Принцип работы Azure Route Server
Поскольку вы планируете развернуть Azure Route Server в организации, вам нужно больше узнать о принципах работы этой службы. Хотя Azure Route Server является полностью управляемой службой, важно понимать, как она работает в различных сценариях.
Чаще всего вы используете Azure Route Server с одним или несколькими сетевыми устройствами. Например, Azure Route Server можно подключить к NVA брандмауэра и модулю SD-WAN, как показано на следующей схеме:
В этом примере имеется одна виртуальная сеть с диапазоном адресов 10.1.0.0/16. В этой сети в одной подсети приложения размещаются виртуальные машины и другие ресурсы. В этой же сети также есть подсеть Azure Route Server, которая управляет таблицей маршрутизации для диапазона адресов 10.1.0.0/16. В этой же сети развернуты два виртуальных модуля — модуль брандмауэра и модуль SD-WAN. Весь интернет-трафик направляется через устройство брандмауэра, так как он управляет маршрутом по умолчанию 0.0.0.0/0.
Другой модуль — SD-WAN — управляет подключением к локальной сети с диапазоном адресов 10.250.0.0/16. Два модуля — SD-WAN и брандмауэр — настроены в качестве одноранговых узлов BGP для Azure Route Server. В связи с этим их таблицы маршрутизации распространяются на Azure Route Server. Кроме того, таблица маршрутизации для сети 10.1.0.0/16 распространяется на сетевые модули. Так как служба Azure Route Server настроена в той же виртуальной сети, что и виртуальные машины, эти маршруты автоматически настраиваются на виртуальных машинах в виртуальной сети.
В результате, когда виртуальной машине из подсети приложения потребуется взаимодействовать с ресурсом, расположенным в локальной сети, ей будет известно, что трафик должен быть отправлен на модуль SD-WAN. Если он хочет, он будет обращаться к Интернету через маршрут по умолчанию, управляемый устройством брандмауэра. Так как модуль SD-WAN содержит сведения о маршрутах для диапазона адресов 10.1.0.0./16, все ресурсы, расположенные локально, смогут возможность взаимодействовать с ресурсами в подсети приложения. Всякий раз, когда изменение происходит с маршрутами или адресными пространствами в любом компоненте, подключенном к серверу маршрутизации Azure, оно будет распространяться на все устройства и таблицы маршрутизации автоматически.
Давайте посмотрим, как управляется трафик, проходящий через модуль NVA SD-WAN, при развертывании Azure Route Server. В следующем сценарии Azure Route Server разрешает выбор пути, что позволяет настроить для модуля NVA SD-WAN предпочтительный вариант маршрутизации при взаимодействии с локальной сетью. Если модуль NVA SD-WAN используется с Azure Route Server для установки подключения к локальной сети, путь можно задать двумя способами, как показано на следующей схеме:
Параметры маршрутизации позволяют выбрать, как маршруты трафика между Azure и Интернетом. Можно настроить маршрутизацию трафика через магистраль Майкрософт или сеть поставщика услуг Интернета (общедоступный Интернет). Эти варианты также называются холодной маршрутизацией картофеля и горячей маршрутизацией картофеля соответственно.
При развертывании NVA SD-WAN в той же виртуальной сети, что и сервер маршрутизации Azure, он настроен с IP-адресом сети Майкрософт. В пути трафика к локальной сети будет использоваться глобальная сеть Майкрософт, и в результате трафик выйдет из сети Майкрософт как можно ближе к месту назначения. Маршрутизируемый трафик из локальной сети поступит в сеть Майкрософт как можно ближе к пользователю на пути возврата. Этот метод маршрутизации оптимизирован для производительности и предоставляет наилучшие возможности по соответствующей цене.
В качестве способа оптимизации затрат второй метод маршрутизации выполняется путем назначения сетевой сети SD WAN с IP-адресом в Интернете . Когда трафик направляется в локальную сеть, он покинет сеть Майкрософт в том же регионе, в котором размещена служба. Затем он пройдет через Интернет с использованием сети поставщика услуг Интернета. Маршрутизируемый трафик из локальной сети поступает в сеть Майкрософт, ближайшую к региону размещенной службы. Этот метод маршрутизации предлагает самую выгодную общую стоимость при выполнении такой задачи, как передача большого объема данных.
Интеграция Azure Route Server с ExpressRoute и Azure VPN
В некоторых сценариях вы реализуете Azure Route Server в виртуальных сетях с помощью шлюза ExpressRoute или Azure VPN-шлюз, как показано на следующей схеме:
В этом случае VPN-шлюз Azure и шлюз ExpressRoute используются для подключения к локальным сетям. Однако в отличие от объектов NVA, которые настраиваются в качестве одноранговых узлов BGP в сервере маршрутизации Azure, вам не нужно настраивать или управлять пирингом BGP между шлюзом и сервером маршрутизации Azure. Вместо этого следует включить обмен маршрутами между шлюзом и Azure Route Server. Для этого настройте следующий параметр на странице конфигурации сервера маршрутизации Azure в портал Azure:
Кроме того, можно включить обмен маршрутами между Azure Route Server и шлюзом (или шлюзами) с помощью командлета Update-AzRouteServer с флагом -AllowBranchToBranchTraffic.
После этого обмен данными о маршрутизации между шлюзом ExpressRoute и Azure VPN-шлюз через сервер маршрутизации Azure. Это означает, что VPN-шлюз Azure будет принимать маршруты для Локальной сети 2, а шлюз ExpressRoute будет принимать маршруты для Локальной сети 1. Однако оба шлюза также будут принимать маршруты для виртуальной сети, в которой находится Azure Route Server.
Цены на Azure Route Server
Azure Route Server — это стандартная служба с оплатой за использование. Она не требует каких-либо начальных капиталовложений. Плата за прекращение действия также не взимается. Вы платите за эту службу только в том случае, если она активна.