Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les applications modernes nécessitent souvent un déploiement dans plusieurs régions Azure pour répondre aux exigences de haute disponibilité, de récupération d’urgence et de performances. Azure Route Server permet des architectures réseau multirégions sophistiquées qui fournissent des fonctionnalités de routage dynamique tout en conservant le contrôle réseau centralisé via des appliances virtuelles réseau (NVA).
Cet article explique comment concevoir et implémenter des topologies multirégions à l’aide d’Azure Route Server, notamment l’intégration à ExpressRoute et les considérations relatives à l’évitement des boucles de routage.
Concepts clés
La mise en réseau multirégion avec Azure Route Server implique plusieurs concepts importants :
Propagation dynamique des itinéraires : Azure Route Server échange automatiquement des informations de routage entre les régions par le biais du protocole BGP (Border Gateway Protocol), ce qui élimine la nécessité de gérer manuellement la table de routage à mesure que la topologie de votre réseau évolue.
Contrôle réseau centralisé : contrairement à l’appairage de réseaux virtuels entre les régions, le serveur de routage permet au trafic de circuler via des appliances virtuelles réseau hub, en conservant les stratégies de sécurité et la visibilité du réseau entre les régions.
Adaptation automatique : l’architecture s’adapte automatiquement aux modifications de topologie, telles que l’ajout de nouveaux réseaux spoke ou la modification de la connectivité, sans intervention manuelle.
Vue d’ensemble de l’architecture
L’architecture multirégion utilise une topologie hub-and-spoke dans chaque région, connectée via le peering de réseaux virtuels globaux et coordonnée par les instances azure Route Server :
Composants de base
L’architecture multirégion se compose de plusieurs composants clés qui fonctionnent ensemble pour fournir des fonctionnalités de routage dynamique. Chaque région contient un réseau virtuel hub qui héberge à la fois azure Route Server et les appliances virtuelles réseau (NVA) pour gérer les décisions de routage. Les charges de travail d’application sont déployées dans des réseaux virtuels spoke au sein de chaque région, en maintenant la séparation entre l’infrastructure réseau et les applications. Les réseaux virtuels hub sont connectés entre les régions à l’aide de l’appairage global de réseaux virtuels pour permettre la communication interrégionale. Les appliances réseau communiquent entre les régions à l’aide de tunnels sécurisés pour maintenir la synchronisation des informations de routage.
Flux de trafic
Le flux de trafic suit un modèle structuré qui garantit un routage efficace sur la topologie multirégion. Le Serveur de routes apprend les itinéraires des réseaux spoke locaux et des appliances virtuelles réseau dans sa région pour créer une table de routage complète. Les appliances virtuelles réseau établissent des tunnels sécurisés entre les régions pour partager des informations de routage et permettre la connectivité entre les régions. Chaque serveur de routage propage les itinéraires appris vers les réseaux spoke locaux, ce qui garantit que les charges de travail peuvent atteindre des destinations dans des régions distantes. Lorsque des modifications de topologie se produisent, telles que l’ajout de nouveaux réseaux spoke ou la modification de la connectivité, l’architecture déclenche automatiquement des mises à jour de routage dans toutes les régions sans nécessiter d’intervention manuelle.
Exigences de configuration
Pour implémenter cette architecture avec succès, configurez les composants suivants :
Paramètres de peering de réseaux virtuels
Activez le paramètre Utiliser la passerelle ou le serveur de routes du réseau virtuel distant lors de l'appairage des réseaux spoke aux réseaux hub. Cette configuration autorise :
- Serveur de routes pour annoncer des préfixes de réseau spoke aux appliances virtuelles réseau
- Itinéraires retenus à injecter dans des tables de routage réseau spoke
- Propagation dynamique des itinéraires sur l’ensemble de la topologie
Configuration du tunnel NVA
Établissez une communication sécurisée entre les appliances virtuelles réseau à l’aide des technologies d’encapsulation :
- Tunnels IPsec : fournir une communication chiffrée entre des appliances virtuelles réseau régionales
- Superpositions VXLAN : activer l’extension de couche 2 entre les régions
Manipulation du chemin AS dans BGP
Configurez des appliances virtuelles réseau pour modifier les chemins AS BGP pour empêcher les boucles de routage :
Important
Les appliances virtuelles réseau doivent supprimer le numéro de système autonome (ASN) 65515 du chemin AS lors de l'annonce des routes apprises à partir de régions distantes. Ce processus, connu sous le nom de « surcharge AS » ou « réécriture de chemin AS », empêche les mécanismes de prévention des boucles BGP de bloquer l'apprentissage des itinéraires. Sans cette configuration, Route Server n’apprend pas les itinéraires qui contiennent son propre ASN (65515).
Techniques courantes de chemin AS
Préfixage du chemin AS : allonge les chemins pour influencer les décisions de routage :
# Example for Cisco NVA
route-map PREPEND-AS permit 10
set as-path prepend 65001 65001
Filtrage de chemin AS : bloque les itinéraires avec des chemins AS spécifiques :
# Filter specific AS paths
ip as-path access-list 1 deny _65002_
route-map FILTER-AS permit 10
match as-path 1
Considérations relatives à la haute disponibilité
Pour une connectivité multirégion résiliente :
- Plusieurs appliances virtuelles réseau : déployer plusieurs appliances virtuelles réseau dans chaque région (le serveur de routes prend en charge jusqu’à huit homologues BGP)
- Préfixage du chemin AS : utiliser le préfixage du chemin AS pour établir des relations actives/en veille de l’appliance virtuelle réseau
- Tunnels redondants : configurer plusieurs connexions de tunnel entre les régions pour le basculement
Intégration d’ExpressRoute
Les architectures de serveur de routage multirégion peuvent s’intégrer aux circuits ExpressRoute pour étendre la connectivité aux réseaux locaux :
Avantages de l’intégration d’ExpressRoute
- Routage simplifié : les préfixes locaux s’affichent uniquement dans Azure via des publicités NVA
- Contrôle centralisé : tous les flux de trafic passent par des appliances virtuelles réseau central pour une application cohérente des stratégies de contrôle
- Optimisation des réseaux superposés : le circuit ExpressRoute prend en charge les réseaux superposés entre des appliances virtuelles de réseau
Considérations relatives à la conception
- Publication de routage : configurer des NVAs pour publier des itinéraires de réseau local plutôt que de s’appuyer uniquement sur la passerelle ExpressRoute
- Planification de la bande passante : vérifier que les circuits ExpressRoute peuvent gérer les charges de trafic interrégion
- Redondance : envisagez plusieurs circuits ExpressRoute pour la haute disponibilité
Conception alternative sans superposition de réseaux
Bien que les tunnels de superposition soient l’approche recommandée, vous pouvez implémenter une connectivité multirégion sans tunnels à l’aide d’itinéraires définis par l’utilisateur (UDR) :
Pourquoi les tunnels sont recommandés
Les tunnels de superposition offrent une protection essentielle contre les boucles de routage dans les architectures multirégions. En l'absence de tunnels de superposition, des boucles de routage peuvent se produire lorsqu'une appliance réseau virtuelle dans la région 1 reçoit les préfixes de la région 2 et les annonce au serveur de routes local. Le serveur de routes programme ensuite ces itinéraires dans tous les sous-réseaux de la région 1 avec l'appliance réseau virtuelle comme tronçon suivant. Lorsque l’appliance virtuelle réseau tente d’envoyer le trafic vers la région 2, ses propres itinéraires de sous-réseau pointent vers lui-même, créant une boucle de routage qui empêche la communication entre régions réussie. Les tunnels de superposition résolvent ce problème en créant une séparation logique entre le réseau de sous-couche (utilisé pour l’établissement du tunnel) et le réseau de superposition (utilisé pour le trafic d’application), ce qui garantit que le trafic peut circuler correctement entre les régions sans créer de boucles.
Alternative basée sur UDR
Si les tunnels de superposition ne sont pas réalisables dans votre environnement, vous pouvez implémenter une autre approche à l’aide d’itinéraires définis par l’utilisateur (UDR). Cette méthode nécessite la désactivation de la propagation des routes BGP dans les sous-réseaux de l'appliance virtuelle réseau pour empêcher l'apprentissage des routes pouvant entraîner des conflits. Vous devez ensuite configurer des itinéraires statiques en créant des UDR qui dirigent explicitement le trafic interrégion via les chemins réseau appropriés. Bien que cette approche puisse fonctionner, vous devez accepter la surcharge opérationnelle de la maintenance manuelle de ces itinéraires statiques à mesure que votre topologie réseau change au fil du temps.
Trade-offs
| Approche | Advantages | Disadvantages |
|---|---|---|
| Tunnels de superposition | Routage dynamique, adaptation automatique, sécurité | Plus de complexité de la configuration |
| Basé sur l’UDR | Configuration initiale plus simple | Gestion manuelle des itinéraires, scalabilité limitée |
Étapes suivantes
Explorez ces ressources pour implémenter et optimiser votre architecture de serveur de routage multirégion :