist.
Konfigurationsanforderungen
Um diese Architektur erfolgreich zu implementieren, konfigurieren Sie die folgenden Komponenten:
Einstellungen für virtuelles Netzwerk-Peering
Aktivieren Sie die Einstellung Remote-Gateways von virtuellen Netzwerken oder Route Server verwenden, wenn Spoke-Netzwerke mit Hubnetzwerken verbunden werden. Diese Konfiguration ermöglicht Folgendes:
- Route Server zur Ankündigung von Spoke-Netzwerkpräfixen an NVAs.
- Gelernte Routen, die in Spoke-Netzwerkroutentabellen eingefügt werden
- Dynamische Routenverteilung über die gesamte Topologie
Konfiguration des NVA-Tunnels
Herstellen einer sicheren Kommunikation zwischen NVAs mithilfe von Kapselungstechnologien:
- IPsec-Tunnel: Bereitstellen einer verschlüsselten Kommunikation zwischen regionalen NVAs
- VXLAN-Überlagerungen: Aktivieren der Layer 2-Erweiterung über Regionen hinweg
BGP AS-Pfadmanipulation
Konfigurieren Sie NVAs zum Ändern von BGP AS-Pfaden, um Routingschleifen zu verhindern:
Von Bedeutung
NVAs müssen die autonome Systemnummer (ASN) 65515 aus dem AS-Pfad entfernen, wenn sie Routen, die von entfernten Regionen gelernt wurden, melden. Dieser Prozess, der als "AS override" oder "AS-path rewrite" bezeichnet wird, verhindert, dass BGP-Schleifenpräventionsmechanismen Route Learning blockieren. Ohne diese Konfiguration lernt Route Server keine Routen, die eigene ASN (65515) enthalten.
Allgemeine AS-Pfadtechniken
Voranstellen von AS-Pfaden: Lässt Pfade länger erscheinen, um Routingentscheidungen zu beeinflussen:
# Example for Cisco NVA
route-map PREPEND-AS permit 10
set as-path prepend 65001 65001
AS-Pfadfilterung – Blockiert Routen mit bestimmten AS-Pfaden:
# Filter specific AS paths
ip as-path access-list 1 deny _65002_
route-map FILTER-AS permit 10
match as-path 1
Überlegungen zur Hochverfügbarkeit
Für ausfallsichere Mehrregionenkonnektivität:
- Mehrere NVAs: Bereitstellen mehrerer NVAs in jeder Region (Route Server unterstützt bis zu acht BGP-Peers)
- Voranstellen von AS-Pfaden: Verwenden Sie Voranstellen von AS-Pfaden, um aktive/standby-NVA-Beziehungen herzustellen.
- Redundante Tunnel: Konfigurieren mehrerer Tunnelverbindungen zwischen Regionen für Failover
ExpressRoute-Integration
Multi-Region Route Server-Architekturen können in ExpressRoute-Schaltkreise integriert werden, um die Konnektivität mit lokalen Netzwerken zu erweitern:
Vorteile der ExpressRoute-Integration
- Vereinfachtes Routing: Lokale Präfixe werden nur in Azure über NVA-Ankündigungen angezeigt
- Zentrale Steuerung: Der gesamte Datenverkehr fließt durch Hub-NVAs zur konsistenten Durchsetzung von Richtlinien
- Überlagerungsoptimierung: ExpressRoute-Schaltkreis unterstützt Überlagerungsnetzwerke zwischen NVAs
Entwurfsüberlegungen
- Routenwerbung: Konfigurieren von NVAs zum Bekanntgeben von On-Premises-Routen anstelle der ausschließlichen Verwendung des ExpressRoute-Gateways.
- Bandbreitenplanung: Sicherstellen, dass ExpressRoute-Schaltkreise regionsübergreifende Datenverkehrslasten verarbeiten können
- Redundanz: Berücksichtigen mehrerer ExpressRoute-Schaltkreise für hohe Verfügbarkeit
Alternatives Design ohne Überlagerungsnetzwerke
Während Überlagerungstunnel der empfohlene Ansatz sind, können Sie verbindungen mit mehreren Regionen ohne Tunnel mithilfe von benutzerdefinierten Routen (UDRs) implementieren:
Warum Tunnel empfohlen werden
Überlagerungstunnel bieten einen wesentlichen Schutz vor Routing-Schleifen in Architekturen mit mehreren Regionen. Ohne Überlagerungstunnel können Routingschleifen auftreten, wenn eine NVA in Region 1 Präfixe aus Region 2 lernt und sie an den lokalen Route Server weiterleitet. Der Route-Server programmiert diese Routen dann in allen Subnetzen der Region 1 mit dem NVA als nächsten Hop. Wenn der NVA versucht, Datenverkehr an Region 2 zu senden, verweisen seine eigenen Subnetzrouten wieder auf sich selbst, wodurch eine Routingschleife erstellt wird, die eine erfolgreiche regionsübergreifende Kommunikation verhindert. Überlagerungstunnel lösen dieses Problem, indem eine logische Trennung zwischen dem Unterschichtnetzwerk (für die Tunneleinrichtung verwendet) und dem Überlagerungsnetzwerk (für Anwendungsdatenverkehr verwendet) erstellt wird, um sicherzustellen, dass der Datenverkehr ordnungsgemäß zwischen Regionen fließen kann, ohne Schleifen zu erstellen.
UDR-basierte Alternative
Wenn Überlagerungstunnel in Ihrer Umgebung nicht machbar sind, können Sie einen alternativen Ansatz mithilfe von benutzerdefinierten Routen (UDRs) implementieren. Diese Methode erfordert das Deaktivieren der BGP-Routenverteilung in den NVA-Subnetzen, um das automatische Routenlernen zu verhindern, das Konflikte verursachen könnte. Anschließend müssen Sie statische Routen konfigurieren, indem Sie UDRs erstellen, die den regionsübergreifenden Datenverkehr explizit über die entsprechenden Netzwerkpfade leiten. Während dieser Ansatz funktioniert, sollten Sie den betriebstechnischen Aufwand der manuellen Wartung dieser statischen Routen akzeptieren, während sich die Netzwerktopologie im Laufe der Zeit ändert.
Trade-offs
| Vorgehensweise | Vorteile | Benachteiligungen |
|---|---|---|
| Überlagerungstunnel | Dynamisches Routing, automatische Anpassung, Sicherheit | Mehr Konfigurationskomplexität |
| UDR-basiert | Einfachere Ersteinrichtung | Manuelle Routenverwaltung, begrenzte Skalierbarkeit |
Nächste Schritte
Erkunden Sie diese Ressourcen zum Implementieren und Optimieren der Route Server-Architektur mit mehreren Regionen: