Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo fornece respostas a perguntas frequentes sobre o Azure Route Server, abrangendo informações gerais de serviço, recursos de roteamento e limitações atuais.
Geral
O que é o Azure Route Server?
O Azure Route Server é um serviço totalmente gerenciado que permite gerenciar facilmente o roteamento entre seu dispositivo virtual de rede (NVA) e sua rede virtual.
O Azure Route Server é apenas uma máquina virtual?
N.º O Azure Route Server é um serviço projetado com alta disponibilidade. Seu Servidor de Rotas terá redundância em nível de zona se você implantá-lo em uma região do Azure que ofereça suporte a Zonas de Disponibilidade.
Preciso de fazer o peering de cada NVA com ambas as instâncias do Azure Route Server?
Sim, você deve emparelhar cada instância NVA com ambas as instâncias do Route Server para garantir que o Route Server receba rotas com êxito e para configurar a alta disponibilidade. Você também deve anunciar as mesmas rotas para ambas as instâncias. Também recomendamos que você emparelhe pelo menos duas instâncias NVA com ambas as instâncias do Route Server.
Nota
Durante os eventos de manutenção do Route Server, o emparelhamento BGP pode ficar inativo entre o NVA e uma das instâncias do Route Server. Se você configurar seu NVA para emparelhar com ambas as instâncias do Route Server, sua conectividade permanecerá disponível durante os eventos de manutenção.
Posso receber uma notificação antecipada de manutenção?
Atualmente, não é possível obter notificação avançada para manutenção do Azure Route Server.
O Azure Route Server armazena dados do cliente?
N.º O Azure Route Server apenas troca rotas BGP com o seu dispositivo virtual de rede (NVA) e, em seguida, propaga-as para a sua rede virtual.
O Azure Route Server dá suporte ao emparelhamento de rede virtual?
Sim. Se você emparelhar uma rede virtual que hospeda o Servidor de Rotas do Azure para outra rede virtual e habilitar Usar o gateway da rede virtual remota ou o Servidor de Rotas na segunda rede virtual, o Servidor de Rotas do Azure aprenderá os espaços de endereço da rede virtual emparelhada e os enviará para todos os NVAs (dispositivos virtuais) de rede emparelhados. O Route Server também programa as rotas a partir dos NVAs na tabela de rotas das máquinas virtuais na rede virtual emparelhada.
Por que o Azure Route Server requer um endereço IP público com portas abertas?
Esses endpoints públicos são necessários para que a rede definida por software (SDN) subjacente e a plataforma de gestão do Azure se comuniquem com o Servidor de Rotas do Azure. Como o Route Server é considerado parte da rede privada do cliente, a plataforma subjacente do Azure não pode acessar e gerenciar diretamente o Route Server por meio de seus pontos de extremidade privados devido aos requisitos de conformidade. A conectividade com os pontos de extremidade públicos do Route Server é autenticada por meio de certificados, e o Azure realiza auditorias de segurança de rotina desses pontos de extremidade públicos. Como resultado, eles não constituem uma exposição de segurança da sua rede virtual.
Nota
O Azure assina esses certificados com uma autoridade de certificação interna, portanto, essa cadeia de certificados parece não ser assinada por uma autoridade confiável conhecida. Isso não representa uma vulnerabilidade SSL.
O Azure Route Server suporta IPv6?
N.º Se você implantar uma rede virtual com um espaço de endereçamento IPv6 e, posteriormente, implantar um Servidor de Rotas do Azure na mesma rede virtual, isso interromperá a conectividade do tráfego IPv6.
Você pode emparelhar uma rede virtual com um espaço de endereçamento IPv6 à rede virtual do Route Server, e a conectividade IPv4 com essa rede virtual de pilha dupla emparelhada continua a funcionar. A conectividade IPv6 com esta rede virtual emparelhada não é suportada.
O que são unidades de infraestrutura de roteamento?
Por padrão, um Servidor de Rotas do Azure é implantado com uma capacidade de duas unidades de infraestrutura de roteamento. Essa implantação padrão oferece suporte a 4.000 VMs conectadas implantadas na rede virtual do Route Server e em todas as redes virtuais emparelhadas.
Você pode especificar mais unidades de infraestrutura de roteamento para aumentar a capacidade do Route Server em incrementos de 1.000 VMs. Cada unidade de infraestrutura de roteamento adicional custa US$ 0,10/hora nos Estados Unidos. Os preços em outras regiões podem variar. Os preços completos, incluindo diferenças regionais, estarão disponíveis em meados de dezembro na página oficial de preços do Azure.
Encaminhamento
O Azure Route Server roteia o tráfego de dados entre meu NVA e minhas VMs?
N.º O Azure Route Server apenas troca rotas BGP com o seu dispositivo virtual de rede (NVA). O tráfego de dados vai diretamente do NVA para a máquina virtual (VM) de destino e diretamente da VM para o NVA.
Quais protocolos de roteamento são suportados pelo Azure Route Server?
O Azure Route Server dá suporte apenas ao BGP (Border Gateway Protocol). Seu dispositivo virtual de rede (NVA) deve oferecer suporte a BGP externo multi-hop porque você precisa implantar o Route Server em uma sub-rede dedicada em sua rede virtual. Quando você configura o BGP em seu NVA, o ASN escolhido deve ser diferente do ASN do Route Server.
O Azure Route Server preserva o caminho BGP AS da rota que recebe?
Sim, o Azure Route Server propaga a rota com o caminho BGP AS intacto.
Se a adição de caminho AS estiver configurada numa NVA em direção ao Servidor de Rotas, o circuito ExpressRoute passará as informações de adição de caminho AS para as instalações locais?
Quando o ExpressRoute anuncia rotas para o local, ele remove as informações ASN BGP privadas. On-premises recebe o prefixo com AS 12076.
O Azure Route Server preserva as comunidades BGP da rota que recebe?
Sim, o Azure Route Server propaga a rota com as comunidades BGP intactas.
Qual é a configuração do temporizador BGP do Azure Route Server?
O temporizador keepalive do Azure Route Server é de 60 segundos e o temporizador de espera é de 180 segundos.
O Azure Route Server pode filtrar rotas de NVAs?
O Azure Route Server suporta a comunidade BGP NO_ADVERTISE. Se um dispositivo virtual de rede (NVA) anunciar rotas com esta cadeia de caracteres da comunidade ao Servidor de Rotas, o Servidor de Rotas não as anunciará a outros pares, incluindo o gateway do ExpressRoute. Esse recurso pode ajudar a reduzir o número de rotas enviadas do Servidor de Rotas do Azure para a Rota Expressa.
Quando um emparelhamento de rede virtual é criado entre a minha rede virtual de hub e a rede virtual de satélite, isso causa uma reconfiguração suave de BGP entre o servidor de rotas do Azure e seus NVAs emparelhados?
Sim. Se um emparelhamento de rede virtual for criado entre sua rede virtual de hub e a rede virtual falada, o Servidor de Rotas do Azure executará uma redefinição suave de BGP enviando solicitações de atualização de rota para todos os NVAs emparelhados. Se os NVAs não suportarem a atualização de rotas BGP, o Servidor de Rotas do Azure efetuará uma redefinição total do BGP com os NVAs emparelhados, o que pode causar interrupção de conectividade para o tráfego que passa pelos NVAs.
Como é calculado o limite de 4000 rotas numa sessão de peering BGP entre um NVA e o Azure Route Server?
Atualmente, o Route Server pode aceitar um máximo de 4.000 rotas de um único vizinho BGP. Quando o Servidor de Rotas processa atualizações de rotas BGP, esse limite é calculado como o número de rotas atuais aprendidas de um par BGP mais o número de rotas que vêm na atualização de rotas BGP. Por exemplo, se um NVA inicialmente anuncia 2001 rotas para o Route Server e depois reanuncia essas 2001 rotas em uma atualização de rota BGP, o Route Server calcula isso como 4.002 rotas e destrói a sessão BGP.
Que Números de Sistema Autónomo (ASNs) posso usar?
Você pode usar seus próprios ASNs públicos ou privados em seu dispositivo virtual de rede (NVA). Não é possível usar ASNs reservados pelo Azure ou pela Internet Assigned Number Authority (IANA).
ASNs reservados pelo Azure:
- ASNs públicos: 8074, 8075, 12076
- ASNs privados: 65515, 65517, 65518, 65519, 65520
ASNs reservados pela IANA:
- 23456, 64496-64511, 65535-65551
Posso usar ASNs de 32 bits (4 bytes)?
Não, o Azure Route Server suporta apenas ASNs de 16 bits (2 bytes).
Se o Azure Route Server receber a mesma rota de mais de um NVA, como ele os manipula?
Se a rota tiver o mesmo comprimento de caminho AS, o Servidor de Rotas do Azure programará várias cópias da rota, cada uma com um próximo salto diferente, para as máquinas virtuais (VMs) na rede virtual. Quando uma VM envia tráfego para o destino dessa rota, o host da VM usa o roteamento ECMP (Equal-Cost Multi-Path). No entanto, se um NVA enviar a rota com um comprimento de caminho AS menor do que outros NVAs, o Servidor de Rotas do Azure programará apenas a rota que tem o próximo salto definido para esse NVA para as VMs na rede virtual.
A criação de um Servidor de Rotas afeta a operação de gateways de rede virtual existentes (VPN ou Rota Expressa)?
Sim. Quando você cria ou exclui um Servidor de Rotas em uma rede virtual que contém um gateway de rede virtual (Rota Expressa ou VPN), espere que o tempo de inatividade dure 10 minutos. A implantação real do Route Server pode levar de 30 a 60 minutos para ser concluída, portanto, recomendamos agendar uma janela de manutenção de 60 minutos para a implantação. Se você tiver um circuito de Rota Expressa conectado à rede virtual onde está criando ou excluindo o Servidor de Rota, o tempo de inatividade não afetará as conexões do circuito de Rota Expressa com outras redes virtuais.
O Azure Route Server troca rotas por padrão entre NVAs e os gateways de rede virtual (VPN ou ExpressRoute)?
N.º Por padrão, o Azure Route Server não propaga rotas que recebe de um NVA e de um gateway de rede virtual entre si. O Servidor de Rotas troca essas rotas depois que você habilita ramificação para ramificação nele.
As rotas anunciadas pelo NVA são propagadas de um Servidor de Rotas para outro através do ExpressRoute MSEE?
N.º Se a conexão entre sucursais estiver ativada, as rotas divulgadas pelo NVA serão anunciadas às instalações no local conectadas ao ExpressRoute. No entanto, as rotas anunciadas pelo NVA serão descartadas pelo segundo servidor de rotas. Para ilustrar isso, o diagrama abaixo mostra a publicidade local SDWAN 10.3.0.0/16 para o SDWAN NVA. Essa rota é aprendida pelo primeiro Servidor de Rotas e, portanto, todas as cargas de trabalho na VNet 1 (ou emparelhadas à VNet 1) também aprendem essa rota. Além disso, a infraestrutura local conectada ao ExpressRoute aprende a rota 10.3.0.0/16 se a ramificação para ramificação estiver habilitada. No entanto, o segundo Servidor de Rotas (na VNet 2) não aprende a rota 10.3.0.0/16 e, portanto, essa rota não será aprendida por nenhuma carga de trabalho na VNet 2. Como resultado, a rede local 10.3.0.0/16 ficará inacessível a partir de quaisquer cargas de trabalho na VNet 2 e emparelhada com a VNet 2.
Quando a mesma rota é aprendida pela Rota Expressa, VPN ou SD-WAN, qual rede é preferida?
Por padrão, as rotas aprendidas pela Rota Expressa têm precedência sobre as aprendidas pela VPN ou SD-WAN. Você pode configurar a preferência de roteamento para influenciar a seleção de rotas do Route Server. Para obter mais informações, consulte Preferência de roteamento.
Quais são os requisitos para que um gateway de VPN do Azure funcione com o Azure Route Server?
O gateway de VPN do Azure deve ser configurado no modo ativo-ativo e ter o ASN definido como 65515.
Preciso habilitar o BGP no gateway VPN?
N.º Não é um requisito ter o BGP habilitado no gateway VPN para se comunicar com o Servidor de Rotas.
Posso emparelhar dois Servidores de Rota do Azure em duas redes virtuais emparelhadas e permitir que os NVAs conectados aos Servidores de Rota conversem entre si?
Topologia: NVA1 -> RouteServer1 -> (via emparelhamento de rede virtual) -> RouteServer2 -> NVA2
Não, o Azure Route Server não encaminha tráfego de dados. Para habilitar a conectividade de trânsito através do NVA, configure uma conexão direta (por exemplo, um túnel IPsec) entre os NVAs e use os Servidores de Rota para propagação de rota dinâmica.
Posso usar o Azure Route Server para direcionar o tráfego entre sub-redes na mesma rede virtual para fluir o tráfego entre sub-redes através do NVA?
N.º O Azure Route Server usa BGP para anunciar rotas. As rotas de sistema para o tráfego de rede virtual, peerings de rede virtual ou pontos finais de serviço de rede virtual são rotas preferenciais, mesmo que as rotas BGP sejam mais específicas. Você deve continuar a usar rotas definidas pelo usuário (UDRs) para substituir rotas do sistema e não pode utilizar o BGP para fazer failover rápido dessas rotas. Você deve continuar a usar uma solução de terceiros para atualizar os UDRs por meio da API em uma situação de failover ou usar um Balanceador de Carga do Azure com o modo de portas HA para direcionar o tráfego.
Você ainda pode usar o Route Server para direcionar o tráfego entre sub-redes em diferentes redes virtuais para fluir usando o NVA. Um possível design que pode funcionar é uma sub-rede por rede virtual "falada" e todas as redes virtuais "faladas" são emparelhadas para uma rede virtual "hub". Esse design é muito limitante e precisa levar em consideração considerações de dimensionamento e os limites máximos do Azure em redes virtuais versus sub-redes.
O Azure Route Server pode fornecer trânsito entre o ExpressRoute e uma conexão de gateway VPN Ponto-a-Site (P2S) ao habilitar a configuração de ramificação para ramificação?
Não, o Servidor de Rotas do Azure fornece trânsito apenas entre conexões de gateway VPN ExpressRoute e Site-to-Site (S2S) ao habilitar a configuração branch-to-branch.
Posso criar um Servidor de Rotas do Azure em uma rede virtual spoke que se conecta a um hub WAN Virtual?
N.º A rede virtual spoke não pode ter um Route Server se estiver conectada ao hub WAN Virtual.
Limitações
Quantos Servidores de Rota do Azure posso criar em uma rede virtual?
Você pode criar apenas um Route Server em uma rede virtual. Você deve implantar o Route Server em uma sub-rede dedicada chamada RouteServerSubnet.
Posso associar um UDR à RouteServerSubnet?
Não, o Azure Route Server não suporta a configuração de uma rota definida pelo utilizador (UDR) na sub-rede RouteServerSubnet. O Azure Route Server não roteia nenhum tráfego de dados entre dispositivos virtuais de rede (NVAs) e máquinas virtuais (VMs).
Posso associar um grupo de segurança de rede (NSG) à RouteServerSubnet?
Não, o Azure Route Server não suporta a associação de grupos de segurança de rede à sub-rede RouteServerSubnet.
Quais são os limites do Azure Route Server?
O Azure Route Server tem os seguintes limites (por implantação).
| Recurso | Limite |
|---|---|
| Número de pares BGP | 8 |
| Número de rotas que cada par BGP pode anunciar para o Azure Route Server 1 | 4,000 |
| Número de VMs na rede virtual (incluindo redes virtuais emparelhadas) que o Azure Route Server pode suportar | 50,000 |
| Número de redes virtuais que o Azure Route Server pode suportar | 500 |
| Número total de prefixos locais e da Rede Virtual do Azure que o Azure Route Server pode suportar | 10.000 |
1 Se o seu NVA anunciar mais rotas do que o limite, a sessão BGP será descartada.
Nota
O número total de rotas anunciadas a partir do espaço de endereçamento da rede virtual e do Servidor de Rotas em direção ao circuito de Rota Expressa, quando Branch-to-branch habilitado, não deve exceder 1.000. Para obter mais informações, consulte Limites de anúncios de rota da Rota Expressa.
Para obter informações sobre como solucionar problemas de roteamento em uma máquina virtual, consulte Diagnosticar um problema de roteamento de máquina virtual do Azure.
Por que estou vendo um erro sobre escopo inválido e autorização para executar operações em recursos do Route Server?
Se vir um erro no seguinte formato, certifique-se de que tem as seguintes permissões configuradas: Funções e permissões do Route Server.
Formato da mensagem de erro: "O cliente com ID {} de objeto não tem autorização para executar ações {} sobre o escopo {} ou o escopo é inválido. Para obter detalhes sobre as permissões necessárias, visite {}. Se o acesso tiver sido concedido recentemente, atualize as credenciais.”
Próximos passos
Saiba como configurar o Azure Route Server.