Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece respostas para perguntas frequentes sobre o Servidor de Rota do Azure, abrangendo informações gerais de serviço, recursos de roteamento e limitações atuais.
Geral
O que é o Servidor de Rota do Azure?
O Servidor de Rota do Azure é um serviço totalmente gerenciado que permite que você gerencie facilmente o roteamento entre sua NVA (solução de virtualização de rede) e rede virtual.
O Servidor de Rota do Azure é apenas uma máquina virtual?
Não. O Servidor de Rota do Azure é um serviço projetado com alta disponibilidade. O Servidor de Rota terá redundância no nível da zona se você implantá-lo em uma região do Azure que dá suporte a Zonas de Disponibilidade.
Preciso emparelhar cada NVA com ambas as instâncias do Servidor de Rota do Azure?
Sim, você deve emparelhar cada instância de NVA com ambas as instâncias do Servidor de Rota para garantir que o Servidor de Rota receba as rotas com sucesso e para configurar a alta disponibilidade. Você também deve anunciar as mesmas rotas para ambas as instâncias. Também recomendamos que você emparelhe pelo menos duas instâncias de NVA com ambas as instâncias do Servidor de Rota.
Observação
Durante eventos de manutenção do Servidor de Rota, o emparelhamento BGP pode ficar inoperante entre sua NVA e uma das instâncias do Servidor de Rota. Se você configurar sua NVA para emparelhar com ambas as instâncias do Servidor de Roteamento, sua conectividade permanecerá disponível durante eventos de manutenção.
Posso receber uma notificação avançada de manutenção?
Atualmente, você não pode receber uma notificação avançada para manutenção do Servidor de Rota do Azure.
O Servidor de Rota do Azure armazena dados do cliente?
Não. O Servidor de Rota do Azure apenas troca rotas BGP com seu dispositivo de rede virtual (NVA) e as propaga para sua rede virtual.
O Servidor de Rota do Azure dá suporte ao emparelhamento de rede virtual?
Sim. Se você emparelhar uma rede virtual que hospeda o Servidor de Rota do Azure a outra rede virtual e habilitar Usar o gateway da rede virtual remota ou o Servidor de Rota na segunda rede virtual, o Servidor de Rota do Azure registrará os espaços de endereço da rede virtual emparelhada e os enviará para todos os aparelhos virtuais de rede emparelhados (NVAs). O Servidor de Rota também programa as rotas das NVAs na tabela de rotas das máquinas virtuais na rede virtual emparelhada.
Por que o Servidor de Rota do Azure requer um endereço IP público com portas abertas?
Esses pontos de extremidade públicos são necessários para que a rede definida por software (SDN) subjacente do Azure e sua plataforma de gerenciamento se comuniquem com o Servidor de Roteamento do Azure. Como o Servidor de Rota é considerado parte da rede privada do cliente, a plataforma subjacente do Azure não pode acessar e gerenciar diretamente o Servidor de Rota por meio de seus pontos de extremidade privados devido aos requisitos de conformidade. A conectividade com os pontos de extremidade públicos do Servidor de Rota é autenticada por meio de certificados, e o Azure realiza auditorias de segurança rotineiras desses pontos de extremidade públicos. Como resultado, eles não constituem uma exposição de segurança da sua rede virtual.
Observação
O Azure assina esses certificados com uma autoridade de certificação interna, portanto, essa cadeia de certificados parece não ser assinada por uma autoridade confiável conhecida. Isso não representa uma vulnerabilidade SSL.
O Servidor de Rota do Azure dá suporte a IPv6?
Não. Se você implantar uma rede virtual com um espaço de endereço IPv6 e, posteriormente, implantar um Servidor de Rota do Azure na mesma rede virtual, isso interromperá a conectividade com o tráfego IPv6.
Você pode emparelhar uma rede virtual com um espaço de endereço IPv6 para a rede virtual do Servidor de Rota e a conectividade IPv4 com essa rede virtual de pilha dupla emparelhada continuará funcionando. Não há suporte para conectividade IPv6 com essa rede virtual emparelhada.
O que são unidades de infraestrutura de roteamento?
Por padrão, um Servidor de Rota do Azure é implantado com uma capacidade de duas unidades de infraestrutura de roteamento. Essa implantação padrão dá suporte a 4.000 VMs conectadas implantadas na rede virtual do Servidor de Rota e em todas as redes virtuais emparelhadas.
