Sobre o roteamento de hub virtual

  • Artigo

As funcionalidades de roteamento no hub virtual são fornecidas por um roteador que gerencia todo o roteamento entre os gateways usando o BGP (Border Gateway Protocol). Um hub virtual pode conter vários gateways, como um gateway de VPN site a site, um gateway de ExpressRoute, um gateway de ponto a site e um Firewall do Azure. Esse roteador também fornece conectividade de trânsito entre redes virtuais que se conectam a um hub virtual e podem dar suporte a uma taxa de transferência agregada de 50 Gbps. Essas funcionalidades de roteamento se aplicam aos clientes da WAN Virtual Standard.

Para configurar o roteamento, confira Como configurar o roteamento de hub virtual.

Conceitos de roteamento

As seções a seguir descrevem os principais conceitos no roteamento de hub virtual.

Tabela de rotas de hub

Uma tabela de rotas do hub virtual pode conter uma ou mais rotas. Uma rota inclui um nome, um rótulo, um tipo de destino, uma lista de prefixos de destino e as informações do próximo salto para que um pacote seja roteado. Uma conexão normalmente tem uma configuração de roteamento que associa ou propaga a uma tabela de rotas.

Intenção e políticas de roteamento de hub

As políticas de Intenção de Roteamento e Roteamento permitem configurar seu hub de WAN Virtual para enviar o tráfego Privado e Vinculado à Internet (Ponto a local, Site a site, ExpressRoute, Soluções de Virtualização de Rede dentro do Hub de WAN Virtual e Rede Virtual) por meio de um Firewall do Azure, Firewall de Próxima Geração NVA ou solução de software como serviço implantada no hub de WAN Virtual. Há dois tipos de Políticas de Roteamento: Políticas de Roteamento de Tráfego Privado e de Tráfego de Internet. Cada Hub de WAN Virtual pode ter, no máximo, uma Política de Roteamento de Tráfego da Internet e uma Política de Roteamento de Tráfego Privado, cada uma com um recurso de Próximo Salto.

Embora o Tráfego Privado inclua prefixos de endereço de branch e de Rede Virtual, as Políticas de Roteamento os consideram como uma entidade dentro dos conceitos de Intenção de Roteamento.

  • Política de Roteamento de Tráfego de Internet: quando uma Política de Roteamento de Tráfego de Internet é configurada em um hub de WAN virtual, todas as ramificações (VPN do usuário (VPN ponto a site), VPN site a site e ExpressRoute) e conexões de rede virtual para esse hub de WAN virtual encaminharão o tráfego vinculado à Internet para o recurso do Firewall do Azure ou provedor de Segurança de Terceiros especificado como parte da Política de Roteamento.

  • Política de Roteamento de Tráfego Privado: quando uma Política de Roteamento de Tráfego Privado é configurada em um hub de WAN virtual, todo o tráfego de rede virtual e ramificação dentro e fora do hub de WAN Virtual, incluindo o tráfego entre hubs, será encaminhado para o recurso de próximo salto do Firewall do Azure que foi especificado na Política de Roteamento de Tráfego Privado.

Para obter mais informações sobre como configurar a Intenção e as Políticas de Roteamento, consulte o seguinte documento.

conexões

Conexões são recursos do Resource Manager que têm uma configuração de roteamento. Os quatro tipos de conexões são:

  • Conexão VPN: conecta um site VPN a um gateway de VPN do hub virtual.
  • Conexão do ExpressRoute: conecta um circuito do ExpressRoute a um gateway do ExpressRoute do hub virtual.
  • Conexão de configuração P2S: conecta uma configuração de VPN de usuário (ponto a site) a um gateway de VPN de usuário do hub virtual (ponto a site).
  • Conexão de rede virtual do hub: conecta redes virtuais a um hub virtual.

Você pode definir a configuração de roteamento de uma conexão de rede virtual durante a instalação. Por padrão, todas as conexões são associadas à tabela de rotas Padrão e propagadas nela.

Associação

Cada conexão é associada a uma tabela de rotas. A associação de uma conexão a uma tabela de rotas permite que o tráfego (dessa conexão) seja enviado ao destino indicado como rotas na tabela de rotas. A configuração de roteamento da conexão mostra a tabela de rotas associada. Várias conexões podem ser associadas à mesma tabela de rotas. Todas as conexões de VPN, de ExpressRoute e de VPN de Usuário estão associadas à mesma tabela de rotas (padrão).

Por padrão, todas as conexões são associadas a uma Tabela de rotas padrão em um hub virtual. Cada hub virtual tem a própria tabela de rotas Padrão, que pode ser editada para a adição de rotas estáticas. As rotas adicionadas estaticamente têm precedência sobre rotas aprendidas dinamicamente dos mesmos prefixos.

Diagram shows Association.

Propagação

As conexões propagam rotas dinamicamente para uma tabela de rotas. Com uma conexão VPN, conexão ExpressRoute ou conexão de configuração P2S, as rotas são propagadas do hub virtual para o roteador local usando BGP. As rotas podem ser propagadas para uma ou várias tabelas de rotas.

Uma tabela de rotas Nenhum também está disponível para cada hub virtual. Propagar para a tabela de rotas Nenhum implica que nenhuma rota precisa ser propagada da conexão. As conexões VPN, ExpressRoute e VPN de usuário propagam rotas para o mesmo conjunto de tabelas de rotas.

Diagram shows propagation.

Rótulos

Os rótulos fornecem um mecanismo para agrupar logicamente as tabelas de rotas. Isso é especialmente útil durante a propagação de rotas de conexões para várias tabelas de rotas. Por exemplo, a Tabela de Rotas Padrão tem um rótulo interno chamado 'Default'. Quando os usuários propagam rotas de conexão para o rótulo 'Default', ele é aplicado automaticamente a todas as Tabelas de Rotas Padrão em todos os hubs na WAN Virtual.

Como configurar rotas estáticas em uma conexão de rede virtual

A configuração de rotas estáticas fornece um mecanismo para direcionar o tráfego do hub por meio de um IP de próximo salto, que pode ser de umA NVA (Solução de Virtualização de Rede) provisionado em uma VNet de Spoke anexada a um hub virtual. A rota estática é composta por um nome de rota, uma lista de prefixos de destino e um IP do próximo salto.

Excluindo rotas estáticas

Para excluir uma rota estática, a rota deve ser excluída da tabela de rotas na qual foi colocada. Consulte Excluir uma rota para conhecer as etapas.

Tabelas de rotas para rotas pré-existentes

As tabelas de rotas agora têm recursos para associação e propagação. Uma tabela de rotas preexistente é aquela que não tem esses recursos. Se você tiver rotas preexistentes no roteamento de hub e quiser usar as novas funcionalidades, considere o seguinte:

  • Clientes de WAN Virtual Standard com rotas preexistentes no hub virtual:

    Se você tiver rotas pré-existentes na seção Roteamento do hub no portal do Azure, precisará primeiro excluí-las e depois tentar criar tabelas de rotas (disponíveis na seção Tabelas de Rotas do hub no portal do Azure).

  • Clientes de WAN Virtual Básica com rotas preexistentes no hub virtual:

    Se você tiver rotas pré-existentes na seção Roteamento do hub no portal do Azure, precisará primeiro excluí-las e depois atualizar a WAN Virtual Básica para a WAN Virtual Standard. Confira Atualizar uma WAN Virtual de Básica para Standard.

Redefinição de hub

A Redefinição de hub virtual está disponível somente no portal do Azure. A redefinição fornece uma maneira de trazer quaisquer recursos com falha, como tabelas de rotas, roteador do hub ou o próprio recurso do hub virtual, de volta ao seu estado de provisionamento legítimo. Considere redefinir o hub antes de entrar em contato com a Microsoft para obter suporte. Essa operação não redefine nenhum dos gateways em um hub virtual.

Considerações adicionais

Considere o seguinte ao configurar o roteamento de WAN Virtual:

  • Todas as conexões de ramificação (ponto a site, site a site e ExpressRoute) precisam ser associadas à tabela de rotas Padrão. Dessa forma, todas as ramificações aprenderão os mesmos prefixos.
  • Todas as conexões de ramificação precisam propagar as rotas para o mesmo conjunto de tabelas de rotas. Por exemplo, se você decidir que as ramificações devem ser propagadas para a tabela de rotas Padrão, essa configuração deverá ser consistente em todas as ramificações. Como resultado, todas as conexões associadas à tabela de rotas Padrão poderão alcançar todas as ramificações.
  • Ao usar o Firewall do Azure em várias regiões, todas as redes virtuais spoke devem estar associadas à mesma tabela de rotas. Por exemplo, não é possível ter um subconjunto de VNets passando pelo Firewall do Azure enquanto outras VNets ignoram o Firewall do Azure no mesmo hub virtual.
  • Você pode especificar vários endereços IP do próximo salto em uma única conexão de Rede Virtual. No entanto, a Conexão de Rede Virtual não dá suporte ao IP de próximo salto “múltiplo/exclusivo” para o “mesmo” dispositivo virtual de rede em uma Rede Virtual SPOKE “se” uma das rotas com o IP de próximo salto for indicada como endereço IP público ou 0.0.0.0/0 (Internet)
  • Todas as informações pertencentes à rota 0.0.0.0/0 estão confinadas a uma tabela de rota de hub local. Essa rota não se propaga entre hubs.
  • Você só poderá usar a WAN Virtual para programar rotas em um spoke se o prefixo for menor (menos específico) que o prefixo de rede virtual. Por exemplo, no diagrama acima, a VNET1 spoke tem o prefixo 10.1.0.0/16: nesse caso, a WAN Virtual não poderá injetar uma rota que corresponda ao prefixo da rede virtual (10.1.0.0/16) ou a qualquer uma das sub-redes (10.1.0.0/24, 10.1.1.0/24). Em outras palavras, a WAN Virtual não pode atrair o tráfego entre duas sub-redes que estão na mesma rede virtual.
  • Embora seja verdade que 2 hubs na mesma WAN virtual anunciarão rotas entre si (desde que a propagação esteja habilitada para os mesmos rótulos), isso só se aplica ao roteamento dinâmico. Depois de definir uma rota estática, esse não é o caso.

Próximas etapas