Partager via


Forum aux questions (FAQ) sur le Serveur de routes Azure

Général

Qu’est-ce qu’Azure Route Server ?

Azure Route Server est un service complètement managé qui vous permet de gérer facilement le routage entre votre appliance virtuelle réseau (NVA) et votre réseau virtuel.

Le Serveur de routes Azure est-il juste une machine virtuelle ?

Non. Azure Route Server est un service conçu avec une haute disponibilité. Votre serveur de routes dispose d’une redondance au niveau de la zone si vous le déployez dans une région Azure qui prend en charge les Zones de disponibilité.

Dois-je appairer chaque appliance virtuelle réseau avec les deux instances du Serveur de routes Azure ?

Oui, pour veiller à ce que les routes soient correctement publiées sur le Serveur de routes et pour configurer la haute disponibilité, il est obligatoire d’appairer chaque instance d’appliance virtuelle réseau (NVA) avec les deux instances du Serveur de routes et de publier les mêmes routes sur les deux instances. Il est également recommandé d’appairer au moins deux instances d’appliance virtuelle réseau avec les deux instances du Serveur de routes.

Remarque

Pendant les événements de maintenance du serveur de routes, l’homologation BGP peut s’arrêter entre votre appliance virtuelle réseau et une des instances du serveur de routes. Par conséquent, si vous configurez votre appliance virtuelle réseau pour l’appairer avec les deux instances du serveur de routes, votre connectivité reste opérationnelle pendant les événements de maintenance.

Serveur de routes Azure stocke-t-il les données des clients ?

Non. Le Serveur de routes Azure échange uniquement les itinéraires BGP avec votre appliance virtuelle réseau, puis les propage vers votre réseau virtuel.

Serveur de routes Azure prend-il en charge l’appairage de réseaux virtuels ?

Oui, si vous appairez un réseau virtuel hébergeant le Serveur de routes Azure à un autre réseau virtuel et que vous activez Utiliser la passerelle ou le serveur de routes du réseau virtuel distant, le Serveur de routes Azure apprend les espaces d’adressage de ce réseau virtuel et les envoie à toutes les appliances virtuelles réseau appairées. Il programme également les routes à partir des appliances virtuelles réseau dans la table de routage des machines virtuelles du réseau virtuel appairé.

Pourquoi Serveur de routes Azure nécessite-t-il une adresse IP publique avec de sports ouverts ?

Ces points de terminaison publics sont requis pour que le SDN et la plateforme de gestion sous-jacents d’Azure communiquent avec Serveur de routes Azure. Étant donné que Serveur de routes fait partie du réseau privé du client, la plateforme sous-jacente d’Azure ne peut pas accéder et gérer directement Serveur de routes via ses points de terminaison privés en raison des exigences de conformité. La connectivité aux points de terminaison publics de Serveur de routes est authentifiée via des certificats et Azure effectue des audits de sécurité de routine de ces points de terminaison publics. Par conséquent, ils ne constituent pas une exposition de sécurité de votre réseau virtuel.

Remarque

Ces certificats sont signés par une autorité de certification interne, donc cette chaîne de certificats semble ne pas être signée par une autorité approuvée connue. Par conséquent, cela ne représente pas une vulnérabilité SSL.

Le serveur Azure Route prend-il en charge l'IPv6 ?

Non. Nous ajouterons le support IPv6 dans le futur. Si vous avez déployé un réseau virtuel avec un espace d’adressage IPv6 et vous déployez ensuite un serveur de routes Azure dans le même réseau virtuel, cela arrête la connectivité ExpressRoute pour le trafic IPv6.

Avertissement

Si vous avez déployé un réseau virtuel avec un espace d’adressage IPv6 et vous déployez ensuite un serveur de routes Azure dans le même réseau virtuel, cela arrête également la connectivité ExpressRoute pour le trafic IPv4. Ce problème sera résolu dans notre prochaine version afin de garantir que le trafic IPv4 continue de fonctionner comme prévu.

Routage

Azure Route Server route-t-il le trafic de données entre ma NVA et mes machines virtuelles ?

Non. Le Serveur de routes Azure échange uniquement des itinéraires BGP avec votre appliance virtuelle réseau. Le trafic de données passe directement de l’appliance virtuelle réseau à la machine virtuelle de destination et directement de la machine virtuelle à l’appliance virtuelle réseau.

Quels sont les protocoles de routage pris en charge par Azure Route Server ?

Le Serveur de routes Azure prend uniquement en charge le protocole BGP (Border Gateway Protocol). Votre appliance virtuelle réseau doit prendre en charge le protocole BGP externe multitronçon, car vous devez déployer le Serveur de routes sur un sous-réseau dédié de votre réseau virtuel. Lorsque vous configurez le protocole BGP sur votre appliance virtuelle réseau, l’ASN que vous choisissez doit être différent de celui du Serveur de routes.

Le service Serveur de routes Azure conserve-t-il le chemin d’accès AS BGP de la route qu’il reçoit ?

Oui, Serveur de routes Azure propage la route avec le chemin d’accès AS BGP intact.

Si l’ajout du chemin d’accès AS est configuré sur une appliance réseau virtuelle (NVA) vers le serveur de routes, le circuit ExpressRoute transmet-il les informations d’ajout du chemin d’accès AS à un site local ?

Quand ExpressRoute publie des routes localement, il supprime les informations ASN BGP privées. Un site local reçoit le préfixe avec AS 12076.

Le serveur de routes Azure conserve-t-il les communautés BGP de la route qu’il reçoit ?

Oui, le serveur de routes Azure propage la route telle quelle avec les communautés BGP.

Quel est le paramètre de temporisation BGP du serveur Azure Route ?

Le minuteur Keepalive du Serveur de routes Azure est de 60 secondes et le minuteur de suspension est de 180 secondes.

Azure Route Server peut-il filtrer les itinéraires à partir d’appliances virtuelles réseau ?

Le Serveur de routes Azure prend en charge la communauté BGP NO_ADVERTISE. Si une appliance virtuelle réseau publie des itinéraires avec cette chaîne de communauté sur le serveur de routes, le serveur de routes ne le publie pas vers d’autres pairs, y compris la passerelle ExpressRoute. Cette fonctionnalité peut aider à réduire le nombre d’itinéraires à envoyer du Serveur de routes Azure vers ExpressRoute.

Lorsqu’un peering de VNet est créé entre mon VNet hub et le VNet spoke, cela entraîne-t-il une réinitialisation réversible BGP entre le Serveur de routes Azure et ses NVA appairées ?

Oui. Si un peering de VNet est créé entre votre VNet hub et votre VNet spoke, le Serveur de routes Azure effectue une réinitialisation réversible BGP en envoyant des demandes d’actualisation de routage à toutes ses NVA appairées. Si les NVA ne prennent pas en charge l’actualisation de l’itinéraire BGP, le Serveur de routes Azure effectue une réinitialisation en dur BGP avec les NVA appairées, ce qui peut entraîner une interruption de connectivité pour le passage du trafic par les NVA.

Comment la limite de 1000 routes est-elle calculée sur une session de peering BGP entre une appliance virtuelle réseau et Serveur de routes Azure ?

Le service Serveur de routes peut actuellement accepter un maximum de 1 000 routes à partir d’un seul homologue BGP. Lors du traitement des mises à jour de routes BGP, cette limite est calculée comme le nombre de routes actuelles apprises à partir d’un homologue BGP, ainsi que le nombre de routes entrant dans la mise à jour de routes BGP. Par exemple, si une appliance virtuelle réseau (NVA) publie initialement 501 routes vers Serveur de routes et republie ultérieurement ces 501 routes dans une mise à jour de routes BGP, le serveur de routes calcule cela comme 1 002 routes et supprime la session BGP.

Est-ce que je peux utiliser des numéros ASN (Autonomous System Numbers) ?

Vous pouvez utiliser vos propres numéros ASN publics ou privés dans votre appliance virtuelle réseau. Vous ne pouvez pas utiliser des appliances virtuelles réseau réservées par Azure ou IANA.

  • Numéros ASN réservés par Azure :
    • ASN publics : 8074, 8075, 12076
    • ASN privés : 65515, 65517, 65518, 65519, 65520
  • ASN réservés par l’IANA :
    • 23456, 64496-64511, 65535-65551

Est-ce que je peux utiliser des numéros ASN 32 bits (4 octets) ?

Non, Azure Route Server ne prend en charge que les numéros ASN 16 bits (2 octets).

Si le serveur de routes Azure reçoit la même route de plusieurs appliances virtuelles réseau, comment la gère-t-il ?

Si l’itinéraire a la même longueur de chemin AS, le Serveur de routes Azure va en programmer plusieurs copies, chacune avec un tronçon suivant différent, vers les machines virtuelles du réseau virtuel. Lorsqu’une machine virtuelle envoie le trafic vers la destination de cet itinéraire, l’hôte de la machine virtuelle utilise un routage ECMP (Equal-Cost Multi-Path). Cependant, si une appliance virtuelle réseau envoie la route avec une longueur de chemin AS plus courte que celle d’autres appliances virtuelles réseau, le serveur de routes Azure programme seulement la route dont le tronçon suivant est défini sur cette appliance virtuelle réseau pour les machines virtuelles du réseau virtuel.

La création d’un Serveur de routes affecte-t-elle le fonctionnement des passerelles de réseau virtuel (VPN ou ExpressRoute) existantes ?

Oui. Lorsque vous créez ou supprimez un serveur de routage dans un réseau virtuel qui contient une passerelle de réseau virtuel (ExpressRoute ou VPN), attendez-vous à un temps d'arrêt jusqu'à ce que l'opération soit terminée. Si vous avez un circuit ExpressRoute connecté au réseau virtuel sur lequel vous créez ou supprimez le Serveur de routes, le temps d’arrêt n’affecte pas le circuit ExpressRoute ou ses connexions à d’autres réseaux virtuels.

Le service Serveur de routes Azure échange-t-il des itinéraires par défaut entre des appliances virtuelles réseau et des passerelles de réseau virtuel (VPN ou ExpressRoute) ?

Non. Par défaut, le Serveur de routes Azure ne propage pas les itinéraires qu’il reçoit d’une appliance virtuelle réseau et d’une passerelle de réseau virtuel. Le serveur de routes échange ces itinéraires après avoir activé le branche à branche dans celui-ci.

Lorsque le même itinéraire est appris par ExpressRoute, VPN ou SDWAN, quel est le réseau privilégié ?

Par défaut, la route apprise sur ExpressRoute est préférée à celles apprises via VPN ou SDWAN. Vous pouvez configurer la préférence de routage pour influencer la sélection de routes du service Serveur de routes. Pour obtenir plus d’informations, consultez Préférence de routage.

Quelles sont les conditions requises pour qu’une passerelle VPN Azure fonctionne avec Serveur de routes Azure ?

La passerelle VPN Azure doit être configurée en mode actif/actif et son ASN doit être défini sur 65515.

Dois-je activer BGP sur la passerelle VPN ?

Non. Il n’est pas obligatoire d’activer BGP sur la passerelle VPN pour communiquer avec le serveur de routes.

Puis-je appairer deux Serveurs de routes Azure dans deux réseaux virtuels appairés et autoriser les appliances virtuelles réseau connectés aux serveurs de routes à communiquer entre eux ?

Topologie : NVA1 -> RouteServer1 -> (via VNet Peering) -> RouteServer2 -> NVA2

Non, Azure Route Server ne transfère pas le trafic de données. Pour activer la connectivité de transit via l’appliance virtuelle réseau, configurez une connexion directe (par exemple, un tunnel IPsec) entre les appliances virtuelles réseau et utilisez les serveurs de routes pour la propagation de routes dynamiques.

Puis-je utiliser le Serveur de routes Azure pour diriger le trafic entre les sous-réseaux dans le même réseau virtuel afin de transmettre le trafic entre sous-réseaux via l’appliance virtuelle réseau ?

Non. Le Serveur de routes Azure utilise BGP pour publier les itinéraires. Les itinéraires système pour le trafic lié au réseau virtuel, aux peerings de réseaux virtuels ou aux points de terminaison de service de réseau virtuel, sont les itinéraires sélectionnés par défaut, même si les itinéraires BGP sont plus spécifiques. Vous devez continuer à utiliser des itinéraires définis par l’utilisateur pour remplacer les itinéraires système, et vous ne pouvez pas utiliser BGP pour basculer rapidement ces itinéraires. Vous devez continuer à utiliser une solution tierce pour mettre à jour les itinéraires définis par l’utilisateur via l’API dans une situation de basculement, ou utiliser un Azure Load Balancer avec le mode Ports HA pour diriger le trafic.

Vous pouvez toujours utiliser le Serveur de routes pour diriger le trafic entre les sous-réseaux dans différents réseaux virtuels vers le flux à l’aide de l’appliance virtuelle réseau. Une conception possible est un sous-réseau par réseau virtuel « spoke » et tous les réseaux virtuels « spoke » sont appairés à un réseau virtuel « hub ». Cette conception est très restrictive et doit prendre en compte les considérations de mise à l’échelle et les limites maximales d’Azure sur les réseaux virtuels et les sous-réseaux.

Le Serveur de routes Azure peut-il fournir un transit entre ExpressRoute et une connexion de passerelle VPN point-à-site (P2S) si le paramètre Branche à branche est activé ?

Non, le Serveur de routes Azure fournit uniquement le transit entre ExpressRoute et une passerelle VPN site à site (S2S) (si le paramètre Branche à branche est activé).

Puis-je créer un serveur de routes Azure dans un réseau virtuel spoke connecté à un hub Virtual WAN ?

Non. Le réseau virtuel spoke ne peut pas avoir de serveur de routes s’il est connecté au hub virtuel WAN.

Limites

Combien de serveurs de routes Azure est-ce que je peux créer dans un réseau virtuel ?

Vous ne pouvez créer qu’un seul serveur de routes dans un réseau virtuel. Vous devez déployer le serveur de routes dans un sous-réseau dédié appelé RouteServerSubnet.

Puis-je associer un itinéraire défini par l'utilisateur au RouteServerSubnet ?

Non, le service Serveur de routes Azure ne prend pas en charge la configuration d’une route définie par l’utilisateur sur le sous-réseau RouteServerSubnet. Le Serveur de routes Azure n’achemine aucun trafic de données entre les appliances virtuelles réseau et les machines virtuelles.

Puis-je associer un groupe de sécurité réseau (NSG) au RouteServerSubnet ?

Non, le service Azure Route Server ne prend pas en charge l’association de groupes de sécurité réseau au sous-réseau RouteServerSubnet.

Quelles sont les limites du Serveur de routes Azure ?

Azure Route Server présente les limites suivantes (par déploiement).

Ressource Limite
Nombre d’homologues BGP 8
Nombre de routes que chaque pair BGP peut publier sur Serveur de routes Azure 1 1 000
Nombre de machines virtuelles du réseau virtuel (réseaux virtuels appairés compris) que Serveur de routes Azure peut prendre en charge 4 000
Nombre de réseaux virtuels que le service Serveur de routes Azure peut prendre en charge 500
Nombre total de préfixes locaux et Réseau virtuel Microsoft Azure que le Serveur de routes Azure peut prendre en charge 10 000

1 Si votre appliance virtuelle réseau publie plus d’itinéraires que la limite, la session BGP est annulée.

Remarque

Le nombre total d’itinéraires publiés à partir de l’espace d’adressage du réseau virtuel et du Serveur de routes vers le circuit ExpressRoute, quand le mode Branche à branche est activé, ne doit pas dépasser 1000. Pour plus d’informations, consultez Limites de publication de routage d’ExpressRoute.

Pour plus d’informations sur la résolution des problèmes de routage dans une machine virtuelle, consultez Diagnostiquer un problème de routage de machine virtuelle Azure.

Étapes suivantes

Découvrez comment configurer Azure Route Server.