Você pode especificar mais unidades de infraestrutura de roteamento para aumentar a capacidade do Servidor de Rota em incrementos de 1.000 VMs. Cada unidade de infraestrutura de roteamento adicional custa US$ 0,10/hora nos Estados Unidos. Os preços em outras regiões podem variar. Os preços completos, incluindo diferenças regionais, estarão disponíveis em meados de dezembro na página oficial de preços do Azure.
Roteamento
O Servidor de Rota do Azure roteia o tráfego de dados entre meu NVA e minhas VMs?
Não. O Servidor de Rota do Azure só troca rotas BGP com sua solução de virtualização de rede (NVA). O tráfego de dados passa diretamente da NVA para a máquina virtual (VM) e da VM para a NVA.
Para quais protocolos de roteamento o Servidor de Rota do Azure dá suporte?
O Servidor de Rota do Azure dá suporte apenas ao BGP (Border Gateway Protocol). Seu dispositivo de rede virtual (NVA) precisa dar suporte ao BGP externo de vários saltos, porque você precisará implantar o Servidor de Rota do Azure em uma sub-rede dedicada na sua rede virtual. Quando você configura o BGP na NVA, o ASN escolhido deve ser diferente do ASN do Servidor de Rota.
O Servidor de Rota do Azure preserva o caminho do sistema autônomo BGP da rota que recebe?
Sim, o Servidor de Rota do Azure propaga a rota com o caminho do sistema autônomo BGP intacto.
Se o AS path prepend estiver configurado em um NVA em direção ao Servidor de Rota, o circuito ExpressRoute passa as informações do AS path prepend para o local?
Quando o ExpressRoute anuncia rotas para o local, ele remove as informações privadas do ASN do BGP. O local recebe o prefixo com AS 12076.
O Servidor de Rota do Azure preserva as comunidades BGP da rota que recebe?
Sim, o Azure Route Server propaga a rota mantendo as comunidades BGP intactas.
Qual é a configuração de temporizador BGP do Servidor de Rota do Azure?
O temporizador keep-alive do Servidor de Rota do Azure é de 60 segundos e o temporizador de retenção é de 180 segundos.
O Servidor de Rota do Azure pode filtrar as rotas do NVAs?
O Servidor de Rota do Azure suporta a comunidade BGP NO_ADVERTISE. Se um dispositivo de rede virtual (NVA) anunciar rotas com essa cadeia de caracteres de comunidade para o Servidor de Rota, o Servidor de Rota não o anunciará para outros pares, incluindo o gateway do ExpressRoute. Esse recurso pode ajudar a reduzir o número de rotas a serem enviadas do Servidor de Rota do Azure para o ExpressRoute.
Quando um emparelhamento de rede virtual for criado entre a rede virtual do hub e a rede virtual spoke, isso causa uma redefinição reversível do BGP entre o Servidor de Rota do Azure e seus NVAs emparelhados?
Sim. Se um emparelhamento de rede virtual for criado entre a rede virtual do hub e a rede virtual spoke, o Servidor de Rota do Azure executará uma redefinição reversível de BGP enviando solicitações de atualização de rota para todos os seus NVAs emparelhados. Se os NVAs não derem suporte à atualização de rotas BGP, o Servidor de Rota do Azure executará uma redefinição forçada de BGP com os NVAs emparelhados, o que pode causar interrupção de conectividade para o tráfego que passa através dos NVAs.
Como é calculado o limite de 4000 rotas em uma sessão de emparelhamento BGP entre um NVA e um Servidor de Rotas do Azure?
Atualmente, o Route Server pode aceitar até 4.000 rotas de um único peer BGP. Quando o Servidor de Rota processa atualizações de rotas BGP, esse limite é calculado como o número de rotas atuais aprendidas com um par BGP mais o número de rotas incluídas na atualização de rota BGP. Por exemplo, se um NVA inicialmente anunciar 2001 rotas para o Servidor de Rota e posteriormente anunciar novamente essas 2001 rotas em uma atualização de rota BGP, o Servidor de Rota calculará isso como 4.002 rotas e encerrará a sessão BGP.
Quais ASNs (Números do Sistema Autônomo) posso usar?
Você pode usar os próprios ASNs públicos ou privados no seu dispositivo de rede virtual (NVA). Você não pode usar ASNs reservados pelo Azure ou pela IANA (Autoridade de Número Atribuída à Internet).
ASNs reservados pelo Azure:
- ASNs públicos: 8074, 8075, 12076
- ASNs privados: 65515, 65517, 65518, 65519, 65520
ASNs reservados pela IANA:
- 23456, 64496-64511, 65535-65551
Posso usar os ASNs de 32 bits (4 bytes)?
Não, o Servidor de Rota do Azure dá suporte apenas aos ASNs de 16 bits (2 bytes).
Se o Servidor de Rota do Azure receber a mesma rota de mais de um NVA, como ele resolve a situação?
Se a rota tiver o mesmo comprimento de caminho AS, o Servidor de Rota do Azure programa várias cópias da rota, cada uma com um próximo salto diferente, para as VMs (máquinas virtuais) na rede virtual. Quando uma VM envia tráfego para o destino dessa rota, o host da VM usa roteamento Equal-Cost Multi-Path (ECMP). No entanto, se um NVA enviar a rota com um comprimento de caminho AS mais curto do que outros NVAs, o Servidor de Rota do Azure programa apenas a rota que tem o próximo salto definido para esse NVA para as VMs na rede virtual.
A criação de um Servidor de Rota afeta a operação de gateways de rede virtual existentes (VPN ou ExpressRoute)?
Sim. Quando você cria ou exclui um Servidor de Rota em uma rede virtual que contém um gateway de rede virtual (ExpressRoute ou VPN), espera que o tempo de inatividade dure 10 minutos. A implantação real do Servidor de Rota pode levar de 30 a 60 minutos para ser concluída, portanto, recomendamos agendar uma janela de manutenção de 60 minutos para implantação. Se você tiver um circuito ExpressRoute conectado à rede virtual onde está criando ou excluindo o servidor de rota, o tempo de inatividade não afetará o circuito ExpressRoute ou suas conexões com outras redes virtuais.
O Servidor de Rota do Azure troca rotas por padrão entre NVAs e os gateways de rede virtual (VPN ou ExpressRoute)?
Não. Por padrão, o Servidor de Rota do Azure não propaga as rotas recebidas de uma NVA e de um gateway de rede virtual entre si. O Servidor de Rota troca essas rotas depois de você habilitar o recurso branch a branch no servidor.
As rotas anunciadas pela NVA são propagadas de um Servidor de Rota para outro Servidor de Rota por meio do MSEE do ExpressRoute?
Não. Se o branch a branch estiver habilitado, as rotas anunciadas pelo NVA serão anunciadas para o local conectado ao ExpressRoute. No entanto, as rotas anunciadas pela NVA serão descartadas pelo segundo servidor de rotas. Para ilustrar isso, o diagrama abaixo mostra o local do SDWAN anunciando 10.3.0.0/16 para o NVA do SDWAN. Essa rota é aprendida pelo primeiro Servidor de Rota e, portanto, todas as cargas de trabalho na VNet 1 (ou emparelhadas com a VNet 1) também aprendem essa rota. Além disso, o local conectado ao ExpressRoute reconhecerá a rota 10.3.0.0/16 se o branch a branch for habilitado. No entanto, o segundo Servidor de Rota (na VNet 2) não aprende a rota 10.3.0.0/16 e, portanto, essa rota não será aprendida por nenhuma carga de trabalho na VNet 2. Como resultado, a rede local 10.3.0.0/16 ficará inacessível de qualquer carga de trabalho na VNet 2 e será emparelhada com a VNet 2.
Quando a mesma rota é aprendida no ExpressRoute, VPN ou SD-WAN, qual rede é preferida?
Por padrão, as rotas aprendidas sobre o ExpressRoute têm precedência sobre aquelas aprendidas sobre VPN ou SD-WAN. Você pode configurar a preferência de roteamento para influenciar a seleção de rota do Servidor de Rota. Para obter mais informações, confira Preferência de roteamento.
Quais são os requisitos para que um gateway de VPN do Azure funcione com o Servidor de Rota do Azure?
O gateway da VPN do Azure deve ser configurado no modo ativo-ativo com o ASN definido como 65515.
Preciso habilitar o BGP no gateway de VPN?
Não. Não é um requisito ter o BGP habilitado no gateway de VPN para se comunicar com o Servidor de Rota.
Posso emparelhar dois Servidores de Rota do Azure em duas redes virtuais emparelhadas e habilitar os NVAs conectados aos Servidores de Rota a conversarem entre si?
Topologia: NVA1 –> RouteServer1 –> (via emparelhamento de rede virtual) –> RouteServer2 –> NVA2
Não, o Servidor de Rota do Azure não encaminha o tráfego de dados. Para habilitar a conectividade de trânsito por meio do NVA, configure uma conexão direta (por exemplo, um túnel IPsec) entre os NVAs e use os Servidores de Rota para a propagação de rota dinâmica.
Posso usar o Azure Route Server para direcionar o tráfego entre sub-redes na mesma rede virtual para fluir o tráfego entre sub-redes por meio da NVA?
Não. O Servidor de Rota do Azure usa o BGP para anunciar rotas. As rotas de sistema para o tráfego relativas à rede virtual, aos emparelhamentos de rede virtual ou aos pontos de extremidade de serviço de rede virtual são rotas preferenciais, mesmo que as rotas BGP sejam mais específicas. Você deve continuar a usar UDRs (rotas definidas pelo usuário) para substituir as rotas do sistema e não pode utilizar o BGP para fazer failover dessas rotas rapidamente. Você precisa continuar a usar uma solução de terceiros para atualizar os UDRs por meio da API em uma situação de failover ou usar um Azure Load Balancer com o modo de portas HA para direcionar o tráfego.
Você ainda pode usar o Servidor de Rota para direcionar o tráfego entre sub-redes em diferentes redes virtuais para fluir usando a NVA. Um design possível que pode funcionar é uma sub-rede por rede virtual "spoke" e todas as redes virtuais "spoke" são emparelhadas com uma rede virtual "hub". Esse design é muito limitador e precisa levar em considerações sobre dimensionamento e os limites máximos do Azure em redes virtuais versus sub-redes.
O Servidor de Rota do Azure pode fornecer trânsito entre o ExpressRoute e uma conexão de gateway VPN ponto a ponto (P2S) ao habilitar a configuração branch-to-branch?
Não, o Servidor de Rota do Azure fornece trânsito apenas entre conexões ExpressRoute e VPN site a site (S2S) ao habilitar a configuração branch-to-branch.
Posso criar um Azure Route Server em uma rede virtual de spoke que se conecta a um hub de WAN Virtual?
Não. A rede virtual spoke não poderá ter um Servidor de Rotas se estiver conectada ao hub de WAN Virtual.
Limitações
Quantos Servidores de Rota do Azure posso criar em uma rede virtual?
Você pode criar apenas um Servidor de Rota em uma rede virtual. Você deve implantar o Servidor de Rota em uma sub-rede dedicada chamada RouteServerSubnet.
Posso associar uma UDR ao RouteServerSubnet?
Não, o Servidor de Rota do Azure não dá suporte à configuração de uma UDR (rota definida pelo usuário) na sub-rede RouteServerSubnet . O Servidor de Rota do Azure não roteia nenhum tráfego de dados entre NVAs (soluções de virtualização de rede) e VMs (máquinas virtuais).
Posso associar um NSG (grupo de segurança de rede) ao RouteServerSubnet?
Não, o Servidor de Rota do Azure não dá suporte à associação de grupo de segurança de rede à sub-rede RouteServerSubnet .
Quais são os limites de Servidor de Rota do Azure?
O Servidor de Rota do Azure tem os seguintes limites (por implantação).
| Recurso | Limite |
|---|---|
| Número de pares BGP | oito |
| Número de rotas que cada par no nível de protocolo BGP pode anunciar para o Servidor de Rota do Azure 1 | 4.000 |
| Número de VMs na rede virtual (incluindo redes virtuais emparelhadas) às quais o Servidor de Rota do Azure pode dar suporte | 50,000 |
| Número de redes virtuais que o Servidor de Rota do Azure pode suportar | 500 |
| Número total de prefixos de rede virtual no local e no Azure que o Servidor de Rota do Azure pode oferecer suporte | 10.000 |
1 Se a NVA anunciar mais rotas do que o limite, a sessão BGP será removida.
Observação
O número total de rotas anunciadas do espaço de endereço de rede virtual e do Servidor de Rota para o circuito do ExpressRoute quando o branch a branch está habilitado não deve exceder 1.000. Para obter mais informações, consulte Rotear limites de anúncio do ExpressRoute.
Para obter informações sobre como solucionar problemas de roteamento em uma máquina virtual, confira Diagnosticar um problema de roteamento da máquina virtual do Azure.
Por que estou vendo um erro sobre escopo e autorização inválidos para executar operações em recursos do Servidor de Rota?
Se você vir um erro no seguinte formato, verifique se você tem as seguintes permissões configuradas: Funções e permissões do Servidor de Rota.
Formato da mensagem de erro: "O cliente com ID {} de objeto não tem autorização para executar a ação {} por escopo {} ou o escopo é inválido. Para obter detalhes sobre as permissões necessárias, visite {}. Se o acesso foi concedido recentemente, atualize suas credenciais."
Próximas etapas
Saiba como configurar o Servidor de Rota do Azure.