Azure 路由服务器的工作原理是什么?

  • 10 分钟

开始准备在组织内部署 Azure 路由服务器时,需要详细了解其工作方式。 虽然 Azure 路由服务器是完全托管的服务,但了解它在各种场景中的工作方式非常重要。

最常见的是,将 Azure 路由服务器与一个或多个网络设备一起使用。 例如,可以将 Azure 路由服务器与防火墙 NVA 和 SD-WAN 设备连接,如下图所示:

示意图显示具有应用子网以及 SD-WAN 和防火墙设备的虚拟网络中的 Azure 路由服务器。

此示例包含一个具有 10.1.0.0/16 地址空间的虚拟网络。 在该网络中,一个应用程序子网(应用子网)托管 VM 和其他资源。 同一网络还有一个 Azure 路由服务器子网,用于管理 10.1.0.0/16 地址空间的路由表。 部署在同一网络中的两个虚拟设备是防火墙和 SD-WAN 设备。 所有互联网流量都通过防火墙设备路由,因为它管理默认路由 0.0.0.0/0。

另一个设备 SD-WAN 通过 10.250.0.0/16 地址空间管理与本地网络的连接。 SD-WAN 和防火墙这两个设备配置为 Azure 路由服务器的 BGP 对等节点。 因此,它们的路由表会传播到 Azure 路由服务器。 此外,10.1.0.0/16 网络的路由表还会传播到网络设备。 由于 Azure 路由服务器是在 VM 所在的同一虚拟网络中配置的,因此这些路由随后会在虚拟网络中的 VM 上自动配置。

因此,当应用子网中的 VM 需要与位于本地网络中的资源通信时,它会知道应将流量发送到 SD-WAN 设备。 如果需要,它将通过防火墙设备管理的默认路由访问 Internet。 由于 SD-WAN 设备具有用于 10.1.0.0./16 地址空间的路由的相关信息​​,因此位于本地的任何资源都将能够与应用子网中的资源进行通信。 每当连接到 Azure 路由服务器的任何组件中的路由或地址空间发生更改时,该更改都将自动传播到所有设备和路由表。

让我们来回顾一下部署 Azure 路由服务器时如何控制通过 SD-WAN NVA 的流量。 在以下场景中,使用 Azure 路由服务器可以进行路径选择,使你可以将 SD-WAN NVA 配置为在与本地网络通信时使用路由首选项。 当 SD-WAN NVA 与 Azure 路由服务器一起使用以建立与本地网络的连接时,可以通过两种方式建立路径,如下图所示:

示意图显示用于将 Azure 资源连接到本地网络的两条路径。一条路径通过 Microsoft 主干,而另一条路径使用 ISP 基础结构。

使用路由首选项,可以选择流量在 Azure 和 Internet 之间的路由方式。 可以选择通过 Microsoft 网络主干或 ISP 网络(公共 Internet)路由流量。 这些选项也分别称为“冷土豆路由”和“热土豆路由”。

在 Azure 路由服务器所在的同一虚拟网络中部署 SD-WAN NVA 时,将会使用 Microsoft 网络 IP 地址对其进行配置。 到本地网络的流量路径将使用 Microsoft 全球网络,因此会退出距离目标最近的 Microsoft 网络。 来自本地网络的路由将进入返回路径距离用户最近的 Microsoft 网络。 此路由方法经过性能优化,并以一定成本提供可能的最佳体验。

作为一种优化成本的方法,第二种路由方法是通过为 SD WAN NVA 分配 Internet IP 地址来执行的。 当流量路由到本地网络时,它将退出托管服务的同一区域中的 Microsoft 网络。 然后,它将使用 ISP 的网络来在 Internet 中路由。 来自本地的路由将进入距离托管服务区域最近的 Microsoft 网络。 完成诸如传输大量数据等任务时,这种路由方法可提供最佳总体价格。

Azure 路由服务器与 ExpressRoute 和 Azure VPN 的集成

在某些情况下,将在具有 ExpressRoute 网关或 Azure VPN 网关的虚拟网络中实现 Azure 路由服务器,如下图所示:

示意图显示在具有 Express Route 网关或 Azure VPN 网关的虚拟网络中实现 Azure 路由服务器。

在此例中,Azure VPN 网关和 ExpressRoute 网关用于连接到本地网络。 但与 NVA 对象(你会将其配置为 Azure 路由服务器的 BGP 对等节点)不同,你无需配置或管理网关与 Azure 路由服务器之间的 BGP 对等节点。 而是应该启用网关和 Azure 路由服务器之间的路由交换。 为此,在 Azure 门户中 Azure 路由服务器的“配置”页中配置以下设置

已启用分支到分支设置的屏幕截图。

或者,可以结合使用 -AllowBranchToBranchTraffic 标志和 Update-AzRouteServer cmdlet 启用 Azure 路由服务器和网关之间的路由交换。

执行此操作后,路由信息在 ExpressRoute 网关和 Azure VPN 网关之间通过 Azure 路由服务器进行交换。 这意味着 Azure VPN 网关将接收本地 2 网络的路由,ExpressRoute 网关将接收本地 1 网络的路由。 但是,这两个网关都还将接收 Azure 路由服务器所在的虚拟网络的路由。

Azure 路由服务器定价

Azure 路由服务器是一种典型的使用量付费的服务。 它没有任何形式的前期成本,也没有任何终止费用。 你仅在此服务处于活动状态时为其付费。