Informazioni sulla rete dual-homed con il Server di route di Azure

In una tipica architettura hub-spoke, i carichi di lavoro dell'applicazione vengono distribuiti in reti virtuali spoke. Questi spoke sono sottoposti a peering con una singola rete virtuale hub che contiene risorse di rete condivise, ad esempio gateway VPN e ExpressRoute. In alcune situazioni, può essere consigliabile eseguire il peering degli spoke a più reti virtuali hub (ad esempio, se per quache ragione dovessero essere necessari più gateway VPN o ExpressRoute). Il server di route di Azure abilita questa architettura in modo che i carichi di lavoro in una rete virtuale spoke possano comunicare tramite una delle reti virtuali hub a cui è connessa.

Come eseguire la configurazione

Come illustrato nel diagramma seguente, è necessario:

• Distribuire un'appliance virtuale di rete in ogni rete virtuale hub e un server di route nella rete virtuale spoke.
• Abilitare il peering di rete virtuale tra le reti virtuali hub e spoke.
• Configurare il peering BGP tra il server di route e ogni appliance virtuale di rete distribuita.

Come funziona?

Nel piano di controllo, l'appliance virtuale di rete e il server di route si scambiano route come se fossero distribuite nella stessa rete virtuale. L'appliance virtuale di rete apprenderà gli indirizzi della rete virtuale spoke dal Server di route. Il Server di route apprenderà le route da ognuna delle appliance virtuali di rete. Il Server di route programma quindi tutte le macchine virtuali nella rete virtuale spoke con le route apprese.

Nel piano dati, le macchine virtuali nella rete virtuale spoke vedranno l'appliance virtuale di rete di sicurezza o l'appliance virtuale di rete VPN nell'hub come hop successivo. Il traffico destinato al traffico associato a Internet o al traffico ibrido tra più località verrà ora instradato attraverso le appliance virtuali di rete nella rete virtuale dell'hub. È possibile configurare entrambi gli hub in modo che siano attivi/attivi o attivi/passivi. Nel caso in cui l'hub attivo subisca un malfunzionamento, il traffico da e verso le macchine virtuali eseguirà il failover all'altro hub. Questi malfunzionamento includono (ma non si limitano a): errori dell'appliance virtuale di rete o errori di connettività del servizio. Questa configurazione garantisce che la rete sia configurata per la disponibilità elevata.

Integrazione con ExpressRoute

È possibile creare una rete dual-homed che coinvolga due o più connessioni ExpressRoute. Oltre ai passaggi descritti in precedenza, è necessario:

• Creare un Server di route in ogni rete virtuale hub con un gateway ExpressRoute.
• Configurare il peering BGP tra l'appliance virtuale di rete e il Server di route nella rete virtuale dell'hub.
• Abilitare lo scambio di route tra il gateway ExpressRoute e il Server di route nella rete virtuale dell'hub.
• Assicurarsi che "Usa Gateway remoto o Server di route remoto" sia disabilitato nella configurazione del peering di reti virtuali della rete virtuale spoke.

Come funziona?

Nel piano di controllo, l'appliance virtuale di rete nella rete virtuale hub apprenderà le route locali dal gateway ExpressRoute tramite lo scambio di route con il Server di route nell'hub. Per contro, l'appliance virtuale di rete invierà gli indirizzi della rete virtuale spoke al gateway ExpressRoute usando lo stesso Server di route. I Server di route sia nella rete virtuali spoke che in quella hub programmano quindi gli indirizzi di rete locali alle macchine virtuali nelle rispettive reti virtuali.

Importante

BGP impedisce un ciclo verificando il numero AS nel percorso AS. Se il Server di route ricevente vede il proprio numero AS nel percorso AS di un pacchetto BGP ricevuto, rilascerà il pacchetto. In questo esempio, entrambi i Server di route hanno lo stesso numero AS, 65515. Per impedire a ciascun Server di route di eliminare le route dall'altro server di route, l'appliance virtuale di rete deve applicare i criteri BGP come override durante il peering con ogni Server di route.

Nel piano dati, le macchine virtuali nella rete virtuale spoke invieranno prima tutto il traffico destinato alla rete locale all'appliance virtuale di rete nella rete virtuale dell'hub. L'appliance virtuale di rete inoltrerà quindi il traffico alla rete locale tramite ExpressRoute. Il traffico proveniente dall'ambiente locale attraverserà lo stesso percorso dati nella direzione inversa. Si noterà che nessuno dei server di route si trova nel percorso dati.

Contenuto correlato

• Informazioni sul Supporto di Server di route di Azure per ExpressRoute e VPN di Azure
• Informazioni su come configurare il peering tra il Server di route di Azure e l'appliance virtuale di rete