Os filtros de rota permitem consumir um subconjunto de serviços com suporte por meio do emparelhamento da Microsoft. Este artigo orienta você na configuração e no gerenciamento de filtros de rota para circuitos do ExpressRoute.
Serviços do Microsoft 365, como Exchange Online, SharePoint Online e Skype for Business, são acessíveis por meio do emparelhamento da Microsoft. Quando o emparelhamento da Microsoft é configurado em um circuito do ExpressRoute, todos os prefixos relacionados a esses serviços são anunciados por meio das sessões BGP. Cada prefixo tem um valor de comunidade BGP para identificar o serviço que oferece. Para obter uma lista de valores da comunidade BGP e seus serviços correspondentes, confira Comunidades BGP.
A conexão a todos os serviços do Azure e do Microsoft 365 pode resultar em um grande número de prefixos anunciados por meio do BGP, aumentando significativamente o tamanho das tabelas de rotas. Se você precisar apenas de um subconjunto de serviços oferecidos por meio do emparelhamento da Microsoft, poderá reduzir o tamanho da tabela de rotas:
- Filtrando prefixos indesejados usando filtros de rota nas comunidades BGP, uma prática comum de rede.
- Definindo filtros de rota e aplicando-os ao circuito do ExpressRoute. Um filtro de rota é um recurso que permite selecionar os serviços que você planeja consumir por meio do emparelhamento da Microsoft. Os roteadores do ExpressRoute enviam apenas prefixos para os serviços identificados no filtro de rota.
Sobre filtros de rota
Quando o emparelhamento da Microsoft é configurado no circuito do ExpressRoute, os roteadores de borda da Microsoft estabelecem sessões BGP com seus roteadores de borda por meio do seu provedor de conectividade. Nenhuma rota é anunciada para a rede até que você associe um filtro de rota.
Um filtro de rota permite especificar os serviços que você deseja consumir por meio do emparelhamento da Microsoft do circuito do ExpressRoute. Ele atua como uma lista de valores da comunidade BGP permitidos. Depois que um filtro de rota é definido e anexado a um circuito do ExpressRoute, todos os prefixos que mapeiam para os valores da comunidade BGP são anunciados para a rede.
Para anexar filtros de rota com serviços do Microsoft 365, você deve estar autorizado a consumir serviços do Microsoft 365 por meio do ExpressRoute. Se você não estiver autorizado, a operação de anexação de filtros de rota falhará. Para obter mais informações sobre o processo de autorização, confira o Azure ExpressRoute para Microsoft 365.
Importante
O emparelhamento da Microsoft dos circuitos do ExpressRoute configurados antes de 1º de agosto de 2017 terá todos os prefixos de serviços do Microsoft Office anunciados por meio do emparelhamento da Microsoft, mesmo sem filtros de rota. Para circuitos configurados em ou após 1º de agosto de 2017, nenhum prefixo será anunciado até que um filtro de rota seja anexado ao circuito.
Pré-requisitos
Verifique os pré-requisitos e os fluxos de trabalho antes de iniciar a configuração.
- Verifique se você tem um circuito do ExpressRoute ativo com emparelhamento da Microsoft configurado. Para obter instruções, consulte:
- Você deve ter um circuito de ExpressRoute ativado que tenha o Microsoft emparelhamento provisionado. Você pode usar as instruções a seguir para realizar estas tarefas:
-
Crie um circuito do ExpressRoute e habilite-o pelo provedor de conectividade antes de prosseguir. O circuito de ExpressRoute deve estar em um estado habilitado e provisionado.
-
Crie o emparelhamento da Microsoft se você gerenciar a sessão de BGP diretamente. Ou então, faça com que seu provedor de conectividade provisione emparelhamento da Microsoft para o circuito.
Azure Cloud Shell
O Azure hospeda o Azure Cloud Shell, um ambiente de shell interativo que você pode usar por meio do navegador. Você pode usar o Bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. Você pode usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada em seu ambiente local.
Para iniciar o Azure Cloud Shell:
| Opção |
Exemplo/Link |
| Selecione Experimente no canto superior direito de um código ou bloco de comando. Selecionar Experimentar não copia automaticamente o código nem o comando para o Cloud Shell. |
|
| Acesse https://shell.azure.com ou selecione o botão Iniciar o Cloud Shell para abri-lo no navegador. |
|
| Selecione o botão Cloud Shell na barra de menus no canto superior direito do portal do Azure. |
|
Para usar o Azure Cloud Shell:
Inicie o Cloud Shell.
Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou o comando.
Cole o código ou o comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e Linux ou selecionando Cmd+Shift+V no macOS.
Pressione Enter para executar o código ou o comando.
- Entre na sua conta do Azure e selecione sua assinatura
Se estiver usando o Azure Cloud Shell, você entrará na conta do Azure automaticamente após clicar em “Experimentar”. Para entrar localmente, abra o console do PowerShell com privilégios elevados e execute o cmdlet para se conectar.
Connect-AzAccount
Se você tiver mais de uma assinatura, obtenha uma lista das assinaturas do Azure.
Get-AzSubscription
Especifique a assinatura que deseja usar.
