Wie funktioniert Azure Route Server?

Abgeschlossen

Wenn Sie sich auf die Bereitstellung von Azure Route Server in Ihrer Organisation vorbereiten, müssen Sie mehr über die Funktionsweise erfahren. Obwohl Azure Route Server ein vollständig verwalteter Dienst ist, ist es wichtig, dass Sie verstehen, wie er in verschiedenen Szenarien funktioniert.

In der Regel verwenden Sie Azure Route Server mit mindestens einer Netzwerkappliance. Beispielsweise können Sie Azure Route Server mit einer Firewall-NVA und einer SD-WAN-Appliance verbinden, wie in der folgenden Abbildung gezeigt:

Diagramm: Azure Route Server in einem virtuellen Netzwerk, das über ein App-Subnetz sowie SD-WAN- und Firewallappliances verfügt

Dieses Beispiel verwendet ein virtuelles Netzwerk mit dem Adressraum 10.1.0.0/16. Innerhalb dieses Netzwerks hostet ein Anwendungssubnetz (App-Subnetz) VMs und andere Ressourcen. Dasselbe Netzwerk verfügt auch über ein Azure Route Server-Subnetz, das die Routingtabelle für den Adressraum 10.1.0.0/16 verwaltet. Zwei virtuelle Appliances, die im gleichen Netzwerk bereitgestellt werden, sind eine Firewall und eine SD-WAN-Appliance. Der gesamte Internetdatenverkehr wird über die Firewallappliance weitergeleitet, weil sie die Standardroute 0.0.0.0/0 verwaltet.

Eine andere Appliance (SD-WAN) verwaltet die Verbindung mit dem lokalen Netzwerk mit dem Adressraum 10.250.0.0/16. Zwei Appliances, SD-WAN und Firewall, sind als BGP-Peers für Azure Route Server konfiguriert. Aus diesem Grund werden ihre Routingtabellen an Azure Route Server weitergegeben. Außerdem wird die Routingtabelle für das Netzwerk 10.1.0.0/16 an Netzwerkappliances weitergegeben. Da Azure Route Server im gleichen virtuellen Netzwerk wie VMs konfiguriert ist, werden diese Routen dann automatisch auf den VMs im virtuellen Netzwerk konfiguriert.

Wenn also eine VM aus dem App-Subnetz mit einer Ressource in einem lokalen Netzwerk kommunizieren muss, weiß sie, dass der Datenverkehr an die SD-WAN-Appliance gesendet werden soll. Wenn gewünscht, greift sie über die Standardroute auf das Internet zu, die von der Firewallappliance verwaltet wird. Da die SD-WAN-Appliance über Informationen zu Routen für den Adressraum 10.1.0.0./16 verfügt, kann jede lokale Ressource mit Ressourcen im App-Subnetz kommunizieren. Wenn eine Änderung an Routen oder Adressräumen in einer Komponente erfolgt, die mit Azure Route Server verbunden ist, wird sie automatisch an alle Appliances und Routingtabellen weitergegeben.

Sehen wir uns an, wie Datenverkehr über die SD-WAN-NVA gesteuert wird, wenn Azure Route Server bereitgestellt wird. Im folgenden Szenario ermöglicht Azure Route Server die Pfadauswahl, wodurch Sie Ihre SD-WAN-NVA so konfigurieren können, dass sie bei der Kommunikation mit Ihrem lokalen Netzwerk eine Routingpräferenz besitzt. Wenn die SD-WAN-NVA mit Azure Route Server verwendet wird, um eine Verbindung mit einem lokalen Netzwerk herzustellen, kann der Pfad auf zwei Arten eingerichtet werden, wie in der folgenden Abbildung dargestellt:

Diagramm: Zwei Pfade für die Verbindung von Azure-Ressourcen mit einem lokalen Netzwerk. Ein Pfad führt über den Microsoft-Backbone, während ein anderer Pfad die ISP-Infrastruktur verwendet.

Mit der Routingpräferenz können Sie auswählen, wie Ihr Datenverkehr zwischen Azure und dem Internet weitergeleitet werden soll. Sie können Datenverkehr entweder über den Backbone des Microsoft-Netzwerks oder das ISP-Netzwerk (öffentliches Internet) weiterleiten. Diese Optionen werden auch als Cold-Potato-Routing bzw. Hot-Potato-Routing bezeichnet.

Wenn Sie eine SD-WAN-NVA in demselben virtuellen Netzwerk wie Azure Route Server bereitstellen, wird sie mit einer Microsoft-Netzwerk-IP-Adresse konfiguriert. Der Datenverkehrspfad zu Ihrem lokalen Netzwerk verwendet das globale Microsoft-Netzwerk und verlässt daher das Microsoft-Netzwerk, das dem Ziel am nächsten ist. Das Routing aus Ihrem lokalen Netzwerk erfolgt in das Microsoft-Netzwerk, das dem Benutzer im Rückgabepfad am nächsten liegt. Diese Routingmethode ist leistungsoptimiert und bietet die bestmögliche Benutzererfahrung zu einem bestimmten Preis.

Um Kosten optimieren zu können, wird eine zweite Routingmethode ausgeführt, indem Ihrer SD-WAN-NVA eine Internet-IP-Adresse zugewiesen wird. Wenn Datenverkehr an Ihr lokales Netzwerk weitergeleitet wird, verlässt er das Microsoft-Netzwerk in derselben Region, in der der Dienst gehostet wird. Anschließend wird die Weiterleitung über das Internet über das Netzwerk des ISP ausgeführt. Das Routing aus der lokalen Umgebung erfolgt in das Microsoft-Netzwerk, das der Region des gehosteten Diensts am nächsten liegt. Diese Routingmethode bietet den besten Gesamtpreis, wenn eine Aufgabe wie das Übertragen großer Datenmengen abgeschlossen werden soll.

Azure Route Server-Integration in ExpressRoute und das Azure-VPN

In einigen Szenarios implementieren Sie Azure Route Server in virtuellen Netzwerken mit einem ExpressRoute-Gateway oder Azure VPN Gateway. Dieser Vorgang wird im folgenden Diagramm dargestellt:

Diagramm: Implementierung von Azure Route Server in virtuellen Netzwerken mit Express Route-Gateway oder Azure VPN Gateway

In diesem Fall werden Azure VPN Gateway und das ExpressRoute-Gateway verwendet, um eine Verbindung mit lokalen Netzwerken herzustellen. Im Gegensatz zu NVA-Objekten (die Sie als BGP-Peers für Azure Route Server konfigurieren) müssen Sie das BGP-Peering zwischen dem Gateway und Azure Route Server jedoch weder konfigurieren noch verwalten. Stattdessen sollten Sie den Routenaustausch zwischen dem Gateway und Azure Route Server aktivieren. Hierzu konfigurieren Sie die folgende Einstellung auf der Konfigurationsseite für Azure Route Server im Azure-Portal:

Screenshot: Aktivierte Einstellung „Branch-to-Branch“.

Alternativ können Sie den Routenaustausch zwischen Azure Route Server und dem Gateway (oder den Gateways) aktivieren, indem Sie das Cmdlet Update-AzRouteServer mit dem Flag -AllowBranchToBranchTraffic verwenden.

Anschließend werden Routinginformationen zwischen dem ExpressRoute-Gateway und Azure VPN Gateway über Azure Route Server ausgetauscht. Dies bedeutet, dass Azure VPN Gateway Routen für das lokale Netzwerk 2 und das ExpressRoute-Gateway Routen für das lokale Netzwerk 1 empfängt. Beide Gateways empfangen jedoch auch Routen für das virtuelle Netzwerk, in dem sich Azure Route Server befindet.

Preise für Azure Route Server

Azure Route Server ist ein typischer Dienst mit nutzungsbasierter Bezahlung. Es fallen keinerlei Vorabkosten und auch keine Beendigungsgebühren an. Sie zahlen für diesen Dienst nur, wenn er aktiv ist.