I den här artikeln beskrivs en lösning för att hantera dynamisk routning mellan NVA:er och virtuella nätverk. Kärnan i lösningen är Azure Route Server. Den här tjänsten förenklar konfiguration, underhåll och distribution av NVA:er i ditt virtuella nätverk. När du använder Route Server behöver du inte längre uppdatera NVA-routningstabeller manuellt när dina virtuella nätverksadresser ändras.
Arkitektur
Ladda ned en Visio-fil med den här arkitekturen.
Arbetsflöde
Den här hubb- och ekerarkitekturen har ett virtuellt navnätverk och ett virtuellt ekernätverk. Det virtuella hubbnätverket har flera undernät som var och en innehåller virtuella datorer .
Adressutrymmet för varje virtuellt nätverk definierar adressintervall. För vart och ett av dessa intervall skapar Azure en väg med adressprefixet för det intervallet. Azure lägger till dessa vägar i routningstabeller. Varje virtuellt nätverk har flera undernät och varje undernät har ett nätverkskort (NIC) som styr anslutningen. Azure matar in varje virtuellt nätverks routningstabell i undernätens nätverkskort.
Du kan inte skapa eller ta bort dessa standardsystemvägar. Men du kan:
- Åsidosätt vissa systemvägar med anpassade vägar.
- Konfigurera Azure för att lägga till valfria standardvägar till specifika undernät.
Lokala nätverk använder Azure VPN Gateway och en ExpressRoute-gateway för att ansluta till det virtuella hubbnätverket i en samexisterande konfiguration. När du lägger till VPN-gatewayen läggs vägar med gatewayen som nästa väg till i routningstabellerna. När du lägger till ExpressRoute uppdateras även routningstabellerna. Dessa vägar sprids till alla undernät.
BGP (Border Gateway Protocol) möjliggör utbyte av IP-adresser mellan lokala komponenter och Azure-komponenter. Det här protokollet dirigerar paket mellan autonoma system. Sådana system är små nätverk eller stora pooler med routrar som en enda organisation kör.
Det finns en virtuell nätverkspeering mellan det virtuella hubbnätverket och det virtuella ekernätverket. När du skapar peering uppdaterar Azure routningstabellen. Mer specifikt lägger Azure till en väg för varje adressintervall som finns i hubbadressutrymmet eller ekeradressutrymmet. Dessa vägar sprids till alla undernät.
Ett undernät i det virtuella hubbnätverket använder en tjänstslutpunkt för Azure Storage. Azure lägger till en offentlig IP-adress för Storage i undernätets routningstabell.
Det virtuella hubbnätverket innehåller två NVA:er. NVA:erna kan vara gatewayer, programvarudefinierade wide area-nätverk (SD-WAN) eller brandväggar för säkerhetsinstallationer. Routningsservern utbyter NVA-, nätverksprogram- och gatewayvägarna genom att:
- Skapa en instans av Skalningsuppsättningar för virtuella Azure-datorer. Varje virtuell dator i skalningsuppsättningen har en IP-adress. Precis som med gateway-IP-adresser har routningsservern åtkomst till IP-adresserna för den virtuella datorn.
- Upprätta BGP-peer-datorer mellan varje NVA och en virtuell dator i skalningsuppsättningen.
- Mata in IP-adresserna för virtuella datorer i alla routningstabeller i det virtuella nätverket och anslutna nätverk.
Du behöver inte:
- Lägg till användardefinierade vägar manuellt.
- Skapa routningstabeller manuellt.
- Länka routningstabeller till undernätet för att sprida vägarna.
- Uppdatera routningstabeller när IP-adresser ändras.
Komponenter
Route Server förenklar dynamisk routning mellan NVA:er som stöder BGP och virtuella nätverk. Den här tjänsten eliminerar de administrativa kostnaderna för att underhålla routningstabeller.
Virtuellt nätverk är den grundläggande byggstenen för privata nätverk i Azure. Azure-resurser som virtuella datorer kan kommunicera säkert med varandra, internet och lokala nätverk via virtuellt nätverk.
Peering för virtuella nätverk ansluter två eller flera virtuella Azure-nätverk. Peerings ger anslutningar med låg svarstid och hög bandbredd mellan resurser i olika virtuella nätverk. Trafik mellan virtuella datorer i peer-kopplade virtuella nätverk använder endast det privata Microsoft-nätverket.
VPN Gateway är en specifik typ av virtuell nätverksgateway. Du kan använda VPN Gateway för att skicka krypterad trafik:
- Mellan ett virtuellt Azure-nätverk och en lokal plats via det offentliga Internet.
- Mellan virtuella Azure-nätverk via Azure-stamnätverket.
ExpressRoute utökar lokala nätverk till Microsoft-molnet. Med hjälp av en anslutningsleverantör upprättar ExpressRoute privata anslutningar till molnkomponenter som Azure-tjänster och Microsoft 365.
En tjänstslutpunkt ger säker och direkt anslutning till en Azure-tjänst från privata IP-adresser i ett virtuellt nätverk. Tjänstslutpunkten tillhandahåller identiteten för det virtuella nätverket till Azure-tjänsten. Så de virtuella nätverksresurserna behöver inte offentliga IP-adresser för att komma åt tjänsten, och slutpunkten skyddar tjänsten genom att endast tillåta trafik från det angivna virtuella nätverket. Anslutningarna använder optimerade vägar över Azure-stamnätverket.
En NVA är en virtuell installation som erbjuder nätverksfunktioner som brandväggssäkerhet och belastningsutjämning.
Azure Storage är en molnlagringslösning som innehåller objekt, fil, disk, kö och tabelllagring. Tjänsterna omfattar hybridlagringslösningar och verktyg för överföring, delning och säkerhetskopiering av data.
Alternativ
I den här lösningen behöver du inte ansluta tjänstslutpunkten till Storage. Du kan använda andra Azure-tjänster i stället. En lista över tjänster som du kan skydda med tjänstslutpunkter finns i Tjänstslutpunkter för virtuellt nätverk.
I stället för att använda Routningsserver kan du lägga till användardefinierade vägar i varje undernäts routningstabell. Mer information om användardefinierade vägar finns i Användardefinierad i Trafikdirigering för virtuella nätverk.
Information om scenario
Nätverksroutning är en process för att fastställa den sökväg som trafiken tar över nätverk för att nå ett mål. Routningstabeller visar information om nätverkstopologi som är användbar för att fastställa routningssökvägar.
När ditt virtuella nätverk innehåller en virtuell nätverksinstallation (NVA) måste du konfigurera och uppdatera routningstabellerna manuellt.
I den här artikeln beskrivs en lösning för att hantera dynamisk routning mellan NVA:er och virtuella nätverk. Kärnan i lösningen är Azure Route Server. Den här tjänsten förenklar konfiguration, underhåll och distribution av NVA:er i ditt virtuella nätverk. När du använder Route Server behöver du inte längre uppdatera NVA-routningstabeller manuellt när dina virtuella nätverksadresser ändras.
Potentiella användningsfall
Den här lösningen gäller för scenarier som:
- Använd nätverk med dubbla hem. Förutom typiska nätverkstopologier för hub-and-spoke stöder Router Server även nätverkstopologier med dubbla hem. Den här typen av konfiguration peer-datorer ett virtuellt ekernätverk med två eller flera virtuella hubbnätverk. Detaljerad information finns i Om dubbla hembaserade nätverk med Azure Route Server.
- Ansluta NVA:er till Azure ExpressRoute. Vissa virtuella nätverk innehåller Route Server, en ExpressRoute-gateway och en NVA. Routningsservern sprider som standard inte NVA-vägarna till ExpressRoute. Routningsservern sprider inte heller ExpressRoute-vägar till NVA. Du kan få ExpressRoute och NVA att byta vägar genom att aktivera routningsutbytesfunktioner i Route Server. Detaljerad information finns i Om Azure Route Server-stöd för ExpressRoute och Azure VPN.
- Använd Azure för att ansluta till Internet från ett lokalt system. Organisationer som saknar bra Internetåtkomst kan använda den här konfigurationen. System som redan har migrerat internetproxy till Azure är andra möjligheter. Routningsservern gör den här installationen möjlig.
Att tänka på
Tänk på följande när du implementerar den här lösningen:
Routningsservern upprättar anslutningar och utbyter vägar. Den överför inte datapaket. Därför kräver de virtuella datorer som routningsservern körs i serverdelen inte någon betydande processorkraft eller beräkningskraft.
När du distribuerar Route Server skapar du ett undernät med namnet
RouteServerSubnet
som använder en IPv4-nätmask med/27
. Placera Routningsservern i det undernätet.I Azure-gatewayer stöder prisnivån Basic inte samexisterande ExpressRoute- och VPN Gateway-anslutningar. Andra begränsningar med samexisterande konfigurationer finns i Begränsningar och begränsningar.
Det finns ingen gräns för hur många tjänstslutpunkter du kan använda i ett virtuellt nätverk. Men vissa Azure-tjänster, till exempel Storage, tillämpar gränser för antalet undernät som du kan använda för att skydda resursen. Mer information finns i Nästa steg i tjänstslutpunkter för virtuellt nätverk.
Tänk även på punkterna i följande avsnitt när du överväger den här lösningen.
Tillgänglighet
Route Server är en fullständigt hanterad tjänst som erbjuder hög tillgänglighet. Den här tjänstens tillgänglighetsgaranti finns i Serviceavtal för Azure Route Server.
Skalbarhet
De flesta komponenter i den här lösningen är hanterade tjänster som skalas automatiskt. Men det finns några undantag:
- Routningsservern kan annonsera högst 200 vägar till ExpressRoute eller en VPN-gateway.
- Routningsservern har högst stöd för 2 000 virtuella datorer per virtuellt nätverk, inklusive peer-kopplade virtuella nätverk.
Säkerhet
- Vägledning om hur du förbättrar säkerheten för dina program och data i Azure finns i Översikt över Azure Security Benchmark (v1).
- Vägledning från Azure Security Benchmark version 1.0 som är specifik för virtuellt nätverk finns i Azures säkerhetsbaslinje för virtuellt nätverk.
Motståndskraft
Den här lösningen använder endast hanterade komponenter. På regional nivå är alla dessa komponenter automatiskt motståndskraftiga. Routningsservern erbjuder hög tillgänglighet. När du distribuerar Routningsserver i en Azure-region som stöder tillgänglighetszoner har implementeringen redundans på zonnivå. Mer information om tillgänglighetszoner finns i Regioner och tillgänglighetszoner.
Kostnadsoptimering
Information om hur du beräknar kostnaden för att implementera den här lösningen finns i priskalkylatorn för Azure. Allmän information om hur du minskar onödiga utgifter finns i Översikt över kostnadsoptimeringspelare.
I följande avsnitt beskrivs prisinformation för lösningens komponenter.
Routningsserver
För närvarande finns det ingen startkostnad eller uppsägningsavgift för Route Server. Prisinformation finns i Prissättning för Azure Route Server.
Virtual Network
Du kan använda Virtuellt nätverk kostnadsfritt. Med en Azure-prenumeration kan du skapa upp till 50 virtuella nätverk i alla regioner. Trafik som ligger inom ett virtuellt nätverks gränser är kostnadsfri. Därför debiteras ingen kommunikation mellan två virtuella datorer i samma virtuella nätverk.
VPN Gateway
När du använder VPN Gateway är all inkommande trafik kostnadsfri. Du debiteras endast för utgående trafik. Internetbandbreddskostnader gäller för VPN-utgående trafik. Mer information finns i priser för VPN Gateway.
ExpressRoute
ExpressRoute-dataöverföringar som är inkommande är kostnadsfria. För utgående dataöverföring debiteras du en fördefinierad hastighet. En fast månatlig portavgift tillkommer också. Mer information finns i Prissättning för Azure ExpressRoute.
Tjänstslutpunkter
Det kostar inget att använda tjänstslutpunkter.
NVA:er
NVA debiteras baserat på den installation som du använder. Du debiteras också för de virtuella Azure-datorer som du distribuerar och de underliggande infrastrukturresurser som du använder, till exempel lagring och nätverk. Mer information finns i Prissättning för virtuella Linux-datorer.
Nästa steg
- Snabbstart: Skapa och konfigurera routningsservern med hjälp av Azure Portal
- Om Azure Route Server-stöd för ExpressRoute och Azure VPN
- Vanliga frågor och svar om Azure Route Server
- Översikt över Azure
- Nätverksblogg
- Serviceavtal för Azure Route Server
- Vad är Azure Route Server?