Rede multirregional com o Servidor de Rota do Azure

Os aplicativos modernos geralmente exigem implantação em várias regiões do Azure para atender aos requisitos de alta disponibilidade, recuperação de desastre e desempenho. O Servidor de Rota do Azure permite arquiteturas de rede sofisticadas de várias regiões que fornecem recursos de roteamento dinâmico, mantendo o controle de rede centralizado por meio de NVAs (dispositivos virtuais de rede).

Este artigo explica como projetar e implementar topologias de várias regiões usando o Servidor de Rota do Azure, incluindo integração com o ExpressRoute e considerações para evitar loops de roteamento.

Conceitos principais

A rede de várias regiões com o Servidor de Rota do Azure envolve vários conceitos importantes:

• Propagação de rota dinâmica: o Servidor de Rota do Azure troca automaticamente informações de roteamento entre regiões por meio do BGP (Border Gateway Protocol), eliminando a necessidade de gerenciamento manual de tabela de rotas à medida que sua topologia de rede evolui.

• Controle de rede centralizado: ao contrário do emparelhamento de rede virtual direta entre regiões, o Servidor de Rota permite que o tráfego flua por meio de NVAs baseadas em hub, mantendo políticas de segurança e visibilidade de rede entre regiões.

• Adaptação automática: a arquitetura se adapta automaticamente às alterações de topologia, como adicionar novas redes spoke ou modificar a conectividade, sem intervenção manual.

Visão geral da arquitetura

A arquitetura multirregional utiliza uma topologia hub-and-spoke em cada região, conectada através do emparelhamento global de redes virtuais e coordenada pelas instâncias do Azure Route Server.

Componentes principais

A arquitetura de várias regiões consiste em vários componentes principais que trabalham juntos para fornecer recursos de roteamento dinâmico. Cada região contém uma rede virtual de hub que hospeda o Servidor de Rota do Azure e NVAs (dispositivos virtuais de rede) para gerenciar decisões de roteamento. As cargas de trabalho de aplicações são implantadas em redes virtuais "spoke" em cada região, mantendo a separação entre a infraestrutura de rede e as aplicações. As redes virtuais de hub são conectadas entre regiões usando o emparelhamento de rede virtual global para habilitar a comunicação entre regiões. Os dispositivos de rede se comunicam entre regiões usando túneis seguros para manter a sincronização de informações de roteamento.

Fluxo de tráfego

O fluxo de tráfego segue um padrão estruturado que garante o roteamento eficiente em toda a topologia de várias regiões. O Servidor de Rota aprende rotas a partir de redes locais de spoke e NVAs em sua região para construir uma tabela de rotas abrangente. As NVAs estabelecem túneis seguros entre regiões para compartilhar informações de roteamento e habilitar a conectividade entre regiões. Cada Servidor de Rota propaga as rotas aprendidas para redes de spoke locais, garantindo que as cargas de trabalho possam alcançar destinos em regiões remotas. Quando ocorrem alterações de topologia, como adicionar novas redes spoke ou modificar a conectividade, a arquitetura dispara automaticamente atualizações de rota em todas as regiões sem a necessidade de intervenção manual.

Requisitos de configuração

Para implementar essa arquitetura com êxito, configure os seguintes componentes:

Configurações de emparelhamento de rede virtual

Habilite a configuração Usar o gateway ou o Servidor de Rota da rede virtual remota ao fazer o emparelhamento de redes spoke com redes de hub. Essa configuração permite:

• Servidor de Rota para anunciar prefixos de rede spoke para NVAs
• Rotas aprendidas a serem injetadas em tabelas de rotas de rede spoke
• Propagação de rota dinâmica em toda a topologia

Configuração do túnel NVA

Estabelecer uma comunicação segura entre NVAs usando tecnologias de encapsulamento:

• Túneis IPsec: fornecer comunicação criptografada entre NVAs regionais
• Sobreposições de VXLAN: habilitar a extensão de camada 2 entre regiões

Manipulação de caminho do BGP AS

Configure NVAs para modificar caminhos BGP AS para evitar loops de roteamento:

Técnicas comuns de caminho de AS

Preenchimento de caminho AS – faz com que os caminhos pareçam mais longos para influenciar decisões de roteamento:

# Example for Cisco NVA
route-map PREPEND-AS permit 10
 set as-path prepend 65001 65001

Filtragem de caminho AS – bloqueia rotas com caminhos AS específicos:

# Filter specific AS paths
ip as-path access-list 1 deny _65002_
route-map FILTER-AS permit 10
 match as-path 1

Considerações sobre alta disponibilidade

Para conectividade resiliente de várias regiões:

• Vários NVAs: implantar vários NVAs em cada região (o Servidor de Rota dá suporte a até oito pares BGP)
• Preenchimento de caminho AS: use o preenchimento de caminho AS para estabelecer relações NVA ativas/em espera
• Túneis redundantes: configure várias conexões de túnel entre regiões para failover

Integração do ExpressRoute

As arquiteturas do Route Server de várias regiões podem se integrar aos circuitos do ExpressRoute para estender a conectividade com redes corporativas.

Benefícios da integração do ExpressRoute

• Roteamento simplificado: prefixos locais aparecem no Azure somente por meio de anúncios NVA
• Controle centralizado: todo o tráfego é direcionado através das NVAs do hub para a aplicação de políticas consistentes
• Otimização de sobreposição: o circuito do ExpressRoute dá suporte a redes de sobreposição entre NVAs

Considerações sobre o design

• Anúncio de rotas: configure NVAs para anunciar as rotas locais em vez de depender exclusivamente do gateway do ExpressRoute
• Planejamento de largura de banda: verifique se os circuitos do ExpressRoute podem lidar com cargas de tráfego entre regiões
• Redundância: considere vários circuitos do ExpressRoute para alta disponibilidade

Design alternativo sem sobreposição de redes

Embora os túneis de sobreposição sejam a abordagem recomendada, você pode implementar a conectividade de várias regiões sem túneis usando UDRs (rotas definidas pelo usuário):

Por que os túneis são recomendados

Os túneis de sobreposição fornecem proteção fundamental contra loops de roteamento em arquiteturas de várias regiões. Sem túneis de sobreposição, os loops de roteamento podem ocorrer quando uma NVA na Região 1 aprende os prefixos da Região 2 e os divulga para o Servidor de Rota local. Em seguida, o Servidor de Rota programa essas rotas em todas as sub-redes da Região 1 com a NVA como o próximo salto. Quando a NVA tenta enviar tráfego para a Região 2, suas próprias rotas de sub-rede apontam para si mesma, criando um loop de roteamento que impede a comunicação entre regiões bem-sucedida. Os túneis de sobreposição resolvem esse problema criando uma separação lógica entre a rede de sobreposição (usada para o estabelecimento do túnel) e a rede de sobreposição (usada para tráfego de aplicativo), garantindo que o tráfego possa fluir corretamente entre regiões sem criar loops.

Alternativa baseada em UDR

Se os túneis de sobreposição não forem viáveis em seu ambiente, você poderá implementar uma abordagem alternativa usando UDRs (rotas definidas pelo usuário). Esse método requer desabilitar a propagação de rota BGP nas sub-redes NVA para impedir o aprendizado automático de rota que possa causar conflitos. Em seguida, você deve configurar rotas estáticas criando UDRs que direcionam explicitamente o tráfego entre regiões por meio dos caminhos de rede apropriados. Embora essa abordagem possa funcionar, você deve aceitar a sobrecarga operacional de manter manualmente essas rotas estáticas à medida que a topologia de rede muda ao longo do tempo.

Trade-offs

Próximas etapas

Explore esses recursos para implementar e otimizar sua arquitetura do Servidor de Rota de várias regiões:

• Suporte do Servidor de Rota do Azure para ExpressRoute e VPN do Azure
• Configurar o emparelhamento entre o Servidor de Rota do Azure e a solução de virtualização de rede
• O que é o Servidor de Rotas do Azure?
• Monitorar o Servidor de Rota do Azure com o Azure Monitor