你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure 路由服务器更新路由表

Azure ExpressRoute
Azure 存储
Azure 虚拟网络
Azure VPN 网关

本文介绍用于管理 NVA 与虚拟网络之间的动态路由的解决方案。 解决方案的核心是 Azure 路由服务器。 此服务简化了虚拟网络中 NVA 的配置、维护和部署。 使用 Azure 路由服务器时,当虚拟网络地址发生更改时,不再需要手动更新 NVA 路由表。

体系结构

显示数据如何在本地网络、中心虚拟网络、辐射虚拟网络和各种网关之间流动的架构图。

下载此体系结构的 Visio 文件

工作流

  • 此中心辐射型体系结构具有中心虚拟网络和一个辐射虚拟网络。 中心虚拟网络具有多个子网,每个子网包含虚拟机 (VM)。

  • 每个虚拟网络的地址空间定义地址范围。 对于其中每个范围,Azure 会创建一个路由,其中包含该范围的地址前缀。 Azure 将这些路由添加到路由表。 每个虚拟网络都有多个子网,每个子网都有一个控制连接的网络接口卡 (NIC)。 Azure 将每个虚拟网络的路由表注入到子网的 NIC 中。

    无法创建或删除这些默认的系统路由。 但可以:

  • 本地网络使用 Azure VPN 网关 和 ExpressRoute 网关连接到共存配置中的中心虚拟网络。 添加 VPN 网关时,将网关作为下一个路由添加到路由表。 添加 ExpressRoute 时,还会更新路由表。 这些路由传播到所有子网。

  • 边界网关协议 (BGP) 使本地和 Azure 组件之间的 IP 地址交换成为可能。 此协议在自治系统之间定向数据包。 此类系统是单个组织运行的小型网络或大型路由器池。

  • 中心虚拟网络与辐射虚拟网络之间存在虚拟网络对等互连。 创建对等互连时,Azure 会更新路由表。 具体而言,Azure 为中心地址空间或辐射地址空间中的每个地址范围添加路由。 这些路由传播到所有子网。

  • 中心虚拟网络中的子网使用 Azure 存储的服务终结点。 Azure 将存储的公共 IP 地址添加到该子网的路由表。

  • 中心虚拟网络包含两个 NVA。 NVA 可能是网关、软件定义的广域网络 (SD-WAN) 或安全设备防火墙。 Azure 路由服务器通过以下方式交换 NVA、网络应用程序和网关路由:

    • 创建 Microsoft Azure 虚拟机规模集实例。 规模集中的每个 VM 都有一个 IP 地址。 与网关 IP 地址一样,Azure 路由服务器有权访问 VM IP 地址。
    • 在规模集中的每个 NVA 和 VM 之间建立 BGP 对等互连。
    • 将 VM IP 地址注入虚拟网络和连接的网络中的所有路由表中。

    无需:

    • 手动添加用户定义的路由。
    • 手动创建路由表。
    • 将路由表链接到子网以传播路由。
    • 当 IP 地址发生更改时更新路由表。

组件

  • Azure 路由服务器简化了支持 BGP 和虚拟网络的 NVA 之间的动态路由。 此服务消除了维护路由表的管理开销。

  • 虚拟网络是 Azure 中专用网络的基本构建块。 借助虚拟网络,Azure 资源(如 VM)能够以安全方式相互通信,也可以与 Internet 和本地网络通信。

  • 虚拟网络对等互连连接两个及以上 Azure 虚拟网络。 对等互连可在不同的虚拟网络的资源之间提供低延迟、高宽带的连接。 对等虚拟网络中的 VM 之间的流量仅使用 Microsoft 专用网络。

  • VPN 网关是特定类型的虚拟网络网关。 可以使用 VPN 网关发送加密流量:

    • 通过公共 Internet 在 Azure 虚拟网络与本地位置之间发送加密流量。
    • 通过 Azure 主干网络在 Azure 虚拟网络之间发送加密流量。
  • ExpressRoute 将本地网络扩展到 Microsoft 云。 通过使用连接服务提供程序,ExpressRoute 与云组件(如 Azure 服务和 Microsoft 365)建立专用连接。

  • 服务终结点提供从虚拟网络中的专用 IP 地址到 Azure 服务的安全且直接的连接。 服务终结点为 Azure 服务提供虚拟网络的标识。 因此,虚拟网络资源不需要公共 IP 地址才能访问服务,终结点仅允许来自指定虚拟网络的流量来保护该服务。 连接通过 Azure 主干网络使用优化的路由。

  • NVA 是一种虚拟设备,提供网络功能,例如防火墙安全性和负载均衡。

  • Azure 存储是一种云存储解决方案,包括对象、文件、磁盘、队列和表存储。 服务包括用于传输、共享和备份数据的混合存储解决方案和工具。

备选方法

  • 在此解决方案中,无需将服务终结点连接到存储。 可以改用其他 Azure 服务。 有关可以使用服务端点保护的服务列表,请参阅虚拟网络服务终结点

  • 可以向每个子网的 Azure 路由表添加用户定义的路由,而不是使用路由服务器。 有关用户定义的路由的详细信息,请参阅用户定义的虚拟网络流量路由

方案详细信息

网络路由是确定流量跨网络到达目标的路径的过程。 路由表列出了用于确定路由路径的网络拓扑信息。

如果虚拟网络包含网络虚拟设备 (NVA),则必须手动配置和更新路由表。

本文介绍用于管理 NVA 与虚拟网络之间的动态路由的解决方案。 解决方案的核心是 Azure 路由服务器。 此服务简化了虚拟网络中 NVA 的配置、维护和部署。 使用 Azure 路由服务器时,当虚拟网络地址发生更改时,不再需要手动更新 NVA 路由表。

可能的用例

此解决方案适用于:

  • 使用双宿主网络的方案。 除了典型的中心辐射型网络拓扑外,路由器服务器还支持双宿主网络拓扑。 此类配置对等互连辐射虚拟网络,其中包含两个及以上中心虚拟网络。 有关详细信息,请参阅关于 Azure 路由服务器的双宿主网络
  • 将 NVA 连接到 Azure ExpressRoute。 某些虚拟网络包含路由服务器、ExpressRoute 网关和 NVA。 默认情况下,Azure 路由服务器不会将 NVA 路由传播到 ExpressRoute。 Azure 路由服务器也不会将 ExpressRoute 路由传播到 NVA。 可以通过在 Azure 路由服务器中启用路由交换功能来获取 ExpressRoute 和 NVA 来交换路由。 有关详细信息,请参阅关于 ExpressRoute 和 Azure VPN 的 Azure 路由服务器支持
  • 使用 Azure 从本地系统连接到 Internet。 缺少良好的 Internet 访问的组织可能会使用此配置。 已将 Internet 代理迁移到 Azure 的系统具有其他可能。 Azure 路由服务器使此设置成为可能。

注意事项

实现此解决方案时请考虑以下几点:

  • Azure 路由服务器建立连接并交换路由。 它不会传输数据包。 因此,Azure 路由服务器在其后端运行的 VM 不需要大量的 CPU 能力或计算能力。

  • 部署 Azure 路由服务器时,创建使用 /27 的 IPv4 子网掩码名为 RouteServerSubnet 的子网。 将 Azure 路由服务器置于该子网中。

  • 在 Azure 网关中,基本定价层不支持共存 ExpressRoute 和 VPN 网关连接。 有关共存配置的其他限制,请参阅规定和限制

  • 在虚拟网络可以使用的服务终结点总数没有限制。 但是,某些 Azure 服务(例如存储)对可用于保护资源的子网数量强制实施限制。 有关详细信息,请参阅 Microsoft Azure 虚拟网络服务终结点的下一步

考虑此解决方案时,还请记住以下部分中的要点。

可用性

Azure 路由服务器是一项高可用的完全托管服务。 有关此服务的可用性保证,请参阅 Azure 路由服务器的 SLA

可伸缩性

本解决方案中使用的大多数组件均为自动缩放的托管服务。 但存在几种例外情况:

  • Azure 路由服务器最多可以播发 200 个路由到 ExpressRoute 或 VPN 网关。
  • Azure 路由服务器最多可以支持每个虚拟网络 2000 个 VM,包括对等互连的虚拟网络。

安全性

复原

此解决方案仅使用托管组件。 在区域级别,所有这些组件都是自动复原的。 Azure 路由服务器提供高可用性。 在支持可用性区域的 Azure 区域中部署 Azure 路由服务器时,实现具有区域级冗余。 有关可用性区域的详细信息,请参阅区域和可用性区域

成本优化

若要估计此解决方案的实现成本,请使用 Azure 定价计算器。 有关减少不必要费用的一般信息,请参阅成本优化支柱概述

以下部分讨论解决方案组件的定价信息。

路由服务器

目前,Azure 路由服务器没有前期成本或终止费用。 有关定价信息,请参阅 Azure 路由服务器定价

虚拟网络

可以免费使用 Microsoft Azure 虚拟网络。 使用 Azure 订阅,可以在所有区域中创建最多 50 个虚拟网络。 虚拟网络边界内的流量是免费的。 因此,同一虚拟网络中两个 VM 之间的通信不收费。

VPN 网关

使用 VPN 网关时,所有入站流量都是免费的。 仅对出站流量收费。 Internet 带宽费用与 VPN 出站流量一起适用。 有关详细信息,请参阅 VPN 网关定价

ExpressRoute

入站的 ExpressRoute 数据传输是免费的。 对于出站数据传输,系统会向你收取预先确定的费率。 固定的每月转网费也适用。 有关详细信息,请参阅 Azure ExpressRoute 定价

服务终结点

使用服务终结点不会产生费用。

NVA

根据所使用的设备收取 NVA。 只需为部署的 Azure VM 以及消耗的任何其他底层基础结构资源(例如存储和网络)付费。 有关详细信息,请参阅 Linux 虚拟机定价

后续步骤