Select-AzSubscription -SubscriptionName "Name of subscription"
Para se conectar aos serviços por meio do emparelhamento da Microsoft, você precisa concluir as seguintes etapas de configuração:
- Você deve ter um circuito de ExpressRoute ativado que tenha o Microsoft emparelhamento provisionado. Você pode usar as instruções a seguir para realizar estas tarefas:
-
Crie um circuito do ExpressRoute e habilite-o pelo provedor de conectividade antes de prosseguir. O circuito de ExpressRoute deve estar em um estado habilitado e provisionado.
-
Crie o emparelhamento da Microsoft se você gerenciar a sessão de BGP diretamente. Ou então, faça com que seu provedor de conectividade provisione emparelhamento da Microsoft para o circuito.
Azure Cloud Shell
O Azure hospeda o Azure Cloud Shell, um ambiente de shell interativo que você pode usar por meio do navegador. Você pode usar o Bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. Você pode usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada em seu ambiente local.
Para iniciar o Azure Cloud Shell:
| Opção |
Exemplo/Link |
| Selecione Experimente no canto superior direito de um código ou bloco de comando. Selecionar Experimentar não copia automaticamente o código nem o comando para o Cloud Shell. |
|
| Acesse https://shell.azure.com ou selecione o botão Iniciar o Cloud Shell para abri-lo no navegador. |
|
| Selecione o botão Cloud Shell na barra de menus no canto superior direito do portal do Azure. |
|
Para usar o Azure Cloud Shell:
Inicie o Cloud Shell.
Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou o comando.
Cole o código ou o comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e Linux ou selecionando Cmd+Shift+V no macOS.
Pressione Enter para executar o código ou o comando.
Caso opte por instalar e usar a CLI localmente, este tutorial exigirá a CLI do Azure versão 2.0.28 ou mais recente. Para saber qual é a versão, execute az --version. Se você precisar instalar ou atualizar, confira Instalar a CLI do Azure.
Entre na sua conta do Azure e selecione sua assinatura
Para iniciar sua configuração, entrar na sua conta do Azure. Se estiver usando a versão "Experimentar", você entrará automaticamente e poderá ignorar a etapa de entrada. Use o exemplo a seguir para ajudar a conectar:
az login
Verifique as assinaturas da conta.
az account list
Selecione a assinatura para a qual você deseja criar um circuito do ExpressRoute.
az account set --subscription "<subscription ID>"
Obter uma lista de prefixos e valores de comunidade BGP
Obtenha uma lista de valores da comunidade BGP. Encontre os valores da comunidade BGP associados aos serviços acessíveis por meio do emparelhamento da Microsoft na página Requisitos de roteamento do ExpressRoute.
Use o seguinte cmdlet para obter a lista de valores de comunidade do BGP associados aos serviços acessíveis por meio do emparelhamento da Microsoft:
Get-AzBgpServiceCommunity
Use o seguinte cmdlet para obter a lista de valores de comunidade do BGP associados aos serviços acessíveis por meio do emparelhamento da Microsoft:
az network route-filter rule list-service-communities
Faça uma lista dos valores que você deseja usar
Liste os valores da comunidade BGP que você deseja usar no filtro de rota.
Criar um filtro de rota e uma regra de filtro
Um filtro de rota pode ter apenas uma regra, que deve ser do tipo Permitir. Essa regra pode incluir uma lista de valores da comunidade BGP.
Selecione Criar um recurso e pesquise Filtro de rota:
Coloque o filtro de rota em um grupo de recursos. Verifique se a localização corresponde ao circuito do ExpressRoute. Selecione Examinar + criar e depois Criar.
Criar uma regra de filtro
Para adicionar e atualizar regras, selecione a guia de regras gerenciadas para o filtro de rota.
Em seguida, selecione os serviços aos quais você deseja se conectar na lista suspensa e salve a regra.
Um filtro de rota pode ter apenas uma regra, que deve ser do tipo Allow. Essa regra pode ter uma lista de valores de comunidade BGP associados a ela. O comando az network route-filter create cria somente um recurso de filtro de rota. Depois de criar o recurso, você deve criar uma regra e anexá-la ao objeto de filtro de rota.
Para criar um recurso de filtro de rota, execute o seguinte comando:
New-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup" -Location "West US"
Para criar uma regra de filtro de rota, execute o seguinte comando:
$rule = New-AzRouteFilterRuleConfig -Name "Allow-EXO-D365" -Access Allow -RouteFilterRuleType Community -CommunityList 12076:5010,12076:5040
Execute o comando a seguir para adicionar uma regra ao filtro de rota:
$routefilter = Get-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
$routefilter.Rules.Add($rule)
Set-AzRouteFilter -RouteFilter $routefilter
Um filtro de rota pode ter apenas uma regra, que deve ser do tipo 'Permitir'. Essa regra pode ter uma lista de valores de comunidade BGP associados a ela. O comando az network route-filter create cria somente um recurso de filtro de rota. Depois de criar o recurso, você deve criar uma regra e anexá-la ao objeto de filtro de rota.
Para criar um recurso de filtro de rota, execute o seguinte comando:
az network route-filter create -n MyRouteFilter -g MyResourceGroup
Para criar uma regra de filtro de rota, execute o seguinte comando:
az network route-filter rule create --filter-name MyRouteFilter -n CRM --communities 12076:5040 --access Allow -g MyResourceGroup
Anexar o filtro de rota a um circuito de ExpressRoute
Anexe o filtro de rota a um circuito selecionando o botão + Adicionar Circuito e escolhendo o circuito do ExpressRoute na lista suspensa.
Se o seu provedor de conectividade configurar o emparelhamento para o circuito do ExpressRoute, atualize o circuito na página do circuito do ExpressRoute antes de selecionar o botão + Adicionar Circuito.
Execute o seguinte comando para anexar o filtro de rota ao circuito ExpressRoute, supondo que você tenha apenas emparelhamento da Microsoft:
$ckt = Get-AzExpressRouteCircuit -Name "ExpressRouteARMCircuit" -ResourceGroupName "MyResourceGroup"
$index = [array]::IndexOf(@($ckt.Peerings.PeeringType), "MicrosoftPeering")
$ckt.Peerings[$index].RouteFilter = $routefilter
Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
Execute o comando a seguir para anexar o filtro de rota ao circuito de ExpressRoute:
az network express-route peering update --circuit-name MyCircuit -g ExpressRouteResourceGroupName --name MicrosoftPeering --route-filter MyRouteFilter
Tarefas comuns
Para obter as propriedades de um filtro de rota
Exiba as propriedades de um filtro de rota abrindo o recurso no portal.
Para obter as propriedades de um filtro de rota, use as seguintes etapas:
Execute o comando a seguir para obter o recurso de filtro de rota:
$routefilter = Get-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
Obtenha as regras de filtro de rota para o recurso de filtro de rota, executando o seguinte comando:
$routefilter = Get-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
$rule = $routefilter.Rules[0]
Para obter as propriedades de um filtro de rota, use o seguinte comando:
az network route-filter show -g ExpressRouteResourceGroupName --name MyRouteFilter
Para atualizar as propriedades de um filtro de rota
Atualize a lista de valores da comunidade BGP anexados a um circuito selecionando o botão Gerenciar regra.
Selecione as comunidades de serviço que você deseja e, em seguida, selecione Salvar.
Se o filtro de rota já está anexado a um circuito, as atualizações à lista de comunidade do BGP propagam automaticamente as alterações de anúncio de prefixo apropriadas por meio das sessões BGP estabelecidas. Você pode atualizar a lista de comunidades BGP de seu filtro de rota usando o seguinte comando:
$routefilter = Get-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
$routefilter.rules[0].Communities = "12076:5030", "12076:5040"
Set-AzRouteFilter -RouteFilter $routefilter
Se o filtro de rota já está anexado a um circuito, as atualizações à lista de comunidade do BGP propagam automaticamente as alterações de anúncio de prefixo apropriadas por meio das sessões BGP estabelecidas. Você pode atualizar a lista de comunidades BGP de seu filtro de rota usando o seguinte comando:
az network route-filter rule update --filter-name MyRouteFilter -n CRM -g ExpressRouteResourceGroupName --add communities '12076:5040' --add communities '12076:5010'
Para desanexar um filtro de rota de um circuito de ExpressRoute
Desanexe um circuito do filtro de rota clicando com o botão direito do mouse no circuito e selecionando Desassociar.
Depois que um filtro de rota é desanexado do circuito de ExpressRoute, nenhum prefixo é anunciado através da sessão de BGP. Você pode desanexar um filtro de rota de um circuito de ExpressRoute usando o seguinte comando:
$ckt.Peerings[0].RouteFilter = $null
Set-AzExpressRouteCircuit -ExpressRouteCircuit $ckt
Depois que um filtro de rota é desanexado do circuito de ExpressRoute, nenhum prefixo é anunciado através da sessão de BGP. Você pode desanexar um filtro de rota de um circuito de ExpressRoute usando o seguinte comando:
az network express-route peering update --circuit-name MyCircuit -g ExpressRouteResourceGroupName --name MicrosoftPeering --remove routeFilter
Limpar os recursos
Exclua um filtro de rota selecionando o botão Excluir. Verifique se o filtro de rota não está associado a nenhum circuito antes de prosseguir.
Você só poderá excluir um filtro de rota se ele não estiver anexado a nenhum circuito. Verifique se o filtro de rota não está anexado a nenhum circuito antes de tentar excluí-lo. Você pode excluir um filtro de rota usando o seguinte comando:
Remove-AzRouteFilter -Name "MyRouteFilter" -ResourceGroupName "MyResourceGroup"
Você só poderá excluir um filtro de rota se ele não estiver anexado a nenhum circuito. Verifique se o filtro de rota não está anexado a nenhum circuito antes de tentar excluí-lo. Você pode excluir um filtro de rota usando o seguinte comando:
az network route-filter delete -n MyRouteFilter -g MyResourceGroup
Próximas etapas
Para obter informações sobre exemplos de configuração de roteador, confira:
