Informationen zu einem Dual-Homed-Netzwerk mit Azure Route Server
In einer typischen Hub-and-Spoke-Architektur werden Anwendungsworkloads in Spoke-VNets bereitgestellt. Diese Spokes sind mittels Peering mit einem einzelnen Hub-VNet verbunden, das gemeinsam verwendete Netzwerkressourcen wie VPN- und ExpressRoute-Gateways enthält. In einigen Situationen kann es wünschenswert sein, Spokes per Peering mit mehr als einem Hub-Nets zu verbinden, z. B. wenn aus irgendeinem Grund mehrere VPN- oder ExpressRoute-Gateways erforderlich sind. Azure Route Server ermöglicht diese Architektur, sodass Workloads in einem Spoke-VNet über eines der Hub-VNets kommunizieren können, mit denen sie verbunden sind.
So funktioniert die Einrichtung
Wie im folgenden Diagramm zu sehen ist, müssen Sie folgende Schritte ausführen:
- Stellen Sie ein virtuelles Netzwerkgerät (Network Virtual Appliance, NVA) in jedem virtuellen Hubnetzwerk und einen Routenserver im virtuellen Spoke-Netzwerk bereit.
- Aktivieren Sie das VNet-Peering zwischen den virtuellen Hub- und Spokenetzwerken.
- Konfigurieren Sie das BGP-Peering zwischen dem Routenserver und jedem bereitgestellten NVA.
Wie funktioniert dies?
Auf der Steuerungsebene tauschen NVA und der Routenserver Routen so aus wie bei einer Bereitstellung im gleichen virtuellen Netzwerk. Das virtuelle Netzwerkgerät (NVA) erhält vom Routenserver Informationen zu den Adressen im Spoke-VNet. Der Routenserver erhält die Routen von den einzelnen NVAs. Der Routenserver programmiert dann alle VMs im Spoke-VNet mit den empfangenen Routen.
Auf der Datenebene sehen die VMs im Spoke-VNet das Sicherheits-NVA oder das VPN-NVA im Hub als nächsten Hop. Internetdatenverkehr oder standortübergreifender Hybriddatenverkehr wird jetzt über die NVAs im Hub-VNet geroutet. Sie können beide Hubs so konfigurieren, dass sie entweder aktiv/aktiv oder aktiv/passiv sind. Wenn der aktive Hub ausfällt, wird für den Datenverkehr zu und von den VMs ein Failover auf den anderen Hub ausgeführt. Zu diesen Fehlern zählen u. a. NVA-Ausfälle oder Fehler bei der Dienstkonnektivität. Durch dieses Setup wird sichergestellt, dass Ihr Netzwerk für Hochverfügbarkeit konfiguriert ist.
Integration mit ExpressRoute
Sie können ein Dual-Homed-Netzwerk erstellen, das zwei oder mehr ExpressRoute-Leitungen umfasst. Dazu müssen Sie neben den oben beschriebenen Schritten noch folgende Schritte ausführen:
- Erstellen Sie in jedem Hub-VNet, das über ein ExpressRoute-Gateway verfügt, einen Routenserver.
- Konfigurieren Sie das BGP-Peering zwischen dem NVA und dem Routenserver im Hub-VNet.
- Aktivieren Sie den Routenaustausch zwischen dem ExpressRoute-Gateway und dem Routenserver im Hub-VNet.
- Stellen Sie sicher, dass „Remotegateway verwenden“ oder „Remoteroutenserver verwenden“ in der Konfiguration für das VNet-Peering des virtuellen Spokenetzwerks deaktiviert ist.
Wie funktioniert dies?
Auf der Steuerungsebene erhält das NVA im Hub-VNet lokale Routen vom ExpressRoute-Gateway über den Routenaustausch mit dem Routenserver im Hub. Im Gegenzug sendet das NVA die Spoke-VNet-Adressen mithilfe desselben Routenservers an das ExpressRoute-Gateway. Der Routenserver im virtuellen Spoke- und Hubnetzwerk programmieren dann die lokalen Netzwerkadressen auf den VMs in ihrem jeweiligen virtuellen Netzwerk.
Wichtig
BGP verhindert dabei eine Schleife, indem die AS-Nummer im AS-Pfad überprüft wird. Wenn der empfangende Routenserver seine eigene AS-Nummer im AS-Pfad eines empfangenen BGP-Pakets erkennt, wird das Paket verworfen. In diesem Beispiel haben beide Routenserver die gleiche AS-Nummer: 65515. Um zu verhindern, dass ein Routenserver die Routen vom anderen Routenserver verwirft, muss das NVA beim Peering mit jedem Routenserver die BGP-Richtlinie mit override kennzeichnen.
Auf der Datenebene senden die VMs im Spoke-VNet den gesamten Datenverkehr, der für das lokale Netzwerk bestimmt ist, zuerst an das NVA im Hub-VNet. Anschließend wird der Datenverkehr vom NVA über ExpressRoute an das lokale Netzwerk weitergeleitet. Der Datenverkehr aus der lokalen Umgebung durchläuft denselben Datenpfad in umgekehrter Richtung. Sie werden feststellen, dass sich keiner der Routenserver im Datenpfad befindet.
Zugehöriger Inhalt
- Informieren Sie sich über die Azure Route Server-Unterstützung für ExpressRoute und Azure-VPN.
- Erfahren Sie mehr über das Konfigurieren des Peerings zwischen Azure Route Server und der virtuellen Netzwerkappliance.