Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Nowoczesne aplikacje często wymagają wdrożenia w wielu regionach platformy Azure w celu spełnienia wymagań dotyczących wysokiej dostępności, odzyskiwania po awarii i wydajności. Usługa Azure Route Server umożliwia zaawansowane architektury sieci w wielu regionach, które zapewniają dynamiczne możliwości routingu przy zachowaniu scentralizowanej kontroli sieci za pośrednictwem wirtualnych urządzeń sieciowych (WUS).
W tym artykule wyjaśniono, jak projektować i implementować topologie obejmujące wiele regionów przy użyciu usługi Azure Route Server, w tym integrację z usługą ExpressRoute i zagadnienia dotyczące unikania pętli routingu.
Najważniejsze pojęcia
Sieć w wielu regionach z usługą Azure Route Server obejmuje kilka ważnych pojęć:
Propagacja tras dynamicznych: usługa Azure Route Server automatycznie wymienia informacje o routingu między regionami za pośrednictwem protokołu BGP (Border Gateway Protocol), eliminując konieczność ręcznego zarządzania tabelami tras w miarę rozwoju topologii sieci.
Centralizowana kontrola sieci: W przeciwieństwie do bezpośredniego peeringu sieci wirtualnych między regionami, usługa Route Server umożliwia przepływ ruchu przez wirtualne urządzenia sieciowe oparte na koncentratorach, utrzymując zasady zabezpieczeń oraz widoczność sieci między regionami.
Automatyczna adaptacja: Architektura automatycznie dostosowuje się do zmian topologii, takich jak dodawanie nowych sieci szprych lub modyfikowanie łączności bez interwencji ręcznej.
Przegląd architektury
Architektura z wieloma regionami korzysta z topologii piasty i szprych w każdym regionie połączonej za pośrednictwem globalnej komunikacji równorzędnej sieci wirtualnych i koordynowanej przez wystąpienia usługi Azure Route Server:
Diagram przedstawiający architekturę sieci w wielu regionach z usługą Azure Route Server w każdej sieci wirtualnej w centrali.
Podstawowe składniki
Architektura z wieloma regionami składa się z kilku kluczowych składników, które współpracują ze sobą w celu zapewnienia możliwości routingu dynamicznego. Każdy region zawiera sieć wirtualną koncentratora, która hostuje zarówno usługę Azure Route Server, jak i wirtualne urządzenia sieciowe (WUS) w celu zarządzania decyzjami dotyczącymi routingu. Obciążenia aplikacji są umieszczane w sieciach wirtualnych typu "spoke" w każdym regionie, zachowując separację między infrastrukturą sieciową a aplikacjami. Sieci wirtualne koncentratora są połączone między regionami przy użyciu globalnego równorzędnego łączenia sieci wirtualnych w celu umożliwienia komunikacji między regionami. Urządzenia sieciowe komunikują się między regionami przy użyciu bezpiecznych tuneli w celu zachowania synchronizacji informacji o routingu.
Przepływ ruchu
Przepływ ruchu jest zgodny ze strukturą, która zapewnia wydajny routing w topologii obejmującej wiele regionów. Serwer routingu uczy się tras zarówno z lokalnych sieci spolowych, jak i wirtualnych urządzeń sieciowych w danym regionie w celu utworzenia kompleksowej tabeli routingu. NVAs ustanawiają bezpieczne tunele między regionami, aby udostępniać informacje o routingu i umożliwiać łączność między nimi. Każdy serwer tras propaguje poznane trasy do lokalnych sieci końcowych, dzięki czemu obciążenia mogą dotrzeć do miejsc docelowych w odległych regionach. Gdy wystąpią zmiany topologii, takie jak dodawanie nowych sieci szprychowych lub modyfikowanie łączności, architektura automatycznie wyzwala aktualizacje tras we wszystkich regionach bez konieczności ręcznej interwencji.
Wymagania dotyczące konfiguracji
Aby pomyślnie zaimplementować tę architekturę, skonfiguruj następujące składniki:
Ustawienia peeringu sieci wirtualnej
Włącz ustawienie Użyj bramy sieci wirtualnej lub serwera tras zdalnych podczas peeringu sieci przypisanych do sieci koncentratora. Ta konfiguracja umożliwia:
- Serwer trasujący do reklamowania prefiksów sieci szprychowej do urządzeń NVA.
- Poznane trasy do wprowadzenia do tabeli tras sieci szprychy
- Propagacja tras dynamicznych w całej topologii
Konfiguracja tunelu NVA
Ustanów bezpieczną komunikację między urządzeniami WUS przy użyciu technologii hermetyzacji:
- Tunele IPsec: zapewnianie zaszyfrowanej komunikacji między regionalnymi urządzeniami WUS
- Nakładki sieci VXLAN: umożliwiają rozszerzenie warstwy 2 pomiędzy regionami
Manipulowanie ścieżką AS protokołu BGP
Skonfiguruj urządzenia NVA, aby modyfikowały ścieżki AS protokołu BGP w celu zapobiegania zapętleniu trasowania.
Ważne
Urządzenia NVA muszą usunąć numer systemu autonomicznego (ASN) 65515 ze ścieżki AS podczas anonsowania tras poznanych z zdalnych regionów. Proces, znany jako "przesłanianie AS" lub "przepisywanie ścieżki AS", uniemożliwia mechanizmom zapobiegania pętli BGP blokowanie uczenia się tras. Bez tej konfiguracji usługa Route Server nie uczy tras zawierających własną nazwę ASN (65515).
Typowe techniki ścieżek AS
Dołączanie ścieżki AS — sprawia, że ścieżki wydają się dłużej wpływać na decyzje dotyczące routingu:
# Example for Cisco NVA
route-map PREPEND-AS permit 10
set as-path prepend 65001 65001
Filtrowanie ścieżek AS — blokuje trasy z określonymi ścieżkami AS:
# Filter specific AS paths
ip as-path access-list 1 deny _65002_
route-map FILTER-AS permit 10
match as-path 1
Zagadnienia dotyczące wysokiej dostępności
W przypadku odpornej łączności w wielu regionach:
- Wiele urządzeń NVA: wdrażanie wielu urządzeń NVA w każdym regionie (usługa Route Server obsługuje maksymalnie ośmiu sąsiadów BGP)
- Dołączanie ścieżki AS: Użyj prepandowania ścieżki AS, aby ustanowić relacje aktywnego/rezerwowego NVA
- Zapasowe tunele: Konfigurowanie wielu połączeń tunelowych między regionami w celu zapewnienia przełączenia awaryjnego
Integracja usługi ExpressRoute
Architektury usługi Route Server w wielu regionach mogą integrować się z obwodami usługi ExpressRoute w celu rozszerzenia łączności z sieciami lokalnymi:
Zalety integracji usługi ExpressRoute
- Uproszczony routing: prefiksy lokalne są wyświetlane na platformie Azure tylko za pośrednictwem anonsów urządzeń NVA
- Scentralizowana kontrola: cały ruch przepływa przez hub NVAs w celu zapewnienia spójnego egzekwowania zasad
- Optymalizacja nakładki: układ ExpressRoute obsługuje sieci nakładkowe między wirtualnymi urządzeniami sieciowymi
Uwagi dotyczące projektowania
- Reklamowanie tras: skonfiguruj urządzenia NVA do reklamowania tras lokalnych, a nie polegania wyłącznie na bramie usługi ExpressRoute
- Planowanie przepustowości: Upewnij się, że obwody usługi ExpressRoute mogą obsługiwać obciążenia ruchu między regionami
- Redundancja: rozważ użycie wielu połączeń usługi ExpressRoute w celu zapewnienia wysokiej dostępności
Alternatywna architektura bez sieci nakładek
Chociaż tunele nakładkowe są zalecane, można wdrożyć łączność z wieloma regionami bez tuneli przy użyciu tras zdefiniowanych przez użytkownika (UDR):
Dlaczego zalecane są tunele
Tunele nakładkowe zapewniają kluczową ochronę przed pętlami routingu w architekturach obejmujących wiele regionów. Bez tuneli nakładki pętle routingu mogą wystąpić, gdy urządzenie NVA w regionie 1 pobiera prefiksy z regionu 2 i przekazuje je do lokalnego serwera tras. Następnie Route Server konfiguruje te trasy we wszystkich podsieciach regionu 1 z NVA jako następnym przeskokiem. Kiedy NVA próbuje wysłać ruch do Regionu 2, jego własne trasy podsieci wskazują z powrotem na siebie, co tworzy pętlę routingu uniemożliwiającą pomyślną komunikację między regionami. Tunele nakładki rozwiązują ten problem, tworząc logiczny podział między siecią podstawową (używaną do ustanawiania tunelu) a siecią nakładki (używaną do ruchu aplikacji), zapewniając, że ruch może przepływać poprawnie między regionami bez tworzenia pętli.
Alternatywa oparta na routingach zdefiniowanych przez użytkownika
Jeśli tunele nakładki nie są możliwe w danym środowisku, możesz zaimplementować alternatywne podejście przy użyciu tras zdefiniowanych przez użytkownika (UDR). ** Ta metoda wymaga wyłączenia propagacji tras protokołu BGP w podsieciach NVA, aby zapobiec automatycznemu zdobywaniu tras, co mogłoby prowadzić do konfliktów. Następnie należy skonfigurować trasy statyczne, tworząc zdefiniowane przez użytkownika trasy (UDR), które jawnie kierują ruch między różnymi regionami za pośrednictwem odpowiednich ścieżek sieciowych. Chociaż takie podejście może działać, należy zaakceptować koszty operacyjne ręcznego utrzymywania tych tras statycznych, ponieważ topologia sieci zmienia się wraz z upływem czasu.
Trade-offs
| Metoda | Advantages | Disadvantages |
|---|---|---|
| Tunele nakładki | Routing dynamiczny, automatyczna adaptacja, zabezpieczenia | Większa złożoność konfiguracji |
| Oparte na trasach zdefiniowanych przez użytkownika (UDR) | Prostsza konfiguracja początkowa | Ręczne zarządzanie trasami, ograniczona skalowalność |
Dalsze kroki
Zapoznaj się z tymi zasobami, aby zaimplementować i zoptymalizować architekturę usługi Route Server w wielu regionach: